Uno scenario di esempio.

Lo schema della rete da proteggere è quello che troviamo delineato in fig. 5. Come vediamo, siamo in presenza di una rete con indirizzamento privato (classe 10.0.0.0/24), collegato alla rete pubblica Internet tramite un router con funzionalità di NPAT (nel nostro caso deve essere in grado di fare un semplice IP masquerading).

L'indirizzo fittizio 2.2.2.1 è quello assegnato al router su Internet e fa parte del pool di 4 indirizzi pubblici a nostra disposizione (per comodità immaginiamo che la classe di indirizzi utilizzata sia la 2.2.2.0/30, in altre parole abbiamo due soli indirizzi realmente utilizzabili, mentre il 2.2.2.0 e il 2.2.2.3 sono riservati e rappresentano rispettivamente l'indicativo di rete ed il broadcast).
Il nostro obiettivo è quindi quello di proteggere la LAN privata con un firewall (a cui saranno delegate le funzionalità di IP Masquerading e Packet Filtering), che andremo a posizionare tra router e LAN.

Come si vede, abbiamo assegnato alla prima scheda di rete del firewall l'altro indirizzo IP pubblico a nostra disposizione (2.2.2.2); il secondo NIC è invece collegato alla rete privata e configurato con indirizzo IP 10.0.0.1.
Il router non fa più IP Masquerading, ma si limita ad instradare tutto il traffico proveniente dalla rete 2.2.2.0/30 verso l'indirizzo 2.2.2.2, tramite una route statica.
Inserendo il nostro firewall all'interno della rete, abbiamo creato quello che viene comunemente indicato come "single point of failure" (punto critico): se tale firewall dovesse improvvisamente venire meno, i client presenti sulla LAN privata risulterebbero tagliati fuori da Internet, andando di conseguenza a violare il requisito fondamentale di sicurezza della "disponibilità del servizio".
Questo diventa tanto più grave quante più reti gestisce il singolo firewall, ed è proprio per evitare questo genere di disservizio che nelle realtà più sensibili vengono implementate soluzioni di ridondanza, spesso anche molto costose.