É possibile utilizzare un sistema a filtraggio di pacchetti (Packet filtering) da solo, come firewall,
utilizzando un singolo screening router, come si vede nell'immagine in basso:
Quello descritto è un sistema a basto cosso dal momento che è necessario comunque un router per ottenere l'accesso a internet e dato che è semplice configurare un sistema a filtraggio di pacchetti nel router. D'altra parte, non è molto flessibile; si possono permettere o negare i protocolli utilizzando i numeri di porta, ma è difficile consentire alcune operazioni mentre se ne negano altre nello stesso protocollo (ad esempio se si volesse consentire il download con HTTP e negare l'upload attraverso lo stesso protocollo, sarebbe difficile distinguere tra queste operazioni basandosi solo sul numero di porta). Allo stesso modo è difficile essere certi che ciò che effettivamente è in ingresso su una certa porta sia effettivamente il protocollo che si vuole consentire.
Usi appropriati...
Uno screening router è un firewall appropriato in una situazione in cui:
- la rete da proteggere ha già un alto livello di sicurezza per gli host: ciò vuol dire che i dispositivi all'interno della rete sono già protetti da misure di sicurezza a livello di host, come antivirus, patch di sicurezza, ecc;
- il numero di protocolli utilizzati è limitato e i protocolli stessi sono semplici;
- si richiede massime prestazioni e ridondanza: gli screening router sono in genere più veloci di altri tipi di firewall. Ciò è dovuto al fatto che gli screening router filtrano i pacchetti a livello più basso (rete), inoltre possono essere configurati per fornire ridondanza (se un router si guasta, il traffico può essere instradato su un altro router).