Der Kampf gegen per Drive-by-Download verbreitete Malware erinnert stark an das bekannte Hase-und-Igel-Spiel, bei dem der Igel (Angreifer) dem Hasen (Admin) immer eine Nasenlänge voraus ist. Deshalb ist es sinnvoll, sich nicht alleine auf Mechanismen zu verlassen, die am Client ansetzen. Denn auch am Internet-Übergang lassen sich durchaus noch einige Mechanismen zur Verteidigung in Stellung bringen.
Als erste und gleichzeitig wichtigste Maßnahme sollte auf dem Internet-Gateway ein Webfilter aktiviert oder – wenn der eingesetzte Firewall-Typ das nicht hergibt – ein zusätzlicher Web-Proxy mit entsprechendem URL-Filter installiert werden. Sofern Squid zum Einsatz kommt, steht mit Squidguard ein guter URL-Redirector zur Verfügung, für den es auch kostenlos nutzbare Blacklists gibt [27] . Allerdings werden die kostenfreien Blacklists häufig nur als Hobby-Projekt gepflegt; aktuelle Malware-Domains sind auf diesen Listen daher eher nicht zu finden. Kommerzielle Anbieter haben in diesem Bereich klar die Nase vorn.
Unter dem Begriff "grafische Firewall" wird gemeinhin die Konzeption eines Sicherheitssystems bestehend aus UTM-Firewall und Terminalserver verstanden. Dabei wird der Terminalserver an ein separates Netzwerk-Interface der Firewall angeschlossen und so in einer sogenannten Demilitarisierten Zone (DMZ) vom LAN isoliert. Für die Benutzer im LAN werden nun sämtliche Netzwerkverbindungen in Richtung Internet auf der Firewall blockiert, lediglich der Zugriff über ein grafisches Protokoll (daher der Name) auf den Terminalserver in der DMZ wird gestattet. Für den Terminalserverzugriff kommen – abhängig von der auf dem Terminalserver verwendeten Plattform – verschiedene Protokolle, wie VNC, RDP, PCoverIP, SPICE, NX und ICA aber auch X11-Tunneling in Frage.
Der Benutzer startet dann den Browser und gegebenenfalls andere Internet-Software auf dem Terminalserver, für die der Internet-Zugriff in der Firewall freigeschaltet ist. Idealerweise läuft als weitere Schutzmaßnahme auf der Firewall zusätzlich ein Web-Proxy mit aktiviertem URL-Filter und Virenscanner. Die Benutzer auf dem Terminalserver sollten nach dem Prinzip der geringsten Berechtigung angelegt werden. Wird nun der Browser oder eines der Plugins per Drive-by-Download angegriffen, bleibt der Schaden auf die Session im Terminalserver begrenzt – der Angreifer müsste also erst den Terminalserver und die Firewall überwinden, um Zugang zum eigentlichen Client im LAN zu erhalten.
Eine Empfehlung zum Aufbau einer grafischen Firewall findet sich zum Beispiel im Maßnahmenkatalog M 4.365 beim BSI unter [28] . Für das Prinzip, den Browser über eine grafische Firewall auf einen Terminalserver auszulagern, hat das BSI vor einigen Jahren den Begriff ReCoBs eingeführt, der für "Remote Controlled Browser System" steht [29] .