I routers passano il traffico a sistemi specifici, quindi l'application gateway non deve essere dual-homed.
Adatto a siti con tanto traffico, o con esigenze di velocità molto alte.
Due routers -> sistema più protetto.
L'indirizzo dell'e-mail server e dell'information server possono essere gli unici indirizzi noti da Internet.
L'application gateway può implementare anche il software per l'autenticazione avanzata di tutte le connessioni.
Configurazione complessa.
Possibile rendere più flessibile permettendo ad alcuni servizi ritenuti innocui di passare direttamente fra Internet e la rete protetta.
Alternativa (più sicura): collocare i sistemi che necessitano di servizi (ritenuti innocui, ma per i quali non esiste un proxy) sulla sottorete intermedia stessa.