Sicherheitsmechanismen auf Netzwerk- und Transportschicht

Da auf der Netzwerkschicht nur Rechner miteinander verbunden werden, können Sicherheitsmechanismen auf dieser Ebene nur die Frage beantworten: ``Welcher Rechner darf mit welchem Rechner in Kontakt treten?'', weshalb wenige Sicherheitsmechanismen auf IP-Ebene eingreifen. Interessanter wird dies schon auf Transportebene, da über TCP-Verbindungen konkrete, an well known Ports gebundene Dienste angefordert werden können. So kann z.B. die Forderung ``Kein Rechner soll E-Mail an einen anderen Rechner als unseren Mail-Host schicken'' bereits auf TCP-Ebene realisiert werden: Es wird einfach auf allen Rechnern außer dem Mail-Host der Port 25 dem Zugriff von außen verweigert.
Auf UNIX-Systemen kann dies etwa durch den TCP-Wrapper tcpd erfolgen, der alle eingehenden Verbindungen überwacht und mit einer Liste von erlaubten Verbindungen vergleicht, bevor er sie an die eigentlichen Dienstprogramme weitergibt. Man spricht bei dieser Art der Zugriffskontrolle im allgemeinen auch von einer 'Firewall'.
Nicht möglich sind auf dieser Ebene allerdings Verschlüsselung von Daten (im Prinzip ist es jedem Rechner, der auf IP-Datagramme über darunterliegende Protokolle zugreifen kann, möglich, ihren Inhalt auszulesen) und Authentisierung von Benutzern (die Protokolle berücksichtigen nur Rechner und Ports, keine Benutzer). Die Implementation dieser wichtigen Sicherheitsmerkmale muß also auf höheren Schichten stattfinden.