Windows 2003安全之强化堡垒主机(1)

　　本章集中讨论了在企业环境中强化堡垒主机的问题。堡垒主机是一台既安全但是又允许公众访问的计算机。堡垒主机位于周边网络（也就是大家熟知的DMZ、非军事化区域或者受屏蔽子网）面向公众的一侧。堡垒主机不受防火墙或过滤路由器的保护，因此它被完全暴露在攻击中。因此，我们必须花大力气来设计和配置堡垒主机，将其可能遭受攻击的机会减至最少。

　　堡垒主机通常被用作Web服务器、域名系统（DNS）服务器、文件传输协议（FTP）服务器、简单邮件传输协议（SMTP）服务器及网络新闻传输协议（NNTP）服务器等。理想情况下，堡垒主机应该只执行这些服务中的某一个功能，因为它扮演的角色越多，出现安全漏洞的可能性就越大。而在一台堡垒主机上只对一个服务的安全进行维护则较为容易一些。能够在多项堡垒主机业务上投入资金的企业必将从此类网络体系中获益匪浅。

　　安全的堡垒主机的配置与一般主机有很大区别。所有不必要的服务、协议、程序和网络接口都应该被禁用或删除，而且，每个堡垒主机通常被配置成只承担一个角色。按照此方式经过加强的堡垒主机可以免遭某些类型攻击的威胁。

　　本章下面部分将详细叙述可以在不同环境中最有效保护堡垒主机的各种安全加固设置

　　堡垒主机本地策略

　　与本指南前面所述的应用组策略的其它服务器不同，组策略不能应用到堡垒主机服务器，这是因为它们被配置为独立主机，不属于Microsoft? Active Directory? 域。由于它们高度暴露给外界，所以在本指南所定义的三个环境中，只为堡垒主机服务器提供了一些基本的指导。下面所描述的安全设置建立在第3章“创建成员服务器基线”为高安全性环境提供的成员服务器基线策略（MSBP）基础之上。这些设置包含在一个安全模板中，此模板必须应用到每个堡垒主机的“堡垒主机本地策略（BHLP）”。

　　应用堡垒主机本地策略

　　本指南提供的High Security – Bastion Host.inf文件可以用来配置BHLP。它能够启用一台SMTP堡垒主机正常工作所需的服务。应用High Security – Bastion Host.inf可以增强服务器的安全性，因为它减少了堡垒主机的攻击表面，但是您将无法对堡垒主机进行远程管理。您必须对BHLP进行一些修改才能实现更多的功能或增加堡垒主机的可管理性。

　　为了应用安全模板中的所有安全设置，必须使用“安全配置和分析”管理单元，而不是“本地计算机策略”管理单元。使用“本地计算机策略”管理单元导入安全模板是不可能的，这是因为用于系统服务的安全设置无法在此管理单元中应用。