屏蔽子網型結構的主要構成包括：

1.周邊網絡

周邊網絡是一個防護層，在其上可放置一些信息服務器，它們是犧牲主機，可能會受到攻擊，因此又稱為非軍事區（DMZ）。周邊網絡的作用為：即使堡壘主機被入侵者控製，它仍可消除對內部網的攻擊。定義了周邊網絡以後，它支持網絡層和應用層安全功能。網絡管理員將堡壘主機、信息服務器、Modem組以及其他公用服務器放在周邊網絡內。作為犧牲主機，它可能會受到攻擊，但內部網絡是安全的。

2.堡壘主機

堡壘主機放置在周邊網絡上，是整個防禦體係的核心。在堡壘主機上可以允許各種各樣的代理服務器。　堡壘主機位於周邊網絡，是整個防禦體係的核心。　堡壘主機應該盡可能的簡單，並隨時做好堡壘主機受損、修複的準備。　堡壘主機可被認為是應用層網關，可以運行各種代理服務程序。對於出站服務不一定要求所有的服務經過堡壘主機代理，但對於入站服務應要求所有服務都通過堡壘主機。

3.內部路由器

內部路由器位於內部網絡與周邊網絡之間，保護內部網絡不受外部網絡和周邊網絡的侵害，它執行大部分過濾工作。即使堡壘主機被攻占，它也可以保護內部網絡。在實際應用中，應按“最小特權原則”設計堡壘主機與內部網絡的通信策略。

4.外部路由器

外部路由器保護周邊網絡和內部網絡不受外部網絡的侵犯。它把入站的數據包路由到堡壘主機，防止部分IP欺騙。它可分辨出數據包是否真正來自周邊網絡，而內部路由器則做不到。

6.4.4混合模式

混合模式是以上一些模式結構的混合使用，主要有以下兩種。

1.一個堡壘主機和一個非軍事區

由堡壘主機加過濾路由器組成。　堡壘主機的一個網絡接口接到非軍事區DMZ，另一個網絡接口接到內部網上。過濾路由器一端接到因特網，一端接到DMZ；過濾路由器把規則允許的網絡流量轉發給堡壘主機；非軍事區上隻設置服務器，並有兩個網絡接口，一個連接外部路由，一個連接堡壘主機；堡壘主機使用了雙重宿主主機，提高了係統的安全性。

2.兩個堡壘主機和兩個非軍事區

此種結構使用了兩台雙重宿主堡壘主機，有兩個非軍事區，並在網絡中分成了四個部分：內部網絡、外部網絡、內部軍事區和外部非軍事區。內部非軍事區受到過濾路由器和外部堡壘主機的保護，具有一定的安全性，可以把一些相對不是很機密的服務放在這個網絡上，並把敏感的主機隱藏在內部網絡中。