Un bastion host è il volto pubblico di un sistema informatico interno o di una rete a Internet e viene utilizzato per proteggere i dati sensibili o privati e le reti interne. È uno o più computer, a seconda delle dimensioni del sistema e della complessità dei protocolli di sicurezza, che viene designato come l’unico computer host che può essere indirizzato direttamente da una rete pubblica. Gli host Bastion sono progettati specificamente per proteggere il resto della rete di computer dall’esposizione ad attacchi o altre violazioni della sicurezza dall’esterno. Il bastion host non è un computer generico ma, invece, è un computer specifico che deve essere configurato in modo specifico per resistere agli attacchi esterni.
In genere, un amministratore di rete configurerà un bastion host per avere solo una singola applicazione, come un server proxy, sulla macchina, perché è completamente esposto a reti diffidenti più grandi come Internet. Tutte le altre applicazioni, servizi, programmi, protocolli e porte di rete non necessari vengono rimossi o disabilitati in modo da ridurre le minacce al bastion host. Anche con host affidabili all’interno della rete di computer, i bastion host non condivideranno i servizi di autenticazione. Questo viene fatto in modo che, anche se il bastione è compromesso, un intruso non otterrà ulteriore accesso al sistema che il bastione è stato progettato per proteggere.
Per essere utile, un bastion host deve avere un certo livello di accesso da reti esterne ma, allo stesso tempo, questo accesso lo rende particolarmente vulnerabile agli attacchi. Per ridurre al minimo la vulnerabilità, viene effettuato un rafforzamento in modo da limitare le possibili modalità di attacco. Un amministratore di rete, come parte del processo di rafforzamento, farà cose come rimuovere o disabilitare gli account utente non necessari, bloccare gli account root o amministratore, chiudere le porte che non vengono utilizzate e configurare la registrazione per includere la crittografia quando si accede al server. Il sistema operativo verrà aggiornato con gli ultimi aggiornamenti di sicurezza e sul bastion host potrebbe essere eseguito anche un sistema di rilevamento delle intrusioni.
I bastion host vengono utilizzati per servizi quali hub di posta, hosting di siti Web, server FTP (file transfer protocol) e gateway firewall. Un amministratore di rete potrebbe anche utilizzare questo tipo di host come server proxy, server VPN (Virtual Private Network) o server Ssystem (DNS) del nome di dominio. Il nome “bastione” è preso dalla storia medievale. Per una maggiore protezione, furono costruite fortezze con sporgenze, dette bastioni, che permettevano agli uomini di ammassarsi dietro di esse e scagliare frecce contro gli assalitori da una posizione di maggiore sicurezza.