Taka topologia sieci ma kilka zalet. Po pierwsze, umożliwia odfiltrowanie ruchu spoza segmentów (np. typu broadcast), co powoduje odciążenie magistrali i pozostałych segmentów. Po drugie, stacje robocze z jednego segmentu nie mogą łączyć się poza segment, z wyjątkiem połączeń do serwerów. Uniemożliwia to roznoszenie się wirusów poza granice jednego segmentu. Po trzecie, dzięki równoważeniu obciążenia między segmentami rośnie wykorzystanie pasma. Po czwarte wreszcie, podział ruchu ułatwia jego uporządkowanie.

Jako dodatek można zastosować jeszcze jedno zabezpieczenie. Przełączniki dają zwykle możliwość ustawienia restrykcji na adresy sprzętowe (a niektóre także opcje zarządzania ruchem IP). Jeśli w sieci nie dokonuje się nieustannie zmian w lokalizacji stacji roboczych, warto z tego zabezpieczenia skorzystać. Przypisanie adresów kart sieciowych do numerów portów na przełączniku nie jest tak elastyczne, jak filtrowanie ruchu, ale utrudni np. dostęp do sieci włamywaczom z notebookami.

Niestety, stworzenie takiego podziału sieci utrudnia, a przynajmniej podwyższa koszty wdrożenia systemu wykrywania włamań - z czego trzeba sobie zdawać sprawę już w momencie budowy sieci.

Zapora za przełącznikiem

Włączenie zapory na styku przełącznika obsługującego segment z magistralą daje prostą izolację i pozwala na uporządkowanie ruchu na magistrali. Przy dobrze zaprojektowanych sieciach gwarantuje największą elastyczność, ponieważ nie ma problemu z przemieszczeniem stacji roboczych między portami w ramach segmentu, a nawet między segmentami (jeśli stosuje się DHCP i konfiguracja stacji roboczych na to pozwala).

Oczywistą wadą takiego rozwiązania jest brak kontroli ruchu wewnątrz segmentu. Poza tym firewall musi obsłużyć cały ruch wychodzący z segmentu i filtrować ruch przychodzący. Na szczęście wydajność współczesnych komputerów w połączeniu z zaporą działającą na platformie Linux pozwalają swobodnie poradzić sobie z filtrowaniem ruchu z pełną prędkością na interfejsach Fast Ethernet. Nowe komputery, w połączeniu z optymalizacją reguł filtrowania, obsłużą nawet łącza gigabitowe.

Obsługa filtrowania w ten sposób prowadzi do powstawania opóźnień na wydzielonych urządzeniach - ruch przechodzi z przełącznika do zapory, gdzie jest filtrowany, a potem do magistrali. Znacznie wydajniej działałby przełącznik zawierający w sobie zaporę wspomaganą sprzętowym akceleratorem - przynajmniej na portach szkieletowych, ale tego typu decyzję trzeba podjąć już na etapie zakupu.

Filtr na każdym porcie

Dobrym rozwiązaniem problemu bezpieczeństwa w sieci jest filtrowanie ruchu na każdym porcie przełącznika. Sieć skonfigurowana w ten sposób uniemożliwia roznoszenie się wirusów bezpośrednio między stacjami roboczymi (komunikacja stacja-stacja jest zabroniona).

Zastosowanie filtrów na każdym porcie obniży także prawdopodobieństwo zainfekowania stacji roboczych wirusem roznoszącym się poprzez wykorzystanie błędów usług systemu Windows. Niestety, takie zabezpieczenie nie daje całkowitej gwarancji bezpieczeństwa. W skrajnym przypadku wirus może przenosić się na stacje poprzez zarażony serwer.

Wadą ochrony poprzez filtrowanie na każdym porcie jest także kłopotliwa konfiguracja oraz konieczność przypisania stacji roboczych do konkretnych portów przełącznika. Zmiana lokalizacji stacji roboczej wymaga rekonfiguracji ustawień zapory dla segmentu, a z kolei przeniesienie stacji roboczej do innego segmentu wymusza zmianę ustawienia filtrów w obu segmentach. Zapora umieszczona na porcie przełącznika nie zapewnia również filtrowania ruchu poszczególnych aplikacji ze stacji roboczych.

Ochrona na każdym komputerze

Innym rozwiązaniem jest zastosowanie zapory na każdej stacji roboczej. Jeśli komputer pracuje pod kontrolą systemu operacyjnego Linux albo BSD, nie ma z tym żadnego problemu. Filtry IP, takie jak iptables czy bpf, należą do najlepszych. Również przeprowadzenie centralnej konfiguracji takiej zapory dla wszystkich stacji roboczych jest stosunkowo proste.

Linux czy BSD na biurku to jednak rzadkość. W przypadku Windows 2000, XP bez SP2, można uzyskać prosty firewall, ale bez możliwości jego elastycznej konfiguracji. Także późniejsza centralizacja jest trudna i nie zawsze przynosi dobre efekty. Windows Firewall nie umożliwia parametryzacji filtrowania (np. przepuszczania konkretnego ruchu do konkretnych adresów IP). Windows Firewall dla Windows XP wprowadzony wraz z Service Pack 2 jest już trochę lepszy. Pojawiły się w nim opcje podziału ruchu od poszczególnych aplikacji.