1. Alles, was nicht ausdruecklich erlaubt ist, ist verboten.

2. Das System muss eine vorgegebene Sicherheitspolitik unterstuetzen, aber selbst keine eigene vorgeben.

3. Der Firewall sollte flexibel sein und sich an neue Dienste sowie eine geaenderte Sicherheitsstrategie anpassen lassen.

4. Er muss Authentisierungstechniken verwenden oder aber Schnittstellen fuer ihre Integration vorsehen.

5. Das System muss Filtertechniken bieten, um bestimmte Dienste nur ausgewaehlten Hosts zu erlauben oder zu verbieten.

6. Es muss eine flexible, einfache Filtersprache besitzen, um viele Attribute filtern zu koennen.

7. Proxy-Services mit starker Authentisierung fuer Dienste wie FTP und Telnet muessen Bestandteil des Produktes sein. Falls erforderlich, sollten auch Proxy-Services fuer NNTP, X.11, HTTP oder Gopher enthalten sein.

8. Der Firewall sollte die Option der Zentralisierung von SMTP- Zugriffen bieten, um direkte E-Mail-Verbindungen zwischen internen und externen Hosts auszuschliessen.

9. Er sollte den sicheren Einsatz von oeffentlich zugaenglichen Informations-Servern ermoeglichen.

10. Das System sollte Dial-in-Zugriffe beinhalten und diese auch filtern koennen.

11. Datenverkehr und Einbruchsversuche muessen protokollierbar sein und fuer deren Auswertung leicht handhabbare Routinen zur Verfuegung stehen.

12. Eine speziell gesicherte Version des verwendeten Betriebssystems sollte im Firewall enthalten sein.

13. Das System muss verifizierbar entwickelt werden, so dass es leicht verstaendlich bleibt und einfach zu betreuen ist.

14. Der Firewall muss ebenso wie das darunterliegende Betriebssystem staendig auf dem aktuellsten Stand sein.