Восстановление сервисов
При выявлении факта проникновения, брандмауэр должен быть отключен и переконфигурирован. Если необходимо отключить брандмауэр, может понадобиться также отключиться от Интернета или перейти на запасной брандмауэр - внутренние системы не должны быть подключены к Интернету напрямую. После переконфигурации брандмауэр должен быть включен снова и запущен в работу. Требуются правила восстановления брандмауэра до рабочего состояния после проникновения.
Если произошло проникновение, администратор брандмауэра отвечает за переконфигурацию брандмауэра для защиты всех использовавшихся уязвимых мест. Брандмауэр должен быть восстановлен в исходное состояние, чтобы сеть находилась под защитой. На время восстановления должен использоваться запасной брандмауэр.