iT邦幫忙

0

防火牆設備需開啟從外網遠端管理嗎?

各位前輩好!我想問一下!大家公司的防火牆都會開啟從外網遠端管理的功能嗎?
還是都是由vpn連入公司內網,在連進去防火牆做設定?想了解一下各位前輩都是如何做的!感謝!

挨踢狗 iT邦新手 5 級 ‧ 2019-09-24 16:03:38 檢舉
大哥, 你這個大哉問.

防火牆要不要開啟從外網遠端管理的功能呢?
我會先問幾個題目
1. 為什麼需要由外網來管理他
2. 開放外網連進去的風險是什麼, 影響範圍多大
3. 萬一出事的後果公司可不可以忍受
4. 公司現在的管理規範上有沒有要求

那一般來說
防火牆的功能是做為公司intern門戶的關防, 而 VPN呢, 則是在關防之外又有一門, 讓大家可以從外面進入.
只由安全性(易攻破性)的角度來思考, 這和你的架構會有關係; 而這組架構中, 你應該至少要考慮:

1. 設備層次的隔離
2. 區網在Layer2/Layer3的設置能保護到什麼程度
3. 設備認證的強度
4. log的完整度
5. 及時監控告警的機制

這些技術題考慮完, 我猜您會有自己的解和答案了.
1
hsiang11
iT邦好手 1 級 ‧ 2019-09-24 16:54:57

看防火牆的資安狀況和設計
很多網路設備廠是不太重視資安的 有漏洞也不修補
或是產品早已經不支援了又沒有更新 那不太建議開放遠端管理
使用VPN來登入
現在的攻擊 都是打進來以後順便幫你開了VPN

但是有些防火牆的設計風險極低
例如可以把admin鎖在只有內網可以登入
用自建帳號登入 要先知道帳號才有機會登入
甚至有設計有兩步驟驗證 還需要另一道安全碼登入
這樣就算很安全了 改個port不要亂讓人騷擾即可

1
allen1975
iT邦新手 3 級 ‧ 2019-09-24 17:12:00

看你有沒有在管理阿
防火牆要不要開都行. 風險問題而已. 最近又有漏洞
除非你管理的很好.否則 能不開就盡量不開.

1

基本建議是不要開。
我公司自已的做法也不是開vpn。因為開vpn進來也沒有很大的意義。
上面也有人說了,一但有了vpn反而會增加其危險性。

如果真的有必要緊急處理的話。外網開放的部份最好還是限定幾個ip跟指定port就好了。
不要全開。
當然了,一但開放了安全性就會降低。這點就得要自行考量了。

我個人是將我自家的ip能通過後登入。再做處理的。

0
mytiny
iT邦大師 1 級 ‧ 2019-09-24 21:28:40

樓主,貴公司的主機都不開放給外網連嗎?
如果開放,那麼防火牆也不過是開放一些服務
有什麼不可以嗎? 同樣的資安防護會比Server差嗎?
畢竟現在的防火牆都還經過一些國際的驗證
比如說ICSA,NSS Labs等安全認證
公司的網頁可能都還沒做過弱點掃描呢

什麼? 防火牆買的時候都沒注意有沒通過國際資安驗證
VPN也沒有國際資安驗證!!!
那麼,樓主還是不要開放好了。

0
yesongow
iT邦大師 1 級 ‧ 2019-09-24 23:44:18

想要外部IP,去管理防火牆?
1.提昇管理員的密碼複雜度
2.設定外部IP的白名單,其餘皆為阻擋
  以過濾阿貓阿狗阿鹿想入侵,或是暴力破解管理員的密碼

0
joedane
iT邦新手 5 級 ‧ 2019-09-25 08:06:47

我是用SSL VPN或SL2TP連線,再用遠端連線管理,千萬別用PPTP的VPN連線,帳密有機會被解

3

我的作法是不對外開,在內部架一台 VPN (不用防火牆的 VPN),先連上 VPN 才能連到防火牆管理介面。

可以用 OpenVPN Access Server 架,免費版可以同時兩個連線,比 OpenVPN 容易使用些。

官網
https://openvpn.net/vpn-server/

教學文章
https://diro.pixnet.net/blog/post/28838553-%5Bsoft%5D-%E6%95%99%E5%AD%B8---%E4%BD%BF%E7%94%A8openvpn-as-%28access-server%29-%E7%A7%92%E9%80%9F%E6%90%AD

一直都是用OpenVPN...忘了AS有2個FREE以拿來做管理用.

哈,AS 版超方便的。

0
badbug
iT邦新手 5 級 ‧ 2019-09-26 13:51:12

不要開比較好

我要發表回答

立即登入回答