Как правило, межсетевые экраны устанавливаются на платформах, оснащенных усиленными средствами защиты, программное обеспечение которых уже само по себе малоуязвимо. Однако самым слабым местом многих устройств защиты сетей, является тот короткий промежуток времени, когда аппаратные средства уже полностью инициализированы и способны обеспечивать эффективную маршрутизацию сетевого трафика, а программная часть еще не успела взять под полный свой контроль сетевые интерфейсы. Вот в этом критическом промежуточном состоянии и таится опасность взлома сетевой защиты.
Драйвер WinRoute (называемый Engine, или механизмом) активизируется в тот момент, когда файлы ядра (kernel) операционной системы Windows загружаются в память. Конкретно, механизм загружается раньше модулей NDIS (Network Device Interface Specification - спецификация интерфейса сетевых устройств), благодаря чему сетевое подключение просто не поддерживается до момента полной активизации WinRoute. Таким образом, все интерфейсы оказываются полностью защищенными, прежде чем в систему могут попасть какие-либо зловредные данные, либо она иным образом подвергнется атаке. Такая схема обладает очевидными преимуществами перед автономными средствами обнаружения признаков вторжения, которые являются, по сути дела, сетевым сервисом, а следовательно, не могут быть активизированы до того момента, как система полностью загрузится.
Особая технология, примененная в программном комплексе WinRoute, "обволакивает" модули NDIS таким образом, что весь TCP/IP-трафик перенаправляется от сетевого адаптера (network interface card, сокращенно NIC) к механизму WinRoute, прежде чем он достигнет сетевого коммуникационного стека и далее - операционной системы.
Благодаря такому "вмешательству" в работу операционной системы на низком уровне механизм WinRoute получает уникальную возможность взять под контроль весь сетевой трафик (как входящий, так и исходящий) прежде чем он дистигнет любого интерфейса . Как и многие межсетевые экраны уровня предприятия (например, Firewall-1 компании Check Point), WinRoute обладает полномочиями принятия приоритетного решения относительно того, принять или отвергнуть тот или иной пакет. Отметим еще раз, что такая схема обеспечивает предотвращение атак на операционную систему или любое другое программное обеспечение, даже если нарушителю удается обойти межестевой экран. Безуловно, это крайне важно для Интернет-шлюзов, обеспечивающих доступ извне, однако и автономные узлы, нуждающиеся в высокой степени безопасности или анонимности, получают неоспоримые преимущества, в частности, в отношении применения систем обнаружения вторжения. На узле, защищенном WinRoute, такие программные средства обнаружения вторжения, как, например, система Real Secure компании Internet Security Systems (ISS), становятся практически невидимыми.
В заключение отметим, что механизм WinRoute берет на себя все функции операционной системы Windows (будь то Windows 9x, NT или 2000) по маршрутизации любых коммуникационных средств. Благодаря этому в случае сбоя, произошедшего по той или иной причине в механизме WinRoute, весь межсетевой трафик гарантированно блокируется. Такой способ "блокировки по сбою", который традиционно применяется по умолчанию в самых разнообразных конфигурациях межсетевых экранов на протяжении многих лет, обеспечивает защиту закрытых сетей от наиболее распространенных системных сбоев.