ความสัมพันธ์ระหว่างโฮสต์ป้อมปราการและกระโดดโฮสต์

อะไรคือความแตกต่าง / ความคล้ายคลึงกันระหว่าง "host bastion" และ "jump host"? พวกเขามักจะใช้แทนกันได้?

firewall proxy bastion

โฮสต์ Bastionเป็นเครื่องที่อยู่นอกโซนความปลอดภัยของคุณ
และคาดว่าจะเป็นจุดอ่อนและต้องการการพิจารณาความปลอดภัยเพิ่มเติม

เนื่องจากอุปกรณ์ความปลอดภัยของคุณอยู่นอกเขตรักษาความปลอดภัยของคุณไฟร์วอลล์และอุปกรณ์ความปลอดภัยจึงได้รับการพิจารณาในกรณีส่วนใหญ่โฮสต์ Bastion

โดยปกติเรากำลังพูดถึง:

เซิร์ฟเวอร์ DNS
เซิร์ฟเวอร์ FTP
เซิร์ฟเวอร์ VPN

เซิร์ฟเวอร์กระโดดมีจุดมุ่งหมายที่จะทำลายช่องว่างระหว่างสองโซนการรักษาความปลอดภัย

จุดประสงค์ที่ต้องการคือมีเกตเวย์เพื่อเข้าถึงบางสิ่งภายในเขตความปลอดภัยจาก DMZ
เหตุผลหลักที่ฉันเห็นการใช้นี้คือเพื่อให้แน่ใจว่าทางเข้าที่รู้จักไปยังเซิร์ฟเวอร์เฉพาะที่ต้องสามารถเข้าถึงได้จากภายนอกนั้นเป็นข้อมูลที่ทันสมัยและเป็นที่ทราบกันในวัตถุประสงค์ว่าต้องเชื่อมต่อกับ (a) เท่านั้น โฮสต์ที่เฉพาะเจาะจง

ปกติแล้วนี่จะเป็นกล่อง Linux ที่ชุบแข็งใช้สำหรับ SSH เท่านั้น

— Reaces
แหล่งที่มา

ความแตกต่างนั้นดูบอบบาง - เซิร์ฟเวอร์ VPN ไม่ได้ตั้งใจจะละเมิดช่องว่างระหว่างสองโซนความปลอดภัยหรือไม่ บทความนี้ดูเหมือนจะบอกเป็นนัยว่าโฮสกระโดดเป็นประเภทของโฮสต์ป้อมปราการ

— jhfrontz

@ jhfrontz ความแตกต่างหลักที่ฉันเข้าใจและใช้มันคือ jump host ใช้สำหรับการเข้าถึงระยะไกล และ Bastion โฮสต์ให้บริการที่ต้องเผชิญกับอินเทอร์เน็ต มองไปที่ไพร่พลกระโดดเป็นทหารรักษาการณ์ชายแดนและกองทัพป้อมปราการเป็นหน้าต่างฝากเงินที่ธนาคาร คุณสามารถรับบริการจากพนักงานรับเงิน แต่คุณไม่สามารถเข้าถึงธนาคารได้ ในทางกลับกันเมื่อผ่านด่านชายแดนคุณอยู่ในประเทศ

— Reaces

ฉันเข้าใจว่าอีกสอง (DNS และเซิร์ฟเวอร์ FTP) สอดคล้องกับ teller analogy แต่ฉันคิดว่าเซิร์ฟเวอร์ VPN ถูกแสดงเป็นตัวอย่างของโฮสต์ bastion - ฉันคิดว่าเซิร์ฟเวอร์ VPN สำหรับการเข้าถึงระยะไกล (เช่น ผู้พิทักษ์ชายแดน) หรือข้อเสนอแนะว่าการเชื่อมต่อ VPN เป็น "บริการ" (และการเชื่อมต่อกับจุดบนเครือข่ายภายในอาจถูก จำกัด ) หรือการเข้าถึง?

— jhfrontz

@jhfrontz เหตุผลที่นี่คือเซิร์ฟเวอร์ vpn ไม่ใช่สิ่งที่คุณเชื่อมต่อ มันสร้างอุโมงค์ที่คุณใช้เชื่อมต่อด้วย แต่คุณมักไม่ SSH เข้า VPN ของคุณเปิดใช้งานไฟร์วอลล์ :)

— Reaces