Początkowo do ochrony przed atakami z zewnątrz wystarczyła prosta zapora sieciowa, która blokowała niepożądane połączenia przychodzące. Gdy ataki stały się komercyjne, napastnicy opracowali zestawy złośliwego oprogramowania, które inicjują połączenia wychodzące ze środka sieci, a przy samej infekcji korzystają z technologii pobierania poszczególnych składników (drive-by). Przy takim modelu samo filtrowanie połączeń przychodzących i ograniczenie per port nie stanowi żadnej obrony. Niezbędne jest filtrowanie połączeń do internetu, które potrafi rozróżnić charakter połączeń wychodzących i zablokuje połączenia prowadzące niebezpiecznych stron. W firmach oprócz stron znanych z dystrybucji złośliwego oprogramowania takimi stronami są także zasoby pornografii.

Najtańszym rozwiązaniem kontroli ruchu, bardzo często spotykanym w praktyce, jest serwer pośredniczący – proxy – przez który przechodzi każdy ruch do internetu, a połączenia bezpośrednie są zablokowane. Jeśli złośliwe oprogramowanie zakłada bezpośrednie „wyjście na świat” przez domyślną bramę stacji roboczej, nie zawsze radzi sobie, gdy brama ta nie zezwala na połączenie z internetem. Jednocześnie próby bezpośredniego połączenia należy monitorować, gdyż mogą one świadczyć o infekcji lub próbach włamania.

Ograniczenia w przypadku typowych serwerów proxy polegają na odpowiednio opracowanych wyrażeniach, które definiują grupy obiektów, do których dostęp jest dozwolony, oraz inne grupy, które określają obiekty zablokowane. W ten sposób można szybko i sprawnie odfiltrować większość reklam, a także obiekty, takie jak Flash czy Java, serwowane ze stron poza firmą. Dzięki kompetencjom administratora takiego serwera z powodzeniem można zablokować ruch do stron powszechnie uznawanych za niepożądane (np. związanych z pornografią), bez odwoływania się do specjalistycznej analizy ruchu.

Straż w modelu open source

Przez wiele lat w polskich firmach do kontroli ruchu korzystano z serwera Squid oraz programu SquidGuard (oba narzędzia rozwijane w modelu open source). Narzędzia obsługują wyrażenia regularne, dzięki którym doświadczony administrator potrafi szybko blokować dostęp do niepożądanych stron. Taki pakiet potrafi filtrować połączenia generowane przez sprytniejsze złośliwe oprogramowanie, które jest w stanie wykraść z przeglądarki dane autoryzacji do proxy. W ten sposób da się także kontrolować połączenia, w którym malware dokonuje wstrzyknięcia kodu do przeglądarki Internet Explorer lub eksploitując błędy we wtyczkach Flash, chociaż skuteczność podobnej obrony jest ograniczona.

Podobnym narzędziem do kontroli ruchu jest DansGuardian. W odróżnieniu od SquidGuarda i starszych rozwiązań komercyjnych bazujących wyłącznie na klasyfikacji adresów URL, kładzie on nacisk nie na listy blokowania adresów stron, ale na zawartość. Podczas analizy strony www za pomocą systemu wag i wartości sprawdzana jest obecność określonych słów i wyrażeń. Podobna technologia jest z powodzeniem używana jako jeden ze składników filtrów antyspamowych.

DansGuardian (oraz SquidGuard) może zostać skonfigurowany, by blokować wszystkie strony poza dozwolonymi. Efektem ubocznym zastosowania Squida jest znacząca akceleracja najczęściej odwiedzanych stron internetowych, a także możliwość kształtowania ruchu za pomocą limitowania pasma. W ten sposób można bardzo prosto ograniczyć pobieranie niektórych multimediów, a nawet zorganizować przechowywanie ich lokalnej kopii.