Несмотря на обилие теоретических рассуждений о применении фильтрации пакетов, главной причиной отказа современных межсетевых экранов остается неправильная настройка конфигурации, в особенности если этим занимаются неопытные администраторы сетей. Конфигурация программного комплекса WinRoute настолько проста при одновременной ее гибкости, что даже новичок в области сетевого администрирования, обладающий минимальными познаниями механизмов TCP/IP, сможет надежно настроить конфигурацию несколькими щелчками мыши, как это показано на приведенной ниже иллюстрации, изображающей экран настройки.
Правила фильтрации могут быть назначены для каждого отдельного интерфейса по нижеперечисленным параметрам:
Важно также отметить, что фильтрации можно подвергнуть как входящий, так и исходящий трафик.
Программный комплекс позволяет произвести тонкую настройку правил доступа в зависимости от конкретных потребностей практически любой организации по обеспечению сетевой защиты. Так, например, группе Web-разработчиков может быть предоставлен доступ к определенным внешним ресурсам, скажем, к анонимным FTP-серверам, или же можно составить список внутренних адресов, доступных из сетей партнеров для "сбрасывания" на них электронных файлов. Конфигурация входящего/исходящего трафика обеспечивает защиту от злонамеренных атак "изнутри" с помощью, допустим, специализированных серверных программ Back Orifice (BO) или DDOS (distributed denial of service - распределенный отказ в обслуживании), которые, пользуясь ненадежными протоколами, пытаются установить связь со своими внешними "хозяевами"-взломщиками в обход межсетевых экранов.
Правила предельно просты: "Разрешить", "Игнорировать" или "Запретить" тот или иной трафик. Применение действия "Игнорировать" снабжает потенциальных злоумышленников самой минимальной информацией о системе защиты, так как при этом не направляется по межсетевому протоколу управления сообщениями (ICMP) уведомления о запрещении в результате применения администратором фильтра, равно как и ответа типа "сброс/подтверждение" на входящий синхронизированный TCP-пакет (это первый шаг в трехступенчатой процедуре квитирования установки связи по протоколу TCP).
Правила, действующие в отношении входящего и исходящего трафика, могут подразделяться на приоритетные категории в установленном пользователем порядке. Чаще всего такая возможность применяется для того, чтобы добавить к фильтрующим спискам так называемые "правила подстраховки", которые блокируют весь трафик, не разрешенный основными правилами, обладающими приоритетом (пример применения "правил подстраховки" приводится в основных наборах правил фильтрации пакетов, приведенных далее в этом документе).