由于堡壘主機在內部網絡中，如果攻擊者滲透了外部路由器之后，內部網將處于不安全的狀態中。屏蔽子網防火墻。這種配置方案采用兩個路由器：一個外部路由器，一個內部路由器。兩個路由器之間形成小型獨立的網絡，通常稱為?；饏^或非軍事區。堡壘主機、信息服務器、調制解調器和公用服務器放置在?；饏^中。一般而言，互聯網上的系統和內部網上的系統能夠只訪問?；饏^中有限數量的系統，而不能跨越?；饏^直接通信傳輸。

該防火墻系統具有最高的安全性，因為它提供了三道安全防線，對于進來的信息，外部路由器防止典型的外部攻擊（源IP地址偽裝、源路由選擇攻擊等），并管理?；饏^中網絡的互聯網訪問。它允許外部系統只訪問堡壘主機（也可能是信息服務器）。堡壘主機一般都具有相當的抗滲透性，即使堡壘主機被攻破，還有內部路由器提供最后一道防線。

由于外部路由器只將?；饏^發布到互聯網上，所以互聯網上的系統沒有通向被保護的內部網的路由。這樣，網站管理員就可以確?！捌帘巍眱炔烤W，只有?；饏^上選定的系統才能在互聯網上通過路由表和DNS信息交換看到。另一方面，由于內部路由器只將?；饏^發布到內部網上，所以內部網上的系統沒有通向互聯網的直接路由，確保了內部用戶必須通過駐留在堡壘主機上的代理服務訪問互聯網。

盡管防火墻在防御外部攻擊時被認為是簡單高效的，但并不能保證系統的絕對安全，畢竟目前的防火墻還只是被動防范。而且，根據國際計算機安全協會的統計，在所有發生的侵犯事件中，有80%來自防火墻內部，目前，架設在某獨立網絡與互聯網之間的防火墻對來自內網的入侵者還無能為力，所以，防火墻只是維護網絡安全的必備措施，不能片面依靠它。實踐證明，只有提高網管人員的安全意識和防范水平，才能保證網站安全的可靠性。