Die Firewallsysteme sind in unterschiedlichen Konfigurationen erhältlich. Durch den modularen Aufbau können die Systeme an die spezifischen Anforderungen angepaßt werden und auch eine spätere Erweiterung ist in vielen Fällen möglich.

Firewallaufbau
Hier werden zwei unterschiedliche Systeme angeboten:

• kaskadierte Firewall (Bastion-Host und Proxy)
• Firewall mit DMZ (Möglichkeit zur Integration von Servern in die DMZ)

Verbindung zum Internet
Zur Verbindung des lokalen Netzwerkes mit dem Internet stehen drei Möglichkeiten zu Auswahl:

• Ankopplung über eine Standleitung
• Verwendung eines externen DialOnDemand-Routers
• Aufbau der Verbindung über eine im Bastion-Host integrierte ISDN-Karte (DialOnDemand)

Zusatzfunktionen
Es können weitere Features integriert werden.

Zur Bewältigung der Aufgaben werden zwei Rechner unter dem Betriebssystem Linux verwendet, da bei Verwendung von nur einem Rechner eine Realisierung von IP-Filter- als auch Proxyfunktionen mit einem hohen Sicherheitsanspruch nicht möglich ist.

Bei diesem System arbeitet der 'Bastion-Host' als reiner IP-Filter. Er gestattet nur dem 'Proxy-Host' den Zugriff auf das Internet, nicht jedoch Clients aus dem Netzwerk. Außerdem sind nur bestimmte Protokolle (http, https, ftp) freigeschaltet. Der Kernel des Basion-Hosts ist für IP-Forward konfiguriert.

Der 'Proxy-Host' ist mit einem Applikationsschichtgateway versehen, welches die freigeschalteten Protokolle unterstützt. Die Clients greifen auf dieses Gateway zu, der Proxy leitet seinerseits die Anfragen ans Internet weiter. Das IP-Forwarding ist auf dem Porxy deaktiviert.
Die IP-Filterregeln sind sehr einfach und übersichtlich, jedoch werden keine aktiven Protokolle unterstützt.