我正在考虑设置一个管理 vlan,我将为我的各种可联网设备(防火墙管理接口、服务器 RAC、WAP 管理接口等)放置所有管理接口。
访问那个 mgmt vlan 的最佳实践是什么——例如,作为 IT 管理员,我的工作站只在业务网络上——但是如果我需要通过 mgmt 接口访问防火墙,我应该有第二个吗?我专门用于 mgmt 网络的 nic?还是我应该编写只允许某些 IP(我的工作站)访问 mgmt 网络的 ACL?
管理网络最佳实践
信息安全
网络
局域网
2021-09-05 14:04:11
1个回答
我见过这种设置的一种方法似乎是一种合理的方法,即允许从单个主机访问管理 LAN,然后让任何需要访问权限的人通过 rdp 或 ssh 连接到该设备,然后从那里连接到管理网络。
这种方法的一个优点是您在扫描方面降低了管理网络的可见性,但您不会像使用多网卡解决方案那样受限于从特定主机进行访问。
另一个优点是它应该允许通过审核网关主机上的活动来更轻松地审核在管理 LAN 中的设备上执行的操作。
当然,在验证连接到它的管理员和审计活动方面,保护该主机变得非常重要。