屏蔽主機防火墻由包過濾路由器和堡壘主機組成。在這種方式的防火墻中，堡壘主機安裝在內部網絡上，通常在路由器上設立過濾規則，并使這個堡壘主機成為從外部網絡唯一可直接到達的主機，這樣就可確保內部網絡不受未被授權的外部用戶的攻擊。
屏蔽主機防火墻實現了網絡層和應用層的安全，因而比單獨的包過濾或應用網關代理更安全。在這一方式下，過濾路由器是否配置正確是這種防火墻安全與否的關鍵。如果路由表遭到破壞，堡壘主機就可能被越過，從而使內部網完全暴露。

屏蔽子網就是在內部網絡和外部網絡之間建立一個被隔離的子網，用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開。在很多實現中，兩個分組過濾路由器放在子網的兩端，內部網絡和外部網絡均張家口哪有做網站可訪問被屏蔽子網，但禁止它們穿過被屏蔽子網通信。有的屏蔽子網中還設有一堡壘主機作為唯一的可訪問點，支持終端交互或作為應用網關代理。這種配置的危險性涉及到堡壘主機、子網主機，及所有連接內網、外網和屏蔽子網的路由器。如果攻擊者試圖完全破壞防火墻，則必須要重新配置連接3個網的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發現，這樣也還是有可能實現的。但若禁止網絡訪問路由器或只允許內網中的某些主機訪問它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機，然后進入內網主機，再返回來破壞屏蔽路由器，并且整個過程中不能引發警報，而做到這一切是非常困難的。

包過濾是在網絡層中對數據包實施有選擇的通過。依據系統事先設定好的過濾邏輯，檢查數據流中的每個數據包，根據數據包的源地址、目標地址以及包所使用的端口確定是否允許該類數據包通過張家口網站制作。包過濾式的防火墻會檢查所有通過信息包里的 IP地址，并按照系統管理員所給定的過濾規則過濾信息包。如果防火墻設定某一IP為危險的話，那么從這個地址而來的所有信息都會被防火墻屏蔽掉。這種防火墻的用法很多，比如國家有關部門可以通過包過濾防火墻來禁止國內用戶去訪問那些違反我國有關規定或者“有問題”的國外站點，例如黃色站點和反動網站等。包過濾路由器的最大優點就是它對于用戶來說是透明的，也就是說不需要使用用戶名和密碼來登錄。這種防火墻速度快而且易于維護，通常作為第一道防線。包過濾路由器的弊端也是很明顯的，通常它沒有用戶的使用記錄，這樣就不能從訪問記錄中發現黑客的攻擊記錄。