我们在数据中心的机架上托管了 12 台服务器,目前我们仅具备最低限度的管理技能来完成这项工作。
我们已配置 VPN 到防火墙以及 DMZ 和内部网络。
但是,如果第一天我无法访问防火墙,我们被锁定了,或者错误的配置导致无法访问 VPN 和管理界面,会发生什么情况?
我们有备用选项吧?3G、调制解调器?有什么典型、简单、廉价的方法可以防止因错误配置或网络变化而导致我们的网络无法访问?
防火墙是 SonicWall 3500。
答案1
假设无法或不需要具有独立配置的集群防火墙,我将设置一个低功耗主机作为辅助冗余防火墙(但没有实时交通)。
笔记:我并没有将其称为后门,也没有建议设置后门。防火墙的后门意味着危险。提出这个问题的更好方式是,在配置错误的情况下,访问防火墙的安全后备计划是什么。
在该主机上,我将:
- 将其连接到互联网和内部网络(或 DMZ 网络),确保它不会穿过主防火墙
- 如果你有带静态 IP 的辅助调制解调器,那么你可以使用该互联网连接
- 它必须配置得与主防火墙一样安全(甚至更安全)。例如:
- 使用更新的、强化的 Linux 发行版
- 只有一个监听服务:SSH
- 仅接受非 root 用户的 SSH 密钥对身份验证(如果以后必须使用 sudo)
- 限制哪些网络可以访问该主机(例如,如果你的办公室有一个静态子网)
- 您甚至可以使用诸如 SSH 的非标准端口号或端口敲击等方法来进一步混淆主机(但可能有点过度,而且混淆并不安全)
一旦通过 SSH 登录,您应该能够通过 SSH 或 SSH 隧道到达内部网络中所需的任何位置。
这仍然不是 100% 万无一失的,因为在少数情况下,这种方法会失败。例如,如果您的 ISP 弄乱了自己的网络配置(除非您有辅助调制解调器/ISP)。
答案2
用一个控制台服务器以及您可以连接到站点的任何连接(3G/DSL/电话线)。有些站点集成了 VPN 功能。
有很多制造商,所以你可以花钱很多或者选择一个适合你的预算。
那么,即使防火墙在升级失败后卡在 ROM 中且没有网络功能,您仍然可以远程访问它。
答案3
这是一个较老的解决方案,但仍然有效。方法和协议简单而可靠。
- 数据中心的远程人员。您需要指示数据中心的人员插入一些电缆。如果没有可用的远程人员,您可以修改下面的其他项目。
- 一部电话(无论如何,在数据中心拥有一部固定电话还是很有用的,除非你能接受在被成千上万的电脑风扇包围的情况下手机的音质)。
- 56K 调制解调器——确保所有电缆都已准备就绪,并清楚地标明了它们要去的地方。假设数据中心技术人员可能心不在焉、缺乏经验或能力不足,或者凌晨 3 点真的很累——抱最好的希望,做最坏的打算。将调制解调器关闭,并将电缆断开,以防调制解调器意外打开,从而形成“气隙”防御。您不希望调制解调器处于可用状态,以防某些拨号人员发现它。
- 连接到您最重要的系统(包括防火墙)的串行控制台服务器。一些站点定期使用串行控制台,因此它经过了充分测试。
当你需要时,打电话给数据中心,让他们插入调制解调器并打开电源。然后拨号,连接到防火墙并解决问题。