沒有任何機構反對來自集合點的同一防火墻兩端的用戶以寫在可能已被授權的協議上的定制的應用穿過一個防火墻來運行。
例如：如果一個機構有這樣的一個政策：確定的信息是敏感的并且其前提之外的是不允許的。如果用戶可以附帶上敏感的信息來郵寄并發送給外面的任意方，那么防火墻將不足以執行這個策略。
類似的，防火墻將不阻止帶有輸入數據的所有程序。如果用戶引入數據并且執行它，這個程序可能有特洛伊木馬病毒，該病毒泄漏敏感信息，或者修改，或者刪除重要數據?？蓤绦写a來源于許多的形式，包括后記文件，各種解釋程序的副本，甚至發送郵件的返回地址。防火墻能夠檢查一些，并審查一些潛在的危險代碼，但它不能阻止用戶傳輸看起來像程序中的數據的東西。
我們考慮一些防火墻路由器機構范圍之外的問題。它是擁有該防火墻并從事這些論點的機構的策略問題。
* 安全包的透明度
對于以上所述的機構，認證所需要的問題和用于在代理計算機和認證及授權服務器之間的認證/授權協議，必須被所有的防火墻自動地傳輸。這些可能建立在安全文件包的基礎上?；蛘?，防火墻路由器作為這些類型通訊的應用層防火墻服務。他們能驗證他們傳遞以避免欺騙和非法聚合的數據。
3.3.4友好的防火墻應用
防火墻路由器對于某些通訊形式有困難，在這些通訊形式中請求是由服務器發起的，包括收回和多線路連接（例如：FTP）。事實表明如果給應用設計者以指南來幫助他們創建友好的防火墻應用，則它們將是很有用的，。下面是所建議的指南：
1） 無入站調用（終端仿真問題）
2） 固定端口數（沒有portmapper或tcpmux）
3） 好的整形轉移（申請網關）
4） 協議中沒有轉移
5） 32位序列數
6） 確定頭字段的長度和數量
類型字段是好的但如果有固定的端口數的話，也可能不需要它。
3.3.5結論
與應用層防火墻相比，一個IP層防火墻機制能夠提供許多好處：
* 對于終端主機沒有額外的鑒定。
* 單一的鑒定協議能夠用于所有的預期申請。
* IP層防火墻能夠降低消耗。
* IP層防火墻可以崩潰或恢復狀態而不需要干擾打開的TCP連接。
* 移動線路而不需要干擾打開的TCP連接。
* 沒有單點失效。
* 是獨立申請。
盡管如此，在設計問題上仍有實質性的困難尚待解決，特別是在多重防火墻，對稱線路，多信道廣播，和執行等方面。
4. 安全QOS推進
當因特網對特殊的數據包流提供專用的服務質量時，將會出現一系列新的安全問題。對于在網絡資源里申請昂貴的QOS值的用戶，有進行鑒別和批準的需要。因此，防止這些資源的盜竊，以及來自其它用戶的否認服務攻擊就顯得十分必要。本節包含了對于這些問題的一個概念上的模型，我們稱之為安全QOS推進。此論題有別于端端安全和防火墻，因為在路徑的每一個路徑上都需要加強QOS推進安全。
這并不是一個新問題，它是由Radia Perlman通過一篇論文在理論上提出和解決的。
4.1 安裝要求
安裝在QOS機制中非常重要。然而，在任何網絡層安裝安全機制，仍然有十分充分的工程理由，。抽象地說，你可以想象一個純粹的數據報模型，其中，每一個IP包都分別攜帶著在前進路徑上所有階段所必需的授權，這并不可行，因為安全信息既大得無法接收，又對每個包的內容有計算上的需求。這似乎意味著對于安全安裝有些狀態形式上的需求。
因此，我們假定一個分成兩階段的過程，它降低了純數據報模型的要求。在第一階段――安裝階段，在路由器（其它網絡組件）上建立了一些狀態，它們描述了如何看待并發的數據包流。在第二階段――分類階段，到達的包與正確的狀態信息相匹配，并加以處理。今天所用的稱呼這些不同狀態描述符的術語為“類別”，即分類的過程。
安裝的形式很多?？梢允莿討B的，也可以是如上所述的通過網絡上程序的調用。安裝的過程同樣可以是通過協議如SNMP，或遠程登錄的方法來進行路由器的人工配置。例如，網絡鏈接，如穿越大西洋的鏈接，由共同購買的用戶所共享。他們通過配置一個路由器以實現共享。
其中用到規范，或過濾器，它描述了使用每一個共享服務所允許的包的種類。無論安裝是動態的，人工的，短期的，還是半持久的，都有同樣的效果：它在路由器里創建包類別，并定義了當包到達時如何分類。
目前許多關于QOS的IP擴展的研究，如實時服務，已假定了一個準確的安裝步驟和分類階段。安裝階段通過如PSVP或ST-11的協議來完成，它們同樣說明了如何完成并發分類。在安裝階段安全只是對那些協議的一個擴展。應該注意，基于一個隱式的安裝過程，對于實時QOS有折中的建議。
4.2 加強安裝過程的安全
為加強安裝過程的安全，我們要求一個安裝請求應伴有用戶的證書，以提供一個可信賴的保證：被懷疑的請求是認可的，并且是授權的。我們把安裝過程中用到的證書看作是高級別鑒定（HLID）。
一種簡單的授權就是路由器管理接口上的口令(那些口令模式的限制，眾人皆知，此處不加討論)。當安裝請求是由單個的程序所發出時，必須假定一些特定用戶的授權。
當有任何組織HLID的方法時，縮放的目標使得為用戶命名和鑒別的全球性架構就顯得十分有用。命名框架的選擇將在第5節中深入討論。注意這個討論，它關心的是控制對網絡資源和安全設備的訪問，有別于端端鑒別和訪問控制，然而，同樣的鑒別架構對于兩者都適用。
通常，重要的工程計劃需要定義一個網絡上的安裝架構，它并不需要開發新的安全技術。然而，對于分類處理的安全方面，有與實現和耗費相關的重要問題。因此，應該集中更多的精力到全局架構的那方面。
首先，定義高級別ID（HLID）作為表示安裝請求部分的信息集。它們也可以是低級別ID（LLID），有時稱作“小甜餅”，攜帶在每個包里以便分類。在對當前的QOS的IP擴展中，包的分類是基于現有的包字段，如：源和目標地址，端口以及協議類型。
應注意到LLID有別于用戶地址，這是十分重要的，最起碼在概念上是這樣。通過強調這些區別，我們可以認識到：用戶的特權并不是由使用中的地址所決定的。如果用戶的地址改變了，特權不變。
包中的LLID作為標簽，路徑上的部分或全部路由器用它來決定授權給包的QOS分類。LLID會在單個的源－目標地址對之間引用一個數據流，或者更一般，圍繞一定范圍類的數據流。并不要求LLID收錄一個句法，以允許路由器來識別它所代表的QOS變量，但是同樣沒有任何對于這一優美結構的禁令。
我們建議一個IP數據包包含一個LLID，它可用在不同的網絡階段，以映射包到一個類別。對于網絡中每一個不同的點，我們反對數據包應該有一個可變LLID號的折中性方案。而且，這不僅是個安全建議，還是一個安全隱式。
LLID的屬性應摘錄下來，以匹配盡可能廣的請求范圍。
*它的持續時間（下面所討論的）必須既匹配安全協議的需要，以平衡健壯性和有效性，又要匹配應用程序的需要，程序必須處理LLID失效時安裝的更新。一個有用的末端點設備將是自動更新安裝請求的一個服務。
*信任的級別應該足夠高，以適應我們將會遇到的最為嚴格的請求。
*對于網絡中的任何資源選項，LLID結構的粒度必須允許數據包類別中的分類足夠飽滿。因此，我們希望每一個來自應用的獨立的數據包流都有一個不同的LLID。幾乎沒有機會將一個LLID或認證者下的多個流聚集在一起。
4.3 確認一個LLID
最低限度，有必要確認環境中LLID的用途，如：確信在授權方式下它正待證實。未經授權的LLID使用將會導致服務的盜竊，以及否認服務的攻擊，此時未經授權發送者發出的包，將與用作那個發送者（或發送者所在組）的QOS處理相一致。因此，LLID的使用應經過路由器的鑒別，使得QOS決定是基于LLID的。（注意：所有的路由器都不關心LLID）。
原則上，LLID的有效性需要在每個包上進行檢查，盡管不是在每個路由器上都需要，這也許會限制安全邊界的檢查。在那些必須驗證LLID的路由器上，一個十分明顯的問題就是執行效果。例如，一個路由器會選擇一些數據流樣品，并對其中的一些，但不是對所有的包，加以檢驗。或許它會先選擇一個前進的包，將選擇性確認的執行作為一個后臺活動。在最為自由的方法中，一個路由器會記錄選擇的包，并確認它們，以作為今后審計活動的一部分。
有一些其它的確認LLID使用的技術。我們已經確認了三種基本技術，它們有別于計算的執行，帶寬花費和有效性（對于各種變化攻擊形式的抵抗）。
*數字簽名
第一個必需的技術就是公鑰加密術和數字簽名的使用。通過對包計算單向的哈希值，并用與LLID相關的私鑰來對此哈希值進行轉換，包的發送者對每一個包進行簽名。因此，鑒別碼的值包含在包頭里。經過可長期使用公鑰的連接安裝過程，將公鑰和LLID綁定在一起。公鑰術的使用使得任何路由器都可以確認一個包，但沒有任何路由器必須在數據中產生一個帶有有效鑒別碼（也就是：它可以被其它路由器看作是有效的）的包。從“最小特權原則”來看，這個特性使得這種技術變得理想化。
公鑰加密系統，如RSA就使得簽名的確認比簽名快許多，它減輕了路由器的處理負擔。盡管如此，除對給定現有公鑰算法的實現，由路由器進行有選擇性的檢查外，這種方法似乎并不是到處通行。
*密封
下面的技術同樣是基于同類用作數字簽名的單向哈希函數的使用，但是，它并不要求簽上哈希值。這里，發送者用一個私值（本質上說是“密鑰”）計算一個單向哈希值。此過程就是通常作為密碼封裝的一個實例。在經過哈希計算后的哈希值里的內容，對于任何沒有私鑰的實體都是不可預測的。因此，哈希值就是鑒別碼，包含在包頭里。路由器用附加的同一私鑰對接收的包進行哈希計算，以確認包的有效性。如果傳送的哈希值與計算的哈希值相匹配，認為包是有效的。與簽名技術不同，封裝意味著所有能校驗封裝的路由器，同樣也可以生成（偽造）一個封裝。因此，此技術要求發送者相信路由器不會濫用私鑰。
在所有需要確認LLID相關包的發送者和路由器間共享單個密鑰方面，此技術已作了說明。使用同樣的鑒別碼技術，有一個相關的折中策略，但必須在互利的基礎上共享密鑰，如：在第一個路由器和發送者之間，在相鄰路由器之間等。這避免了在一個大的路由器組合里分發密鑰的需要，但這需要安裝機制使得路由器A確信它的鄰居B，這樣，A就被授權在一個特定的LLID或LLID集上代表通訊。最好將包密封在一個兩端都可以確認的包里面。只要策略適當，路由器在它們中間集中通信就變得最為高效，并不是在每一個LLID的基礎上都提供鑒別，由于路由器對可以相互信任，以代表數據流LLID。
作為單點傳送的數據流，因為私鑰的對稱共享，在路由器間鍵入互利的使用，并不代表路由器或安裝機制所需求的信任有任何真正的改變。然而，對于多點傳送連接，這種互利的鍵入方法要高級一些，它防止在多點傳送樹中點上的路由器產生可以插入到樹中其它點的通信。最糟糕的是，對于多點傳送樹中下面的點，路由器可產生偽造的，但是可鑒別的通信。
要注意的是網絡管理錯誤隔離技術的使用，如：在數據流沿途的的不同點上進行路由器通信統計采樣，應允許將包偽造攻擊的hoc檢測進行登記，此攻擊已綁定在數據流路徑上的路由器中。這種技術的使用是對路由器類似活動的一種威懾，更傾向于互利鍵入方法。
密封技術比數字簽名技術要快，因為哈希計算的增加（包括附加的私值）比要求簽上哈希值的密碼轉換要快得多。此處的處理負擔是對稱的，也就是說，發送者和每一個路由器都要投入同樣的處理能力，以封裝包，并校驗此封裝。同樣，一個封裝的哈希值要比簽名的哈希值小得多，盡管在兩種情況下使用同樣的函數。（這是因為公鑰簽名算法的模數大小和任何附加參數會增加簽名哈希值的大小）。此外，可以用一個廣值的哈希函數來截短那個值，如果在耗費上需要減少：當鑒別碼是一個簽名的哈希值，此選項將變得不可行。
作為此種技術的一個變量，你可以想象一個“票據交換所”，它用來接收來自發送者的，用于產生和確認鑒別碼的私鑰。需要確認包的路由器發送一份包的拷貝到票據交換所，它將檢查包，并反饋給路由器與LLID相關的不確認包的有效性。顯然，僅當路由器正在完成很少的選擇性包確認，此變量才可行。然而，它的確避免了在所有必須對包進行確認的路由器中秘密共享鑒別碼的需要。
對于這兩種技術，有一個殘留的可進行否認性服務攻擊的弱點，此攻擊是基于在數據流生命期間有效包的延遲。除非包攜帶有序列號，而且路由器跟蹤每一個數據流的序列和窗口，一種（外部）攻擊可以拷貝有效包，并將它們延遲。對付這種攻擊最簡單的方法就是，集中所有路由器對中的通信，形成一個單一的流，將流作為一個整體，而不是當作單個的流單位，對其提供延遲保護。
*臨時口令
對于包的確認，在工作室所探究的最終技術有很大分歧。先前的技術，技術包中位的函數，并以某種方式將值加以轉換，可以防止產生帶有有效鑒別碼的攻擊。對給定LLID產生一個帶有有效鑒別碼的包，需要訪問僅有發送者知道，或在一個給定數據流中發送者和路由器共同參與的私值。
相反，的三種技術要求鑒別碼是一個短的術語，私值包含在包頭里面，不受任何更深層的保護。本質上，這種技術將短術語“口令”結合到每一個包頭里。這種方法，如它的前身，要求所有的路由器認證LLID對鑒別碼是私有的。而且，鑒別碼對于任何路徑上的其它路由器和設備都是可見的，這樣，這種技術比以前的更易受到攻擊。
此處同樣的鑒別碼可以應用在帶有同樣LLID的所有包中，由于鑒別碼不是它所鑒別的包中的函數。實際上，這意味著將LLID作為鑒別碼是可行的。
然而，采用這種方法將和前兩種技術不一致，它們都需要顯式的，獨立的鑒別碼，因此，我們反對這種最優化。
但是，問題在于鑒別碼是獨立于包內容的，如果鑒別碼是從任何非法包中截獲的，那么這使得產生（偽造）顯式的可信任包變得毫無價值。同樣，如果鑒別碼可被猜測，任何攻擊者都不需要進行被動的竊聽，來欺騙這種模式。后一種發現意味著鑒別碼必須足夠長，使得猜測變得不可行，使LLID和鑒別碼都能對這種要求有更好的支持。
這種方法最大的好處就是性能。通過簡單的對照，鑒別碼可以很會的得到確認。與防止猜測攻擊的需求相一致，鑒別碼不需要假設：在包頭有一個重要的區域。
使用對于路由器可見的序列號是一種有趣的技術，探索一些使易受攻擊的方法變得強健的技術。如果每一個流（每一個包源）將它的包編號，那么，企圖使用網絡資源的入侵者必須刪除這些合法的包，在很多情況下這是非常困難的。另外，被攻擊的路由器將會注意到：復制的序列號和類似的異常。確切的編號細則必須得到解決，因為合法的流包可能丟失，這將引起序列空間的空白。
這里我們并不考慮合謀的問題，那樣，有給定LLID和鑒別碼的用戶故意將LLID和其它未經授權用戶共享。這種可能性將被探究，看看這樣的做的可行性利益，那樣將會成為真正的威脅。
4.4 安裝的動態
0 LLID的持續時間
使用LLID的一個關鍵問題是它們可以持續多久？在一種極端情況下，它們僅持續一段很短的時間，可能是幾秒。當LLID被盜竊時，這可以限制危害的程度。在另一種極端情況下，LLID是半持久的，象信用卡卡號。上述提議的加強LLID安全的技術交易的是有效性的強度，假定危險由限制的LLID的合法性來加以限制。
用原始的安裝技術，如：人工配置路由器來建立包類別，使得平衡長期或半永久LLID變得可行。由于安全的發展和動態資源的分配協議不能及時的得到跟蹤，這種技術在短期運行中十分重要。