堡壘主機
堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。從堡壘主機的定義我們可以看到，堡壘主機是網絡中最容易受到侵害的主機。所以堡壘主機也必須是自身保護最完善的主機。你可以使用單宿主堡壘主機。多數情況下，一個堡壘主機使用兩塊網卡，每個網卡連接不同的網絡。一塊網卡連接你公司的內部網絡用來管理、控制和保護，而另一塊連接另一個網絡，通常是公網也就是Internet。堡壘主機經常配置網關服務。網關服務是一個進程來提供對從公網到私有網絡的特殊協議路由，反之亦然。在一個應用級的網關里，你想使用的每一個應用程協議都需要一個進程。因此，你想通過一臺堡壘主機來路由Email，Web和FTP服務時，你必須為每一個服務都提供一個守護進程。
強化操作系統
防火墻要求盡可能只配置必需的少量的服務。為了加強操作系統的穩固性，防火墻安裝程序要禁止或刪除所有不需要的服務。多數的防火墻產品，包括Axent Raptor(www.axent.com)，CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前較流行的操作系統上運行。如Axent Raptor防火墻就可以安裝在Windows NT Server4.0，Solaris及HP-UX操作系統上。理論上來講，讓操作系統只提供最基本的功能，可以使利用系統BUG來攻擊的方法非常困難。最后，當你加強你的系統時，還要考慮到除了TCP/IP協議外不要把任何協議綁定到你的外部網卡上。
非軍事化區域(DMZ)
DMZ是一個小型網絡存在于公司的內部網絡和外部網絡之間。這個網絡由篩選路由器建立，有時是一個阻塞路由器。DMZ用來作為一個額外的緩沖區以進一步隔離公網和你的內部私有網絡。DMZ另一個名字叫做Service Network，因為它非常方便。這種實施的缺點在于存在于DMZ區域的任何服務器都不會得到防火墻的完全保護。
篩選路由器
篩選路由器的另一個術語就是包過濾路由器并且至少有一個接口是連向公網的，如Internet。它是對進出內部網絡的所有信息進行分析，并按照一定的安全策略——信息過濾規則對進出內部網絡的信息進行限制，允許授權信息通過，拒絕非授權信息通過。信息過濾規則是以其所收到的數據包頭信息為基礎的。采用這種技術的防火墻優點在于速度快、實現方便，但安全性能差，且由于不同操作系統環境下TCP和UDP端口號所代表的應用服務協議類型有所不同，故兼容性差。
阻塞路由器
阻塞路由器(也叫內部路由器)保護內部的網絡使之免受Internet和周邊網的侵犯。內部路由器為用戶的防火墻執行大部分的數據包過濾工作。它允許從內部網絡到Internet的有選擇的出站服務。這些服務是用戶的站點能使用數據包過濾而不是代理服務安全支持和安全提供的服務。內部路由器所允許的在堡壘主機(在周邊網上)和用戶的內部網之間服務可以不同于內部路由器所允許的在Internet和用戶的內部網之間的服務。限制堡壘主機和內部網之間服務的理由是減少由此而導致的受到來自堡壘主機侵襲的機器的數量。
防火墻默認的配置
默認情況下，防火墻可以配置成以下兩種情況:
·拒絕所有的流量，這需要在你的網絡中特殊指定能夠進入和出去的流量的一些類型。
·允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。
可論證地，大多數防火墻默認都是拒絕所有的流量作為安全選項。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內的用戶在通過驗證之后可以訪問系統。換句話說，如果你想讓你的員工們能夠發送和接收Email，你必須在防火墻上設置相應的規則或開啟允許POP3和SMTP的進程。
防火墻的一些高級特性
今天多數的防火墻系統組合包過濾，電路級網關和應用級網關的功能。它們檢查單獨的數據包或整個信息包，然后利用事先訂制的規則來強制安全策略。只有那些可接受的數據包才能進出整個網絡。當你實施一個防火墻策略時，這三種防火墻類型可能都需要。更高級的防火墻提供額外的功能可以增強你的網絡的安全性。盡管不是必需，每個防火墻都應該實施日志記錄，哪怕是一些最基本的。
認 證
防火墻是一個合理的放置提供認證方法來避開特定的IP包。你可以要求一個防火墻令牌(firewall token)，或反向查詢一個IP地址。反向查詢可以檢查用戶是否真正地來自它所報告的源位置。這種技術有效地反擊IP欺騙的攻擊。防火墻還允許終端用戶認證。應用級網關或代理服務器可以工作在TCP/IP四層的每一層上。多數的代理服務器提供完整的用戶帳號數據庫。結合使用這些用戶帳號數據庫和代理服務器自定義的選項來進行認證。代理服務器還可以利用這些帳號數據庫來提供更詳細的日志。
日志和警報
包過濾或篩選路由器一般在默認情況下為了不降低性能是不進行日志記錄的。永遠不要認為你的防火墻會自動地對所有活動創建日志。篩選路由器只能記錄一些最基本的信息，而電路級網關也只能記錄相同的信息但除此之外還包括任何NAT解釋信息。因為你要在防火墻上創建一個阻塞點，潛在的黑客必須要先穿過它。如果你放置全面記錄日志的設備并在防火墻本身實現這種技術，那么你有可能捕獲到所有用戶的活動包括那些黑客。你可以確切地知道黑客在做些什么并得到這些活動信息代審計。一些防火墻允許你預先配置對不期望的活動做何響應。防火墻兩種最普通的活動是中斷TCP/IP連接或自動發出警告。相關的警報機制包括可見的和可聽到的警告。