É uma combinação de um dual-homed gateway e um screening router. O roteador (ou choke externo) fica entre a Internet e o bastion host (ou gate) e este faz a interface do choke com a rede interna. As funções de cada um são:

1. Choke externo:



• Bloquear os pacotes:
• de serviços que você não deseja que passem pelo firewall;
• de pacotes que tenham rotas IP definidas (IP source routing), ou outro conjunto de opções estranhas ( ex.: record-route);
• que tenham como destino a sua rede interna.
• Passar os pacotes que tenham como endereço IP fonte ou destino o do seu gate.


2. Gate:



• Rodar servidores proxies para possibilitar os usuários da sua rede interna usar serviços na rede externa;
• Atuar como um servidor de mail ou receber estas mails e enviá-las para algum host designado dentro da rede interna.

Vantagens:

Esta configuração é bastante segura, já que oferece dois níveis de proteção (tanto na camada de rede com o screening router quanto na camada de aplicação com o bastion host) e, se um falhar, ainda há a proteção oferecida pelo outro. Este tipo de firewall ainda é relativamente fácil de configurar e de dar manutenção; e segundo alguns autores, o acesso local ao gateway é rápido e fácil, já que este está na rede interna.

Desvantagens:

O screening router deve ser configurado para rotear todo o tráfego do bastion host. Suas tabelas devem ser bastante seguras, pois qualquer erro pode ocasionar o envio de pacotes diretamente para a rede interna, "furando"o esquema de proteção. Além disto, como envolve mais componentes, o custo deste tipo de firewall é mais alto