第一个基本准则是一切未被允许的就是禁止的。这就是说,防火墙首先封锁所有信息流,然后对希望提供的服务逐项开放。这种方法有效而实用,可以造成一种十分安全的环境,不足之处是用户所能使用的服务范围受到限制。
第二个准则是一切未被禁止的就是允许的。这就是说,防火墙首先转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种灵活的应用环境,可为用户提供更多的服务。不足之处是网络管理员的任务过于沉重,而且当受保护的网络范围增大时,安全性能降低。任何系统都不可能没有缝隙,天下也没有不透风的防火墙,因此,防火墙的建设也必须不断地改进,才能切实地保障系统的安全。