目前实现起来代价最大的防火墙是( )。

这是一道关于防火墙类型及其实现代价的问题。 - A选项（由路由器实现的包过滤防火墙）：这种防火墙通过检查数据包头部信息来决定是否允许数据包通过。由于只涉及数据包头部的简单检查，实现起来相对简单且代价较低。 - B选项（由代理服务器实现的应用型防火墙）：应用型防火墙通过代理服务器在应用层进行通信控制。虽然比包过滤防火墙更复杂，但代理服务器的实现和部署在技术上相对成熟，代价适中。 - C选项（主机屏蔽防火墙）：这种防火墙结构通常包括一个堡垒主机和外部网络之间的包过滤路由器。由于只涉及一个额外的堡垒主机和基本的包过滤，实现代价也不是最高。 - D选项（子网屏蔽防火墙）：子网屏蔽防火墙结构更为复杂，包括外部路由器、内部路由器以及一个或多个堡垒主机。这种结构提供了更高的安全性，但同时也需要更多的硬件资源和配置复杂度，因此实现起来代价最大。 综上所述，子网屏蔽防火墙由于结构复杂且需要更多资源，是目前实现起来代价最大的防火墙类型。因此，正确答案是D。