Брандмауэр на основе машины, подключенной к двум сетям

3.2 Брандмауэр на основе машины, подключенной к двум сетям

Брандмауэр данного типа - более лучшая альтернатива, чем брандмауэр на базе маршрутизатора с фильтрацией пакетов. Он состоит из хоста, имеющего два сетевых интерфейса, в котором отключена функция маршрутизации IP-пакетов с одного интерфейса на другой ( то есть хост не может маршрутизировать пакеты между двумя сетями). Кроме того, можно поместить маршрутизатор с фильтрацией пакетов между сетью и этим хостом для обеспечения дополнительной защиты. Это поможет создать внутреннюю изолированную подсеть, которая может быть использована для размещения специализированных систем, таких как информационные сервера и модемные пулы. В отличие от маршрутизатора с фильтрацией пакетов брандмауэр данного типа может полностью блокирвоать передачу трафика между Интернетом и защищаемой сетью. Сервисы обеспечиваются с помощью прокси-серверов на этом хосте. Это простой брандмауэр, но очень безопасный. (Некоторые брандмауэры на основе хоста с двумя интерфейсами не используют прокси-серверы, а требуют, чтобы пользовтаели имели бюджеты на этом хосте для доступа в Интернет. Это не рекомендуется, так как наличие большого числа бюджетов на брандмауэре может привести к ошибкам пользователей, которые в свою очередь приведут к атакам злоумышленников.)