Ter uma Rede de Gerenciamento separada (isto é, isolada da produção) é geralmente um bom ponto de partida - coloque a porta de gerenciamento do Firewall nela e desative o gerenciamento de banda nas interfaces de produção, se possível. Além disso, se o seu hardware de firewall tiver algo semelhante a DRAC \ ILO \ RSA, ative-o e coloque-o em uma rede de gerenciamento independente também. Aplique também paranóia adequada em termos de gerenciamento do ciclo de vida da conta, imponha autenticação strong e direitos de acesso. E se alguém não estiver gerenciando ativamente, ou seja, monitorando o acesso a ele, mantendo-o totalmente corrigido e auditando as regras, você estará desperdiçando seu tempo.
O mais seguro que já vi simplesmente adiciona camadas - aplique o acima a dois (ou mais) firewalls independentes e mantenha as equipes gerenciando-as separadamente, incluindo a limitação do acesso físico. Custa muito para executar algo nesse nível de paranóia e seria um desperdício de recursos que poderiam ser usados de maneira mais produtiva em outros lugares para a maioria das organizações.