5 Abbildung 2 : Architektur mit zusätzlichem Grenznetz Abbildung  2  veranschaulicht  einen  Firewall  mit  Grenznetz.  Diese  Konstruktion bietet  eine  höhere  Sicherheit,  da  ein  Angreifer  nicht  nur  den  Bastion-Host, sondern  auch  zwei  Router  überwinden  muss,  um  ins  interne  Netz  zu  gelangen. Nach  einem  erfolgreichen  Eindringen  in  das  Grenznetz,  ist  kein  Abhören  der internen    Kommunikation    möglich.    Der    Bastion-Host    ist    im    Grenznetz Anlaufstelle für ankommende Electronic-Mail-Nachrichten, eingehende anonyme FTP-Verbindungen (File Transfer Protocol) oder DNS-Anfragen (Domain Name System).  Eine  Aufteilung  [3]  der  verschiedenen  Dienste  auf  mehrere  Rechner (z.B. SMTP (Simple Mail Transfer Protocol)und DNS auf  einem Host und FTP und  WWW  auf  einem  anderen)  erhöht  den  Datendurchsatz.  Der  Bastion-Host kann  eine  direkte  Verbindung  von  innen  nach  außen  zulassen  oder  aber  die Verbindung mittels Proxy-Diensten abwickeln. 2.1.3  Bastion außen Auf  Grund  der  fehlenden  Audit-Möglichkeit  bei  vielen  kommerziellen  Routern, ist die Firewall-Konstruktion mit der Bastion außen, d.h. eigentlich mit direkter Verbindung  zum  externen  Netz,  entstanden.  Die  Verbindung  ist  nur  eigentlich direkt, da die Installation des Bastion-Host vor dem Router für die Paketfilterung nur  möglich  ist,  wenn  ein  zweiter  Router  angeschlossen  wird.  Dieser  äußere