適當的網絡安全最重要的特點都體現在公司的防火牆策略上。首先就是要開發這樣的策略來建立具有合適的硬件和軟件配置的防火牆體係。

在防火牆和網絡的配置上，有以下四種典型結構：雙宿/多宿主機模式、屏蔽主機模式、屏蔽子網模式和一些混合結構模式。其中，堡壘主機是個很重要的概念。　堡壘主機是指在極其關鍵的位置上用於安全防禦的某個係統。對於此係統的安全要給予額外關注，還要進行理性地審計和安全檢查。如果攻擊者要攻擊網絡，那麼他們隻能攻擊到這台主機。　堡壘主機起到一個“犧牲主機”的角色。它不是絕對安全的，它的想想是保護內部網絡的需要，從網絡安全上來看，堡壘主機是防火牆管理，員認為最強壯的係統。通常情況下，堡壘主機可作為代理服務器的平台。

6.4.1雙宿/多宿主機模式

雙宿/多宿主機防火牆又稱為雙宿/多宿網關防火牆，它是一種擁有兩個或多個連接到不同網絡上的網絡接口的防火牆，通常用一台裝有兩塊或多塊網卡的堡壘主機做防火牆，現金結算塊或多塊網卡各自與受保護網和外部網相連。這種防火牆的特點是主機的路由功能是被禁止的，兩個網絡之間的通信通過應用層代理服務來完成。

如果一旦黑客侵入堡壘主機並使其具有路由功能，那麼防火牆將變得沒用。

6.4.2屏蔽主機模式

這種防火牆強迫所有的外部主機與堡壘主機相連接，而不讓它們與內部的連接都路由到了堡壘主機。在這種體係結構中，屏蔽路由器介於Internet和內部網之間，是防火牆的第一道防線。這個防火牆係統提供的安全等級比包過濾防火牆係統高，因為它實現了網絡層安全（包過濾）和應用層安全（代理服務）。在這一方式下，過濾路由器配置是否正確是這種防火牆安全與否的關鍵，如果路由表遭到破壞，堡壘主機就可能被越過，使內部網絡完全暴露。

屏蔽主機型的典型構成是包過濾路由器加堡壘主機。包過濾路由器配置在內部網和外部網之間，保證外部係統對內部網絡的操作隻能經過堡壘主機，是保護內部網的第一道防線。　堡壘主機配置在內部網絡上，是外部網絡主機連接到內部網絡主機的橋梁，它擁有高等級的安全。

6.4.3屏蔽子網模式

屏蔽子網體係結構在本質上與屏蔽主機體係結構一樣，但添加了額外的一層甕中保護體係——周邊網絡。　堡壘主機位於周邊網絡上，周邊網絡和內部網絡被內部路由器分開。增加一個周邊網絡的原因在於：堡壘主機是用戶網絡上最容易受侵襲的機器。通過在周邊網絡上隔離堡壘主機，能減少堡壘主機被侵入的影響。並且萬一堡壘主機被入侵者控製，入侵者仍不能直接侵襲內部網絡，內部網絡仍受到屏蔽路由器的保護。