Internet Firewalls

Dependendo da localização do bastion host dentro do firewall, tem-se alguns tipos de máquinas com funções diferenciadas na segurança, os quais são[CHA 95]:

• Dual homed host: trata-se de um computador com duas interfaces de rede conectadas cada uma a segmentos diferentes de rede. Uma das características fundamentais dessa configuração é que o roteamento direto (IP forwarding) é desabilitado e, portanto, todo o roteamento é realizado a nível de aplicação. Neste caso, todos os serviços segurados podem ser fornecidos via procuração (proxy servers) e somente o tráfego referente aos serviços habilitados via proxy e aqueles especificados pelas regras de filtragem circulam entre os dois segmentos de rede conectados ao bastion host (FIG. 4);
• Victim machines: estas máquinas abrigam serviços que não são considerados fáceis de serem segurados. A máquina é configurada basicamente somente com os serviços fornecidos para garantir que nada mais significativo esteja a disposição do atacante caso a máquina seja comprometida. Geralmente uma screened subnet possui uma ou mais máquinas deste tipo;
• Internal bastion hosts: são aquelas máquinas com maior interação com as máquinas internas (por exemplo, uma máquina que recebe o email e o reenvia a um servidor de correio eletrônico residente na rede interna).

FIGURA 4 - Dual-homed Host