La topología propuesta puede ser categorizada como SB2. Un router de selección (S) y un ‘Bastion Host’ con dos interfaces (B2). La misma establece una neta separación entre redes intra y extra (1). A su vez, dentro de la intranet se entrega al bastion todo el control de acceso a las bases de datos  (4). Una DMZ (2) establecida en base a una enlace punto a punto entre router y el bastión disminuye las posiblidades de capturar datos, ante la imposibilidad de colocar en modo promiscuo las interfaces. La separación topográfica entre redes obliga al acceso solo a través del router y del bastión (no pueden alterarse las tablas y evitar uno u otro). El router debe ser configurado bajo estrictas reglas de filtrado de paquetes, principalmente FTP y TELNET.   El 'Bastion Host' brinda los servicios necesarios  y puede implementarse en base a un proxy para HTTP.