防火墙配置三大步

    首先，必要的准备工作还是必不可少的，把相关的设备、配件、文档、手册、CD、license等相关许可保存好。把啊相关技术人员电话、邮件等联系方式记录好！

好了，开始吧，首先登陆防火墙这个设备，要做的第一步就是对防火墙做相关的网络设置，保证网络的连通性。WAN口、LAN口、DMZ口（如果需要的话）的IP地址、掩码、网关、DNS服务器，端口的速率、双工模式、MTU值等等。另外一个重要的地方是路由设置等，当然包括静态和动态（如果需要）或策略路由，优先级等！还包括VLAN、子接口等等可能的情况！

    当网络配置好以后，基本上，我们要对防火墙的安全策略、规则做一个规划，首先，应该建立一条禁止外网去访问内网和DMZ的规则，同样也要禁止DMZ访问内网。把内网的电脑规划接入防火墙的LAN口，需要对外提供服务的服务器如对外的Web服务器、FTP服务器、邮件服务器等，规划放置在DMZ口，WAN口接到Internet。现在，我们已经禁止了WAN到LAN和DMZ的访问，也禁止了DMZ到LAN的访问。也应该禁止LAN到DMZ和WAN的访问。现在，任何一个区域都不能够互相访问。这也许是防火墙能做到的最安全状态，可是对我们一点用处都没有，我们什么也干不了。我们把内网需要访问外网的电脑的IP、MAC、用户组，访问的服务、目的IP、时间、带宽、优先级等做一个全面的统计，并做相应的策略和规则，做到该拥有的权利，一个不少；不该拥有的权利，一个没有！为了能对外提供服务，我们还需要添加从WAN到DMZ的规则，以开放我们想要提供的服务。在做服务的时候，一定要遵从先禁止，再开启的方法，宁可错杀，不可漏过！

   做完以上两步，一个防火墙基本上就已经配置完成了，更多的是随着网络环境的变化、人员的变化、权限的变化等，做相应规则的调整，这是一个长期的维护过程！

但是，在今天，大部分的企业都有VPN的需求。不管是有分支机构的公司还是有出差员工的情况，都需要我们做不同的VPN策略。现在大部分的防火墙都带有IPsec VPN。而分之机构和总公司之间做VPN属于Site 2 Site 的VPN，通常需要在两个防火墙之间来做。如果是有多个分支的情况，并且，分支之间也有数据传输，就需要做成hub-spoken这样的星型VPN网络（当然，也不反对做全网状VPN）。另一个是出差人员或回家办公人员需要做client 2 site的VPN，在其电脑上安装一个VPN软件并做好相应配置即可。如果不想在其电脑上安装软件，也不做配置，那可能需要SSL VPN，这通常是一款独立的设备，就不做说明。在做VPN的时候，同样需要设置相关的权限控制，允许其访问应该访问的资源，禁止其访问不该访问的资源！

   并且，在做VPN的时候，建议防火墙应该拥有一个固定的公网IP，在提供对外的服务时，也建议有至少一个固定IP。这样才能更好的、更稳定的提供相应的服务！