GregD Asked: 2009-10-25 08:10:24 +0800 CST2009-10-25 08:10:24 +0800 CST 2009-10-25 08:10:24 +0800 CST 远程管理防火墙最安全的方法是什么? 772 您的系统管理员正在做什么以确保您远程管理防火墙的能力是最安全的?除了仅使用控制台连接并且必须物理接触防火墙之外,您拥有的最安全的设置是什么? cisco 3 个回答 Voted Best Answer Helvick 2009-10-25T08:35:05+08:002009-10-25T08:35:05+08:00 拥有一个单独的(即与生产隔离的)管理网络通常是一个很好的起点 - 将防火墙管理端口放在上面,并尽可能从生产接口禁用带内管理。除此之外,如果您的防火墙硬件具有类似于 DRAC\ILO\RSA 的功能,则启用它并将其也放在独立的管理网络上。还要在帐户生命周期管理方面应用适当的偏执狂,强制执行强身份验证和访问权限。如果有人没有积极地管理它,即监控它的访问,保持它完全修补并审核规则,那么你就是在浪费你的时间。 我见过的最安全的方法只是添加了层——将上述内容应用于两个(或更多)独立的防火墙,并使管理它们的团队分开,包括限制物理访问。但是,在这种偏执的情况下运行某些东西会花费很多,而且会浪费资源,而对于大多数组织来说,这些资源可以在其他地方更有效地使用。 Tom O'Connor 2009-10-25T08:35:52+08:002009-10-25T08:35:52+08:00 启用配置日志记录,这样您就可以看到发生了什么变化。尽可能使用最安全的密码设置/用户帐户。 使用安全密码、ssh 而不是 telnet 等。锁定对已知 IP 范围内的访问。将配置的定期备份保存在源代码控制存储库中。不要忘记物理机架安全性。 Cian 2009-10-25T11:27:21+08:002009-10-25T11:27:21+08:00 我们通常只从内部网络,从特定的管理机器进行管理,并强制用户通过多台机器进行连接以达到此目的。
拥有一个单独的(即与生产隔离的)管理网络通常是一个很好的起点 - 将防火墙管理端口放在上面,并尽可能从生产接口禁用带内管理。除此之外,如果您的防火墙硬件具有类似于 DRAC\ILO\RSA 的功能,则启用它并将其也放在独立的管理网络上。还要在帐户生命周期管理方面应用适当的偏执狂,强制执行强身份验证和访问权限。如果有人没有积极地管理它,即监控它的访问,保持它完全修补并审核规则,那么你就是在浪费你的时间。
我见过的最安全的方法只是添加了层——将上述内容应用于两个(或更多)独立的防火墙,并使管理它们的团队分开,包括限制物理访问。但是,在这种偏执的情况下运行某些东西会花费很多,而且会浪费资源,而对于大多数组织来说,这些资源可以在其他地方更有效地使用。
启用配置日志记录,这样您就可以看到发生了什么变化。尽可能使用最安全的密码设置/用户帐户。
使用安全密码、ssh 而不是 telnet 等。锁定对已知 IP 范围内的访问。将配置的定期备份保存在源代码控制存储库中。不要忘记物理机架安全性。
我们通常只从内部网络,从特定的管理机器进行管理,并强制用户通过多台机器进行连接以达到此目的。