Eine Genugate-Firewall bzw. ein Genugate-ALG besteht aus Sicherheitsgründen aus zwei physikalisch getrennten Komponenten. Dem ALG selbst und der PFL – Dem Paketfilter.
Zur Arbeitsweise: Auf dem ALG selbst legt man Regeln usw. an, was mit eingehenden Anfragen passieren soll.
Auf dem DAHINTER liegenden Paketfilter (PFL) legt man Regeln an, die letztlich den Verkehr – durch den PFL – zum endgültigen Ziel erlauben. In sicheren Umgebungen (VS-NfD und höher) werden die PFL-Regeln auf dem ALG auf einen USB-Stick extrahiert, manuell am PFL angesteckt und dort eingelesen.
In weniger sicheren Umgebungen (ohne VS-Zulassung) kann die Synchronisierung der Regeln a den dahinterliegenden PFL per SSH/SCP erfolgen.
Betreibt man einen Cluster aus mindestens 2 ALGs, ist die Zeitsynchronisation zwischen den Knoten wichtig.