W celu zintegrowania różnych rozproszonych części sieci korporacyjnej, najlepiej byłoby, gdyby można było zignorować publiczny Internet, który do nich dołącza. Koncepcyjnie stosujemy strategię. Na wejściu i wyjściu do witryn zapewniamy logiczną bramę, która hermetyzuje pakiety IP z jednej witryny do drugiej w tym sensie, że Internet nie może, być może nie może, odczytać ich ostatecznych adresów źródłowych i docelowych, a nawet ich zawartość. Wszystko, co robi Internet, to trasowanie pakietu z bramy źródłowej do bramy docelowej, ponieważ jest to jedyna część pakietu, którą może odczytać. W miejscu docelowym pakiet jest następnie hermetyzowany przez bramę i migrowany do sieci wewnętrznej, aby dotrzeć do zamierzonego hosta odbiorczego. Aby brama mogła to zrobić z pakietami chronionymi przez zabezpieczenia, musi wymienić klucze szyfrowania z drugą bramą. Można to zrobić za pomocą protokołów takich jak IPSec , PPTP lub L2TP. Na rysunku pokazano również dostęp przez publiczny Internet do urzędu certyfikacji, którego usługi są wymagane w celu weryfikacji kluczy szyfrowania bram.
Jedna część bramy może działać jako zapora. Może odfiltrowywać niebezpieczne lub podejrzane pakiety, a jeśli zawiera bramę aplikacji, kontrolować również żądania aplikacji z zewnątrz. Ta funkcja bramy bezpieczeństwa jest sterowana przez serwer polityki bezpieczeństwa, który przechowuje listę dozwolonych i zabronionych działań, dozwolonych lub zabronionych adresów, które mogą lub nie mogą komunikować się między siecią wewnętrzną i publiczną, i być może rejestruje wszelkie takie próby naruszeń lub alarmy, gdy się pojawią.