10 Abbildung 4: Dienste eines Bastion-Hosts Unsichere Dienste, die nicht abgesichert werden können sowie Dienste, die keine Internetverbindung benötigen, müssen auf dem Bastion-Host deaktiviert werden, um  unnötige  Risiken  zu  vermeiden.  Grundsätzlich  gilt  bei  der  Auswahl  der Dienste der Grundsatz, sorgfältig zu überlegen, was gebraucht wird und nur die absolut notwendigen Dienste zur Verfügung zu stellen. Jeder weitere Dienst bietet eine neue Angriffsfläche. Abhängig von der Firewall-Konstruktion können sichere Dienste  über  einen  Paketfilter  oder  auf  dem  Bastion-Host  angeboten  werden. Normalerweise    unsichere    Dienste,    die    abgesichert    werden    können,    sind prädestiniert für die Bereitstellung über einen Bastion-Host. Gängige Dienste, die eine  Bastion  zur  Verfügung  stellt,  sind  SMTP  (Simple  Mail  Transfer  Protocol), FTP  (File  Transfer  Protocol),  HTTP  (Hyper  Text  Transfer  Protocol)  und  DNS (Domain Name System). Als nächstes ist über die Anzahl der zu installierenden Bastionen zu entscheiden. Idealerweise existiert für jeden Dienst ein eigener Host. Auf diese Weise kann ein größtmögliches  Maß  an  Sicherheit  gewährleistet  werden.  In  der  Praxis  ist  diese Lösung aber aus Kosten- und Administrationsgründen nicht umsetzbar. Deshalb muss     überlegt     werden,     welche     Dienste     sinnvoll     auf     einem     Rechner zusammengefasst   werden   können.   Gruppiert   werden   kann   nach   Wichtigkeit, Benutzer, Zugriffsberechtigung oder Sicherheit der Dienste.