雙宿主堡壘主機結(jié)構(gòu)是圍繞著至少具有兩塊網(wǎng)卡的雙宿主主機而構(gòu)成的。雙宿主主機內(nèi)外的網(wǎng)絡(luò)均可與雙宿主主機實施通信，但內(nèi)外網(wǎng)絡(luò)之間不可直接通信，內(nèi)外部網(wǎng)絡(luò)之間的數(shù)據(jù)流被雙宿主主機完全切斷。雙宿主主機可以通過代理或讓用戶直接注冊到其上來提供很高程度的網(wǎng)絡(luò)控制。它采用主機取代路由器執(zhí)行安全控制功能，故類似于包過濾防火墻。雙宿主機即一臺配有多個網(wǎng)絡(luò)接口的主機，它可以用來在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行尋址。當(dāng)一個黑客想要訪問你內(nèi)部設(shè)備時，他(她)必須先要攻破雙宿主堡壘主機，這有希望讓你有足夠的時間阻止這種安全侵入和作出反應(yīng)。

　　單目的堡壘主機

　　單目的堡壘主機既可是單堡壘也可是多堡壘主機。經(jīng)常，根據(jù)公司的改變，需要新的應(yīng)用程序和技術(shù)。很多時候這些新的技術(shù)不能被測試并成為主要的安全突破口。你要為這些需要創(chuàng)建特定的堡壘主機。在上面安裝未測試過的應(yīng)用程序和服務(wù)不要危及到你的防火墻設(shè)備。使用單目的堡壘主機允許你強制執(zhí)行更嚴(yán)格的安全機制。舉個例子，你的公司可能決定實施一個新類型的流程序，假設(shè)公司的安全策略需要所有進出的流量都要通過一個代理服務(wù)器送出，你要為這個表的流程序單獨地創(chuàng)建一個新代理服務(wù)器。在這個新的代理服務(wù)器上，你要實施用戶認(rèn)證和拒絕IP地址。使用這個單獨的代理服務(wù)器，不要危害到當(dāng)前的安全配置并且你可以實施更嚴(yán)格的安全機制如認(rèn)證。

　　內(nèi)部堡壘主機

　　內(nèi)部堡壘主機是標(biāo)準(zhǔn)的單堡壘或多堡壘主機存在于公司的內(nèi)部網(wǎng)絡(luò)中。它們一般用作應(yīng)用級網(wǎng)關(guān)接收所有從外部堡壘主機進來的流量。當(dāng)外部防火墻設(shè)備受到損害時提供額外的安全級別。所有內(nèi)部網(wǎng)絡(luò)設(shè)備都要配置成通過內(nèi)部堡壘主機通信，這樣當(dāng)外部堡壘主機受到損害時不會造成影響。

　　四種常見的防火墻設(shè)計都提供一個確定的安全級別，一個簡單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這四種防火墻的實施都是建立一個過濾的距陣和能夠執(zhí)行和保護信息的點。這四種選擇是：

　　·篩選路由器

　　·單宿主堡壘主機

　　·雙宿主堡壘主機

　　·屏蔽子網(wǎng)

　　篩選路由器的選擇是最簡單的，因此也是最常見的，大多數(shù)公司至少使用一個篩選路由器作為解決方案，因為所有需要的硬件已經(jīng)投入使用。用于創(chuàng)建篩選主機防火墻的兩個選擇是單宿主堡壘主機和雙宿主堡壘主機。不管是電路級還是應(yīng)用級網(wǎng)關(guān)的配置都要求所有的流量通過堡壘主機。最后一個常用的方法是篩選子網(wǎng)防火墻，利用額外的包過濾路由器來達到另一個安全的級別。