Zabezpieczenia sieci powinny tworzyć spójny i szczelny system, w którym istotną rolę odgrywają elementy przełączające i rozdzielające strefy dystrybucji pakietów. Te strefy powinny być starannie zaplanowane na podstawie identyfikacji czułych miejsc w sieci i analizy ryzyka.

Istotne znaczenie mają rozmieszczone na granicach stref urządzenia filtrujące pakiety: przepuszczające tylko takie pakiety, które spełniają zadane reguły. Na granicach sieci umieszcza się zazwyczaj zapory ogniowe (firewalls) badające przesyłane informacje według złożonych reguł analizy w różnych warstwach modelu sieciowego. Badanie może uwzględniać historię strumienia pakietów (stateful inspection). Filtry pakietów są bardzo skuteczne pod warunkiem starannego doboru reguł. Zapory ogniowe mogą być przenikane jednak za pomocą tuneli kryptograficznych, tworzonych w ramach VPN lub SSL, i wówczas nieużyteczne stają się wszystkie te reguły, które odnoszą się do warstw sieciowych wyższych niż ta, na której odbywa się szyfrowanie pakietów. Zapory sieciowe stanowią ochronę przed napastnikami atakującymi z zewnątrz (spoza zapory). W szczególności w połączeniu z translacją adresów praktycznie uniemożliwiają bezpośredni atak na którykolwiek z komputerów za zaporą.

Dla zapewnienia podstawowej kontroli ruchu w ośrodkach webowych można używać technik filtracji pakietów na ruterach IP, ale działania te często obniżają znacznie wydajność tych ruterów do poziomu, który zazwyczaj jest nie do przyjęcia, i w związku z tym nie zdają egzaminu przy eliminowaniu licznych powszechnych ataków typu DoS. Tradycyjne zapory ogniowe mogą działać jako punkty graniczne dla adresów IP, używając techniki NAT (Network Address Translation), zabezpieczającej przed atakami DoS metodą ograniczania ruchu do specyficznych portów IP lub pochodzącego spod specyficznych adresów sieciowych. Jednak takie systemy były projektowane pod kątem ograniczenia wejść do systemów, co zaprzecza powszechności dostępu w Internecie. Poza tym tradycyjne zapory ogniowe nie są wystarczająco skalowalne w stosunku do wielkości ruchu, jakim charakteryzują się współczesne środowiska webowe. W tej sytuacji potrzebne są rozwiązania zapewniające ochronę ośrodka webowego oraz pomocniczy system ochrony "drugiej linii", zapewniający odpowiedni poziom ochrony bez obniżania wydajności i skalowalności usług ośrodka.

Ochronę ośrodka webowego można zapewnić na poziomie przełączników sieciowych, których zadania to:

• Zapobieganie atakom DoS przez sprawdzanie inicjacji każdej sesji i eliminowanie ataków DoS poziomu sieciowego.

• Świadczenie usług zapory ogniowej w zakresie filtracji adresów IP, portów TCP, typów plików oraz pełnych adresów URL.

• Translacja adresów sieciowych - funkcje NAT "zaszyte" na przełącznikach efektywnie przykrywają rzeczywiste adresy IP węzłów zlokalizowanych wewnątrz sieci - poza przełącznikami, takimi jak serwery i bufory webowe, eliminujące w ten sposób możliwość ataku hakerów bezpośrednio przy użyciu adresów IP.

Ochrona "drugiej linii" to między innymi wewnętrzne zapory ogniowe, realizujące pełniejszy zakres ochrony dla ruchu pochodzącego z Internetu lub ochrony wewnętrznych systemów czy sieci o strategicznym znaczeniu dla ośrodka, oraz systemy IDS. W celu rozładowania ruchu przełączniki z pierwszej linii ochrony mogą rozpraszać ruch na szereg wewnętrznych zapór ogniowych, zwiększając w ten sposób ich sumaryczną przepustowość.

Zapory ogniowe pierwszej linii mogą filtrować ruch na podstawie źródłowego lub docelowego adresu IP, URL, typu przenoszonego pliku. Reguły blokowania ruchu na zaporze ogniowej pierwszej linii powinny uniemożliwiać przekazywanie określonej zawartości do serwerów.

Zapory ogniowe drugiej linii chronią zazwyczaj bezpośrednio serwery webowe, serwery zaplecza baz danych i aplikacyjne. Są to zapory typu stateful inspection, filtrujące ruch na podstawie historii przepływu pakietów.