7 of 18  2 3 4 5 6 7 8 9 10 11 12   5.- ARQUITECTURAS DE CORTAFUEGOS Los cortafuegos se pueden configurar en diferentes arquitecturas, proporcionando diversos niveles de seguridad a diferentes costos de instalación y operación. Las organizaciones deberían hacer corresponder su perfil de riesgo con el tipo de arquitectura de cortafuegos seleccionada. Las principales arquitecturas de cortafuegos son: 5.1.- Computador Múlti-puerto (ó "multi-homed host"): Se trata de un computador que tiene más de un interface de red, cada interface se conecta a segmentos de red física y lógicamente separados. Un computador de doble puerto (un computador con dos interfaces) es el ejemplo más común de computador multi-puerto. Un cortafuegos de doble puerto es un cortafuegos con dos tarjetas de red (ó NICs, Network Interface Cards), cada interface conectado a una red diferente. Por ejemplo, un interface de red normalmente se conecta a la red externa no segura, mientras que el otro se conecta a la red interna ó segura. En esta configuración, uno de los principios de seguridad clave es no permitir que el tráfico procedente de la red no segura se encamine directamente a la red segura, el cortafuegos siempre debe actuar como intermediario. El encaminamiento del cortafuegos se inhabilitará para un cortafuegos de doble puerto para que los paquetes IP de una red no se encaminen directamente de una red a la otra. 5.2.- Computador Pantalla (ó "screened host"): Un cortafuegos con esta arquitectura utiliza un computador denominado "bastión" para que todos los computadores de fuera se conecten, en vez de permitir conexión directa a otros computadores internos menos seguros. Para realizar esto, un router de filtrado de paquetes se configura para que todas las conexiones a la red interna desde la red externa se dirijan hacia el computador "bastión". Si se debe utilizar un cortafuegos de filtrado de paquetes, entonces un computador "bastión" debería establecerse para que todas las conexiones desde la red externa vayan a través del computador "bastión" para impedir que la conexión Internet directa entre la red de la organización y el mundo exterior.