在建立堡壘主機(jī)時(shí),在堡壘主機(jī)上應(yīng)設(shè)置盡可能少的網(wǎng)絡(luò)服務(wù)。堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī),作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn),以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決,從而省時(shí)省力,不用考慮其它主機(jī)的安全的目的。
堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī),所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。堡壘主機(jī)是一臺(tái)完全暴露給外網(wǎng)攻擊的主機(jī)。它沒(méi)有任何防火墻或者包過(guò)濾路由器設(shè)備保護(hù)。堡壘機(jī)執(zhí)行的任務(wù)對(duì)于整個(gè)網(wǎng)絡(luò)安全系統(tǒng)至關(guān)重要。建立堡壘主機(jī)的作用有:
無(wú)路由雙重宿主機(jī)
無(wú)路由雙重宿主主機(jī)有多個(gè)網(wǎng)絡(luò)接口,但這些接口間沒(méi)有信息流,這種主機(jī)本身就可以作為一個(gè)防火墻,也可以作為一個(gè)更復(fù)雜的防火墻的一部分。無(wú)路由雙重宿主主機(jī)的大部分配置類(lèi)同于其它堡壘主機(jī),但是用戶(hù)必須確保它沒(méi)有路由。如果某臺(tái)無(wú)路由雙重宿主主機(jī)就是一個(gè)防火墻,那么它可以運(yùn)行堡壘主機(jī)的例行程序。
犧牲品主機(jī)
有些用戶(hù)可能想用一些無(wú)論使用代理服務(wù),還是包過(guò)濾都難以保障安全的網(wǎng)絡(luò)服務(wù)或者一些對(duì)其安全性沒(méi)有把握的服務(wù)。針對(duì)這種情況,使用犧牲品主機(jī)就是非常有用的(也稱(chēng)替罪羊主機(jī))。犧牲品主機(jī)是一種上面沒(méi)有任何需要保護(hù)信息的主機(jī),同時(shí)它又不與任何入侵者想要利用的主機(jī)相連。用戶(hù)只有在使用某種特殊服務(wù)時(shí)才需要用到它。
犧牲品主機(jī)除了可讓用戶(hù)隨意登錄外,其配置基本上與其它堡壘主機(jī)一樣。用戶(hù)總是希望在云堡壘機(jī)上存有盡可能多的服務(wù)與程序。但是犧牲品主機(jī)出于安全性的考慮,不可隨意滿(mǎn)足用戶(hù)的要求,否則會(huì)使用戶(hù)越來(lái)越信任犧牲品主機(jī)而違反設(shè)置犧牲品主機(jī)的初衷。犧牲品主機(jī)的主要特點(diǎn)是它易于被管理,即使被侵襲也無(wú)礙內(nèi)部網(wǎng)的安全。
內(nèi)部堡壘主機(jī)
在大多數(shù)配置中,堡壘主機(jī)可與某些內(nèi)部主機(jī)有特殊的交互。例如,堡壘主機(jī)可傳送電子郵件給內(nèi)部主機(jī)的郵件服務(wù)器、傳送Usenet新聞給新聞服務(wù)器、與內(nèi)部域名服務(wù)器協(xié)同工作等。這些內(nèi)部主機(jī)其實(shí)是有效的次級(jí)堡壘主機(jī),對(duì)它們就應(yīng)保護(hù)堡壘主機(jī)一樣加以保護(hù)。我們可以在它的上面多放一些服務(wù),但對(duì)它們的配置必須遵循與堡壘主機(jī)一樣的過(guò)程。
以上是關(guān)于建立堡壘主機(jī)的介紹