Un host bastión es la cara pública de un sistema informático interno o una red de Internet y se utiliza para proteger datos confidenciales o privados y redes internas. Es una computadora o más, dependiendo del tamaño del sistema y la complejidad de los protocolos de seguridad, la que se designa como la única computadora host que se puede direccionar directamente desde una red pública. Los hosts de bastión están diseñados específicamente para evitar que el resto de la red informática esté expuesta a ataques u otras violaciones de seguridad desde el exterior. El host bastión no es una computadora de propósito general, sino que es una computadora de propósito especial que debe configurarse específicamente para resistir ataques externos.
Por lo general, un administrador de red configurará un host bastión para que tenga solo una aplicación, como un servidor proxy, en la máquina, porque está completamente expuesto a redes de mayor desconfianza como Internet. Todas las demás aplicaciones, servicios, programas, protocolos y puertos de red innecesarios se eliminan o desactivan de tal manera que se reducen las amenazas al host bastión. Incluso con hosts confiables dentro de la red informática, los hosts bastión no compartirán los servicios de autenticación. Esto se hace para que, incluso si el bastión está comprometido, un intruso no obtenga más acceso al sistema para el que el bastión fue diseñado para proteger.
Para que sea útil, un host bastión debe tener cierto nivel de acceso de redes externas pero, al mismo tiempo, este acceso lo hace especialmente vulnerable a los ataques. Para minimizar la vulnerabilidad, el endurecimiento se realiza de modo que las posibles formas de ataque sean limitadas. Un administrador de red, como parte del proceso de refuerzo, hará cosas como eliminar o deshabilitar las cuentas de usuario innecesarias, bloquear las cuentas de administrador o raíz, cerrar los puertos que no se utilizan y configurar el registro para incluir cifrado al iniciar sesión en el servidor. El sistema operativo se actualizará con las últimas actualizaciones de seguridad y es posible que también se ejecute un sistema de detección de intrusos en el host bastión.
Los hosts bastión se utilizan para servicios como concentradores de correo, alojamiento de sitios web, servidores de protocolo de transferencia de archivos (FTP) y puertas de enlace de firewall. Un administrador de red también puede utilizar este tipo de host como servidor proxy, servidor de red privada virtual (VPN) o servidor de sistema de nombre de dominio (DNS). El nombre «bastión» se toma de la historia medieval. Para una mayor protección, se construyeron fortalezas con proyecciones, llamadas bastiones, que permitían a los hombres agruparse detrás de ellas y disparar flechas a los atacantes desde una posición de mayor seguridad.