Parlando dei firewall, si incontrerà spesso il termine bastion host. Questo nome deriva dal termine bastione che nel medioevo indicava un particolare punto delle fortificazioni di un castello che aveva lo scopo di respingere gli attacchi nemici. Un bastion host è un computer della rete particolarmente preparato a respingere attacchi contro la rete stessa. I progettisti di reti posizionano il bastion host nella prima linea di difesa. Un bastion host costituisce un punto nevralgico per tutte le comunicazioni fra la rete e Internet. In altre parole, nessun computer della rete può accedere a Internet senza passare attraverso il bastion host e nessun computer di Internet può accedere alla rete senza passare attraverso il bastion host. Se si concentra ogni accesso alla rete in un unico computer, può essere molto facile gestire la sicurezza della rete. Inoltre, facendo in modo che una sola macchina possa accedere a Internet, è facile configurare il software in modo appropriato per proteggere la rete.

Con il termine bastion host si identificano tutti quei firewall host critici per la sicurezza della rete in questione; data la sua importanza nella sicurezza di rete, tale host deve essere ben fortificato e l'accesso diretto a tale host deve essere massimamente controllato. Il bastion host effettua la funzione di interfaccia tra la rete interna e quella esterna e per questo è spesso soggetto di attacchi dall'esterno ma del resto la sua più classica configurazione d'uso è quella di primo ed unico punto di contatto tra privato e pubblico dominio.

Data l'importanza del bastion host all'interno del sistema di sicurezza, spesso si pone una prima linea di difesa tra la rete esterna e quella interna dove il bastion host viene inserito; la prima linea di difesa può essere rappresentata da uno screening router opportunamente configurato secondo la politica di sicurezza scelta. Ovviamente tutti i pacchetti che ottengono il permesso di accesso alla rete interna devono essere diretti verso il bastion host. In questo modo un intrusore che voglia entrare nella rete privata (o interna) dovrà prima eludere le regole di filtraggio dello screening router e quindi i controlli effettuati dal bastion host.
Questo usa le funzioni del livello di applicazione per capire se il pacchetto può essere inoltrato oppure no, eseguendo quindi un ulteriore controllo sugli header dei pacchetti.

Quindi, il ruolo delle tavole di filtraggio dello screening ruoter, risulta di fondamentale importanza ; infatti, se vengono variati i campi relativi agli indirizzo di destinazione dei pacchetti da inoltrare, non solo lo screening router non svolgono più il ruolo per è impiegato, ma se viene settato un indirizzo di destinazione interno diverso dal bastion host, si viene a perdere anche la funzione di controllo di quest'ultimo in quanto viene completamente scavalcato. Le tabelle di filtraggio dovranno quindi essere memorizzate in un posto difficilmente accessibile a qualsiasi operatore esterno. Inoltre, generalmente i ruoters effettuano un aggiornamento delle loro tabelle (dynamic router) anche in base a dei pacchetti ICMP spediti da e verso altri router; tale funzione dovrà essere disabilitata all'interno dello screening router (static router), altrimenti potrebbero essere oggetto di falsi pacchetti ICMP spediti da parte di un intruder mascherato da router, inoltre le tabelle di instradamento saranno gestite staticamente dall'amministratore di rete senza aggiornamento dinamico (protocollo ARP).Ciò avviene impostando inizialmente le tabelle di instradamento (ARP table); in tale caso il router non si deve preoccupare di aggiornarle e quindi non comunica a nessuno il suo indirizzo fisico, senza il quale nessun host si può mascherare da router per spedirgli un pacchetto ICMP falso.

Le caratteristiche salienti di un bastion host possono essere riassunte come segue:

• unico calcolatore della nostra rete raggiungibile da Internet
• host massiciamente protetto
• sistema operativo sicuro (hardened o addirittura trusted)
• rimozione software non necessario
• rimozione compilatori
• proxy server in ambiente isolato (chrooting)
• read-only file system
• process checker
• integrity file system checker
• numero minimo di servizi
• nessun account utente
• salvataggio e controllo del log
• eliminazione dei servizi non fidati
• disattivazione del source-routing.