Какова лучшая отказоустойчивая резервная опция получить доступ к брандмауэру в случае, если сеть становится недостижимой?

Предполагая, что кластерный межсетевой экран с независимыми конфигурациями невозможен или нежелателен, я бы настроил маломощный хост, который будет действовать как вторичный, резервный межсетевой экран (но без живой трафик).

ПРИМЕЧАНИЕ: Я не называл это бэкдором и не рекомендовал его устанавливать. Бэкдор в брандмауэре кричит об опасности. Лучше задать этот вопрос, каков безопасный резервный план для доступа к брандмауэру в случае неправильной конфигурации.

На этом хосте я бы:

• Подключил его к Интернету и внутренней сети (или Сеть DMZ), убедившись, что она НЕ проходит через основной брандмауэр.
  • Если у вас есть вторичные модемы со статическими IP-адресами, вы можете использовать это Интернет-соединение вместо этого.
• Оно ДОЛЖНО быть настроено так же безопасно, как (или даже более безопасно, чем) ваш основной брандмауэр. Например:
  • Используйте обновленный, усиленный дистрибутив Linux.
  • Иметь только одну службу прослушивания: SSH
  • Принимать только аутентификацию пары ключей SSH для пользователя без полномочий root (sudo, если потребуется позже)
  • Ограничить, какие сети могут получить доступ к этому хост (скажем, если у вашего офиса статическая подсеть)
  • Вы можете даже пофантазировать и еще больше запутать хост такими вещами, как нестандартный номер порта для SSH или выбивание портов (хотя, вероятно, это излишнее, а запутывание НЕ является безопасностью)

После входа в систему через SSH вы сможете использовать SSH или SSH-туннель в любом месте вашей внутренней сети.

Это еще не 100% защита от ошибок, потому что в некоторых редких случаях это не удается. Например, если ваш интернет-провайдер испортил собственную конфигурацию сети (если у вас нет дополнительного модема / интернет-провайдера).

Это более старое решение, но оно все еще работает. Методы и протоколы просты и надежны.

1. Удаленные руки в центре обработки данных. Вам нужно будет направить человека в центр обработки данных для подключения некоторых кабелей. Если удаленные руки недоступны, вы можете изменить другие элементы ниже.
2. Телефон (в любом случае полезно иметь стационарный телефон в центре обработки данных, если вас не устраивает качество звука сотового телефона в окружении тысяч вентиляторы компьютеров).
3. Модем 56K - убедитесь, что все кабели готовы и четко обозначены места их подключения. Предположим, что технический специалист центра обработки данных может быть отвлечен, неопытен или некомпетентен или действительно очень устал в 3 часа ночи - надейтесь на лучшее, планируйте худшее. Оставьте модем выключенным и оставьте кабели отключенными для защиты от "воздушного зазора" на случай, если модем случайно включится. Вы же не хотите, чтобы модем был доступен, если его обнаружит какой-нибудь дознаватель.
4. Последовательный консольный сервер, подключенный к наиболее важным системам, включая брандмауэр. Некоторые сайты используют последовательную консоль на регулярной основе, поэтому она хорошо протестирована.

Когда вам это нужно, позвоните в центр обработки данных и попросите их подключить модем и включить его. Затем позвоните, подключитесь к брандмауэру и устраните проблему.

Используйте консольный сервер и любые возможности подключения. можно зайти на сайт (3G / DSL / телефонная линия) для подключения к нему. Некоторые из них имеют встроенные возможности VPN.

Существует множество производителей, поэтому вы можете потратить много или выбрать тот, который соответствует вашему бюджету .

Тогда, даже если брандмауэр установлен застрял в ПЗУ после неудачного обновления без возможности подключения к сети, вы все равно можете получить к нему удаленный доступ.