Отношения между хозяином бастиона и хозяином прыжка

13

В чем различия / сходство между «бастионным хостом» и «прыжковым хостом»? Они обычно используются взаимозаменяемо?

kolistivra
источник

Ответы:

12

Бастион хост - машина , которая находится за пределами вашей зоны безопасности.
И, как ожидается, будет слабым местом и нуждается в дополнительных соображениях безопасности.

Поскольку ваши устройства безопасности технически находятся за пределами вашей зоны безопасности, брандмауэры и устройства безопасности также рассматриваются в большинстве случаев как хосты Bastion.

Обычно мы говорим о:

  • DNS-серверы
  • FTP серверы
  • VPN-серверы

Перейти Сервер предназначен нарушить зазор между двумя зонами безопасности.

Предполагаемая цель здесь - иметь шлюз для доступа к чему-либо внутри зоны безопасности, из DMZ.
Основная причина, по которой я видел это, заключается в том, чтобы убедиться, что один известный вход на конкретный сервер, который должен быть доступен извне, обновлен и известен по своему назначению только как подключение к (а) конкретный хост (ы).

Обычно это усиленная коробка Linux, используемая только для SSH.

Reaces
источник
Разница кажется незначительной - разве VPN-сервер не предназначен для преодоления разрыва между двумя зонами безопасности? Эта статья, кажется, подразумевает, что хост перехода является типом хоста бастиона.
jhfrontz
1
@jhfrontz Основное различие, насколько я понимаю и использую его, заключается в том, что для удаленного доступа используется хост перехода. И хозяева Бастион предлагают услуги, которые должны выходить в Интернет. Посмотрите на прыжковых хозяев в качестве пограничников, а бастионных хозяев в качестве окна кассира в банке. Вы можете получить услуги у кассира, но у вас нет доступа к банку. С другой стороны, после прохождения пограничного пункта вы находитесь внутри страны.
Reaces
Я понимаю, как два других сервера (DNS и FTP) соответствуют аналогии с кассиром, но я подумал, что VPN-сервер был указан в качестве примера хоста-бастиона - я думал, что VPN-сервер предназначен для предоставления удаленного доступа (т. Е. пограничник). Или это предположение, что VPN-соединение является «услугой» (и что подключение к точкам внутренней сети может быть ограничено) по сравнению с доступом?
Jhfrontz
2
@jhfrontz Причина в том, что сервер vpn не тот, к которому вы подключаетесь. Он создает туннель, с которым вы соединяетесь. Но вы, как правило, не используете ssh в своем брандмауэре с поддержкой vpn :)
Reaces