Die aktuelle Infrastruktur wird (entsprechend der Anforderung) zum grössten Teil beibehalten, was den Konfigurationsaufwand in sehr kleinem Rahmen hält. Die einzige, zu tätigende Aktion ist die Umstellung des LAN - IP-Adressraums auf private Adressen (siehe Kapitel Routing).
Benutzer des Firmennetzes werden im Rahmen des bestehenden Schulungsprogramms auf die erhöhten Sicherheitsanforderungen durch die ständige Verbindung ins Internet hingewiesen. Auch Schulung in den Bereichen Viren, Trojanische Pferde und Würmer wird verstärkt. Es muss hier mit Nachdruck darauf hingewiesen werden, dass das Ausführen von Programmen aus dem Internet stets mit einem hohen Risiko für die interne EDV - Umgebung verbunden ist.
Für Administratoren dient diese Arbeit als Grundlage zum Verständnis des eingerichteten Firewall Systems.
Routinearbeiten und kleine Änderungen der Konfiguration (z.B. neue Filterregeln) werden in der Praxis aus Einfachheitsgründen und wegen der kürzeren Reaktionszeit innerhalb der Abteilung oft von anderen Mitarbeitern erledigt. Auch um in Abwesenheit der Sicherheitsbeauftragten und geübten Linux Systemoperatoren den Netzwerkbetrieb aufrecht zu erhalten, werden kurze, leicht verständliche Schritt - für - Schritt - Anleitungen benötigt. Diese Dokumentationen werden entweder in Zusammenarbeit mit den entsprechenden Mitarbeitern für deren jeweilige Bedürfnisse erstellt, oder sie müssen sehr ausführlich und umfangreich gehalten werden.
Wichtig hierbei ist nicht nur, dass sie verständlich und nachvollziehbar sind, sondern auch ihre Auffindbarkeit und Erreichbarkeit im Bedarfsfall.
Sind die bisherigen Schritte richtig durchgeführt worden, beschränkt sich der Start des Echtbetriebes auf das Austauschen des bisherigen Internetrouters gegen das eben erstellte Firewall - System.
Die neuen Router werden an ihre endgültige Position gestellt (z.B. Rechnerraum), aber noch nicht an das Firmennetz angeschlossen. Darauf folgt ein kurzer Test, ob die Verkabelung in Ordnung ist, und ob alle Netzverbindungen erstellt werden können. Danach wird der alte Router vom LAN getrennt und die Firewall angebunden. Wenn alles richtig gelaufen ist, sollte im lokalen Netz lediglich ein kurzer Aussetzer zu erkennen sein.
Um sicherzustellen, dass kein Einbruch und keine Übernahme des Firewall - Systems erfolgt ist, müssen regelmässig die log - Dateien und die automatisch generierten Mails an den Benutzer root geprüft werden.
Stellt man hier Inkonsistenzen fest, muss man vorgehen wie im Kapitel „Audit/Reaktion auf einen möglichen Einbruch" vorgehen.
Neu geforderte Protokolle und Änderungen bei den Zugriffsrechten müssen nachgetragen werden.
Besteht ein gerechtfertigter Bedarf an bisher nicht erlaubten Protokollen, muss dieser Anforderung Rechnung getragen werden. Paketfilterregeln müssen ergänzt werden, damit das neue Protokoll verwendet werden kann.
Wenn ein passender Proxy zur Verfügung steht und durch entsprechend frequente Benutzung des neuen Dienstes sein Einsatz lohnenswert scheint, bietet sich die Verwendung des Softwarepaketes an.
Wird das Netzwerk erweitert (neue Subnetze hinzugefügt), müssen entsprechende Einträge in allen Routern und Paketfiltern hinzugefügt werden. Dies gilt sowohl für Änderungen im LAN, als auch für Aktualisierungen im VPN.
Sollte es sich herausstellen, dass sich ein Engpass im System bildet, muss die verantwortliche Komponente (z.B. Telekommunikationsleitung, Verschlüsselung, Benutzerverwaltung) identifiziert und gegebenenfalls erweitert oder ausgetauscht werden.
Die eingesetzte Software muss ständig auf auftauchende Sicherheitslücken überwacht werden. Dies geschieht am besten durch regelmässiges Lesen von Herstellerhinweisen (am aktuellsten auf der jeweiligen Homepage), Sicherheits - Mailinglisten (z.B. bugtraq@securityfocus.com) oder entsprechender Newsgroups.
Die meisten Systemeinbrüche basieren auf öffentlich bekannten Schwachstellen von weit verbreiteten Programmen, die leicht im Internet zu identifizieren sind. Werden Probleme mit einer eingesetzten Version eines Programms bekannt oder sogar Schwachstellen veröffentlicht, muss man unbedingt und schnellstmöglich einen Bugfix anbringen, das Programm mit einem Update auf den neuesten Stand bringen, oder durch äquivalente Software ersetzen.