Firewall
進行管理,例如直接在
WAN
開啟管理者介面,在
Internet
只需連到單位的外部
IP
即能管理。
此時必需小心,管理者的方便也就是
攻擊者的方便,就算改過管理介面的
Port Number
攻擊者往往進行
IP
Scan
後會再進行
Port Scan
所以
定能發現這個登入
Portal
進而猜解
密碼,只要帳密被猜出來,
Firewall
就淪陷了。
那管理者要怎麼從遠端管理
Firewall
才安全呢?答案意外的簡
單,愈多關卡、愈麻煩愈好。
舉一個某企業遠端管理方式為
例, 從
Internet
外 部 無 法 找 到 直
接登入
Firewall
Portal
必須登
SSL-VPN
加 密 連 線 的
Portal
這個
Portal
的登入需要有帳號、密
碼、群組、動態密碼的認證,通過了
這一關後只能取得該群組或該帳號的
資源,並非全部資源,此時畫面只有
一個
RDP
主機連結,點開連結登入
RDP
主機是另一組認證,登入後的
Windows
系統權限有限,能夠去的
地方被
ACL
限住,只能利用桌面的
VMware View Client
連線到某台主
機,因為只有該
IP
才能連到
Firewall
進行認證以管理
Firewall
聽起來關
卡多,卻是實務上為了安全而設下的
重重關卡。
在關卡的設定上,建議您的第一
關,登入的
Portal
一定要設計有加
密連線的方式,如
HTTPS
SSH
Secure Tunnel
以保障帳密資訊
不被竊取。其它可以透過
One Time
Password
動態密碼來強化認證,
並在管理介面限制來源來加強管理連
線的關卡,關卡愈多就愈安全。這就
圖四 麟瑞科技客製化
Log
平台
限額管理畫面
201
Technology Forum 2015
雲端
資料
BYOD
與資
網路