在準備和建立一個防火墻設(shè)備時要高度重視。以前，堡壘主機這個術(shù)語是指所有直接連入公網(wǎng)的設(shè)備�，F(xiàn)在，它經(jīng)常汲及到的是防火墻設(shè)備。堡壘主機可以是三種防火墻中的任一種類型：包過濾，電路級網(wǎng)關(guān)，應(yīng)用級網(wǎng)關(guān)。

　　當建設(shè)你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的設(shè)備。當Internet用戶企圖訪問你網(wǎng)絡(luò)上的資源時，首先進入的機器就是堡壘主機。因為堡壘主機是直接連接到Internet上的，其上面的所有信息都暴露在公網(wǎng)之上。這種高度地暴露規(guī)定了硬件和軟件的配置。堡壘主機就好像是在軍事基地上的警衛(wèi)一樣。警衛(wèi)必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什么地方。警衛(wèi)還經(jīng)常準備好強制阻止進入。同樣地，堡壘主機必須檢查所有進入的流量并強制執(zhí)行在安全策略里所指定的規(guī)則。它們還必須準備好對付從外部來的攻擊和可能來自內(nèi)部的資源。堡壘主機還有日志記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會采取行動。

　　設(shè)計規(guī)則

　　當構(gòu)造防火墻設(shè)備時，經(jīng)常要遵循下面兩個主要的概念。第一，保持設(shè)計的簡單性。第二，要計劃好一旦防火墻被滲透應(yīng)該怎么辦。

　　保持設(shè)計的簡單性

　　一個黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機的建立只需提供防火墻功能。在防火墻主機上不要安裝像WEB服務(wù)的應(yīng)用程序服務(wù)。要刪除堡壘主機上所有不必需的服務(wù)或守護進程。在堡壘主機上運行少量的服務(wù)給潛在的黑客很少的機會穿過防火墻。

　　安排事故計劃

　　如果你已設(shè)計好你的防火墻性能，只有通過你的防火墻才能允許公共訪問你的網(wǎng)絡(luò)。當設(shè)計防火墻時安全管理員要對防火墻主機崩潰或危及的情況作出計劃。如果你僅僅是用一個防火墻設(shè)備把內(nèi)部網(wǎng)絡(luò)和公網(wǎng)隔離開，那么黑客滲透進你的防火墻后就會對你內(nèi)部的網(wǎng)絡(luò)有著完全訪問的權(quán)限。為了防止這種滲透，要設(shè)計幾種不同級別的防火墻設(shè)備。不要依賴一個單獨的防火墻保護惟獨的網(wǎng)絡(luò)。如果你的安全受到損害，那你的安全策略要確定該做些什么。采取一些特殊的步驟，包括

　　· 創(chuàng)建同樣的軟件備份

　　· 配置同樣的系統(tǒng)并存儲到安全的地方

　　· 確保所有需要安裝到防火墻上的軟件都容易，這包括你要有恢復(fù)磁盤。

　　堡壘主機的類型

　　當創(chuàng)建堡壘主機時，要記住它是在防火墻策略中起作用的。識別堡壘主機的任務(wù)可以幫助你決定需要什么和如何配置這些設(shè)備。下面將討論三種常見的堡壘主機類型。這些類型不是單獨存在的，且多數(shù)防火墻都屬于這三類中的一種。

　　單宿主堡壘主機

　　單宿主堡壘主機是有一塊網(wǎng)卡的防火墻設(shè)備。單宿主堡壘主機通常是用于應(yīng)用級網(wǎng)關(guān)防火墻。外部路由器配置把所有進來的數(shù)據(jù)發(fā)送到堡壘主機上，并且所有內(nèi)部客戶端配置成所有出去的數(shù)據(jù)都發(fā)送到這臺堡壘主機上。然后堡壘主機以安全方針作為依據(jù)檢驗這些數(shù)據(jù)。這種類型的防火墻主要的缺點就是可以重配置路由器使信息直接進入內(nèi)部網(wǎng)絡(luò)，而完全繞過堡壘主機。還有，用戶可以重新配置他們的機器繞過堡壘主機把信息直接發(fā)送到路由器上。