在準備和建立一個防火墻設備時要高度重視。以前，堡壘主機這個術語是指所有直接連入公網的設備�，F在，它經常汲及到的是防火墻設備。堡壘主機可以是三種防火墻中的任一種類型：包過濾，電路級網關，應用級網關。

　　當建設你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的設備。當Internet用戶企圖訪問你網絡上的資源時，首先進入的機器就是堡壘主機。因為堡壘主機是直接連接到Internet上的，其上面的所有信息都暴露在公網之上。這種高度地暴露規定了硬件和軟件的配置。堡壘主機就好像是在軍事基地上的警衛一樣。警衛必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什么地方。警衛還經常準備好強制阻止進入。同樣地，堡壘主機必須檢查所有進入的流量并強制執行在安全策略里所指定的規則。它們還必須準備好對付從外部來的攻擊和可能來自內部的資源。堡壘主機還有日志記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會采取行動。

　　設計規則

　　當構造防火墻設備時，經常要遵循下面兩個主要的概念。第一，保持設計的簡單性。第二，要計劃好一旦防火墻被滲透應該怎么辦。

　　保持設計的簡單性

　　一個黑客滲透系統最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機的建立只需提供防火墻功能。在防火墻主機上不要安裝像WEB服務的應用程序服務。要刪除堡壘主機上所有不必需的服務或守護進程。在堡壘主機上運行少量的服務給潛在的黑客很少的機會穿過防火墻。

　　安排事故計劃

　　如果你已設計好你的防火墻性能，只有通過你的防火墻才能允許公共訪問你的網絡。當設計防火墻時安全管理員要對防火墻主機崩潰或危及的情況作出計劃。如果你僅僅是用一個防火墻設備把內部網絡和公網隔離開，那么黑客滲透進你的防火墻后就會對你內部的網絡有著完全訪問的權限。為了防止這種滲透，要設計幾種不同級別的防火墻設備。不要依賴一個單獨的防火墻保護惟獨的網絡。如果你的安全受到損害，那你的安全策略要確定該做些什么。采取一些特殊的步驟，包括

　　· 創建同樣的軟件備份

　　· 配置同樣的系統并存儲到安全的地方

　　· 確保所有需要安裝到防火墻上的軟件都容易，這包括你要有恢復磁盤。

　　堡壘主機的類型

　　當創建堡壘主機時，要記住它是在防火墻策略中起作用的。識別堡壘主機的任務可以幫助你決定需要什么和如何配置這些設備。下面將討論三種常見的堡壘主機類型。這些類型不是單獨存在的，且多數防火墻都屬于這三類中的一種。

　　單宿主堡壘主機

　　單宿主堡壘主機是有一塊網卡的防火墻設備。單宿主堡壘主機通常是用于應用級網關防火墻。外部路由器配置把所有進來的數據發送到堡壘主機上，并且所有內部客戶端配置成所有出去的數據都發送到這臺堡壘主機上。然后堡壘主機以安全方針作為依據檢驗這些數據。這種類型的防火墻主要的缺點就是可以重配置路由器使信息直接進入內部網絡，而完全繞過堡壘主機。還有，用戶可以重新配置他們的機器繞過堡壘主機把信息直接發送到路由器上。