实例：六步建立可靠的防火墙规则集

核心提示： 添加锁定现在我们添加锁定规则，阻塞对防火墙的任何访问，实例：六步建立可靠的防火墙规则集(3)，这是所有规则集都应有的一条标准规则，除了防火墙管理员，这样能提高防火墙性能，增加IDS对那些喜欢基础扫描检测的人来说，任何人都不能访问防火墙，丢弃不匹配的信息包在默认情况下

添加锁定

现在我们添加锁定规则，阻塞对防火墙的任何访问，这是所有规则集都应有的一条标准规则，除了防火墙管理员，任何人都不能访问防火墙。

丢弃不匹配的信息包

在默认情况下，丢弃所有不能与任何规则匹配的信息包。但这些信息包并没有被记录。我们把它添加到规则集末尾来改变这种情况，这是每个规则集都应有的标准规则。

丢弃并不记录

通常网络上大量被防火墙丢弃并记录的通信通话会很快将日志填满。我们创立一条规则丢弃／拒绝这种通话但不记录它。这是一条你需要的标准规则。

允许DNS 访问

我们允许Internet用户访问我们的DNS服务器。

允许邮件访问

我们希望Internet和内部用户通过SMTP（简单邮件传递协议）访问我们的邮件服务器。

允许Web 访问

我们希望Internet和内部用户通过HTTP（服务程序所用的协议）访问我们的Web服务器。

阻塞DMZ

内部用户公开访问我们的DMZ，这是我们必须阻止的.

允许内部的POP访问

让内部用户通过POP（邮局协议）访问我们的邮件服务器。

强化DMZ的规则

你的DMZ应该从不启动与内部网络的连接。如果你的DMZ能这样做，就说明它是不安全的。这里希望加上这样一条规则，只要有从DMZ到内部用户的通话，它就会发出拒绝、做记录并发出警告。

允许管理员访问

我们允许管理员（受限于特殊的资源IP）以加密方式访问内部网络。

提高性能

最后，我们回顾一下规则集来考虑性能问题，只要有可能，就把最常用的规则移到规则集的顶端。因为防火墙只分析较少数的规则，这样能提高防火墙性能。

增加IDS

对那些喜欢基础扫描检测的人来说，这会有帮助。