堡壘主機(jī)是旨在抵御攻擊的計(jì)算機(jī)。它托管一個(gè)單一的應(yīng)用程序，例如代理服務(wù)器，它充當(dāng)內(nèi)部網(wǎng)絡(luò)和 Internet 之間的網(wǎng)關(guān)。堡壘主機(jī)可以擊退攻擊，因?yàn)樗贿\(yùn)行應(yīng)用程序，同時(shí)刪除或減少所有其他服務(wù)。它具有更嚴(yán)格的安全性，因?yàn)樗ǔＮ挥诜阑饓?nèi)部或外部。因此，即使不受信任的計(jì)算機(jī)或網(wǎng)絡(luò)可以訪問(wèn)它，也不會(huì)將內(nèi)部網(wǎng)絡(luò)中的其他系統(tǒng)置于危險(xiǎn)之中。堡壘主機(jī)通常被定制來(lái)保護(hù)內(nèi)部網(wǎng)或內(nèi)部網(wǎng)絡(luò)。它位于網(wǎng)絡(luò)之外，僅作為從內(nèi)到外的通信線路。在堡壘主機(jī)充當(dāng)蜜罐的情況下，它會(huì)吸引攻擊，因此可以追蹤并阻止攻擊的來(lái)源。

堡壘主機(jī)的類型

堡壘主機(jī)可以有多種類型，例如：

• 域名系統(tǒng) (DNS) 服務(wù)器
• 電子郵件服務(wù)器
• 文件傳輸協(xié)議 (FTP) 服務(wù)器
• 蜜罐
• 代理服務(wù)器
• 虛擬專用網(wǎng)絡(luò) (VPN) 服務(wù)器
• 網(wǎng)絡(luò)服務(wù)器

堡壘主機(jī)如何工作

每個(gè)不會(huì)影響堡壘主機(jī)運(yùn)行方式的網(wǎng)絡(luò)服務(wù)都被禁用。它所做的唯一一件事就是允許內(nèi)部計(jì)算機(jī)訪問(wèn) Internet。因此，堡壘主機(jī)沒(méi)有用戶帳戶。這樣，沒(méi)有人可以登錄并控制它以訪問(wèn)內(nèi)部網(wǎng)。甚至允許計(jì)算機(jī)遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)中文件的網(wǎng)絡(luò)文件系統(tǒng) (NFS) 也應(yīng)該禁用，這樣入侵者就無(wú)法使用堡壘主機(jī)從 Intranet 中提取數(shù)據(jù)。放置堡壘主機(jī)的最佳位置是它自己的子網(wǎng)或 Intranet 防火墻上的自己的網(wǎng)絡(luò)。即使它被黑客入侵，也不會(huì)損害其他內(nèi)網(wǎng)資源。

堡壘主機(jī)記錄所有活動(dòng)，因此網(wǎng)絡(luò)管理員可以判斷 Intranet 是否受到攻擊。他們通常保留兩份系統(tǒng)日志。這樣，如果一個(gè)被破壞或篡改，另一個(gè)仍然可以作為備份。保存日志安全副本的一種方法是通過(guò)串行端口將堡壘服務(wù)器連接到專用計(jì)算機(jī)，其唯一目的是跟蹤安全備份日志。堡壘主機(jī)有一個(gè)自動(dòng)監(jiān)視器或一個(gè)復(fù)雜的程序，可以定期檢查其系統(tǒng)日志，并在發(fā)現(xiàn)可疑模式時(shí)發(fā)送警報(bào)。一個(gè)例子是有人嘗試超過(guò)三個(gè)不成功的登錄。用戶可以在堡壘主機(jī)和 Intranet 之間放置一個(gè)過(guò)濾路由器，以提高安全性。過(guò)濾路由器可以檢查 Internet 和 Intranet 之間的所有數(shù)據(jù)包，同時(shí)丟棄未經(jīng)授權(quán)的流量。

總之，堡壘主機(jī)不允許直接訪問(wèn)和從 Intranet 訪問(wèn) Internet。連接到內(nèi)網(wǎng)的計(jì)算機(jī)每次訪問(wèn) Internet 時(shí)，都會(huì)向堡壘主機(jī)發(fā)送請(qǐng)求。然后堡壘主機(jī)得到結(jié)果。這些結(jié)果會(huì)通過(guò)防火墻，防火墻會(huì)檢查它們是否可以安全地發(fā)送到內(nèi)部網(wǎng)連接的系統(tǒng)。只有當(dāng)數(shù)據(jù)通過(guò)安全檢查時(shí)，請(qǐng)求它的計(jì)算機(jī)才能得到它。從某種意義上說(shuō)，沒(méi)有任何內(nèi)部 IP 地址顯示在網(wǎng)絡(luò)外部。任何外部用戶都只會(huì)找到堡壘主機(jī)的IP地址，為內(nèi)網(wǎng)增加了一層保護(hù)。