Để hỗ trợ cho công tác an ninh, các mạng ngày nay thường được chia nhỏ thành các mạng con và các mạng con này được nối với nhau thông qua Firewall. Trong một số tài liệu kỹ thuật, các mạng con này còn được gọi là các lớp (tier). Một cấu trúc mạng thường gặp của một ISP bao gồm 3 mạng, mạng truy cập (access network), mạng bảo vệ (screened subnet) hay vùng phi quân sự (DMZ) và mạng dịch vụ. Đây là mô hình biến hóa của mô hình screen subnet firewall trong phần các mô hình ứng dụng.
Cấu trúc Firewall cho một mạng ISP
Mạng truy cập sẽ cung cấp kết nối vào Internet và cho người sử dụng quay số (dial-in users). Packet-filtering router chỉ cho phép giao thông từ internet tới thiết bị truy cập mạng (NAS) và vùng phi chiến sự.
Vùng phi chiến sự sẽ tạo một chiến hào ngăn Internet với mạng dịch vụ. Trong ví dụ này mail và news gateway được đặt ở vùng phi chiến sự. Mọi giao thông của SMTP và NNTP từ Internet được kiểm tra bởi Firewall và được định tuyến tới các gateway server. Chỉ khi mail hoặc news được đặt (deposit) ở gateway server, nó mới tiếp tục vận chuyển tới storage server. Đó chính là nguyên nhân vì sao mạng này được gọi là vùng phi chiến sự, bởi lẽ thông qua việc vận chuyển dữ liệu từ internet tới mạng lưu trữ một cách gián tiếp, đã buộc các kẻ xâm nhập phải hạ vũ khí ở đây (drop the weapon). Như vậy quá trình xâm nhập vào mạng dịch vụ và mạng lưu trữ trở nên hết sức khó khăn. Một vùng phi chiến sự được cấu hình đầy đủ có thể bao gồm nhiều news servers, mail gateways, proxy caching servers, DNS và authentication servers.
Mạng dịch vụ cung cấp truy cập tới các dịch vụ mail, news, và web. Sự kết hợp giữa packet- filtering router và Firewall có thể đảm bảo để chỉ các thuê bao (subscribers) thông qua thiết bị truy cập mạng mới có thể truy cập vào các mail và news server. Việc truy cập vào Internet chính là việc truy cập vào các web server. Và trong trường hợp này Firewall chỉ cho phép một mình giao thông HTTP tới web server. Việc hạn chế các giao thức truy cập tới các máy riêng biệt làm giảm tối đa việc truy cập trái phép thông qua các giao thức khác.
Bởi vì mạng lưu trữ nội dung phải đáp ứng được các yêu cầu từ DMZ và mạng dịch vụ. Một Firewall nữa được đặt thêm ở đây. Firewall này can thiệp vào các khía cạnh của việc truy nhập và việc lưu trữ cho mỗi một dịch vụ riêng lẻ. Nó có thể hạn chế giao thông từ các máy chủ có quyền (authorized server) được tạo ra theo các yêu cầu NFS.