Statskontoret 1995:6

Brandväggar vid anslutning till Internet

Skydd mot obehörigt intrång

8.6 Tjänster och protokoll

Följande tjänster bedöms möjliga (både tekniskt och med avseende på den för klass 2 önskade graden av säkerhet). Alla övriga protokoll blockeras.

Telnet

Med accesskontroll och möjlig identifiering för såväl inkommande som utgående trafik.

Rlogin

Samma som för Telnet.

NNTP

Enklast genom att använda en "plug-gw" (se nedan) och koppla vidare till ett News-system på myndighetens insida, samt koppla upp till förkonfigurerad NNTP-server på den publika sidan för att från myndigheten leverera utgående News.
I de fall myndigheten använder en dator D enligt bild 9, kan externa News lagras i denna dator och åtkomst till dator D från användare inom myndigheten sker genom en "plug-gw"-funktion i dator B (AGW), dvs man kopplar trafik genom dator B till NNTP/TCP-port 119 till TCP-port 119 på dator D.
Eventuellt kan ett internt News-system med myndighetslokala grupper installeras på dator A.

FTP

Samma som för Telnet.

WWW/HTTP

Endera genom att använda någon form av mellanlagrande (cache-) server, eller med en variant av "plug-gw", se nedan.

SMTP

Lämpligen ersätter man Sendmail med ett något mindre och enklare program för inkommande post, sen anropar man Sendmail som opriviligierad användare för att skicka posten vidare såväl till interna som externa destinationer.

NTP

Löser man lämpligast genom att köra en tidsynkroniseringsserver på dator B, t.ex. programmet XNTPD och låta den kommunicera med time-servrar man litar på (t.ex. operatörens accessrouter, router A) och till dessa sessioner använda nyckelhantering samt bara tillåta NTP-trafik från förkonfigurerade interna system.

För olika former av TCP-baserade protokoll kan oftast någon form av "plug-gw" konfigureras så att proxy-datorn vid ett anrop till viss TCP-port från omvärlden översätter portnumret till ett annat (eller samma) portnummer och kopplar upp sig till en förkonfigurerad dator på myndighetens insida.