雙宿主堡壘主機(jī)結(jié)構(gòu)是圍繞著至少具有兩塊網(wǎng)卡的雙宿主主機(jī)而構(gòu)成的。雙宿主主機(jī)內(nèi)外的網(wǎng)絡(luò)均可與雙宿主主機(jī)實(shí)施通信，但內(nèi)外網(wǎng)絡(luò)之間不可直接通信，內(nèi)外部網(wǎng)絡(luò)之間的數(shù)據(jù)流被雙宿主主機(jī)完全切斷。雙宿主主機(jī)可以通過(guò)代理或讓用戶直接注冊(cè)到其上來(lái)提供很高程度的網(wǎng)絡(luò)控制。它采用主機(jī)取代路由器執(zhí)行安全控制功能，故類似于包過(guò)濾防火墻。雙宿主機(jī)即一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以用來(lái)在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋址。當(dāng)一個(gè)黑客想要訪問(wèn)你內(nèi)部設(shè)備時(shí)，他(她)必須先要攻破雙宿主堡壘主機(jī)，這有希望讓你有足夠的時(shí)間阻止這種安全侵入和作出反應(yīng)。

　　單目的堡壘主機(jī)

　　單目的堡壘主機(jī)既可是單堡壘也可是多堡壘主機(jī)。經(jīng)常，根據(jù)公司的改變，需要新的應(yīng)用程序和技術(shù)。很多時(shí)候這些新的技術(shù)不能被測(cè)試并成為主要的安全突破口。你要為這些需要?jiǎng)?chuàng)建特定的堡壘主機(jī)。在上面安裝未測(cè)試過(guò)的應(yīng)用程序和服務(wù)不要危及到你的防火墻設(shè)備。使用單目的堡壘主機(jī)允許你強(qiáng)制執(zhí)行更嚴(yán)格的安全機(jī)制。舉個(gè)例子，你的公司可能決定實(shí)施一個(gè)新類型的流程序，假設(shè)公司的安全策略需要所有進(jìn)出的流量都要通過(guò)一個(gè)代理服務(wù)器送出，你要為這個(gè)表的流程序單獨(dú)地創(chuàng)建一個(gè)新代理服務(wù)器。在這個(gè)新的代理服務(wù)器上，你要實(shí)施用戶認(rèn)證和拒絕IP地址。使用這個(gè)單獨(dú)的代理服務(wù)器，不要危害到當(dāng)前的安全配置并且你可以實(shí)施更嚴(yán)格的安全機(jī)制如認(rèn)證。

　　內(nèi)部堡壘主機(jī)

　　內(nèi)部堡壘主機(jī)是標(biāo)準(zhǔn)的單堡壘或多堡壘主機(jī)存在于公司的內(nèi)部網(wǎng)絡(luò)中。它們一般用作應(yīng)用級(jí)網(wǎng)關(guān)接收所有從外部堡壘主機(jī)進(jìn)來(lái)的流量。當(dāng)外部防火墻設(shè)備受到損害時(shí)提供額外的安全級(jí)別。所有內(nèi)部網(wǎng)絡(luò)設(shè)備都要配置成通過(guò)內(nèi)部堡壘主機(jī)通信，這樣當(dāng)外部堡壘主機(jī)受到損害時(shí)不會(huì)造成影響。

　　四種常見的防火墻設(shè)計(jì)都提供一個(gè)確定的安全級(jí)別，一個(gè)簡(jiǎn)單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這四種防火墻的實(shí)施都是建立一個(gè)過(guò)濾的距陣和能夠執(zhí)行和保護(hù)信息的點(diǎn)。這四種選擇是：

　　·篩選路由器

　　·單宿主堡壘主機(jī)

　　·雙宿主堡壘主機(jī)

　　·屏蔽子網(wǎng)

　　篩選路由器的選擇是最簡(jiǎn)單的，因此也是最常見的，大多數(shù)公司至少使用一個(gè)篩選路由器作為解決方案，因?yàn)樗�有需要的硬件已�?jīng)投入使用。用于創(chuàng)建篩選主機(jī)防火墻的兩個(gè)選擇是單宿主堡壘主機(jī)和雙宿主堡壘主機(jī)。不管是電路級(jí)還是應(yīng)用級(jí)網(wǎng)關(guān)的配置都要求所有的流量通過(guò)堡壘主機(jī)。最后一個(gè)常用的方法是篩選子網(wǎng)防火墻，利用額外的包過(guò)濾路由器來(lái)達(dá)到另一個(gè)安全的級(jí)別。