远程管理防火墙最安全的方法是什么？

Question 1

拥有一个独立的（即与生产隔离的）管理网络通常是一个很好的起点 - 将防火墙管理端口放在该网络上，并尽可能禁用生产接口的带内管理。除此之外，如果您的防火墙硬件具有类似于 DRAC\ILO\RSA 的功能，则启用它并将其也放在独立的管理网络上。在帐户生命周期管理方面也要采取适当的谨慎态度，实施强身份验证和访问权限。如果有人没有积极管理它，即监控其访问、保持其完全修补并审核规则，那么您就是在浪费时间。

我见过的最安全的方法只是增加了几层——将上述方法应用于两个（或更多）独立的防火墙，并将管理它们的团队分开，包括限制物理访问。不过，运行这种程度的偏执软件成本很高，而且对大多数组织来说，这会浪费资源，而这些资源本可以更有效地用于其他地方。

Answer

拥有一个独立的（即与生产隔离的）管理网络通常是一个很好的起点 - 将防火墙管理端口放在该网络上，并尽可能禁用生产接口的带内管理。除此之外，如果您的防火墙硬件具有类似于 DRAC\ILO\RSA 的功能，则启用它并将其也放在独立的管理网络上。在帐户生命周期管理方面也要采取适当的谨慎态度，实施强身份验证和访问权限。如果有人没有积极管理它，即监控其访问、保持其完全修补并审核规则，那么您就是在浪费时间。

我见过的最安全的方法只是增加了几层——将上述方法应用于两个（或更多）独立的防火墙，并将管理它们的团队分开，包括限制物理访问。不过，运行这种程度的偏执软件成本很高，而且对大多数组织来说，这会浪费资源，而这些资源本可以更有效地用于其他地方。

Question 2

使能够配置日志，这样你就能看到发生了什么变化。使用最安全的密码设置/用户帐户。
使用安全密码，ssh 而不是 telnet 等。锁定已知 IP 范围内的访问权限。在源代码控制存储库中定期备份配置。也不要忘记物理机架安全。

Answer

使能够配置日志，这样你就能看到发生了什么变化。使用最安全的密码设置/用户帐户。
使用安全密码，ssh 而不是 telnet 等。锁定已知 IP 范围内的访问权限。在源代码控制存储库中定期备份配置。也不要忘记物理机架安全。

Question 3

我们通常只从内部网络、从特定的管理机器进行管理，并强制用户通过多台机器连接才能实现这一点。

Answer

我们通常只从内部网络、从特定的管理机器进行管理，并强制用户通过多台机器连接才能实现这一点。

远程管理防火墙最安全的方法是什么？

答案1

答案2

答案3

相关内容