你们系统管理员正在做什么来确保你们远程管理防火墙的能力尽可能安全?除了只使用控制台连接并必须物理接触防火墙之外,你们最安全的设置是什么?
答案1
拥有一个独立的(即与生产隔离的)管理网络通常是一个很好的起点 - 将防火墙管理端口放在该网络上,并尽可能禁用生产接口的带内管理。除此之外,如果您的防火墙硬件具有类似于 DRAC\ILO\RSA 的功能,则启用它并将其也放在独立的管理网络上。在帐户生命周期管理方面也要采取适当的谨慎态度,实施强身份验证和访问权限。如果有人没有积极管理它,即监控其访问、保持其完全修补并审核规则,那么您就是在浪费时间。
我见过的最安全的方法只是增加了几层——将上述方法应用于两个(或更多)独立的防火墙,并将管理它们的团队分开,包括限制物理访问。不过,运行这种程度的偏执软件成本很高,而且对大多数组织来说,这会浪费资源,而这些资源本可以更有效地用于其他地方。
答案2
使能够配置日志,这样你就能看到发生了什么变化。使用最安全的密码设置/用户帐户。
使用安全密码,ssh 而不是 telnet 等。锁定已知 IP 范围内的访问权限。在源代码控制存储库中定期备份配置。也不要忘记物理机架安全。
答案3
我们通常只从内部网络、从特定的管理机器进行管理,并强制用户通过多台机器连接才能实现这一点。