在建立堡壘主機時,在堡壘主機上應(yīng)設(shè)置盡可能少的網(wǎng)絡(luò)服務(wù)。堡壘主機是一種被強化的可以防御進攻的計算機,作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點,以達到把整個網(wǎng)絡(luò)的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。
堡壘主機是網(wǎng)絡(luò)中最容易受到侵害的主機,所以堡壘主機也必須是自身保護最完善的主機。堡壘主機是一臺完全暴露給外網(wǎng)攻擊的主機。它沒有任何防火墻或者包過濾路由器設(shè)備保護。堡壘機執(zhí)行的任務(wù)對于整個網(wǎng)絡(luò)安全系統(tǒng)至關(guān)重要。建立堡壘主機的作用有:
無路由雙重宿主機
無路由雙重宿主主機有多個網(wǎng)絡(luò)接口,但這些接口間沒有信息流,這種主機本身就可以作為一個防火墻,也可以作為一個更復(fù)雜的防火墻的一部分。無路由雙重宿主主機的大部分配置類同于其它堡壘主機,但是用戶必須確保它沒有路由。如果某臺無路由雙重宿主主機就是一個防火墻,那么它可以運行堡壘主機的例行程序。
犧牲品主機
有些用戶可能想用一些無論使用代理服務(wù),還是包過濾都難以保障安全的網(wǎng)絡(luò)服務(wù)或者一些對其安全性沒有把握的服務(wù)。針對這種情況,使用犧牲品主機就是非常有用的(也稱替罪羊主機)。犧牲品主機是一種上面沒有任何需要保護信息的主機,同時它又不與任何入侵者想要利用的主機相連。用戶只有在使用某種特殊服務(wù)時才需要用到它。
犧牲品主機除了可讓用戶隨意登錄外,其配置基本上與其它堡壘主機一樣。用戶總是希望在云堡壘機上存有盡可能多的服務(wù)與程序。但是犧牲品主機出于安全性的考慮,不可隨意滿足用戶的要求,否則會使用戶越來越信任犧牲品主機而違反設(shè)置犧牲品主機的初衷。犧牲品主機的主要特點是它易于被管理,即使被侵襲也無礙內(nèi)部網(wǎng)的安全。
內(nèi)部堡壘主機
在大多數(shù)配置中,堡壘主機可與某些內(nèi)部主機有特殊的交互。例如,堡壘主機可傳送電子郵件給內(nèi)部主機的郵件服務(wù)器、傳送Usenet新聞給新聞服務(wù)器、與內(nèi)部域名服務(wù)器協(xié)同工作等。這些內(nèi)部主機其實是有效的次級堡壘主機,對它們就應(yīng)保護堡壘主機一樣加以保護。我們可以在它的上面多放一些服務(wù),但對它們的配置必須遵循與堡壘主機一樣的過程。
以上是關(guān)于建立堡壘主機的介紹