Um Bastion Host é o termo aplicado a um host que age como um choke-point entre a sua rede e a Internet, ou entre subredes da Intranet. Ele pode ser associado de várias maneiras à entrada de um edifício - todos devem passar por aquele ponto tanto para entrar quanto para sair do edifício. Para um Bastion Host que está conectado à Internet, maior atenção deve ser dada à segurança - é o ponto mais exposto e, por essa razão, deve ser o mais forte.

O Bastion Host seria o ponto de entrada, tipicamente dos seguintes serviços:

• Sessões de E-mail que estejam chegando (SMTP) e distribuí-las para o site;
• Requisões de FTP para o servidor de FTP anônimo;
• Para consultas ao servidor de DNS interno.

Serviços para redes externas, podem ser tratadas de uma das maneiras seguintes:

• Configuração de Packet Filtering nos roteadores externo e interno para permitir que clientes externos acessem servidores externos diretamente;
• Configurar servidores proxy para rodarem no Bastion Host (se o firewall da rede estiver configurado para tal) para permitir que clientes internos acessem servidores externos indiretamente. O Packet Filtering pode ser configurado para permitir também que clientes internos comuniquem com os servidores proxy no Bastion Host e vice-versa, mas para proibir que haja comunicação direta entre os clientes internos e o mundo exterior.

Em um outro caso, o Packet Filtering permite que o Bastion Host se conecte e aceite conexões de hosts na Internet; quais hosts e quais serviços devem ser aceitos, depende da política de segurança.

Muito do papel do Bastion Host consiste em atuar como um servidores proxy para vários serviços, tanto rodando software proxy especializado para alguns protocolos (tais como HTTP ou FTP), ou através de servidores padrão de protocolos self-proxy (como o SMTP).

Quando um Bastion Host é necessário

A decisão de colocar ou não um bastion host depende de quais serviços serão requisitados ao seu firewall e de quanto as organizações confiam umas nas outras. Bastion hosts na rede limítrofes são raramente requeridos para comunicações com produtos comerciais; usualmente, os dados estão sendo enviados obedecendo a um protocolo particular e pode protegê-los com um Screened Host.

Se as organizações onde as redes a serem ligadas possuem razoável grau de confiança umas nas outras, torna-se mais razoável utilizar Packet Filters de tal forma que os clientes do outro lado da rede possam conectar aos servidores internos (tais como os servidores de SMTP e DNS) diretamente.

Por outro lado, se o grau de confiança entre as organizações não é muito elevado, um Bastion host pode ser colocado em cada lado da rede, com controle e gerência próprios, na rede limítrofe. O tráfego de dados iria fluir de uma rede até o seu Bastion Host, para o outro Bastion Host e finalmente para a outra rede interna.