Để hỗ trợ cho công tác an ninh, các mạng ngày nay thờng đợc chia nhỏ thành các mạng con và các mạng con này đợc nối với nhau thông qua Firewall. Trong một số tài liệu kỹ thuật, các mạng con này còn đợc gọi là các lớp (tier). Một cấu trúc mạng thờng gặp của một ISP bao gồm 3 mạng, mạng truy cập (access network), mạng bảo vệ (screened subnet) hay vùng phi quân sự (DMZ) và
mạng dịch vụ. Đây là mô hình biến hóa của mô hình screen subnet firewall trong phần các mô hình ứng dụng.
Cấu trúc Firewall cho một mạng ISP
Mạng truy cập sẽ cung cấp kết nối vào Internet và cho ngời sử dụng quay số (dial-in users). Packet-filtering router chỉ cho phép giao thông từ internet tới thiết bị truy cập mạng (NAS) và vùng phi chiến sự.
Vùng phi chiến sự sẽ tạo một chiến hào ngăn Internet với mạng dịch vụ. Trong ví dụ này mail và news gateway đợc đặt ở vùng phi chiến sự. Mọi giao thông của SMTP và NNTP từ Internet đ- ợc kiểm tra bởi Firewall và đợc định tuyến tới các gateway server. Chỉ khi mail hoặc news đợc đặt (deposit) ở gateway server, nó mới tiếp tục vận chuyển tới storage server. Đó chính là nguyên nhân vì sao mạng này đợc gọi là vùng phi chiến sự, bởi lẽ thông qua việc vận chuyển dữ liệu từ internet tới mạng lu trữ một cách gián tiếp, đã buộc các kẻ xâm nhập phải hạ vũ khí ở đây (drop the weapon). Nh vậy quá trình xâm nhập vào mạng dịch vụ và mạng lu trữ trở nên hết sức khó khăn. Một vùng phi chiến sự đợc cấu hình đầy đủ có thể bao gồm nhiều news servers, mail gateways, proxy caching servers, DNS và authentication servers.
Mạng dịch vụ cung cấp truy cập tới các dịch vụ mail, news, và web. Sự kết hợp giữa packet- filtering router và Firewall có thể đảm bảo để chỉ các thuê bao (subscribers) thông qua thiết bị truy cập mạng mới có thể truy cập vào các mail và news server. Việc truy cập vào Internet chính là việc truy cập vào các web server. Và trong trờng hợp này Firewall chỉ cho phép một mình giao thông HTTP tới web server. Việc hạn chế các giao thức truy cập tới các máy riêng biệt làm giảm tối đa việc truy cập trái phép thông qua các giao thức khác.
Bởi vì mạng lu trữ nội dung phải đáp ứng đợc các yêu cầu từ DMZ và mạng dịch vụ. Một Firewall nữa đợc đặt thêm ở đây. Firewall này can thiệp vào các khía cạnh của việc truy nhập và việc lu trữ cho mỗi một dịch vụ riêng lẻ. Nó có thể hạn chế giao thông từ các máy chủ có quyền (authorized server) đợc tạo ra theo các yêu cầu NFS.