Screened Host Firewall

É uma combinação de um dual-homed gateway e um screening router.
O roteador (ou choke externo) fica entre a Internet e o bastion host (ou
gate) e este faz a interface do choke com a rede interna. As funções de
cada um são:

1.Choke externo:

- Bloquear os pacotes: de serviços que você não deseja que passem
pelo firewall; de pacotes que tenham rotas IP definidas (IP source
routing), ou outro conjunto de opções estranhas ( ex.:record-route);
que tenham como destino a sua rede interna.
- Passar os pacotes que tenham como endereço IP fonte ou
destino o do seu gate.

2.Gate:

- Rodar servidores proxies para possibilitar os usuários da sua
rede interna usar serviços na rede externa;
- Atuar como um servidor de mail ou receber estas mails e
enviá-las para algum host designado dentro da rede interna.

Vantagens:

Esta configuração é bastante segura, já que oferece dois níveis de
proteção (tanto na camada de rede com o screening router quanto na
camada de aplicação com o bastion host) e, se um falhar, ainda
há a proteção oferecida pelo outro. Este tipo de firewall ainda é
relativamente fácil de configurar e de dar manutenção; e segundo
alguns autores, o acesso local ao gateway é rápido e fácil, já que este
está na rede interna.

Desvantagens:

O screening router deve ser configurado para rotear todo o tráfego do
bastion host. Suas tabelas devem ser bastante seguras, pois qualquer
erro pode ocasionar o envio de pacotes diretamente para a rede
interna, "furando"o esquema de proteção. Além disto, como envolve
mais componentes, o custo deste tipo de firewall é mais alto