堡垒机是面向Internet的内部计算机系统或网络的公共接口,用于保护敏感或私有数据和内部网络。

根据系统的大小和安全协议的复杂性,只有一台或多台计算机被指定为唯一可以从公共网络直接寻址的主机。堡垒机是专门设计来屏蔽计算机网络的其余部分,使其不受来自外部的攻击或其他安全漏洞的影响。

堡垒机不是一种通用的计算机,而是一种特殊用途的计算机,必须专门配置来抵御外部攻击。

通常,网络管理员会将堡垒机配置为计算机上只有一个应用程序(比如代理服务器),所有其他应用程序、不必要的服务、程序、协议和网络端口都被删除或禁用,以减少对堡垒机的威胁。

即使在计算机网络中有可信的主机,堡垒机也不会共享身份验证服务。这样做的目的是,即使堡垒受到破坏,入侵者也不会进一步进入系统。

为了发挥作用,堡垒机必须具有一定程度的外部网络访问,但同时,这种访问使它特别容易受到攻击。为了最小化脆弱性,需要进行强化,以限制可能的攻击方式。

作为加强过程的一部分,网络管理员将执行以下操作:删除或禁用不必要的用户帐户、锁定根帐户或管理员帐户、关闭未使用的端口,并在登录服务器时配置日志记录以包括加密。操作系统将使用最新的安全更新进行更新,并可能在堡垒机上运行入侵检测系统。

堡垒机用于诸如邮件中心、网站托管、文件传输协议(FTP)服务器和防火墙网关等服务。网络管理员也可以使用这种类型的主机作为代理服务器、虚拟专用网(VPN)服务器或域名系统(DNS)服务器。