在进行规则设置之前请您详细参考以下项目。

    10．3．1规则清单

    1．显示规则。例如，“this restricts all irc access from the lan to the intemet．”或“this allows a remote lotus notes server to synchronize over the intemet to an inside notes server．”

    2．规则设置的目的是允许还是禁止该流量?

    3．规则作用于流量的哪个方向?

    4．哪种ip服务将会被影响?

    5．lan或dmz上的哪些计算机会受到影响?

    6．互联网上的哪些计算机会受到影响?规定的越详细越好，例如，如果您设置规则允许intemet上的用户可以访问lan，那么最好设置只允许intemet上的某些电脑可以访问lan。

    10．3．2安全分支

    一旦逻辑规则被定义，您还要考虑一些更为细微的问题：

    1．这条规则会不会限制lan用户访问一些互联网上较为危险的资源?例如，如果irc服务被屏蔽掉了，是否仍然有用产希望使用这项服务?

    2．是否有可能将规则修改得更为详细一些，例如，如果irc服务对于所有用户都屏蔽了，那么是否只对某些用户开放该规则比较妥当?

    3．安全规则允许用户接入的资源是否存在受到攻击的弱点?如ftp端口(tcp20，21)将允许互联网用户以ftp方式接入局域网内部运行着ftp服务器的计算机。

    4．是否会和现存的规则冲突?

    一旦这些问题都解决了，您就可以通过web设置界面将规则应用到您需要的地方了。

    10．3．3配置规则时的关键区域

    10．3．3．1action

    确认行为是block还是forward?

    “block”意味着防火墙将丢弃这个数据包。

    10．3．3．2 service

    您可以从service滚动条中选择需要的服务。如果服务没有被列出来，您可以自定义该服务。请参考预定义服务一节了解怎样定义服务。

    10．3．3．3 source address

    该连接的源地址是什么；这个地址在lan，dmz还是在wan上?它是一个单独的ip地址，一段ip地址还是一个子网段?

    10．3．3．4destination address

    该连接的目的地址是什么；这个地址在lan，dmz还是在wan上?它是一个单独的ip地址，一段ip地址还是一个子网段?