МЭ на основе экранирующего узла представляет собой комбинацию предыдущих схем: в состав его входят фильтрующий маршрутизатор на периметре и прокси-сервер, функционирующий на узле-бастионе с одним интерфейсом, во внутренней сети. Пакетный фильтр на маршрутизаторе конфигурируется таким образом, что разрешенный входящий и выходящий сетевой трафик обязательно проходит через узел-бастион. Схема характеризуется большей гибкостью по сравнению со схемой МЭ на основе двудомного узла, так как сервис, не поддерживаемый прокси-сервером, может быть разрешен напрямую через маршрутизатор.
Схема МЭ на основе экранирующей сети представляет собой развитие предыдущей схемы и отличается от нее наличием дополнительного маршрутизатора. Между внешним и внутренним фильтрующими маршрутизаторами создается «менее защищаемая» сеть, называемая периметровой сетью или демилитаризованной зоной (DMZ), которая «экранирует» защищаемую сеть от внешнего мира. Как правило, в периметровой сети устанавливаются узлы с прокси - сервером и серверами открытых сервисов.
