双重宿主主机体系结构：双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。双宿主机网关是用一台装有两块网卡的堡垒主机做防火墙。双宿主机的两块网卡分别与受保护的内部子网及Internet网络连接，起着监视和隔离应用层信息流的作用，彻底隔离了所有的内部主机与外部主机的可能连接。
被屏蔽主机体系结构：被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内外网络的隔离和对内网的保护。
屏蔽主机型防火墙也叫主机过滤防火墙，由堡垒主机和包过滤路由器组成，所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。
通常在路由器上设立过滤规则，并使这个堡垒主机成为唯一可以从外部网络直接到达的主机，符合规则的数据包被传送到堡垒主机。堡垒主机的代理服务软件将允许通过的信息传输到受保护的内部网络，这就确保了内部网络不受未被授权的外部用户的攻击。
被屏蔽子网体系结构：被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络，并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成，分别为：周边网络、外部路由器、内部路由器以及堡垒主机。
子网过滤结构是在主机过滤结构中又增加一个额外的安全层次而构成的。在内部网络和外部网络之间建立一个被隔离的子网，用两台过滤路由器将这一子网分别与内部网络和外部网络分开。增加的安全层次包括一台堡垒主机和一套路由器。两台路由器之间是一个被称为周边网络或参数网络的安全子网，也叫DMZ（隔离区或非军事区）。使得内部网络和外部网络之间有了两层隔断。