Apesar de a localização dos firewalls na rede depender normalmente da política de segurança, há algumas regras que se aplicam à grande maioria dos casos, como as listadas a seguir.

I. Passar todo o tráfego pelo firewall. A eficácia de um firewall pode ser severamente comprometida se existirem rotas alternativas para dentro da rede. Caso não seja possível eliminá-las, devem ser documentadas e vigiadas através de outros mecanismos de segurança.

II. Usar um filtro de pacotes no perímetro da rede. O filtro deve estar localizado entre o roteador de borda e o interior da rede, já que não há roteadores com filtro. O filtro realiza o bloqueio global de todos os tipos de tráfego.

III. Colocar os servidores externos em uma DMZ. Pode-se proteger a rede interna contra ataques provenientes dos servidores externos, como uma precaução contra a eventualidade de que um destes servidores seja comprometido.

Um Administrador de redes indica como correto o que consta APENAS em