Makalah Praktikum Komunikasi Data SISTEM KEAMANAN JARINGAN DENGAN FIREWALL 1 KATA PENGANTAR Bismillahirrahmanirrahim Segala puji hanya bagi ALLAH SWT Tuhan semesta alam, sang pencipta yang Maha Mendengar dan Maha Mengetahui. Shalawat serta salam semoga selalu tercurahkan kepada Rasulullah SAW, kepada keluarga, para sahabat, dan umatnya. Makalah ini dibuat untuk memenuhi kelulusan Mata Praktikum Computer & Communication dengan judul "Sistem Keamanan Jaringan dengan Firewall”. Penyusun mengucapkan terimakasih kepada rekan-rekan asisten yang telah membagi ilmunya dengan kami serta pihak-pihak lain yang tidak dapat disebutkan di sini. Apa yang penyusun persembahkan masih jauh dari kesempurnaan, masukan dari pembaca masih terus diharapkan. Dan semoga makalah ini dapat memberi manfaat bagi kemajuan teknologi dan mendapat ridho dari-Nya. Wassalam Bandung, November 2001 Penyusun
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
1
KATA PENGANTAR
Bismillahirrahmanirrahim
Segala puji hanya bagi ALLAH SWT Tuhan semesta alam, sang
pencipta yang Maha Mendengar dan Maha Mengetahui. Shalawat serta
salam semoga selalu tercurahkan kepada Rasulullah SAW, kepada
keluarga, para sahabat, dan umatnya.
Makalah ini dibuat untuk memenuhi kelulusan Mata Praktikum
Computer & Communication dengan judul "Sistem Keamanan Jaringan
dengan Firewall”.
Penyusun mengucapkan terimakasih kepada rekan-rekan asisten
yang telah membagi ilmunya dengan kami serta pihak-pihak lain yang
tidak dapat disebutkan di sini. Apa yang penyusun persembahkan masih
jauh dari kesempurnaan, masukan dari pembaca masih terus diharapkan.
Dan semoga makalah ini dapat memberi manfaat bagi kemajuan teknologi
dan mendapat ridho dari-Nya.
Wassalam
Bandung, November 2001
Penyusun
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
2
DAFTAR ISI KATA PENGANTAR …………………………………………………………..1
DAFTAR ISI ….…………………………………………………………………..2
ABSTRAKSI ……………………………………………………………………..3
BAB I PENDAHULUAN ………………………………………………..4
Latar Belakang ………………………………………………….4
Maksud dan Tujuan …………………………………………….4
Dasar Teori ………………………………………………………4
BAB II KONSEP FIREWALL …………………………………………..12
Pendekatan Firewall ………………………………………….12
Arsitektur Firewall ……………………………………………..15
BAB III MENGGUNAKAN IPCHAINS SEBAGAI FIREWALL …….18
Pendahuluan …………………………………………………..18
Network Policy …………………………………………………18
Chains dan Rules ……………………………………………..18
IP dan Masking ………………………………………………..21
IPCHAINS ……………………………………………………….21
Port Forwarding ………………………………………………..24
BAB IV PENUTUP ………………………………………………………26
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
3
ABSTRAKSI Keamanan jaringan menjadi semakin penting dengan semakin banyaknya
waktu yang dihabiskan orang untuk berhubungan. Mengganggu
keamanan jaringan sering lebih mudah daripada fisik atau lokal, dan lebih
umum. Perkembangan Internet dan jaringan internal yang semakin pesat
menuntut adanya pengamanan terhadap jaringan internal dari
kemungkinan adanya serangan dari jaringan eksternal.
Salah satu cara yang banyak digunakan adalah dengan menggunakan
firewall. yang membatasi akses antara sebuah jaringan yang diproteksi
dan internet, atau antara kumpulan-kumpulan jaringan lainnya. Firewall
dapat berupa hardware dalam bentuk router atau komputer, atau software
yang menjalankan sistem gateway, atau kombinasi keduanya.
IPCHAINS sebagai salah satu Aplikasi dari Firewall dapat dimanfaatkan
dalam mengamankan komputer anda. Selain itu IPCHAINS sangat mudah
untuk diimplementasikan dan dikonfigurasi ulang sesuai dengan
kebutuhan kita.
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
4
BAB I PENDAHULUAN
LATAR BELAKANG Perkembangan Internet dan jaringan internal yang semakin pesat
menuntut adanya pengamanan terhadap jaringan internal dari
kemungkinan adanya serangan dari jaringan eksternal. Banyak sekali
metode yang dapat digunakan untuk mendeteksi serangan atau
penyusupan oleh jaringan eksternal, dari mulai paket sniffing, network
scanner, monitoring layanan, keamanan mail, dan firewall. Salah satu cara
yang banyak digunakan adalah dengan menggunakan firewall. Dengan
firewall kita bisa menolak, memperbolehkan atau menyaring paket yang
mencoba masuk ke dalam jaringan kita.
MAKSUD DAN TUJUAN Tujuan dari pengimplementasian Firewall adalah untuk membangun suatu
jaringan dengan tingkat keamanan yang sangat tinggi dengan cara untuk
membatasi informasi yang dibolehkan masuk dan keluar dari jaringan
lokal anda.
Dengan demikian firewall dapat mengendalikan apa yang diterima dan
dikirim dari Internet dan LAN anda.
DASAR TEORI
Keamanan jaringan menjadi semakin penting dengan semakin
banyaknya waktu yang dihabiskan orang untuk berhubungan ke internet.
Mengganggu keamanan jaringan sering lebih mudah daripada fisik atau
lokal, dan lebih umum.
Terdapat sejumlah alat yang baik untuk membantu keamanan
jaringan, dan semakin banyak disertakan dalam software atau OS.
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
5
A. Packet Sniffers
Salah satu cara umum yang digunakan penyusup untuk
memperoleh akses ke banyak sistem di jaringan anda adalah dengan
menggunakan sebuah packet sniffer pada host yang telah diganggu.
Sniffer ini mendengarkan port Ethernet untuk hal-hal seperti
"Password" dan "Login" dan "su" dalam aliran paket dan kemudian
mencatat lalu lintas setelahnya. Dengan cara ini, penyerang
memperoleh password untuk sistem yang bahkan tidak mereka
usahakan untuk dibongkar. Password teks biasa adalah sangat rentan
terhadap serangan ini.
Di masa sekarang, penyerang bahkan tidak perlu mengganggu
sebuah sistem untuk melakukan hal ini, mereka dapat membawa
laptop atau pc ke suatu gedung dan menyadap ke jaringan anda.
Dengan menggunakan ssh atau metode password terenkripsi
lainnya dapat mencegah serangan ini. Hal-hal seperti APOP untuk
rekening pop juga dapat mencegah serangan ini.
B. Pelayanan sistem dan tcp_wrappers
Segera setelah anda menaruh sistem anda di sembarang jaringan, hal
pertama yang harus dilihat adalah pelayanan yang butuh anda
tawarkan. Pelayanan-pelayanan yang tidak perlu anda tawarkan
seharusnya ditiadakan sehingga anda memiliki satu hal yang tidak
perlu dikhawatirkan dan penyerang memiliki satu hal kurangnya untuk
mencari lubang.
Beberapa pelayanan yang ingin anda biarkan ada adalah:
• ftp untuk transfer file
• telnet untuk remote machine
• mail, seperti pop-3 atau imap untuk mail
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
6
• identd untuk menagtur layanan
• time untuk waktu
Jika anda adalah pemakai dialup rumahan, kami menyarankan anda
menolak seluruhnya. tcpd juga mencatat usaha yang gagal untuk
mengakses pelayanan, sehingga ini dapat memberi anda ide bahwa
anda sedang diserang. Jika anda menambahkan pelayanan baru,
anda harus pasti mengkonfigurasinya untuk menggunakan
tcp_wrappers berbasis TCP. Sebagai contoh, pemakai dial-up normal
dapat mencegah orang luar koneksi ke mesin anda, namun masih
memiliki kemampuan untuk menerima surat, dan membuat hubungan
jaringan ke Internet.
C. Memverifikasi Informasi DNS Anda
Memelihara informasi DNS tentang seluruh host di jaringan anda agar
tetap baru dapat membantu meningkatkan keamanan. Bilamana ada
host yang tidak dijinkan terhubung ke jaringan anda, anda dapat
mengenalinya dengan tidak adanya masukan DNS. Banyak
pelayanan dapat dikonfigurasi untuk tidak menerima koneksi dari host
yang tidak memiliki masukan DNS yang valid.
D. Monitoring identd
identd adalah program kecil yang umumnya berjalan di inetd. Ia
mencatat pelayanan tcp apa yang dijalankan pemakai, dan kemudian
melaporkannya kepada yang meminta.Banyak orang salah mengerti
kegunaan identd, sehingga meniadakannya atau memblok seluruh
site yang memintanya. identd ada bukan untuk membantu remote site.
Tidak ada cara untuk mengetahui jika data yang anda peroleh dari
remote identd benar atau tidak. Tidak ada autentikasi dalam
permintaan identd.
Program ini dijalankan karena ia membantu anda, dan adalah titik
data lain dalam penelusuran. Jika identd anda tidak terganggu, maka
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
7
anda mengerti ia memberi tahu remote site nama pemakai atau uid
orang-orang yang menggunakan pelayanan tcp. Jika admin pada
remote site datang kepada anda dan memberitahu pemakai anda
berusaha menghack ke site mereka, anda dapat secara mudah
mengambil tindakan terhadap pemakai tersebut. Jika anda tidak
menjalankan identd, anda harus melihat banyak catatan,
memperkirakan siapa yang ada pada saat itu, dan secara umum
membutuhkan waktu yang lebih banyak untuk menelusuri pemakai.
identd yang disertakan dalam banyak distribusi lebih mudah
dikonfigurasi daripada yang diperkirakan orang. Anda dapat
meniadakan identd untuk pemakai tertentu, anda dapat mencatat
seluruh permintaan identd, anda bahkan dapat memiliki identd
mengembalikan uid daripada nama pemakai atau bahkan NO-USER.
E. Menggunakan software Scanner Jaringan
Terdapat sejumlah paket software berbeda yang melakukan
penelusuran berdasarkan port dan pelayanan mesin atau jaringan.
SATAN dan ISS adalah dua yang paling dikenal. Software ini
berhubungan ke mesin sasaran (atau seluruh mesin sasaran di suatu
jaringan) di semua port yang ada, dan berusaha menentukan
pelayanan apa yang sedang berjalan. Berdasarkan informasi ini, anda
dapat menemukan mesin yang rentan terhadap eksploitasi tertentu
pada server.
SATAN (Security Administrators Tool for Analyzing Networks) adalah
sebuah penelusur port dengan antara muka web. Ia dapat
dikonfigurasi untuk melakukan pemeriksaan ringan, menengah, atau
berat pada mesin atau pada jaringan mesin. Akan merupakan ide
yang baik untuk memperoleh SATAN dan memeriksa mesin atau
jaringan anda, dan membenahi masalah-masalah yang ditemukan.
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
8
ISS (Internet Security Scanner) adalah penelusur berdasarkan port
yang lain. Ia lebih cepat daripada SATAN, dan mungkin lebih baik
untuk jaringan yang besar. Namun demikian, SATAN memberikan
lebih banyak informasi.
F. Amankan Sendmail, qmail dan MTA
Salah satu pelayanan penting yang dapat anda sediakan adalah
server surat. Sayangnya, ia juga sangat rentan diserang, karena
banyaknya tugas yang harus dilakukan dan dibutuhkannya ijin khusus.
Pergunakan MTA yang dirancang dengan perhatian pada keamanan
yang sangat tinggi, selain itu cepat dan stabil serta aman.
G. Serangan Denial of Service
Serangan denial of service adalah saat ketika penyerang berusaha
menggunakan beberapa sumber daya hingga terlalu sibuk untuk
menjawab permintaan yang resmi, atau menolak pemakai resmi
mengakses mesin anda.
Serangan-serangan semacam ini meningkat dengan cepat pada
tahun-tahun belakangan ini. Beberapa yang populer dan terbaru
ditampilkan di bawah ini. Perhatikan bahwa yang baru selalu muncul
setiap saat, sehingga ini hanya merupakan contoh :
• SYN Flooding - SYN flooding adalah serangan denial of service
jaringan. Ia mengambil keuntungan dari "loophole" dalam koneksi
TCP yang tercipta.
• Pentium "F00F" Bug - Ini baru ditemukan bahwa serangkaian kode
assembly yang dikirim ke prosesor asli Intel Pentium akan
mereboot mesin. Ini mempengaruhi setiap mesin dengan prosesor
Pentium (bukan klon, atau Pentium Pro atau PII), tidak tergantung
pada sistem operasi yang dijalankan.
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
9
• Ping Flooding - Ping flooding adalah serangan denial of service
brute force sederhana. Penyerang mengirim "flood" paket ICMP ke
mesin anda. Jika mereka melakukan ini dari host dengan
bandwidth yang lebih baik daripada milik anda, mesin anda tidak
akan mampu mengirim sesuatu ke jaringan. Variasi serangan ini,
disebut "smurfing" mengirim paket ICMP ke host dengan IP
kembalian mesin anda, memungkinkan mereka membanjiri anda
dengan sedikit terdeteksi. Jika anda diserang ping flood, gunakan
alat seperti tcpdump untuk menentukan asal paket (atau
tampaknya berasal), kemudian hubungi provider anda dengan
informasi ini. Ping flood dapat secara mudah dihentikan di level
router atau dengan menggunakan firewall.
• Ping o' Death - Serangan Ping o' Death disebabkan lebih besarnya
paket ICMP ECHO REQUEST yang datang daripada yang dapat
ditangani struktur data kernel . Oleh karena mengirim sebuah paket
"ping" besar (65.510 byte) ke banyak sistem akan membuat mereka
hang atau bahkan crash, masalah ini secara cepat disebut "Ping o'
Death". Ini telah lama diperbaiki, dan tidak perlu dikhawatirkan lagi.
• Teardrop / New Tear - Salah satu eksploit terbaru yang melibatkan
bug yang ada di kode fragmentasi IP pada platform Linux dan
Windows. .
H. Keamanan NFS (Network File System)
NFS adalah protokol file sharing yang paling banyak digunakan. Ia
memungkinkan server untuk mengekspor seluruh filesystem ke mesin
lain dengan dukungan nfs filesystem pada kernelnya (atau beberapa
dukungan client jika mereka bukan mesin Linux).
Banyak site menggunakan NFS untuk bertugas sebagai direktori
home untuk pemakai, sehingga tak peduli mesin apa yang dimasuki,
mereka akan selalu memiliki file-filenya.
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
10
Terdapat sedikit "keamanan" dibolehkan dalam mengekspor
filesystem. Anda dapat membuat peta nfsd pemakai root remote ke
pemakai nobody, membatasi akses total ke file-file yang diekspor.
Namun demikian, karena pemakai individu memiliki akses ke file-file
mereka (atau paling tidak uid yang sama), superuser remote dapat
login atau su ke rekening mereka dan memiliki akses total ke file-file
mereka. Ini hanya penghalang kecil bagi seorang penyerang yang
memiliki akses untuk melakukan mount filesystem remote anda.
Jika harus menggunakan NFS, pastikan anda mengekspor ke mesin-
mesin yang anda butuh untuk ekspor saja. Jangan pernah
mengekspor seluruh direktori root anda, ekspor hanya direktori yang
perlu anda ekspor.
I. NIS (Network Information Service) (dahulu YP)
Network Information Service (dahulu YP) adalah suatu cara
mendistribusikan informasi ke sekelompok mesin. Master NIS
menyimpan tabel informasi dan mengkonversinya ke file peta NIS.
Peta ini kemudian melayani jaringan, memungkinkan mesin klien NIS
untuk memperoleh login, password, direktori home dan informasi shell.
Hal ini memungkinkan pemakai merubah password mereka sekali dan
berlaku pula di seluruh mesin dalam domain NIS.
NIS tidak seluruhnya aman. Ia tidak pernah dimaksudkan demikian. Ia
dimaksudkan untuk berguna dan sederhana. Setiap orang dapat
menduga nama domain NIS anda (di setiap tempat di Net) dapat
memperoleh salinan file passwd, dan menggunakan Crack dan John
the Ripper terhadap password pemakai anda. Juga, adalah mungkin
untuk menipu NIS dan melakukan berbagai trik kotor. Jika anda harus
menggunakan NIS, pastikan anda paham bahayanya. Terdapat
pengganti NIS yang lebih aman, disebut NIS+.
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
11
J. Firewall
Firewall adalah suatu cara untuk membatasi informasi yang
dibolehkan masuk dan keluar dari jaringan lokal anda. Umumnya host
firewall terhubung ke Internet dan LAN lokal anda, dan akses LAN
anda ke Internet hanya melalui firewall. Dengan demikian firewall
dapat mengendalikan apa yang diterima dan dikirim dari Internet dan
LAN anda.
Terdapat beberapa tipe dan metode setting firewall. Mesin-mesin
Linux dapat menjadi firewall yang baik dan murah. Kode firewall dapat
dibangun langsung ke dalam kernel . Ada beberapa alat yang
memungkinkan anda merubah tipe lalu lintas jaringan yang anda
bolehkan secara on the fly. Anda dapat pula mencatat tipe lalu lintas
jaringan tertentu.
Firewall adalah teknik yang sangat berguna dan penting dalam
mengamankan jaringan anda. Penting untuk menyadari bahwa anda
tidak boleh pernah berpikir bahwa dengan memiliki firewall, anda tidak
perlu mengamankan mesin-mesin di baliknya.
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
12
BAB II
KONSEP FIREWALL
Perkembangan Internet dan jaringan internal yang semakin pesat
menuntut adanya pengamanan terhadap jaringan internal dari
kemungkinan adanya serangan dari jaringan eksternal. Salah satu cara
yang banyak digunakan adalah dengan menggunakan firewall.
Firewall (dari buku Building Internet Firewalls, oleh Chapman dan
Zwicky) didefinisikan sebagai sebuah komponen atau kumpulan
komponen yang membatasi akses antara sebuah jaringan yang diproteksi
dan internet, atau antara kumpulan-kumpulan jaringan lainnya. Firewall
dapat berupa hardware dalam bentuk router atau komputer, atau software
yang menjalankan sistem gateway, atau kombinasi keduanya. Dalam
artikel ini akan dijelaskan komponen-komponen dasar dan beberapa
arsitektur yang banyak digunakan dalam membuat suatu firewall.
Pendekatan Firewall Ada empat pendekatan yang digunakan dalam membuat firewall,
yaitu : packet filtering, proxy server. Application proxy, dan SOCKS proxy.
1. Packet Filtering Sistem packet filtering melakukan packet routing antara jaringan
internal dengan jaringan eksternal secara selektif. Sistem ini
melewatkan atau memblok packet data yang lewat sesuai dengan
aturan yang telah ditentukan. Router pada sistem ini disebut screening
router.
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
13
Gambar 1. Packet filtering dengan menggunakan screening router
Untuk mengetahui bagaimana cara kerja packet filtering, kita harus
mengetahui perbedaan antara router biasa dengan sebuah screening
router. Router biasa hanya melihat alamat IP tujuan dari suatu packet
data dan mengarahkannya ke jalur yang terbaik agar packet data
tersebut sampai ke tujuannya. Bila router tidak dapat melakukannya,
packet data akan dikembalikan ke sumbernya.
Screening router tidak hanya menentukan apakah router dapat
melewatkan suatu packet data atau tidak, tetapi juga menerapkan
suatu aturan yang akan menentukan apakah packet data tersebut
akan dilewatkan atau tidak. Pemfilteran ini didasarkan pada :
1. IP sumber dan IP tujuan dari packet data
2. Port sumber dan port tujuan dari data
3. Protokol yang digunakan (TCP, UDP, ICMP, dan
sebagainya)
4. Tipe pesan ICMP
2. Proxy Server Proxy server adalah aplikasi khusus atau program server yang
berjalan pada host firewall; baik pada dual-homed host yang memiliki
sebuah interface ke jaringan internal dan interface lain ke jaringan
eksternal, atau pada bastion host yang memiliki akses ke Internet dan
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
14
dapat diakses oleh mesin internal. Program ini menangani request-
request untuk service-service Internet dari user dan melewatkannya ke
service yang sebenarnya. Proxy menyediakan koneksi pengganti dan
bertindak selaku gateway terhadap service-service tersebut. Oleh
karena itu proxy sering juga disebut gateway level aplikasi.
Gambar 2. Penggunaan proxy server pada dual-home host
Proxy server menghubungkan user pada jaringan internal dengan
service pada Internet. User dan service tersebut tidak berkomunikasi
secara langsung. Masing-masing berhubungan dengan proxy dan proxy
yang menangani hubungan antara user dan service di belakang layar.
Proxy server dapat membatasi apa yang dapat dilakukan oleh user,
karena proxy dapat memutuskan apakah suatu request dari user
diperbolehkan atau ditolak.
3. Application Proxy
Proxy Server yang menghubungkan segala komunikasi ke jaringan
luar maka, server tersebut dapat mencatat seluruh pekerjaan yang
dilakukan oleh orang yang melakukan pekerjaan baik keluar maupun
masuk jaringan. Selain itu Proxy server juga dapat mengenali user
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
15
yang boleh masuk atau keluar jaringan sehingga sebelum seorang
user masuk atau keluar meminta untuk melakukan login 4. SOCKS Proxy
SOCKS Proxy server seperti metode switching dengan Switch
Board, dimana dengan simple dapat menghubungkan sistem ke luar
jaringan secara langsung.
Arsitektur Firewall Ada beberapa arsitektur firewall. Pada artikel ini hanya akan
dijelaskan beberapa diantaranya, yaitu : dual-homed host architecture,
screened host architecture, dan screened subnet architecture.
1. Arsitektur Dual-Homed Host Arsitektur Dual-home host dibuat disekitar komputer dual-homed host,
yaitu komputer yang memiliki paling sedikit dua interface jaringan.
Untuk mengimplementasikan tipe arsitektur dual-homed host, fungsi
routing pada host ini di non-aktifkan. Sistem di dalam firewall dapat
berkomunikasi dengan dual-homed host dan sistem di luar firewall
dapat berkomunikasi dengan dual-homed host, tetapi kedua sistem ini
tidak dapat berkomunikasi secara langsung.
Gambar 3. Arsitektur dual-homed host
Makalah Praktikum Komunikasi Data
SISTEM KEAMANAN JARINGAN DENGAN FIREWALL
16
Dual-homed host dapat menyediakan service hanya dengan
menyediakan proxy pada host tersebut, atau dengan membiarkan user
melakukan logging secara langsung pada dual-homed host.
2. Arsitektur Screened Host Arsitektur screened host menyediakan service dari sebuah host pada
jaringan internal dengan menggunakan router yang terpisah. Pada
arsitektur ini, pengamanan utama dilakukan dengan packet filtering.
Gambar 4. Arsitektur screened host
Bastion host berada dalam jaringan internal. Packet filtering pada
screening router dikonfigurasi sehingga hanya bastion host yang dapat
melakukan koneksi ke Internet (misalnya mengantarkan mail yang
datang) dan hanya tipe-tipe koneksi tertentu yang diperbolehkan. Tiap
sistem eksternal yang mencoba untuk mengakses sistem internal harus
berhubungan dengan host ini terlebih dulu. Bastion host diperlukan