屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检査。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。

(1)屏蔽路由器( Screening Router)

屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检査。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。


 
(2)双穴主机网关( Dual Homed Gateway)

双穴主机网关是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。与屏蔽路由器相比，双穴主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。受保护网和外部网不能直接通信，它们之间的通信必须经过堡全主机的过滤和控制。

(3)被屏蔽子网( Screened Subnet)
 
被屏蔽子网就是在内部风络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开・在很多实现中，两个分组过滤路由器放在子网的两端，在子网内 构成一个DNS，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为唯括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。可访间点，支持终端交互或作为应用网关代理，这种配置的危险仅包如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若微信小程序禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡全主机，然后进入内网主机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报。