Il perimetro di rete è un altro livello di sicurezza, un rete aggiuntiva tra la rete esterna e la rete interna. Il perimetro di rete offre un secondo livello di sicurezza, nel caso in cui un attaccante dovesse riuscire a penetrare il primo router. Questo è noto anche come DMZ (DeMilitarized Zone, zona smilitarizzata).

Con single homed intendiamo che vi è una singola interfaccia sul firewall.

La configurazione è molto simile a quella vista sopra, che rappresenta un'architettura generale per uan screened subnet. In questa specifica configurazione abbiamo un firewall con una sola interfaccia, il firewall è posto nel router interno, la sua unica interfaccia esce verso la rete interna. Tale firewall usa un packet filter. Il bastion host è raggiungibile da Internet, sul bastion host possono essere in esecuzione alcuni servizi che sono resi disponibili agli utenti esterni. Un attaccante, pur violando il bastion host, ha necessità di violare anche il router interno per accedere alla rete interna.
La DMZ comprende ciò che si trova tra router esterno e router interno.
L'accesso al bastion host è consentito dal router di accesso (router esterno), per i servizi offerti dall'organizzazione.
Mentre per l'accesso alla rete un pacchetto deve:

1. passare dal router esterno a quello interno;
2. dal router interno al firewall, in cui viene filtrato;
3. dal firewall al router interno;
4. e dal router interno alla rete interna

Il firewall questa volta è dual homed, ha due interfacce. Una è collegata al router interno, mentre l'altra è collegata al router esterno. La differenza con la configurazione precedente è che anche il router di bordo implementa un firewall (packet filter) con pacchetti in ingresso diretti verso il bastion host.

Per una migliore comprensione, in questo contesto abbiamo aggiunto uno switch di rete.
Abbiamo un firewall con 4 interfacce:

• 1 collegata al router di bordo
• 1 collegata al router interno
• 1 collegata ad un extranet
• 1 collegata alla DMZ
  Quando un pacchetto giunge dal router di bordo viene passato al firewall, da qui il pacchetto può essere inoltrato ad una delle 3 sotto-reti:
• extranet
• DMZ
• rete interna
  

Lo switch è presente per semplificare la comprensione.
Dal router esterno i pacchetti giungono, qui vengono inviati al firewall per essere filtrati, il firewall può inoltrare i pacchetti al bastion host, oppure ad un secondo firewall in cui i pacchetti possono essere poi inoltrati alla rete interna.

Un sistema di firewall deve essere altamente disponibile. Il che vuol dire che non può esserci un unico punto di rottura. In caso di malfunzionamenti la sostituzione del firewall guasto farebbe trascorrere diverso tempo che in alcuni casi si traduce in periodo in cui il sistema non funzione e non può fornire i suoi servizi.

Per esempio nel sistema di firewall che vediamo in figura viene utilizzato sempre lo stesso firewall, quello più a sinistra. In caso di guasti presso quest'ultimo è sufficiente inoltrare il traffico verso il firewall non guasto, nel contempo si provvede alla riparazione di quello guastato.