Una particolare versione di bastion host è la victim machine. Su una macchina, detto appunto victim machine, vengono fatti girare servizi difficilmente implementabili in modo sicuro o che utilizzano nuovi programmi che potrebbero contenere dei bug. Tale macchina non deve in alcun modo accedere ad altri computer della rete interna, bensì, solo far girare il servizio insicuro. In tal modo, se anche un attaccante riuscisse a loggarsi su essa, i danni che potrebbe provocare rimarrebbero limitati alla victim machine ed i privilegi che avrebbe a disposizione sarebbero minimi. I servizi non necessari devono inderogabilmente essere disabilitati sul bastion, in modo da diminuire le possibili risorse a disposizione di un eventuale intruso; in pratica, i servizi che solitamente se non utilizzati devono essere disabilitati su un bastion host sono: FTP, HTTP, NTTP e Gopher.