防火墙技堡垒主机.pptVIP

5. 堡垒主机(Bastion Host) 堡垒主机的配置 特殊类型的堡垒主机 设计和构筑堡垒主机的原则 建设堡垒主机需要考虑的因素 建立堡垒主机的步骤 运行堡垒主机 堡垒主机的保护与备份 5.1 堡垒主机的配置 防火墙系统中，配置堡垒主机的数量： 一台 多台 配置数量由具体情况决定 使用多台堡垒主机原因 性能 冗余 分离数据或者服务器 性能： 例1： 一台堡垒主机处理提供给内部网用户的服务 一台堡垒主机处理提供给因特网用户的服务 内部网用户不会受外部网用户的活动影响 例2： 多堡垒主机用于同样的服务 需要考虑负载平衡问题 冗余： 一台失败，另一台提供相同服务 分离数据或服务器： 保证安全 例：多台堡垒主机为不同用户提供同样服务，可以实现针对不同用户提供不同的数据 需要保证堡垒主机安全，原因 高度暴露 安全核心，坚固 5.2 特殊类型的堡垒主机 无路由双宿主机 牺牲品主机 内部堡垒主机 无路由双宿主机 本身可以作为一个防火墙，也可以作为一个更复杂的防火墙的一部分 有两个网络接口，但这些接口间没有信息流 牺牲品主机 适用于无论使用代理服务还是数据包过滤都难以保证安全的网络服务，或者一些对其安全性没有把握的服务 其上没有任何需要保护的信息 不与任何入侵者想要利用的主机相连 易于被管理，即使被侵袭也无碍内部网的安全 注意： 用户总是希望在牺牲品主机上存有尽可能多的服务与程序 但是出于安全