Mentre un host dual-homed fornisce servizi da un host allacciato a diverse reti (due) avendo la funzione di inoltro dei pacchetti disattivata, uno screened host fornisce servizi da un host che è allacciato solo alla rete interna, usando un router separato. In questa architettura, la sicurezza principale è fornita dal filtraggio di pacchetti. Per esempio, un filtraggio di pacchetti è ciò che impedisce alla persone di aggirare i server proxy per effettuare connessioni dirette.

La figura sopra mostra un semplice versione di un'architettura di questo tipo. Il bastion host è posto nella rete interna. Il router che svolge il ruolo di uno screening router è settato in modo che il bastion host sia l'unico sistema sulla rete interna con cui gli elementi esterni della rete possono aprire connessioni (per esempio la consegna di email). Anche in questo caso, sono consentiti solo determinati tipi di connessioni. Qualsiasi sistema esterno che tenti di accedere a sistemi o servizi interni, dovrà connettersi con questo host. Il bastion host deve essere altamente sicuro.

Il filtraggio di pacchetti permette al bastion host di aprire solo connessioni consentite (questo viene determinato dalla politica di sicurezza dell'organizzazione) con il mondo esterno.

Una configurazione packet filtering nello screening router potrebbe:

• consentire ad altri host interni di aprire connessioni con gli host di Internet per certi servizi (attraverso regole di packet filtering);
• oppure, negare tutte le connessioni dagli host interni e forzare gli host interni ad usare servizi proxy nel bastion host).

Visto che questa architettura consente ai pacchetti provenienti da Internet di transitare nella rete interna, potrebbe sembrare più rischiosa della configurazione in modalità dual homed che è progettata per impedire ai pacchetti esterni di entrare nella rete interna. In pratica, tuttavia, la configurazione dual-homed è anche soggetta a guasti (vulnerabilità non note) che consentono ai pacchetti di passare effettivamente dalla rete esterna a quella interna (proprio perché questo tipo di guasti sono inaspettati difficilmente ci saranno protezioni per questo tipo di attacchi). Inoltre è più facile difendere un router che difendere un host. Per diversi motivi, l'architettura screened-host fornisce sia maggior sicurezza che maggior usabilità rispetto all'architettura dual homed.

Anche questa architettura ha dei difetti:

• il router rappresenta un unico punto di rottura;
• se un attaccante penetra il bastion host, a quel punto nulla gli impedirà di accedere direttamente agli altri host della rete interna, il bastion host risulta essere un'unica barriera di protezione.
  Essendo il bastion host un unico punto di rottura è sconsigliato eseguirvi servizi ad alto rischio.