堡壘主機是旨在抵御攻擊的計算機。它托管一個單一的應用程序，例如代理服務器，它充當內部網絡和 Internet 之間的網關。堡壘主機可以擊退攻擊，因為它只運行應用程序，同時刪除或減少所有其他服務。它具有更嚴格的安全性，因為它通常位于防火墻內部或外部。因此，即使不受信任的計算機或網絡可以訪問它，也不會將內部網絡中的其他系統置于危險之中。堡壘主機通常被定制來保護內部網或內部網絡。它位于網絡之外，僅作為從內到外的通信線路。在堡壘主機充當蜜罐的情況下，它會吸引攻擊，因此可以追蹤并阻止攻擊的來源。

堡壘主機的類型

堡壘主機可以有多種類型，例如：

• 域名系統 (DNS) 服務器
• 電子郵件服務器
• 文件傳輸協議 (FTP) 服務器
• 蜜罐
• 代理服務器
• 虛擬專用網絡 (VPN) 服務器
• 網絡服務器

堡壘主機如何工作

每個不會影響堡壘主機運行方式的網絡服務都被禁用。它所做的唯一一件事就是允許內部計算機訪問 Internet。因此，堡壘主機沒有用戶帳戶。這樣，沒有人可以登錄并控制它以訪問內部網。甚至允許計算機遠程訪問網絡中文件的網絡文件系統 (NFS) 也應該禁用，這樣入侵者就無法使用堡壘主機從 Intranet 中提取數據。放置堡壘主機的最佳位置是它自己的子網或 Intranet 防火墻上的自己的網絡。即使它被黑客入侵，也不會損害其他內網資源。

堡壘主機記錄所有活動，因此網絡管理員可以判斷 Intranet 是否受到攻擊。他們通常保留兩份系統日志。這樣，如果一個被破壞或篡改，另一個仍然可以作為備份。保存日志安全副本的一種方法是通過串行端口將堡壘服務器連接到專用計算機，其唯一目的是跟蹤安全備份日志。堡壘主機有一個自動監視器或一個復雜的程序，可以定期檢查其系統日志，并在發現可疑模式時發送警報。一個例子是有人嘗試超過三個不成功的登錄。用戶可以在堡壘主機和 Intranet 之間放置一個過濾路由器，以提高安全性。過濾路由器可以檢查 Internet 和 Intranet 之間的所有數據包，同時丟棄未經授權的流量。

總之，堡壘主機不允許直接訪問和從 Intranet 訪問 Internet。連接到內網的計算機每次訪問 Internet 時，都會向堡壘主機發送請求。然后堡壘主機得到結果。這些結果會通過防火墻，防火墻會檢查它們是否可以安全地發送到內部網連接的系統。只有當數據通過安全檢查時，請求它的計算機才能得到它。從某種意義上說，沒有任何內部 IP 地址顯示在網絡外部。任何外部用戶都只會找到堡壘主機的IP地址，為內網增加了一層保護。