Хост-бастіон

На відміну від брандмауера із двоспрямованим хостом, що підключається до обох мереж одночасно, екранований хост з'єднаний тільки із приватною мережею. Цей пристрій має власну назву — хост-бастіон. Між вузлом і мережею Інтернет розміщують окремий маршрутизатор, який виконує функції екрана. Таким чином, брандмауер з екранованим хостом є комбінацією маршрутизатора, фільтруючого пакети, та шлюзу прикладних програм.

Екрануючий маршрутизатор виконує функцію фільтрації пакетів і конфігурується таким чином, щоб хост-бастіон був єдиним комп'ютером локальної мережі, доступ до якого можливий з Інтернету. Найвищий рівень безпеки досягається при конфігурації екрануючого маршрутизатора, коли повністю блокується інформаційний потік до заданих портів хоста-бастіона. На рис. 14.3 показаний брандмауер з екранованим хостом. Гнучка система конфігурування маршрутизатора дозволяє відкривати або блокувати з'єднання внутрішніх вузлів й Інтернету.

Основна функція хоста-бастіона полягає у фільтрації інформаційних потоків, що є небезпечними, перш ніж вони зможуть досягти бастіону й інших внутрішніх вузлів. Оскільки хост-бастіон у порівнянні з іншими елементами приватної мережі найбільш підданий атакам, він є найбільш захищеним елементом мережі.

Перевага даної структури полягає у тому, що інформаційний сервер
загального користування, який підтримує FTP, Telnet, HTTP, може перебувати у мережі між екрануючим маршрутизатором і хостом-бастіоном.
Якщо потрібно підсилити систему захисту, то проводять таку конфігурацію, що доступ до інформаційного сервера, який необхідний і зовнішнім, і внутрішнім користувачам, дозволяється тільки через хост-бастіон. На практиці однією з основних функцій хоста-бастіона вважається виконання ролі проксі-сервера для різних служб, що включають FTP, HTTP, Telnet, DNS, SMTP.

Якщо ж зловмисникові вдається прохопитися через хост-бастіон,
то всі вузли приватної мережі стають йому доступні. У брандмауері з двоспрямованим хостом неможливо пройти через захисний хост, минаючи відповідний проксі-сервер. На відміну від цієї схеми, брандмауер з екранованим хостом вимагає наявності­ екрануючого маршрутизатора і хоста-бастіона.