安全在所有部门都起着重要作用。当用户使用任何服务时，其关注的是在共享该服务中的数据时应保护其数据。用户使用某些服务时，总是有可能发生某些恶意攻击或威胁。尽管亚马逊能够为其服务提供出色的安全性。亚马逊建议使用SSH或RDP为实例和服务提供更高的安全性。 Bastion Host是AWS提供的服务之一，以避免不必要地在互联网上公开用户的数据。堡垒主机加强了对资源，网关，实例等的访问。借助SSH或RDP协议可以访问这些主机。

什么是堡垒主机?

堡垒主机是专用服务器或实例，用于配置为抵御攻击或威胁。它也被称为“跳箱”，其作用类似于代理服务器，并允许客户端计算机连接到远程服务器。它基本上是专用子网和Internet之间的网关。它允许用户从外部网络连接专用网络并充当其他实例的代理。

为什么要使用堡垒主机?

可以假设您的公共网络中存在实例集群，以此来解释完整的场景。公共云使您可以创建云的某些私有或隔离部分，用户可以使用它们来启动其他服务，这些服务称为VPC(虚拟专用网络)。因此，用户希望为您的VPC不安全环境创建媒介或通信渠道。因此，您可以通过多种方法来执行此操作。您可能要使用的第一个决定是提供一个外部IP地址。您可以为某些服务分配一个外部IP地址，以通过Internet进行访问。但是某些用户可能不想使用外部IP地址，而希望使用SSH工具来提高安全性以连接到VPC。因此，现在，如果您不为它提供外部IP地址，那么备用方案就是在网络上创建另一个实例，该实例成为Internet专用网络的网关。它充当入站连接的可信中继。此实例称为堡垒服务。

堡垒主机如何工作?

堡垒主机基本上提供了一个进入专用网络的入口，该专用网络将连接到外部网络，以防止受到攻击。堡垒主机同时具有内部和外部IP地址。如果用户要在不使用外部IP地址的情况下连接内部实例，则它可以连接到Bastion主机，然后从该Bastion主机连接到您的内部实例。使用Bastion服务时，您必须先登录到Bastion主机，然后再定向到私有实例。下图可以说明其实际工作方式。

以下内容描述了堡垒主机的体系结构。如果用户具有预先存在的AWS基础架构，则部署Bastion主机将变得更加容易。

• 要求配置VPC时，它既要有公共子网又要有私有子网，它们可以在AWS基础设施上为用户提供自己的虚拟网络。
• 需要网关充当互联网访问的桥梁。它允许堡垒主机接收和发送专用网络的流量。
• 可以跨越两个可用区的体系结构。
• 需要一个Amazon EC2自动扩展实例集群。
• 要求弹性IP地址的数量与堡垒主机实例的数量相匹配。
• 为了存储堡垒主机外壳日志的历史记录，还需要Amazon Cloudwatch。
• 安全组在维护安全性方面起着至关重要的作用，并考虑了堡垒主机完全不会发生故障的因素。创建安全组是为了允许用户将堡垒主机连接到私有实例。

最佳做法：

默认情况下，堡垒主机使用私钥进行身份验证，因此用户必须保留私钥的副本，但是不建议这样做，因为堡垒主机受到了威胁。强烈建议使用SSH代理转发，而不要使用堡垒主机上目标计算机的私钥。如果用户使用相同的密钥对，则还建议对堡垒实例和目标实例使用相同的密钥对。用户应注意加强堡垒主机安全性的另一件事。它仅应处理必需的软件包和安装，否则应卸载所有其他不必要的软件包。另外，请记住，堡垒主机已部署在公共网络中。