Due router sono usati per creare una sottorete intermedia (De Militarized Zone - DMZ): un router fra Internet e la sottorete intermedia, e un router fra la sottorete intermedia e la rete protetta.
Sulla sottorete intermedia risiede l'application gateway, l'information server
e gli altri sistemi il cui accesso deve essere controllato.
Generalmente un bastion host unico punto di accesso sulla sottorete.
Zona di rischio: il bastion host, ed i routers che stanno fra la sottorete, la rete privata, e Internet.