我有一个交换机(HP ProCurve 1810-24G确切地说),它位于数据中心。
为了确保交换机的安全,交换机上有一个很长的密码。但是,有一个很大的缺点:任何拥有 IP 地址的人都可以访问登录屏幕。虽然这通常不是问题,但我不喜欢它。有一些暴力攻击正在进行,谁知道交换机上可能存在零日漏洞。交换机没有“自动禁止”登录尝试次数过多的 IP 的选项,也没有允许 IP 的白名单。
所以,我的问题是:如何比现在更好地保护这个交换机?我原本想给它一个私有 IP 地址,但当我的服务器崩溃时,我将无法访问交换机(如果我出于任何原因需要访问的话)。
对于这样的事情,最佳做法是什么?
答案1
配置交换机,使其不能从面向公众的网络访问,最好是从特定的管理 LAN 连接访问。
然后使用 VPN 连接 - 将其配置为除了登录之外还使用证书身份验证。
如果您确实无法做到这一点,请将此交换机与互联网之间的防火墙配置为仅接受来自您的 IP 地址的管理连接。这不是完美的安全性,但它限制了登录屏幕的可见性,因此将提高安全性。