網絡地址解釋是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內部尋址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。對于NAT的另一個名字是IP地址隱藏。RFC1918概述了地址并且IANA建議使用內部地址機制，以下地址作為保留地址：

　　10.0.0.0 - 10.255.255.255
　　172.16.0.0 - 172.31.255.255
　　192.168.0.0 - 192.168.255.255

　　如果你選擇上述例表中的網絡地址，不需要向任何互聯網授權機構注冊即可使用。使用這些網絡地址的一個好處就是在互聯網上永遠不會被路由。互聯網上所有的路由器發現源或目標地址含有這些私有網絡ID時都會自動地丟棄。

　　堡壘主機

　　堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。從堡壘主機的定義我們可以看到，堡壘主機是網絡中最容易受到侵害的主機。所以堡壘主機也必須是自身保護最完善的主機。你可以使用單宿主堡壘主機。多數情況下，一個堡壘主機使用兩塊網卡，每個網卡連接不同的網絡。一塊網卡連接你公司的內部網絡用來管理、控制和保護，而另一塊連接另一個網絡，通常是公網也就是Internet。堡壘主機經常配置網關服務。網關服務是一個進程來提供對從公網到私有網絡的特殊協議路由，反之亦然。在一個應用級的網關里，你想使用的每一個應用程協議都需要一個進程。因此，你想通過一臺堡壘主機來路由Email，Web和FTP服務時，你必須為每一個服務都提供一個守護進程。

　　強化操作系統

　　防火墻要求盡可能只配置必需的少量的服務。為了加強操作系統的穩固性，防火墻安裝程序要禁止或刪除所有不需要的服務。多數的防火墻產品，包括Axent Raptor(www.axent.com)，CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前較流行的操作系統上運行。如Axent Raptor防火墻就可以安裝在Windows NT Server4.0，Solaris及HP-UX操作系統上。理論上來講，讓操作系統只提供最基本的功能，可以使利用系統BUG來攻擊的方法非常困難。最后，當你加強你的系統時，還要考慮到除了TCP/IP協議外不要把任何協議綁定到你的外部網卡上。
　
　　非軍事化區域(DMZ)

　　DMZ是一個小型網絡存在于公司的內部網絡和外部網絡之間。這個網絡由篩選路由器建立，有時是一個阻塞路由器。DMZ用來作為一個額外的緩沖區以進一步隔離公網和你的內部私有網絡。DMZ另一個名字叫做Service Network，因為它非常方便。這種實施的缺點在于存在于DMZ區域的任何服務器都不會得到防火墻的完全保護。

　　篩選路由器

　　篩選路由器的另一個術語就是包過濾路由器并且至少有一個接口是連向公網的，如Internet。它是對進出內部網絡的所有信息進行分析，并按照一定的安全策略——信息過濾規則對進出內部網絡的信息進行限制，允許授權信息通過，拒絕非授權信息通過。信息過濾規則是以其所收到的數據包頭信息為基礎的。采用這種技術的防火墻優點在于速度快、實現方便，但安全性能差，且由于不同操作系統環境下TCP和UDP端口號所代表的應用服務協議類型有所不同，故兼容性差。

　　阻塞路由器

　　阻塞路由器（也叫內部路由器）保護內部的網絡使之免受Internet和周邊網的侵犯。內部路由器為用戶的防火墻執行大部分的數據包過濾工作。它允許從內部網絡到Internet的有選擇的出站服務。這些服務是用戶的站點能使用數據包過濾而不是代理服務安全支持和安全提供的服務。內部路由器所允許的在堡壘主機（在周邊網上）和用戶的內部網之間服務可以不同于內部路由器所允許的在Internet和用戶的內部網之間的服務。限制堡壘主機和內部網之間服務的理由是減少由此而導致的受到來自堡壘主機侵襲的機器的數量。