3.4.1 Cấu hình mạng ban đầu
Với Firewall host-base Chúng ta có thể chắc chắn vào việc mạng được cài đặt theo một chính sách an toàn được lựa chọn nhằm ngăn cản mọi luồng thông tin không mong muốn giữa mạng được bảo vệ và mạng bên ngoài. Điều này có thể được thực hiện bởi screening router hay dual-home gateway. Thông thường, các thiết bị mạng đều sử dụng cơ chế an toàn cài đặt trên router nơi mà mọi liên kết đều phải đi qua.
Một điều cần quan tâm là trong khi đang cài đặt, những máy chủ công khai (Firewall bastion host) có thể bị tấn công trước khi cơ chế an toàn của nó được cấu hình hoàn chỉnh để có thể chạy được. Do đó, nên cấu hình tệp inetd.conf để cấm tất cả các dịch vụ mạng từ ngoài vào và sử dụng thiết bị đầu cuối để cài đặt.
Tại thời điểm đó, chúng ta có thể quy định những truy nhập giữa mạng được bảo vệ và mạng bên ngoài nào sẽ bị khoá. Tuỳ theo mục đích, chúng ta có thể ngăn các truy nhập tuỳ theo hướng của chúng. Chương trình cũng cần được thử nghiệm kỹ càng trước khi sử dụng. Nếu cần thiết có thể dùng chương trình /usr/proxy/bin/netscan để thử kết nối tới tất cả máy tính trong mạng con để kiểm tra. Nó sẽ cố gắng thử lọt qua Firewall theo mọi hướng để chắc chắn rằng các truy nhập bất hợp pháp là không thể xảy ra. Ngăn cấm truy nhập vào ra là cái chốt trong cơ chế an toàn của Firewall không nên sử dụng nếu nó chưa được cài đặt và thử nghiệm kỹ lưỡng.