服務(wù)器安全在建立堡壘主機(jī)時(shí)

在建立堡壘主機(jī)時(shí)，在堡壘主機(jī)上應(yīng)設(shè)置盡可能少的網(wǎng)絡(luò)服務(wù)。堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。

堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。堡壘主機(jī)是一臺(tái)完全暴露給外網(wǎng)攻擊的主機(jī)。它沒有任何防火墻或者包過濾路由器設(shè)備保護(hù)。堡壘機(jī)執(zhí)行的任務(wù)對(duì)于整個(gè)網(wǎng)絡(luò)安全系統(tǒng)至關(guān)重要。建立堡壘主機(jī)的作用有：

無路由雙重宿主機(jī)

無路由雙重宿主主機(jī)有多個(gè)網(wǎng)絡(luò)接口，但這些接口間沒有信息流，這種主機(jī)本身就可以作為一個(gè)防火墻，也可以作為一個(gè)更復(fù)雜的防火墻的一部分。無路由雙重宿主主機(jī)的大部分配置類同于其它堡壘主機(jī)，但是用戶必須確保它沒有路由。如果某臺(tái)無路由雙重宿主主機(jī)就是一個(gè)防火墻，那么它可以運(yùn)行堡壘主機(jī)的例行程序。

犧牲品主機(jī)

有些用戶可能想用一些無論使用代理服務(wù)，還是包過濾都難以保障安全的網(wǎng)絡(luò)服務(wù)或者一些對(duì)其安全性沒有把握的服務(wù)。針對(duì)這種情況，使用犧牲品主機(jī)就是非常有用的(也稱替罪羊主機(jī))。犧牲品主機(jī)是一種上面沒有任何需要保護(hù)信息的主機(jī)，同時(shí)它又不與任何入侵者想要利用的主機(jī)相連。用戶只有在使用某種特殊服務(wù)時(shí)才需要用到它。

犧牲品主機(jī)除了可讓用戶隨意登錄外，其配置基本上與其它堡壘主機(jī)一樣。用戶總是希望在云堡壘機(jī)上存有盡可能多的服務(wù)與程序。但是犧牲品主機(jī)出于安全性的考慮，不可隨意滿足用戶的要求，否則會(huì)使用戶越來越信任犧牲品主機(jī)而違反設(shè)置犧牲品主機(jī)的初衷。犧牲品主機(jī)的主要特點(diǎn)是它易于被管理，即使被侵襲也無礙內(nèi)部網(wǎng)的安全。

內(nèi)部堡壘主機(jī)

在大多數(shù)配置中，堡壘主機(jī)可與某些內(nèi)部主機(jī)有特殊的交互。例如，堡壘主機(jī)可傳送電子郵件給內(nèi)部主機(jī)的郵件服務(wù)器、傳送Usenet新聞給新聞服務(wù)器、與內(nèi)部域名服務(wù)器協(xié)同工作等。這些內(nèi)部主機(jī)其實(shí)是有效的次級(jí)堡壘主機(jī)，對(duì)它們就應(yīng)保護(hù)堡壘主機(jī)一樣加以保護(hù)。我們可以在它的上面多放一些服務(wù)，但對(duì)它們的配置必須遵循與堡壘主機(jī)一樣的過程。

以上是關(guān)于建立堡壘主機(jī)的介紹