系統的實現
1、 網絡地址轉換模塊
NAT模塊是本系統核心部分，而且只有本模塊與網絡層有關，因此，這一部分應和Unix系統本身的網絡層處理部分緊密結合在一起， 或對其直接進行修改。本模塊進一步可細分為包交換子模塊、數據包頭替換子模塊、規則處理子模塊、 連接記錄子模塊與真實地址分配子模塊及傳輸層過濾子模塊。
2、集中訪問控制模塊
集中訪問控制模塊可進一步細分為請求認證子模塊和連接中繼子模塊。 請求認證子模塊主要負責和認證與訪問控制系統通過一種可信的安全機制交換各種身份鑒別信息，識別出合法的用戶， 并根據用戶預先被賦予的權限決定后續的連接形式。連接中繼子模塊的主要功能是為用戶建立起一條最終的無中繼的連接通道， 并在需要的情況下向內部服務器傳送鑒別過的用戶身份信息，以完成相關服務協議中所需的鑒別流程。
3、臨時訪問端口表
為了區分數據包的服務對象和防止攻擊者對內部主機發起的連接進行非授權的利用，網關把內部主機使用的臨時端口、 協議類型和內部主機地址登記在臨時端口使用表中。由于網關不知道內部主機可能要使用的臨時端口， 故臨時端口使用表是由網關根據接收的數據包動態生成的。對于入向的數據包， 防火墻只讓那些訪問控制表許可的或者臨時端口使用表登記的數據包通過。
4、 認證與訪問控制系統
認證與訪問控制系統包括用戶鑒別模塊和訪問控制模塊，實現用戶的身份鑒別和安全策略的控制。 其中用戶鑒別模塊采用一次性口令（One-Time Password）認證技術中Challenge/Response機制實現遠程和當地用戶的身份鑒別， 保護合法用戶的有效訪問和限制非法用戶的訪問。它采用Telnet和WEB兩種實現方式，滿足不同系統環境下用戶的應用需求。 訪問控制模塊是基于自主型訪問控制策略（DAC），采用ACL的方式，按照用戶（組）、地址（組）、服務類型、 服務時間等訪問控制因素決定對用戶是否授權訪問。
5、 網絡安全監控系統
監控與入侵檢測系統作為系統端的監控進程，負責接受進入系統的所有信息，并對信息包進行分析和歸類， 對可能出現的入侵及時發出報警信息；同時如發現有合法用戶的非法訪問和非法用戶的訪問，監控系統將及時斷開訪問連接， 并進行追蹤檢查。
6、基于WEB的防火墻管理系統
管理系統主要負責網絡地址轉換模塊、集中訪問控制模塊、認證與訪問控制系統、監控系統等模塊的系統配置和監控。 它采用基于WEB的管理模式，由于管理系統所涉及到的信息大部分是關于用戶帳號等敏感數據信息，故應充分保證信息的安全性， 我們采用JAVA APPLET技術代替CGI技術，在信息傳遞過程中采用加密等安全技術保證用戶信息的安全性。
防火墻系統的應用
防火墻型安全保障技術假設被保護網絡具有明確定義的邊界和服務，并且網絡安全的威脅僅來自外部網絡， 進而用防火墻型技術通過監測、限制、更改跨越防火墻的數據流及通過盡可能地對外部網絡屏蔽有關被保護網絡的信息、 結構來實現對網絡的安全保護。由此可見,防火墻型系統比較適合相對獨立、 與外部網絡互聯途徑有限并且網絡服務種類相對集中單一的網絡系統。常見的Internet與Intranet的連接即屬于此類。 但防火墻技術原理上對來自網絡內部的安全威脅不具備防范作用,并且常常需要有特殊的、相對較為封閉的網絡拓撲結構來支持， 因而對網絡安全功能的加強往往是以網絡服務的靈活性、多樣性和開放性為代價的，并且需要較大的網絡管理開銷。 由于防火墻技術的實施相對簡單，因此是目前應用較廣的網絡安全技術。 但防火墻技術的基本特征及運行代價局限了它在開放型的大規模網絡系統中應用的潛力， 并且由于它只在網絡邊界上具有安全保障功能，其實用范圍相對有限，安全保障的程度也不易度量和維持在穩定水平， 因而防火墻型安全系統往往是針對特定需要而專門設計實施的系統，是一類短期內實用的解決方案。