Разбить сеть на VLAN, заполнив в VLAN основные и вспомогательные адреса

Выгрузить конфигурационный файл с сетевого устройства и загрузить в программу

Завести как минимум 2 шаблона правил, один для DMZ сервисов, другой для внутренних, например, дополнительно разрешающий трафик к мониторингу, DNS, NTP. Шаблоны позволят в будущем быстро добавлять правила во все списки. Например, через некоторое время появится новый антивирус и надо будет на него разрешить трафик. Достаточно будет внести строку в одно место в шаблон и разрешение будет во всех сетевых правилах (ACL списках).

Указать названия в справочниках сервисов, сетей

Внести списки ACL. Так как шанс ошибки при настройке достаточно большой, то на первом этапе в последнем правиле стоит указать 998 permit any any log для логирования того трафика, который не учтен правилами.

Выгрузить из программы настройки для ACL списков и загрузить их в устройства.

Периодически просматривать новые логи сетвых устройств и разрешать / запрещать новые строки.

После того, как неизвестный трафик перестает появляться надо заменить правило 998 permit any any log на 998 permit any any log. Если планируется запрет внутреннего трафика, а трафик в интернет допустим, то надо установить 998 deny any 10.0.0.0/8 log 1000 permit any any