什么是堡垒主机?

• 堡垒主机是主机上的专用计算机，该主机经过设计和配置可抵御攻击。
• 该计算机承载单个应用程序，例如代理服务器，并且所有其他服务都已删除，以减少对计算机的威胁。
• 堡垒主机由于其位置和用途而得到加强，它位于防火墙外部或非军事区(即公共子网)的外部，并且通常从不受信任的网络或计算机访问。

堡垒主机的体系结构

在上面的架构中，我们有公共子网和私有子网。 NAT实例存在于安全组后面，而NAT网关存在于安全组之后，因为NAT实例配置了安全组，而NAT网关不需要任何安全组，因此也是冗余的。当专用子网中的实例要访问Internet时，它们可以通过NAT实例或NAT网关来访问。现在，如果我们要管理环境，通常会发生什么?我们有SSH或RDP，其中SSH用于Linux，RDP用于Windows。它正在通过Internet网关，路由器，路由表，网络ACL，安全组，最后到达堡垒服务器。堡垒服务器通过SSH或RDP创建到私有EC2实例的连接。我们需要强化Basten主机并尽可能强地强化Basten主机，那么只要强化Bastion主机，我们就不必担心会强化我们的实例。硬化堡垒主机会减少我们要硬化的表面积。

与堡垒主机有关的一些关键点

• Bastion Host在公共子网中启动，并充当私有子网中实例的代理。
• 它通过减少对基础架构的攻击来提供安全性。
• 堡垒主机用于通过SSH或RDP安全地管理EC2实例。在澳大利亚，堡垒主机也被称为跳箱。
• 您不能将NAT网关用作堡垒主机。如果通过SSH或RDP到专用子网中的实例，则需要配置堡垒主机。您不能使用NAT网关。