保持设计的简单性。一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注

意的组件。建立你的堡垒主机时要尽可能使用较小的组件，无论硬件还是软件。堡垒主机

的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删

除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客

很少的机会穿过防火墙。

安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安

全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭

到破坏、更改、显露，系统能连续正常运行。”

从技术讲，计算机安全分为3种：

1.实体的安全。它保证硬件和软件本身的安全。

2.运行环境的安全性。它保证计算机能在良好的环境里持续工作。

3.信息的安全性。它保障信息不会被非法阅读、修改和泄漏。

随着网络的发展，计算机的安全问题也延伸到了计算机网络。面对这一系列的安全

性问题的解决，我们就要采用防火墙来进行抵御。然而最简单的防火墙配置，就是直接在

内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时

还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置

方案。

1.双宿主机网关Dual Homed Gateway

这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适

配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件通常是代理服务器，可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主

机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络

2.屏蔽主机网关Screened Host Gateway

屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主

机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒

主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立

过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网

络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽

主机和路由器访问Internet。

双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。