Internet Firewalls

Caso o bastion host esteja localizado junto a sub-rede interna (como na arquitetura screened host), ele pode ser facilmente desviado (bypassed)na ocorrência do roteador externo ser comprometido. O mesmo não ocorreria caso este bastion host fosse do tipo dual homed e estivesse entre o roteador externo e a rede interna. Em [CHA 95] há a recomendação para não se utilizar a configuração do dual homed host fundida com o roteador interno porque todo o tráfego interno pode ser capturado caso o bastion host seja comprometido. Em contrapartida, a fusão do bastion com o roteador externo pode ser realizada sem que ocorra grandes problemas (caso exista um roteador interno).