Internet Firewalls

Esta não é uma arquitetura muito segura (como foi bem citado acima), eis algumas observações sobre como ela satisfaz ou não as estratégias de segurança:

• Least privilege: pode ser observada quando os serviços são fornecidos exclusivamente via procuradores; entretanto, o fato do bastion host estar situado na rede interna e além disso acumular privilégios de vários servidores pode ser um fator que vá contra o princípio do mínimo privilégio devido a sua posição crítica.
• Defense in depth: esta estratégia não é satisfeita principalmente porque basta que um dos componentes, roteador ou servidor, seja comprometido para que toda a rede interna esteja ao alcance do atacante.
• Choke point: o roteador é o choke point nesta arquitetura.
• Weakest link: o bastion host é o alvo mais visado pelos atacantes porque ele é o servidor de diversos serviços e está localizado junto à rede interna.
• Fail safe: esta não é uma arquitetura que permite falhas seguras de uma forma geral. Visto que basta comprometer o bastion host pra se ter acesso a rede interna. Um certo nível de falha segura é possível da mesma forma como foi exposto para a arquitetura screened subnet caso o screening router seja configurado segundo a filosofia "o que não é expressamente permitido é proibido".
• Universal participation: caso o roteador seja a única via de acesso à Internet, tem-se participação involuntária dos usuários da rede interna. Entretanto, valem as mesmas observações feitas para a arquitetura screened subnet.
• Diversity of defense: pouca ou nenhuma oportunidade de se aplicar esta estratégia pois há um único roteador e bastion host.