为了更好地保护您的网络资产，您首先应该清楚认识这些资产。规划结构，可以按需要相似灵敏度级别和功能的业务和应用对资产分组，并组合成网络（或区域）。不要简单地将其组合为一个平面网络。方便自己也会方便攻击者！

所有提供基于 Web 的服务（例如，邮件、VPN）的服务器应该划分到限制互联网入站流量的专门区域，通常称为隔离区 (DMZ)。或者，应该将不能直接通过互联网访问的服务器放入内部服务器区域。这些区域通常包含数据库服务器、工作站及任何销售点 (POS) 或基于互联网协议的语音 (VoIP) 设备。

如果您使用 IPv4，则应对所有内部网络使用内部 IP 地址。必须配置网络地址转换 (NAT)，让内部设备可以在必要时可通过互联网通信。

设计网络区域结构并制定相应的 IP 地址方案后，您就可以创建防火墙区域并将它们分配给防火墙接口或子接口。当您构建网络基础设施后，应当使用支持虚拟局域网 (VLAN) 的交换机来维护网络之间的 2 层隔离。

一旦建立网络区域并为其分配接口，您将开始创建称为访问控制列表 (ACL) 的防火墙规则。ACL 确定哪些流量需要权限才能流入和流出各个区域。ACL 是管理谁可以与什么对象通信，然后阻止其他通信的基础。向各个防火墙接口或子接口应用 ACL 后，应尽可能将其明确指向确切源和/或目的 IP 地址及端口号。要过滤未经批准的流量，请在每个 ACL 末尾创建一个“全部拒绝”规则。接下来，请为每个接口应用入站和出站 ACL。如果可能，禁用防火墙管理接口的公共访问。请记住，这一阶段应该尽量详细；不仅要测试应用是否如期运行，还要确保测试哪些内容不得允许。确保了解防火墙控制下一代流的能力；它能否根据 Web 类别阻止流量？您能否开启文件高级扫描？是否包含某些级别的 IPS 功能？您已经为这些高级功能付费，别忘了“物尽其用”。

如果需要，请启用防火墙作为动态主机配置协议 (DHCP) 服务器、网络时间协议 (NTP) 服务器、入侵防御系统 (IPS) 等。禁用任何不想使用的服务。

为满足 PCI DSS（支付卡行业数据安全标准）要求，请将防火墙配置为向日志记录服务器报告，确保其中包含足够细节，从而满足 PCI DSS 10.2 到 10.3 的要求。

首先验证防火墙是否阻止了根据 ACL 配置应该阻止的流量。应该包括漏洞扫描和渗透测试。确保保留防火墙配置的安全备份，以防出现任何故障。如果所有检查完成，防火墙即可投入使用。严格测试恢复到配置的过程。执行任何更改之前，请记录并测试您的恢复程序。