Primero debes diseñar la topologia.. elgir bien cual es el trafico que deseas filtrar .. despues escribir las reglas .. obviamente primero permitiendo y despues denegando absolutamete todo .. especificando que la ip que te asigna el ISP, le dices al firewall que todos los paquetes que vallan hacia la red externa los encapsule en esa direccion ip .. y empiezas a filtrar todos los paquetes, los puertos y las direcciones en el firewall ..
Enalce Interesante
Saludos y espero que te sea de ayuda ! ..