在建立堡垒主机时,在堡垒主机上应设置尽可能少的网络服务。堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上,从而省时省力,不用考虑其它主机的安全的目的。
堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机也必须是自身保护最完善的主机。堡垒主机是一台完全暴露给外网攻击的主机。它没有任何防火墙或者包过滤路由器设备保护。堡垒机执行的任务对于整个网络安全系统至关重要。建立堡垒主机的作用有:
无路由双重宿主机
无路由双重宿主主机有多个网络接口,但这些接口间没有信息流,这种主机本身就可以作为一个防火墙,也可以作为一个更复杂的防火墙的一部分。无路由双重宿主主机的大部分配置类同于其它堡垒主机,但是用户必须保证它没有路由。如果某台无路由双重宿主主机就是一个防火墙,那么它可以运行堡垒主机的例行程序。
牺牲品主机
有些用户可能想用一些无论使用代理服务,还是包过滤都难以保障安全的网络服务或者一些对其安全性没有把握的服务。针对这种情况,使用牺牲品主机就是非常有用的(也称替罪羊主机)。牺牲品主机是一种上面没有任何需要保护信息的主机,同时它又不与任何入侵者想要利用的主机相连。用户只有在使用某种特殊服务时才需要用到它。
牺牲品主机除了可让用户随意登录外,其配置基本上与其它堡垒主机一样。用户总是希望在云堡垒机上存有尽可能多的服务与程序。但是牺牲品主机出于安全性的考虑,不可随意满足用户的需求,否则会使用户越来越信任牺牲品主机而违反设置牺牲品主机的初衷。牺牲品主机的主要特点是它易于被管理,即使被侵袭也无碍内部网的安全。
内部堡垒主机
在大多数配置中,堡垒主机可与某些内部主机有特殊的交互。假如,堡垒主机可传送电子邮件给内部主机的邮件服务器、传送Usenet新闻给新闻服务器、与内部域名服务器协同工作等。这些内部主机其实是有效的次级堡垒主机,对它们就应保护堡垒主机一样加以保护。我们可以在它的上面多放一些服务,但对它们的配置必须遵循与堡垒主机一样的过程。
以上是关于建立堡垒主机的介绍,融亿云的云堡垒机提供云计算安全管控的系统和组件。支持通过主流web浏览器、手机APP远程运维服务器,