W tym przykładzie jest sieć peryferyjna, ale nie ma rutera wewnętrznego i zewnętrznego. Pojedynczy komputer zapewnia trasowanie, filtrowanie, a także pełni niektóre funkcje hosta bastionowego. Sieć peryferyjna zapewnia tylko usługi zewnętrzne

i nie ma żadnych połączeń między siecią peryferyjną a wewnętrzną. Architektura ta w oczywisty sposób zmniejsza koszt firewalla, ponieważ wymaga jednego rutera zamiast dwóch, ale zapewnia także inne korzyści. Na przykład wymaga tylko jednego przydzielonego zewnętrznie adresu IP zewnętrzny interfejs scalonego rutera musi mieć poprawny adres, ale jeśli scalony ruter może tłumaczyć adresy sieciowe, wszystkie inne adresy można wybrać z prywatnej przestrzeni adresowej. Architektura ta oddziela też wyraźnie firewall od hosta usługowego w sieci peryferyjnej, dzięki czemu mogą nimi zarządzać różne osoby z odmiennym podejściem do kwestii bezpieczeństwa i tylko przy minimum wzajemnych kontaktów.

Chociaż architektura ta sprawia wrażenie skondensowanej wersji architektury opisanej uprzednio, jej ograniczenia są odmienne. Wszystkie funkcje pełni ta sama maszyna, a są granice tego, czego możesz oczekiwać od jednego komputera. Będziesz musiał więc przenieść mniej ważne funkcje z firewalla do innych komputerów. Z drugiej strony, masz większą swobodę w konfigurowaniu peryferyjnego hosta usługowego, ponieważ nie zależy od niego bezpieczeństwo hostów wewnętrznych (w architekturze ekranowanej podsieci hosty bastionowe w sieci peryferyjnej miały bezpośredni wpływ na bezpieczeństwo hostów wewnętrznych).

W tym przykładzie zakładamy, że: irewall nie jest jedynym serwerem w naszej sieci. W sieci peryferyjnej znajduje się inny komputer, który udostępnia publiczne usługi HTTP, a jeśli oprogramowanie filtrujące jest odpowiednie także FTP. W sieci wewnętrznej jest również system, który akceptuje SMTP (być może przechowuje skrzynki pocztowe) oraz zapewnia wewnętrzne usługi DNS.

Podobnie jak w poprzednim przykładzie, ufamy użytkownikom, że nie będą aktywnie próbowali ominąć firewalla, więc nie musimy monitorować ani rejestrować ich działań w Internecie.

Zewnętrzny interfejs rutera ma adres przydzielony twojej sieci i odpowiednio trasowany oraz ogłaszany w Internecie przez twojego dostawcę usług sieciowych (jeśli firewall obsługuje translację adresów sieciowych, można użyć prywatnych adresów zarówno w sieci peryferyjnej, jak i wewnętrznej).

Sieć peryferyjna nie jest godna zaufania i nie można z niej dokonywać połączeń z siecią wewnętrzną. Chcemy ukryć wewnętrzne adresy (albo dlatego, że są to prywatne, nietrasowal ne adresy, albo dlatego, że mamy lekką paranoję).

Nie chcemy, żeby komputery wewnętrzne potrzebowały firewalla do czegokolwiek poza łącznością z Internetem sieć wewnętrzna powinna funkcjonować normalnie, jeśli firewall przestanie działać.