默認(rèn)情況下，防火墻可以配置成以下兩種情況：

　　·拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類(lèi)型。

　　·允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類(lèi)型。

　　可論證地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開(kāi)一些必要的端口來(lái)使防火墻內(nèi)的用戶(hù)在通過(guò)驗(yàn)證之后可以訪問(wèn)系統(tǒng)。換句話說(shuō)，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開(kāi)啟允許POP3和SMTP的進(jìn)程。

　　防火墻的一些高級(jí)特性

　　今天多數(shù)的防火墻系統(tǒng)組合包過(guò)濾，電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的功能。它們檢查單獨(dú)的數(shù)據(jù)包或整個(gè)信息包，然后利用事先訂制的規(guī)則來(lái)強(qiáng)制安全策略。只有那些可接受的數(shù)據(jù)包才能進(jìn)出整個(gè)網(wǎng)絡(luò)。當(dāng)你實(shí)施一個(gè)防火墻策略時(shí)，這三種防火墻類(lèi)型可能都需要。更高級(jí)的防火墻提供額外的功能可以增強(qiáng)你的網(wǎng)絡(luò)的安全性。盡管不是必需，每個(gè)防火墻都應(yīng)該實(shí)施日志記錄，哪怕是一些最基本的。

　　認(rèn) 證

　　防火墻是一個(gè)合理的放置提供認(rèn)證方法來(lái)避開(kāi)特定的IP包。你可以要求一個(gè)防火墻令牌（firewall token），或反向查詢(xún)一個(gè)IP地址。反向查詢(xún)可以檢查用戶(hù)是否真正地來(lái)自它所報(bào)告的源位置。這種技術(shù)有效地反擊IP欺騙的攻擊。防火墻還允許終端用戶(hù)認(rèn)證。應(yīng)用級(jí)網(wǎng)關(guān)或代理服務(wù)器可以工作在TCP/IP四層的每一層上。多數(shù)的代理服務(wù)器提供完整的用戶(hù)帳號(hào)數(shù)據(jù)庫(kù)。結(jié)合使用這些用戶(hù)帳號(hào)數(shù)據(jù)庫(kù)和代理服務(wù)器自定義的選項(xiàng)來(lái)進(jìn)行認(rèn)證。代理服務(wù)器還可以利用這些帳號(hào)數(shù)據(jù)庫(kù)來(lái)提供更詳細(xì)的日志。

　　日志和警報(bào)

　　包過(guò)濾或篩選路由器一般在默認(rèn)情況下為了不降低性能是不進(jìn)行日志記錄的。永遠(yuǎn)不要認(rèn)為你的防火墻會(huì)自動(dòng)地對(duì)所有活動(dòng)創(chuàng)建日志。篩選路由器只能記錄一些最基本的信息，而電路級(jí)網(wǎng)關(guān)也只能記錄相同的信息但除此之外還包括任何NAT解釋信息。因?yàn)槟阋�在防火墻上�?chuàng)建一個(gè)阻塞點(diǎn)，潛在的黑客必須要先穿過(guò)它。如果你放置全面記錄日志的設(shè)備并在防火墻本身實(shí)現(xiàn)這種技術(shù)，那么你有可能捕獲到所有用戶(hù)的活動(dòng)包括那些黑客。你可以確切地知道黑客在做些什么并得到這些活動(dòng)信息代審計(jì)。一些防火墻允許你預(yù)先配置對(duì)不期望的活動(dòng)做何響應(yīng)。防火墻兩種最普通的活動(dòng)是中斷TCP/IP連接或自動(dòng)發(fā)出警告。相關(guān)的警報(bào)機(jī)制包括可見(jiàn)的和可聽(tīng)到的警告。