Für diese Firewall-Architektur benötigt man einen ,,Dual-Homed`` Host, der zugleich Bastion Host ist. Dieser könnte als Router zwischen dem LAN und dem Internet fungieren. Da jedoch keine direkte IP-Verbindung zwischen dem internen Netzwerk und dem Internet möglich sein soll, muß das Routing auf dem Bastion Host abgeschaltet werden. Der Dual-Homed Host kann durch Proxy-Server (circuit oder application) den internen Hosts seine Dienste anbieten. Eine andere Möglickkeit wären User-Accounts auf dem Bastion Host. Dies ist aber eine denkbar schlechte Lösung, da dadurch die Sicherheit der Firewall beintächtigt wird. Z.B. können Accounts mit schlechte Passwörtern geknackt werden oder die Benutzer gefährden durch ihr Verhalten die Sicherheit des Bastion Host: Download von Trojanern und Viren. Der Aufbau eines Bastion Host wird in Abschnitt 3.2.4.5 detailliert beschrieben. Abbildung 3.4 stellt den prinzipiellen Aufbau einer Dual-Homed Host Firewall dar.