Брандмауэр и маршрутизатор.
Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространенными элементами защиты сетевого периметра. Далее основное внимание будет сконцентрировано на вопросах взаимодействия брандмауэра с маршрутизатором, а также на нескольких типичных примерах их конфигурации, обеспечивающей безопасность сети.

Брандмауэр и виртуальная частная сеть.
Очень часто брандмауэры и виртуальные частные сети обсуждаются в пределах одного контекста. Ведь, по сути, брандмауэры контролируют доступ к ресурсам, а VPN-устройства отвечают за безопасность каналов связи между сетевыми компьютерами. Поэтому важно понимать основы взаимодействия брандмауэров и виртуальных частных сетей:
• В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов NAT (Network Address Translation) может оказаться несовместимой с некоторыми реализациями VPN.
• VPN способны создавать сквозные связующие "туннели", проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны брандмауэра, которому трудно анализировать зашифрованный трафик.
• Только конечные точки VPN-канала обладают доступом к данным в незашифрованном виде, поскольку именно VPN-устройства отвечают за дешифрацию и аутентификацию данных; сам по себе такой подход может гарантировать определенную защищенность VPN-устройств.

Многоуровневые брандмауэры.
В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.
Применение многоуровневых брандмауэров в полной мере обеспечивает способность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра.