什么是堡垒主机？

• 堡垒主机是在主机上配置的特殊用途计算机，旨在抵御攻击。
• 该计算机托管单个应用程序，例如代理服务器，并且删除了所有其他服务以减少对计算机的威胁。
• 由于堡垒主机的位置和用途，堡垒主机得到了强化，它位于防火墙或非军事区（即公共子网）的外部，并且通常从不受信任的网络或计算机访问。

堡垒主机的架构

在上图中，我们有公共子网和私有子网。NAT实例位于安全组后面，NAT网关位于安全组之后，因为NAT实例配置了安全组，而NAT网关不需要任何安全组，并且它是冗余的。当私有子网中的实例想要访问互联网时，它们通过NAT实例或NAT网关来实现。现在，如果我们想管理一个环境，通常会发生什么？我们有SSH或RDP，其中SSH用于Linux，RDP用于windows。它通过互联网网关、路由器、路由表、网络ACL、安全组，最后到达堡垒服务器。堡垒服务器通过SSH或RDP创建到私有EC2实例的连接。我们需要强化堡垒主机，并且尽可能地强化堡垒主机，然后我们就不必担心强化我们的实例，只要堡垒主机得到强化。强化堡垒主机减少了我们想要强化的表面积。

与堡垒主机相关的一些关键点

• 堡垒主机在公共子网中启动，并充当私有子网中实例的代理。
• 它通过减少对您的基础设施的攻击来提供安全性。
• 堡垒主机用于使用SSH或RDP安全地管理EC2实例。堡垒主机在澳大利亚也被称为跳板。
• 您不能将NAT网关用作堡垒主机。如果您通过SSH或RDP连接到私有子网中的实例，则需要配置堡垒主机。您不能使用NAT网关。