Брандмауер із двоспрямованим хостом

Даний тип брандмауера обладнується двома інтерфейсами. Один інтерфейс з'єднує хост із приватною мережею, інший забезпечує підключення до Інтернет або до будь-якої іншої незахищеної мережі. Отже, весь IP-трафік, що надходить із Інтернету, перш ніж потрапити до локальної мережі, повинен пройти через цей захисний бар'єр. Точно так само внутрішній вузол через двоспрямований хост взаємодіє з вузлами Інтернет.

Безпосередній зв'язок, що проходить через двоспрямований хост захисту, блокується. Це означає, що функція прямої трансляції IP-трафіку для даного пристрою виключена і IP-пакети з однієї мережі не можуть безпосередньо спрямовуватися в іншу. Двоспрямований хост не використовуться як маршрутизатор. Існує заборона на пряму передачу IP-пакетів доти, поки не гарантоване логічне роз'єднання двох мереж: приватної й глобальної. Отже, навіть при системних збоях міжмережевий екран залишається у робочому стані. Дані можуть пройти брандмауер тільки через проксі-сервер і ніколи через системний рівень. На рис. 14.2 показане застосування міжмережевого екрана із двоспрямованим хостом.

Цей пристрій можна використати для повного блокування доступу до приватної мережі, поки працює проксі-сервіс, наприклад, Telnet, FTP, HTTP. Як показано на рис. 14.2, сервер, що працює з даними службами, перебуває між фільтруючим маршрутизатором, що може бути встановлений, і двоспрямованим хостом. Така конфігурація перешкоджає проникненню зловмисників у систему із двоспрямованим хостом.