Bir bastion host, dahili bir bilgisayar sisteminin veya ağın İnternete açık yüzüdür ve hassas veya özel verileri ve dahili ağları korumak için kullanılır. Sistemin büyüklüğüne ve güvenlik protokollerinin karmaşıklığına bağlı olarak, doğrudan kamuya açık bir ağdan adreslenebilen tek ana bilgisayar olarak adlandırılan bir bilgisayar veya daha fazlasıdır. Bastion hostları, bilgisayar ağının geri kalanının dışarıdan gelebilecek saldırı veya diğer güvenlik ihlallerine maruz kalmaması için özel olarak tasarlanmıştır. Temel sunucu, genel amaçlı bir bilgisayar değildir, bunun yerine, dış saldırılara dayanacak şekilde özel olarak yapılandırılması gereken özel amaçlı bir bilgisayardır.
Tipik olarak, bir ağ yöneticisi, bir bastion ana makinesini, makinede bir proxy sunucusu gibi yalnızca tek bir uygulamaya sahip olacak şekilde yapılandıracaktır, çünkü Internet gibi daha büyük güvensiz ağlara tamamen maruz kalmaktadır. Diğer tüm uygulamalar, gereksiz servisler, programlar, protokoller ve ağ portları, temel sunucuya yönelik tehditleri azaltacak şekilde kaldırılır veya devre dışı bırakılır. Bilgisayar ağındaki güvenilir ana bilgisayarlarla bile, ana bilgisayarlar ana kimlik doğrulama hizmetlerini paylaşmaz. Bu, bodrumun bozulmasına rağmen, bir davetsiz misafir bodrumun korumak üzere tasarlandığı sisteme daha fazla erişemeyeceği şekilde yapılır.
Yararlı olması için, bir bastion hostunun dışarıdaki ağlar tarafından bir miktar erişim seviyesine sahip olması gerekir, ancak aynı zamanda, bu erişim özellikle saldırıya açık hale gelir. Hassasiyeti en aza indirmek için, olası saldırı şekillerinin sınırlı olması için sertleştirme yapılır. Bir ağ yöneticisi, sertleştirme işleminin bir parçası olarak, gereksiz kullanıcı hesaplarını kaldırmak veya devre dışı bırakmak, kök veya yönetici hesaplarını kilitlemek, kullanılmayan bağlantı noktalarını kapatmak ve sunucuda oturum açarken şifrelemeyi içerecek şekilde günlüğe kaydetmeyi yapılandırmak gibi işlemleri gerçekleştirir. İşletim sistemi en son güvenlik güncellemeleri ile güncellenecektir ve temel sunucuda bir izinsiz giriş algılama sistemi de çalıştırılabilir.
Bastion ana bilgisayarları posta hub'ları, web sitesi barındırma, dosya aktarım protokolü (FTP) sunucuları ve güvenlik duvarı ağ geçitleri gibi hizmetler için kullanılır. Bir ağ yöneticisi bu ana makine türünü bir proxy sunucusu, sanal özel ağ (VPN) sunucusu veya alan adı Ssystem (DNS) sunucusu olarak da kullanabilir. "Bastion" adı ortaçağ tarihinden alınmıştır. Daha fazla koruma için kaleler, erkeklerin arkalarında toplanmalarına ve saldırganlara daha fazla güvenlik pozisyonunda oklar atmalarına izin veren, bastions adı verilen çıkıntılarla inşa edildi.
