浅谈堡垒机的由来

堡垒机现身企业内控运维安全"终结者"。
堡垒机，听起来就是一个够酷的名字，有用户笑言，听着名儿就觉着安全，就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。那么，作为内网安全的"终结者",堡垒机究竟是个什么摸样。所谓"堡垒主机"（简称"堡垒机"），就是一种被强化的可以防御进攻的计算机，具备很强安全防范能力。“堡垒主机"这个词是有专门含义的概念，最初由美国Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。他提出堡垒主机"是一个系统，作为网络安全的一个关键点，它由防火墙管理员来标识”,“堡垒主机需要格外的注意自己的安全性，需要定期的审核，并拥有经过修改的软件”.通常，堡垒主机是一台独立应用的主机。（这有点类似单用户的单机操作），它有极大的价值，可能蕴含着用户的敏感信息，经常提供重要的网络服务；大部分时候它被防火墙保护，有的则直接裸露在外部网络中。其所承担的服务大都极其重要，如银行、证券、政府单位用来实现业务、发布信息的平台。"堡垒主机"的工作特性要求达到高安全性。
早期堡垒主机，通常是指这样一类提供特定网络或应用服务的计算机设备，其自身相对安全并可以防御一定程度的攻击。作为安全但可公开访问的计算机，堡垒主机通常部署于外围网络（也称为DMZ、网络隔离区域或屏蔽子网）面向公众的一端。这类堡垒主机不受防
火墙或过滤路由器的保护，因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服务器、域名系统（DNS）服务器或文件传输（FTP）服务器等。通过将这些将必须开放的服务部署在堡垒主机而不是内部网络中，可以换取内部网络的安全。因为这些主机吸引了入侵者的注意力，也就相应地减少了内部网络遭受安全攻击的可能性和随之带来的风险。
堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说，堡垒主机往往仅提供极少的必要的服务，以期减少自身的安全漏洞。
另外一些可以提高自身安全性的手段则包括：采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。