เพื่อเพิ่มความปลอดภัยฉันต้องการ จำกัด การเข้าถึงสวิตช์ Cisco SG300-10 ของฉันไปยังที่อยู่ IP เพียงแห่งเดียวในเครือข่ายย่อยท้องถิ่นของฉัน หลังจาก เริ่มต้นการกำหนดค่าสวิทช์ใหม่ของฉัน ไม่กี่สัปดาห์หลังฉันไม่พอใจที่รู้ว่าทุกคนที่เชื่อมต่อกับ LAN หรือ WLAN ของฉันสามารถเข้าสู่หน้าการเข้าสู่ระบบโดยรู้ที่อยู่ IP ของอุปกรณ์
>ฉันลงเอยด้วยการอ่านคู่มือการใช้งาน 500 หน้าเพื่อหาวิธีป้องกันการเข้าถึงที่อยู่ IP ทั้งหมดยกเว้นที่ฉันต้องการสำหรับการเข้าถึงระบบจัดการ หลังจากมีการทดสอบและโพสต์หลายฟอรัม Cisco ฉันคิดออก! ในบทความนี้เราจะอธิบายขั้นตอนต่างๆเพื่อกำหนดค่าโปรไฟล์การเข้าถึงและกฎโปรไฟล์สำหรับสวิตช์ Cisco ของคุณ
หมายเหตุ: วิธีการต่อไปนี้ฉันจะไป อธิบายยังช่วยให้คุณสามารถ จำกัด การเข้าถึงบริการที่เปิดใช้งานจำนวนใด ๆ บนสวิทช์ของคุณ ตัวอย่างเช่นคุณสามารถ จำกัด การเข้าถึง SSH, HTTP, HTTPS, Telnet หรือบริการเหล่านี้ทั้งหมดตามที่อยู่ IP
สร้างโปรไฟล์การเข้าถึงการจัดการ & amp; กฎ
ในการเริ่มต้นให้เข้าสู่อินเทอร์เฟซเว็บสำหรับสวิทช์และขยาย ความปลอดภัยจากนั้นขยาย วิธีการเข้าถึง Mgmtไปที่ข้างหน้าและคลิก เข้าถึงโปรไฟล์
สิ่งแรกที่เราต้องทำก็คือการสร้างโปรไฟล์การเข้าถึงใหม่ . ตามค่าเริ่มต้นคุณควรเห็นโปรไฟล์ เฉพาะคอนโซลนอกจากนี้คุณจะสังเกตเห็นที่ด้านบนสุดซึ่ง ไม่มีถูกเลือกถัดจาก โปรไฟล์การเข้าถึงที่ใช้งานอยู่เมื่อเราได้สร้างโปรไฟล์และกฎของเราแล้วเราจะต้องเลือกชื่อโปรไฟล์ที่นี่เพื่อเปิดใช้งาน
คลิกปุ่ม เพิ่มและนี่ควร นำเสนอกล่องโต้ตอบที่คุณสามารถตั้งชื่อโปรไฟล์ใหม่ของคุณและเพิ่มกฎแรกสำหรับโปรไฟล์ใหม่ได้
ที่ ด้านบนให้ชื่อโปรไฟล์ใหม่ ฟิลด์อื่น ๆ ทั้งหมดเกี่ยวข้องกับกฎข้อแรกที่จะถูกเพิ่มลงในโปรไฟล์ใหม่ สำหรับ ความสำคัญของกฎคุณต้องเลือกค่าระหว่าง 1 ถึง 65535 วิธีที่ซิสโก้ทำงานได้คือกฎที่มีลำดับความสำคัญต่ำสุดจะถูกใช้ก่อน หากกฎไม่ตรงกันก็จะมีการใช้กฎถัดไปที่มีลำดับความสำคัญต่ำสุด
ในตัวอย่างของฉันฉันเลือกลำดับความสำคัญของ 1เพราะต้องการให้ประมวลผลกฎนี้ เป็นครั้งแรก กฎนี้จะเป็นกฎที่อนุญาตให้อยู่ IP ที่ฉันต้องการให้สิทธิ์การเข้าถึงสวิตช์ ภายใต้ วิธีการจัดการคุณสามารถเลือกบริการเฉพาะหรือเลือกทั้งหมดซึ่งจะ จำกัด ทุกอย่างไว้ ในกรณีของฉันฉันเลือกทั้งหมดเนื่องจากมีเพียง SSH และ HTTPS ที่เปิดใช้งานอยู่และฉันจัดการบริการทั้งสองอย่างจากคอมพิวเตอร์เครื่องหนึ่ง
โปรดทราบว่าหากคุณต้องการรักษาความปลอดภัยเฉพาะ SSH และ HTTPS แล้วคุณจะต้อง สร้างกฎแยกกันสองกฎ การดำเนินการสามารถปฏิเสธได้ ปฏิเสธหรือ อนุญาตเท่านั้น ตัวอย่างเช่นฉันเลือก อนุญาตเนื่องจากจะเป็น IP ที่อนุญาต จากนั้นคุณสามารถใช้กฎกับอินเทอร์เฟซเฉพาะบนอุปกรณ์หรือคุณสามารถปล่อยให้ ทั้งหมดเพื่อใช้กับพอร์ตทั้งหมดได้
ภายใต้ นำไปใช้กับที่อยู่ IP ต้นทางเราต้องเลือก ผู้ใช้กำหนดที่นี่จากนั้นเลือก เวอร์ชัน 4เว้นแต่คุณจะทำงานใน IPv6 ในกรณีที่คุณจะเลือก Version 6 ตอนนี้พิมพ์ที่อยู่ IP ที่จะได้รับอนุญาตให้เข้าถึงและพิมพ์หน้ากากเครือข่ายที่ตรงกับบิตที่เกี่ยวข้องทั้งหมดที่จะถูกตรวจสอบ
เช่นตั้งแต่ ที่อยู่ IP ของฉันคือ 192.168.1.233 ต้องตรวจสอบที่อยู่ IP ทั้งหมดและด้วยเหตุนี้ฉันต้องมีหน้ากากเครือข่าย 255.255.255.255 ถ้าฉันต้องการให้กฎใช้กับทุกคนใน subnet ทั้งหมดฉันจะใช้ mask ของ 255.255.255.0 ซึ่งหมายความว่าทุกคนที่มีที่อยู่ 192.168.1.x จะได้รับอนุญาต ไม่ใช่สิ่งที่ฉันต้องการทำอย่างชัดเจน แต่หวังว่าจะอธิบายถึงวิธีการใช้หน้ากากเครือข่าย โปรดทราบว่าหน้ากากเครือข่ายไม่ใช่เครือข่ายย่อยสำหรับเครือข่ายของคุณ หน้ากากเครือข่ายระบุว่าบิตใดที่ซิสโก้ควรใช้เมื่อใช้กฎ
คลิก สมัครและตอนนี้คุณควรมีโปรไฟล์และกฎการเข้าถึงใหม่แล้ว! คลิกที่ กฎโปรไฟล์ในเมนูด้านซ้ายคุณจะเห็นกฎใหม่ที่ด้านบน
เพิ่มที่อยู่ใต้ ตารางกฎโปรไฟล์
กฎข้อที่สองเป็นเรื่องง่ายจริงๆ ขั้นแรกให้ตรวจสอบว่าชื่อโปรไฟล์การเข้าใช้งานเป็นชื่อเดียวกับที่เราเพิ่งสร้างขึ้น ตอนนี้เราให้กฎเป็นอันดับแรก 2และเลือก ปฏิเสธสำหรับ การกระทำตรวจสอบว่าทุกอย่างถูกตั้งค่าเป็น ทั้งหมดซึ่งหมายความว่าที่อยู่ IP ทั้งหมดจะถูกบล็อก อย่างไรก็ตามเนื่องจากกฎข้อแรกของเราจะได้รับการประมวลผลเป็นอันดับแรกจะอนุญาตให้ใช้ที่อยู่ IP ได้ เมื่อกฎถูกจับคู่กฎอื่น ๆ จะถูกละเลย หากที่อยู่ IP ไม่ตรงกับกฎข้อแรกกฎนี้จะตรงกับกฎข้อที่สองซึ่งจะตรงกับและถูกบล็อก Nice!
ในที่สุดเราต้องเปิดใช้งานโปรไฟล์การเข้าถึงใหม่ เมื่อต้องการทำเช่นนี้ให้กลับไปที่ เข้าถึงโปรไฟล์และเลือกโปรไฟล์ใหม่จากรายการแบบเลื่อนลงที่ด้านบน (ถัดจาก โปรไฟล์การเข้าถึงที่ใช้งานอยู่) ตรวจสอบให้แน่ใจว่าได้คลิก Applyแล้วคุณควรจะดีไปกว่านี้
โปรดจำไว้ว่าปัจจุบันมีการกำหนดค่าไว้เท่านั้น ใน config ที่ใช้งานอยู่ การจัดการไฟล์- คัดลอก / บันทึกการกำหนดค่าเพื่อคัดลอก config ที่กำลังทำงานไปที่การกำหนดค่าเริ่มต้น
ถ้าคุณต้องการอนุญาตให้สามารถเข้าถึงที่อยู่ IP ได้มากกว่าหนึ่งรายการให้สร้างกฎอื่น ๆ เช่นเดียวกับรายการแรก แต่ให้ความสำคัญสูงกว่า นอกจากนี้คุณจะต้องตรวจสอบให้แน่ใจว่าคุณได้เปลี่ยนลำดับความสำคัญของกฎ ปฏิเสธเพื่อให้มีความสำคัญมากกว่ากฎ อนุญาตทั้งหมด หากคุณประสบปัญหาใด ๆ หรือไม่สามารถทำงานได้อย่าลังเลที่จะโพสต์ในความคิดเห็นและฉันจะพยายามช่วย สนุก!