Antes de comenzar a diseñar un firewall, es necesario tener una clara idea de la protección que brindará, como se compatibiliza con los estandares de seguridad de la organización y de la arquitectura de seguridad de la red.
Una consideración a tener en cuenta es la defensa del "perímetro" de la red: no es coherente poner un poderoso firewall en una conexión directa y simultaneamente permitir acceso por modems sin claves de acceso. El administrador debe realizar un análisis del riesgo, y luego asegurarse que todos los puntos de entrada a la red esten igualmente protegidos.
Existen dos criterios de seguridad para el diseño de Firewalls:
El primer criterio consiste en bloquear todos los servicios y tipos de tráfico no estrictamente necesario. Es más conservativo pero tiende a limitar los tipos de servicios. El segundo criterio es más amplio pero más riesgoso. Otra consideración importante es concientizar a todos los usuarios a seguir todos los criterios de seguridad establecidos por el administrador. Es inútil crear protecciones de alta seguridad y permitir que un usuario provea servicio de FTP en un port distinto del port 23, para evitar el bloqueo existente en el mencionado port. TIS esta inspirado en el primer criterio.
FIREWALL CON HOST DE DOBLE INTERFAZ: consiste en un host corriendo software de firewall (host bastión), con dos interfaces de red: una se comunica con la red a proteger y la otra con la red no confiable (actúa como GATEWAY). Es sencilla de implementar y se basa en posibilidades brindadas por el propio sistema UNIX. Es muy importante los criterios de seguridad conque se configure el host bastión, pues este será el blanco de los ataques.
GATEWAY CON HOST APANTALLADO: se basa en un router con alguna forma de filtrado de paquetes para bloquear accesos entre la red a proteger y la red externa no confiable. Existe un host bastión y el tráfico solo se permite hacia ese host. El software que corre este host es similar al caso anterior. Esta solución es más versatil que la anterior ya que permite tráfico selectivamente a través del router para aplicaciones consideradas confiables, o entre redes confiables. La desventaja es que ahora hay dos sistemas críticos a controlar.
GATEWAY CON SUBRED APANTALLADA: consiste en ubicar una subred entre la red a proteger y la red no confiable. Solo los hosts de esta red son visible desde ambas redes. Conceptualmente, es similar al primer tipo pero extendido a una red entera. Esta es una manera sencilla de proteger una red privada de gran magnitud, ya que hace muy dificil para un atacante externo direccionar tráfico a la red a proteger pues esta se mantiene oculta.
En el caso de una red corporativa distribuida geográficamente, surge la necesidad de conectarse a través de una red pública para intercambiar información sensible. En este caso un firewall puede ser efectivamente combinado con un hardware de encripción para producir una red virtual con parámetros comunes de seguridad. Si alguien intenta interceptar el tráfico solo ve información encriptada. Otro beneficio adicional de este método es el "spoofing" de la direccion de origen. De esta manera se establecen "tuneles" por donde viaja la información en forma segura entre dos redes, conviviendo con firewalls que protegen contra los ataques externos.