Defindidos os serviços a serem providos, pode-se elaborar as regras de filtragem para os roteadores externo e interno. Vale ressaltar que um pouco de redundância sempre ajuda e, como alternativa, repete-se algumas das regras de filtragem adotadas no roteador externo também no roteador interno, de forma que o interno ainda se configure como uma barreira caso o externo seja atacado com sucesso.
Com relação aos serviços disponíveis nos bastion hosts, há uma grande gama de alternativas de boas ferramentas (proxy servers) disponíveis na Internet como freeware (Veja Anexo); ou seja, sem nenhum custo.