Брандмауэр с изолированным хостом

3.3 Брандмауэр с изолированным хостом

Брандмауэр с изолированным хостом более гибкий брандмауэр, чем тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида уместен для сетей, которым нужна большая гибкость, чем та, которую может предоставить брандмауэр на основе шлюза с двумя интерфейсами. Брандмауэр данного типа состоит из маршрутизатора с фильтрацией пакетов и прикладного шлюза, размещенного в защищенной подсети. (Прикладной шлюз может также размещаться со стороны Интернета без особого ущерба безопасности. Размещение прикладного шлюза таким образом может помочь понять, что он является целью атак из Интернета и не обязательно должен считаться надежным.). Прикладному шлюзу требуется только один интерфейс с сетью. Прокси-сервисы шлюза должны пропускать запросы к TELNET, FTP и другим сервисам, для которых есть прокси, к внутренним машинам сети. Маршрутизатор фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренние системы.

Он отвергает или пропускает трафик в соответствии со следующими правилами:

• трафик от систем в Интернете к прикладному шлюзу пропускается
• другой трафик от систем в Интернете блокируется
• маршрутизатор блокирует любой трафик изнутри, если он не идет от прикладного шлюза.