C'est lui qui permet de filtrer le trafic à la base, de part et d'autre
d'un routeur ou d'une machine reliée à deux réseaux. Ce filtrage portera sur
les communications en général, sans distinction de service.
Il peut être simple ou double selon qu'il est assuré par une machine ou une
machine associée un routeur. Dans le cas ou l'on dispose de 2 machines, l'une
assurera le relayage des services et le contrôle du routage et sera branchée
sur un brin propre et filtré tandis que l'autre assurera le filtrage.
Le filtrage est pour le moment une opération complexe demandant une bonne
connaissance du protocole TCP/IP. On vend d'ailleurs des produits de sécurité
dont la seule fonction est d'offrir une interface graphique de configuration
du routage IP.
Mais, depuis que le filtrage se généralise, des outils de génération automatique
de filtres, sont sur le point d'apparaître. Ils utiliseront un langage de
description simple et limiteront ainsi les risques de fausse manuvre
que l'on rencontre avec les interfaces graphiques. De plus, en formalisant
avec un langage de description, on pourra en envisager la vérification
du contenu des filtres.
Le routeur devient donc un élément indispensable de la sécurité. Il remplit véritablement une fonction à ce niveau, qu'il faut distinguer de sa fonction traditionnelle de communication avec l'extérieur ou de constituant du réseau privé. Il est du même coup plus utilisé, mieux maîtrisé et donc plus exposé aux agressions et au détournement de ses propres failles. D'où l'interêt de placer les autres fonctions de sécurité (relayage, authentification,...) sur une autre machine.