Мы размещаем 12 серверов на стойке в центре обработки данных с минимально достаточными административными навыками для выполнения работы прямо сейчас.
У нас есть VPN для межсетевого экрана, DMZ и внутренняя сеть.
Но что происходит в первый день, когда я не могу подключиться к брандмауэру, мы оказываемся заблокированы или неправильная конфигурация закрывает доступ к VPN и интерфейсу администратора?
У нас есть варианты резервного копирования, верно? 3G, модемы? Каков обычный, простой и дешевый подход к защите от неправильной конфигурации или изменения сети, из-за которых наша сеть становится недоступной?
Межсетевой экран - это SonicWall 3500.
Предполагая, что кластерный брандмауэр с независимыми конфигурациями невозможен или нежелателен, я бы настроил маломощный хост в качестве вторичного, избыточного брандмауэр (но без живого трафика).
НОТА: Я не называл это бэкдором и не рекомендовал его настраивать. Бэкдор в брандмауэре кричит об опасности. Лучше задать этот вопрос, каков безопасный резервный план доступа к брандмауэру в случае неправильной конфигурации.
На этом хосте я бы:
После входа в систему через SSH вы сможете подключиться к SSH или SSH-туннелю куда угодно в вашей внутренней сети.
Это все еще не 100% защита от ошибок, потому что есть несколько редких случаев, когда это не удается. Например, если ваш интернет-провайдер испортил свою собственную конфигурацию сети (если у вас нет вторичного модема / интернет-провайдера).
Это более старое решение, но оно все еще работает. Методы и протоколы просты и надежны.
Когда вам это понадобится, позвоните в центр обработки данных и попросите подключить модем и включить его. Затем позвоните, подключитесь к брандмауэру и устраните проблему.
Использовать консольный сервер и любые возможности подключения, которые вы можете получить на сайте (3G / DSL / телефонная линия) для подключения к нему. Некоторые имеют встроенную возможность VPN.
Производителей много, так что можно потратить много или выберите тот, который соответствует вашему бюджету.
Тогда, даже если брандмауэр застрял в ПЗУ после неудачного обновления без подключения к сети, вы все равно сможете получить к нему удаленный доступ.