防火牆的基本配置原則預設情況下，所有的防火牆都是按以下兩種情況配置的：●拒絕所有的流量，這需要在你的網路中特殊指定能夠進入和出去的流量的一些型別。●允許所有的流量，這種情況需要你特殊指定要拒絕的流量的型別。可論證地，大多數防火牆預設都是拒絕所有的流量作為安全選項。一旦你安裝防火牆後，你需要開啟一些必要的埠來使防火牆內的使用者在透過驗證之後可以訪問系統。換句話說，如果你想讓你的員工們能夠傳送和接收Email，你必須在防火牆上設定相應的規則或開啟允許POP3和SMTP的程序。在防火牆的配置中，我們首先要遵循的原則就是安全實用，從這個角度考慮，在防火牆的配置過程中需堅持以下三個基本原則：（1）. 簡單實用：對防火牆環境設計來講，首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式，越容易理解和使用。而且是設計越簡單，越不容易出錯，防火牆的安全功能越容易得到保證，管理也越可靠和簡便。每種產品在開發前都會有其主要功能定位，比如防火牆產品的初衷就是實現網路之間的安全控制，入侵檢測產品主要針對網路非法行為進行監控。但是隨著技術的成熟和發展，這些產品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火牆上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能並不是所有應用環境都需要，在配置時我們也可針對具體應用環境進行配置，不必要對每一功能都詳細配置，這樣一則會大大增強配置難度，同時還可能因各方面配置不協調，引起新的安全漏洞，得不償失。（2）. 全面深入：單一的防禦措施是難以保障系統的安全的，只有採用全面的、多層次的深層防禦戰略體系才能實現系統的真正安全。在防火牆配置中，我們不要停留在幾個表面的防火牆語句上，而應系統地看等整個網路的安全防護體系，儘量使各方面的配置相互加強，從深層次上防護整個系統。這方面可以體現在兩個方面：一方面體現在防火牆系統的部署上，多層次的防火牆部署體系，即採用集網際網路邊界防火牆、部門邊界防火牆和主機防火牆於一體的層次防禦；另一方面將入侵檢測、網路加密、病毒查殺等多種安全措施結合在一起的多層安全體系。（3）. 內外兼顧：防火牆的一個特點是防外不防內，其實在現實的網路環境中，80%以上的威脅都來自內部，所以我們要樹立防內的觀念，從根本上改變過去那種防外不防內的傳統觀念。對內部威脅可以採取其它安全措施，比如入侵檢測、主機防護、漏洞掃描、病毒查殺。這方面體現在防火牆配置方面就是要引入全面防護的觀念，最好能部署與上述內部防護手段一起聯動的機制。目前來說，要做到這一點比較困難。