La zona di rischio è ristretta al solo bastion host e allo screening router.
Molto sicuro: network-layer security (screening router) + application layer security (proxy services).
Abbastanza facile da implementare.
L'application gateway ha una sola interfaccia di rete, ed i suoi servizi di proxy passano TELNET, FTP e altri servizi per i quali esistono proxy a sistemi del sito protetto.