Internet上的主機能連線到內部網路上的系統的橋樑(例如,傳送進來的電子郵件)。即使這樣,也僅有某些確定類型的連線被允許。任何外部的系統試圖訪問內部的系統或者服務將必須連線到這台堡壘主機上。因此,堡壘主機需要擁有高等級的安全。1)允許其它的內部主機為了某些服務與Internet上的主機連線(即允許那些已經由數據包過濾的服務)。2)不允許來自內部主機的所有連線(強迫那些主機經由堡壘主機使用代理服務)。Internet向內部網的移動,所以,它的設計比沒有外部數據包能到達內部網路的雙重宿主主機體系結構似乎是更冒風險。話說回來,實際上雙重宿主主機體系結構在防備數據包從外部網路穿過內部的網路也容易產生失敗(因為這種失敗類型是完全出乎預料的,不大可能防備黑客侵襲)。進而言之,保衛路由器比保衛主機較易實現,因為它提供非常有限的服務組。多數情況下,被禁止的主機體系結構提供比雙重宿主主機體系結構具有更好的安全性和可用性。
