Bei dieser Architektur wird eine Mehrnutzer-Maschine, die über (mindestens) zwei Netzwerk-Interfaces verfügt und sowohl an das interne als auch an das externe Netz angeschlossen ist, zur Bastion ausgebaut und als Firewall genutzt. Als Betriebssystem setzt man hauptsächlich UNIX ein. Geeignete Proxies ermöglichen eine Kommunikation mit Partnern im jeweils anderen Netz und sorgen für die Einhaltung der durch die Sicherheitspolitik bestimmten Regeln. Diese Lösung erscheint attraktiv, weil sie relativ einfach zu implementieren sowie zu verifizieren ist und keine zusätzliche Hardware erfordert.
Eine Weiterleitung, d.h. ein automatisches Routing von IP-Paketen zwischen den Netzen, IP forwarding genannt, wird im Normalfall von der Bastion unterbunden. Dies gewährleistet die Wirksamkeit der Proxy-Server und ermöglicht es außerdem, die Struktur des internen Netzes vor dem externen Betrachter zu verbergen. Er sieht dann nur die Bastion und kommuniziert, wenn überhaupt, lediglich über die Proxies mit den internen Maschinen. Deshalb kann man intern, wie an anderer Stelle schon dargestellt, beliebige IP-Adressen nutzen (z.B. die experimentellen nach RFC 1918).
Es ist zu beachten, daß viele UNIX-Systeme im Standardfall als Router fungieren und somit das IP-Fowarding realisieren, wenn die Maschine über mehr als ein Netzwerk-Interface verfügt. Viele Implementierungen unterstützen kein selektives IP-Forwarding. Deshalb muß man auf ihnen das IP-Forwarding komplett abschalten, da sonst alle IP-Pakete durch den Firewall weitergeleitet würden, wodurch er seinen Sinn verlöre.
Wie man das IP-Forwarding in einem UNIX-Kern deaktiviert, hängt vom jeweiligen System ab. Z.B. unter Solaris 2.x geschieht dies mit Hilfe des Kommandos ndd, das der Konfiguration verschiedener Treiber des Betriebssystem-Kerns dient:
Das zweite Kommando verhindert das Weiterleiten von IP-Paketen, die die Option Source Routing enthalten.ndd -set /dev/ip ip_forwarding 0 ndd -set /dev/ip ip_forward_src_routed 0
Linux 2.x bietet durch die im Kern enthaltene Firewall-Funktionalität eine hohe Flexibilität. Der Administrator kann entscheiden, ob er ein IP-Paket in das jeweils andere Netz weiterleitet, vernichtet oder an ein Anwendungs-Gateway übergibt. Damit ist es nicht mehr zwingend erforderlich, für jeden zu erbringenden Dienst einen Proxy zur Verfügung zu stellen, da man ausgewählte Applikationen bei Bedarf durch das Forwarding der zu ihnen gehörenden IP-Pakete auch direkt nutzbar machen kann. Das funktioniert natürlich nur, wenn die betreffenden Server über weltweit gültige und nicht nur über experimentelle IP-Adressen verfügen. Außerdem sollte man bedenken, daß die unmittelbare Erreichbarkeit dieser Maschinen möglicherweise die Sicherheit des privaten Netzes gefährdet.
Diese Architektur verwendet eine Kombination von einem Screening Router und einer Bastion. Der Router vernichtet Pakete, die unter Beachtung der Sicherheitspolitik den Firewall nicht passieren dürfen. Dazu gehören meist diejenigen, die weder von der Bastion kommen noch an sie gerichtet sind, da in der Regel lediglich die Bastion mit dem Internet kommunizieren darf. Alle anderen Rechner des privaten Netzes können dabei das Internet nur über Proxies auf der Bastion erreichen. Des weiteren werden typischerweise auch solche Pakete blockiert, bei denen die Option Source Routing gesetzt ist oder die laut ihrer TCP- bzw. UDP-Portnummer zu einem nicht unterstützten Dienst gehören.
In speziellen Fällen gestattet der Paket-Filter direkte Verbindungen zwischen dem internen und dem externen Netz, so daß dafür keine Proxies benötigt werden und die Daten nicht den Umweg über die Bastion nehmen müssen.
Sobald es einem Angreifer gelingt, die Bastion zu erobern oder den Screening Router zu kompromittieren, kann er ungehindert ins private Netz eindringen, da es kein weiteres Hindernis gibt. Aus diesem Grunde wird zunehmend auf das im nächsten Punkt vorgestellte Screened Subnet orientiert.
Die Architektur Screened Host ist potentiell gegen Angriffe aus dem privaten Netz anfällig. Gibt ein dort befindlicher Rechner die IP-Adresse der Bastion als Absenderadresse für von ihm erzeugte IP-Pakete an, so können diese möglicherweise das Internet direkt, d.h. am Bastion Host vorbei, erreichen, da Router die Fälschung gewöhnlich nicht feststellen, weil sie keine Adressen der Schicht 2 (z.B. Ethernet) auswerten.
Anmerkung: Verschiedene Attacken gegen Rechner im Internet basieren auf der gezielten Fälschung solcher Informationen wie IP-Adressen, DNS- oder NIS-Einträge sowie Routing-Angaben. Diese Angriffstechnik bezeichnet man allgemein oft als Spoofing. Bei dem gerade diskutierten Mißbrauch der Adresse der Bastion handelt es sich konkret um IP spoofing.
Unter Verwendung von Linux läßt sich ein Screened Host prinzipiell auf einer einzigen Maschine realisieren. Der Firewall im Linux-Kern der Bastion übernimmt dabei die Aufgaben des Screening Routers.
Die Flexibilität sowie die Sicherheit des Firewalls lassen sich weiter erhöhen, wenn man die Bastion in ein eigenes Subnetz verlagert, das sowohl vom internen als auch vom externen Netz durch je einen Screening Router abgeschirmt wird (daher Screened Subnet). Eine solche mehrstufige Lösung dient dem Ziel, auch nach dem Ausfall eines Teils des Firewalls bzw. dessen Überwindung durch einen Angreifer noch eine möglichst hohe Restsicherheit zu bewahren.
Sofern es sich bei der Bastion um einen Dual-homed Host handelt, kann bzw. sollte die in der Abbildung gezeigte direkte Verbindung zwischen innerem und äußerem Router entfallen. Dadurch erzwingt man, daß die Kommunikation zwischen internem Netz und Internet generell nur über die Bastion möglich ist. Dies hat natürlich automatisch die Konsequenz, daß Verbindungen, für die keine Proxies zur Verfügung stehen, nicht realisiert werden können. Dadurch schränkt man zwar die Flexibilität ein, erhöht aber gleichzeitig die Sicherheit.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Einsatz von Screened Subnets. Es orientiert dabei aus Sicherheitsgründen darauf, als Bastion in der Regel einen Dual-homed Host zu verwenden, der für eine Kommunikation über den Firewall hinweg auf jeden Fall passiert werden muß. Eine Kommunikation ohne Einbeziehung der Bastion sollte nach Meinung des BSI nur in Ausnahmefällen zugelassen werden.
Der an das private Netz angeschlossene innere Screening Router verhindert, daß ein Angreifer, der aus dem Internet bis auf die Bastion vorgedrungen ist, den Datenverkehr im internen Netz abhören kann. Er sieht nur diejenigen Pakete, die über den Firewall hinweg zwischen dem Internet und dem privaten Netz ausgetauscht werden.
Man sollte den inneren Router stets sehr sorgfältig konfigurieren, so daß er nur die wirklich notwendige Kommunikation zwischen internem Netz und Internet einerseits und zwischen Bastion und internem Netz andererseits gestattet. Letzteres begrenzt den Schaden, den ein Angreifer anrichten kann, wenn es ihm gelungen ist, die Bastion zu erobern. So sollte z.B. der Router dafür sorgen, daß die Bastion nur mit dem Mail-Server und sonst mit keinem anderen Rechner des privaten Netzes per SMTP in Verbindung treten kann.
Die oben beim Screened Host erwähnte IP-Spoofing-Attacke aus dem internen Netz läßt sich jetzt beim Screened Subnet durch den inneren Router verhindern, da sich die Bastion sowie der Rechner des Angreifers in unterschiedlichen Subnetzen befinden. Somit genügt die Auswertung der IP-Adressen. Eine Analyse auf Schicht 2 ist nicht erforderlich.
In der Praxis obliegt in der Regel fast die gesamte Paket-Filterung dem inneren Screening Router. Deshalb muß man ihn sowie die Bastion unabhängig vom äußeren Router sehr gut schützen. Der Filter des äußeren Routers wird meist nur dazu verwendet, gefälschte Pakete zu blockieren, die aus dem Internet kommen, aber eine IP-Quelladresse haben, die zu dem Subnetz gehört, in dem sich die Bastion befindet. Diese Aufgabe kann der innere Router nicht erfüllen.
Wenn der äußere Router nur sehr wenige Pakete blockiert, sind sowohl die Bastion als auch der innere Router gut von außen attackierbar. Daraus resultiert der nicht zu unterschätzende Vorteil, daß die Bastion in der Lage ist, diese Attacken zu beobachten sowie umfangreich zu protokollieren. Das gestattet dem Administrator möglicherweise, die Resistenz seiner Systeme noch weiter zu erhöhen und evtl. den Angreifer sogar zu identifizieren.