堡壘主機是一臺完全暴露給外網攻擊的主機。它沒有任何防火墻或者包過慮路由器設備保護。堡壘主機執行的任務對于整個網絡安全系統至關重要。事實上,防火墻和包過濾路由器也可以被看作堡壘主機。由于堡壘主機完全暴露在外網安全威脅之下,需要做許多工作來設計和配置堡壘主機,使它遭到外網攻擊成功的風險性減至最低。其他類型的堡壘主機包括:Web,Mail,DNS,FTP服務器。一些網絡管理員會用堡壘主機做犧牲品來換取網絡的安全。這些主機吸引入侵者的注意力,耗費攻擊真正網絡主機的時間并且使追蹤入侵企圖變得更加容易。
有效的堡壘主機配置與典型主機配置非常不同。在堡壘主機上,所有不是必需的服務、協議、程序和網絡的端口都被刪除或者禁用。堡壘主機和內網信任主機之間并不共享認證服務,是為了如果堡壘主機被攻破,入侵者也無法利用堡壘主機攻擊內網。堡壘主機被加固用來阻止潛在可能的攻擊。對特定的堡壘主機進行加固的步驟取決于堡壘主機的工作和在其上運行的操作系統及其他軟件。加固工作將會更改服務控制列表;不需要的TCP和UDP端口將被禁用;并不重要的服務和守護程序也會被刪除。所有最新的補丁程序應該及時加載。記錄所有安全事件的安全日志應該啟動,而且確保日志文件完整性的安全的工作要做好,用來保證入侵者不會抹掉自己入侵的記錄。所有用戶的帳號和密碼庫應該被加密保存。
最后需要做的工作是要保證網絡應用程序的正常運行。由于應用程序開發商在開發程序時沒有考慮程序的安全風險,所以給網絡管理員的安全保障工作帶來困難。網絡管理員應隨時注意應用程序開發商發表的安全公告、安全補丁,來保證網絡服務程序的正常運行。
| 
當前位置:
