我们在数据中心的一个机架上托pipe了12台服务器,并且具有足够的pipe理技能来完成这项工作。
我们有VPN到防火墙和DMZ和内部networkingconfiguration。
但是,第一天发生什么事情,我无法到达防火墙,我们被locking,或者错误的configuration将访问VPN和pipe理界面?
我们有备份选项吗? 3G,调制解调器? 什么是典型的,简单的,廉价的方法来防止错误configuration或networking变化,导致我们的networking无法访问?
防火墙是一个SonicWall 3500。
假设一个具有独立configuration的集群防火墙是不可能或不可取的,我将设置一个低功耗主机作为辅助冗余防火墙 (但没有实时stream量)。
注意:我没有把这个叫做后门,或者build议设置一个。 防火墙的后门尖叫着危险。 问这个问题的一个更好的方法是,什么是安全的,在发生错误configuration的情况下访问防火墙的回退计划。
在那个主机上,我会:
一旦通过SSHlogin,您应该能够在您的内部networking中的任何地方使用SSH或SSH隧道。
这仍然不是100%的certificate,因为有一些罕见的情况将会失败。 例如,如果您的ISP弄虚作出自己的networkingconfiguration(除非您有一个辅助调制解调器/ ISP)。
使用控制台服务器和任何连接,你可以进入网站(3G / DSL /电话线)连接到它。 有些已经集成了VPNfunction。
有很多制造商,所以你可以花费很多,或select一个适合你的预算 。
那么即使防火墙在没有networkingfunction的升级失败后卡在ROM中,您仍然可以远程访问它。
这是一个较旧的解决scheme,但仍然有效。 方法和协议简单而坚实。
当你需要的时候,打电话给数据中心,让他们插入调制解调器并开机。 然后拨入,连接到防火墙,并解决问题。