建立一個防火墻
在準備和建立一個防火墻設備時要高度重視。以前，堡壘主機這個術語是指所有直接連入公網(wǎng)的設備。現(xiàn)在，它經(jīng)常汲及到的是防火墻設備。堡壘主機可以是三種防火墻中的任一種類型:包過濾，電路級網(wǎng)關，應用級網(wǎng)關。
當建設你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的設備。當Internet用戶企圖訪問你網(wǎng)絡上的資源時，首先進入的機器就是堡壘主機。因為堡壘主機是直接連接到Internet上的，其上面的所有信息都暴露在公網(wǎng)之上。這種高度地暴露規(guī)定了硬件和軟件的配置。堡壘主機就好像是在軍事基地上的警衛(wèi)一樣。警衛(wèi)必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什么地方。警衛(wèi)還經(jīng)常準備好強制阻止進入。同樣地，堡壘主機必須檢查所有進入的流量并強制執(zhí)行在安全策略里所指定的規(guī)則。它們還必須準備好對付從外部來的攻擊和可能來自內部的資源。堡壘主機還有日志記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會采取行動。
設計規(guī)則
當構造防火墻設備時，經(jīng)常要遵循下面兩個主要的概念。第一，保持設計的簡單性。第二，要計劃好一旦防火墻被滲透應該怎么辦。
保持設計的簡單性
一個黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機的建立只需提供防火墻功能。在防火墻主機上不要安裝像WEB服務的應用程序服務。要刪除堡壘主機上所有不必需的服務或守護進程。在堡壘主機上運行少量的服務給潛在的黑客很少的機會穿過防火墻。
安排事故計劃
如果你已設計好你的防火墻性能，只有通過你的防火墻才能允許公共訪問你的網(wǎng)絡。當設計防火墻時安全管理員要對防火墻主機崩潰或危及的情況作出計劃。如果你僅僅是用一個防火墻設備把內部網(wǎng)絡和公網(wǎng)隔離開，那么黑客滲透進你的防火墻后就會對你內部的網(wǎng)絡有著完全訪問的權限。為了防止這種滲透，要設計幾種不同級別的防火墻設備。不要依賴一個單獨的防火墻保護惟獨的網(wǎng)絡。如果你的安全受到損害，那你的安全策略要確定該做些什么。采取一些特殊的步驟，包括
◆創(chuàng)建同樣的軟件備份
◆ 配置同樣的系統(tǒng)并存儲到安全的地方
◆ 確保所有需要安裝到防火墻上的軟件都容易，這包括你要有恢復磁盤。
堡壘主機的類型
當創(chuàng)建堡壘主機時，要記住它是在防火墻策略中起作用的。識別堡壘主機的任務可以幫助你決定需要什么和如何配置這些設備。下面將討論三種常見的堡壘主機類型。這些類型不是單獨存在的，且多數(shù)防火墻都屬于這三類中的一種。
單宿主堡壘主機
單宿主堡壘主機是有一塊網(wǎng)卡的防火墻設備。單宿主堡壘主機通常是用于應用級網(wǎng)關防火墻。外部路由器配置把所有進來的數(shù)據(jù)發(fā)送到堡壘主機上，并且所有內部客戶端配置成所有出去的數(shù)據(jù)都發(fā)送到這臺堡壘主機上。然后堡壘主機以安全方針作為依據(jù)檢驗這些數(shù)據(jù)。這種類型的防火墻主要的缺點就是可以重配置路由器使信息直接進入內部網(wǎng)絡，而完全繞過堡壘主機。還有，用戶可以重新配置他們的機器繞過堡壘主機把信息直接發(fā)送到路由器上。
雙宿主堡壘主機
雙宿主堡壘主機結構是圍繞著至少具有兩塊網(wǎng)卡的雙宿主主機而構成的。雙宿主主機內外的網(wǎng)絡均可與雙宿主主機實施通信，但內外網(wǎng)絡之間不可直接通信，內外部網(wǎng)絡之間的數(shù)據(jù)流被雙宿主主機完全切斷。雙宿主主機可以通過代理或讓用戶直接注冊到其上來提供很高程度的網(wǎng)絡控制。它采用主機取代路由器執(zhí)行安全控制功能，故類似于包過濾防火墻。雙宿主機即一臺配有多個網(wǎng)絡接口的主機，它可以用來在內部網(wǎng)絡和外部網(wǎng)絡之間進行尋址。當一個黑客想要訪問你內部設備時，他 (她)必須先要攻破雙宿主堡壘主機，這有希望讓你有足夠的時間阻止這種安全侵入和作出反應。
單目的堡壘主機
單目的堡壘主機既可是單堡壘也可是多堡壘主機。經(jīng)常，根據(jù)公司的改變，需要新的應用程序和技術。很多時候這些新的技術不能被測試并成為主要的安全突破口。你要為這些需要創(chuàng)建特定的堡壘主機。在上面安裝未測試過的應用程序和服務不要危及到你的防火墻設備。使用單目的堡壘主機允許你強制執(zhí)行更嚴格的安全機制。舉個例子，你的公司可能決定實施一個新類型的流程序，假設公司的安全策略需要所有進出的流量都要通過一個代理服務器送出，你要為這個表的流程序單獨地創(chuàng)建一個新代理服務器。在這個新的代理服務器上，你要實施用戶認證和拒絕IP地址。使用這個單獨的代理服務器，不要危害到當前的安全配置并且你可以實施更嚴格的安全機制如認證。
內部堡壘主機
內部堡壘主機是標準的單堡壘或多堡壘主機存在于公司的內部網(wǎng)絡中。它們一般用作應用級網(wǎng)關接收所有從外部堡壘主機進來的流量。當外部防火墻設備受到損害時提供額外的安全級別。所有內部網(wǎng)絡設備都要配置成通過內部堡壘主機通信，這樣當外部堡壘主機受到損害時不會造成影響。
四種常見的防火墻設計都提供一個確定的安全級別，一個簡單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這四種防火墻的實施都是建立一個過濾的距陣和能夠執(zhí)行和保護信息的點。這四種選擇是:
◆篩選路由器
◆單宿主堡壘主機
◆雙宿主堡壘主機
◆屏蔽子網(wǎng)
篩選路由器的選擇是最簡單的，因此也是最常見的，大多數(shù)公司至少使用一個篩選路由器作為解決方案，因為所有需要的硬件已經(jīng)投入使用。用于創(chuàng)建篩選主機防火墻的兩個選擇是單宿主堡壘主機和雙宿主堡壘主機。不管是電路級還是應用級網(wǎng)關的配置都要求所有的流量通過堡壘主機。最后一個常用的方法是篩選子網(wǎng)防火墻，利用額外的包過濾路由器來達到另一個安全的級別。