Qual é a maneira mais segura de administrar um firewall remotamente?

Ter uma Rede de Gerenciamento separada (isto é, isolada da produção) é geralmente um bom ponto de partida - coloque a porta de gerenciamento do Firewall nela e desative o gerenciamento de banda nas interfaces de produção, se possível. Além disso, se o seu hardware de firewall tiver algo semelhante a DRAC \ ILO \ RSA, ative-o e coloque-o em uma rede de gerenciamento independente também. Aplique também paranóia adequada em termos de gerenciamento do ciclo de vida da conta, imponha autenticação strong e direitos de acesso. E se alguém não estiver gerenciando ativamente, ou seja, monitorando o acesso a ele, mantendo-o totalmente corrigido e auditando as regras, você estará desperdiçando seu tempo.

O mais seguro que já vi simplesmente adiciona camadas - aplique o acima a dois (ou mais) firewalls independentes e mantenha as equipes gerenciando-as separadamente, incluindo a limitação do acesso físico. Custa muito para executar algo nesse nível de paranóia e seria um desperdício de recursos que poderiam ser usados de maneira mais produtiva em outros lugares para a maioria das organizações.

Ative o registro de configuração , assim você pode ver o que mudou. Use a configuração de senha / contabilidade de usuários mais segura possível.
Use senhas seguras, ssh não telnet, etc. Bloqueie o acesso dentro de um intervalo de IP conhecido. Mantenha backups regulares de sua configuração em um repositório de controle de origem. Não se esqueça também da segurança do rack físico.

Em geral, o gerenciamento é feito apenas pela rede interna, a partir de uma máquina de gerenciamento específica, e forçamos os usuários a se conectarem por meio de várias máquinas para obter isso.