由于整个网络的安全防护政策、防护措施及防护目的不同，防火墙的实现方式也千差万别，下面是几种常见的防火墙实现方式：

1.包过滤路由器

包过滤路由器（Screening Router）是众多防火墙中最基本、最简单的一种，它可以是带有数据包过滤功能的商用路由器，也可以是基于主机的路由器。许多网络的防火墙就是在被保护网络和Internet网络之间安置包过滤路由器。它与下面谈到的过滤主机网关防火墙的不同点，在于它允许被保护网络的多台主机与Internet网络的多台主机进行直接通信，其危险性分布在被保护网络的全部主机以及允许访问的各种服务类型上。随着服务的增多，网络的危险性将急剧增加。当网络被击破时，这种防火墙几乎无法保留攻击者的踪迹，甚至难以发现已发生的网络攻击。显然，这种常用的过滤路由防火墙是不安全的。它采取的安全政策属于“除了禁止不可的都被允许”这种极端类型。

2.双穴防范网关

另一种经常使用且易于安装的防火墙叫作双穴防范网关。这种防火墙不使用包过滤规则，而是在被保护网络和Internet网络之间设置一个系统网关，用来隔断TCP/IP的直接传输。被保护网络中的主机与该网关可以通信，Internet中的主机也能与该网关通信，但是两个网络中的主机不能直接通信。这种方式的防火墙的安全性取决于管理者允许提供的网络服务类型。(www.daowen.com)

3.过滤主机网关

过滤主机网关（Screened Host Gateway）防火墙配置时需要一个带包过滤功能的路由器和一台设防主机。一般情况下，设防主机设置在被保护网络，路由器设置在设防主机和Internet网络之间，这样设防主机是被保护网络唯一可到达Internet网络的系统，通常情况下路由器封锁了设防主机特定的端口，而只允许一定数量的通信服务。一般而言，过滤主机网关防火墙是比较安全的，因为从Internet网络只能访问到设防主机，而不允许访问被保护网络的其他资源，设防主机居于被保护网络，局域网中的用户与设防主机的可达性相当好，不涉及外部路由配置问题。然而，一旦攻击者登录到设防主机，危害性就变得相当大，整个被保护网络都可能是被攻击的目标。

4.过滤子网防火墙

考虑到过滤主机网关防火墙的安全性，在配置防火墙时有必要在被保护网络和Internet网络之间设置一个孤立的子网，这就是过滤子网（Screened Subnet）防火墙。一般情况下，采用包过滤路由器防火墙来孤立这个子网。这样被保护网络和Internet网络虽然都可以访问子网主机，但跨过子网的直接访问是被严格禁止的。通常，孤立子网需要设置一台设防主机，即用来提供交互式的终端会晤，同时也兼当应用级网关。过滤子网防火墙这种配置的危害区域相对较小，只集中在设防主机和包过滤路由器上。这种方法使得经过防火墙的所有服务都必须经过应用网关，同时牵扯到网络间路由的重新选择，能够隐藏被保护网络可能遗留的痕迹，许多节点与Internet网络的连接，都被现有网络的重新编址和子网的重新划分变得不可能。对于网间路由的过滤子网防火墙，当一个新的子网连入时，必须改变配置，以适应新的子网划分和新的网址分配，否则就不能正确地使用防火墙，因此增加了网络的安全性能。对攻击者而言，其必须连续重新设置三个网络的路由而不间断，才能侵入设防主机，进而进入被保护网络，最后再返回到包过滤路由器，而且所有这些都不能被锁住，也不被发现，这在理论上虽有可能，但实现起来无疑是相当困难的。因而过滤子网防火墙的安全性相对较高。除了上面提到的这些防火墙实现方式外，还有应用级网关、代理网关以及混合型网关等多种实现方式。