เพื่อความปลอดภัยที่เพิ่มขึ้นฉันต้องการ จำกัด การเข้าถึงสวิตช์ SG300-10 ของ Cisco เพียงหนึ่งที่อยู่ IP ในเครือข่ายย่อยของฉัน หลังจากเริ่มตั้งค่าสวิตช์ใหม่เมื่อสองสามสัปดาห์ก่อนฉันไม่มีความสุขที่รู้ว่าใครก็ตามที่เชื่อมต่อกับ LAN หรือ WLAN ของฉันสามารถเข้าสู่หน้าเข้าสู่ระบบได้โดยเพียงแค่รู้ที่อยู่ IP สำหรับอุปกรณ์
ฉันได้กรองคู่มือ 500 หน้าเพื่อหาวิธีปิดกั้นที่อยู่ IP ทั้งหมดยกเว้นที่ฉันต้องการสำหรับการเข้าถึงการจัดการ หลังจากการทดสอบจำนวนมากและการโพสต์ในฟอรัมของ Cisco หลายครั้งฉันก็พบว่า! ในบทความนี้ฉันจะแนะนำคุณเกี่ยวกับขั้นตอนการกำหนดค่าโปรไฟล์การเข้าถึงและกฎโปรไฟล์สำหรับสวิตช์ Cisco ของคุณ
หมายเหตุ : วิธีต่อไปนี้ที่ฉันจะอธิบายยังช่วยให้คุณสามารถ จำกัด การเข้าถึงบริการที่เปิดใช้งานจำนวนเท่าใดก็ได้ในสวิตช์ของคุณ ตัวอย่างเช่นคุณสามารถ จำกัด การเข้าถึง SSH, HTTP, HTTPS, Telnet หรือบริการเหล่านี้ทั้งหมดโดยที่อยู่ IP
สร้างโปรไฟล์ & กฎการเข้าถึงเพื่อการจัดการ
ในการเริ่มต้นใช้งานให้ล็อกอินเข้าสู่เว็บอินเตอร์เฟสสำหรับสวิตช์ของคุณและขยายการ รักษาความปลอดภัย แล้วขยาย วิธีการเข้าถึง Mgmt ไปข้างหน้าและคลิกที่ โปรไฟล์การเข้าถึง
สิ่งแรกที่เราต้องทำคือสร้างโปรไฟล์การเข้าถึงใหม่ ตามค่าเริ่มต้นคุณควรเห็นโปรไฟล์ คอนโซลเท่านั้น นอกจากนี้คุณจะสังเกตเห็นว่า ไม่มีการ เลือก โปรไฟล์ ถัดจาก Active Access เมื่อเราสร้างโปรไฟล์และกฎของเราแล้วเราจะต้องเลือกชื่อของโปรไฟล์ที่นี่เพื่อเปิดใช้งาน
ตอนนี้คลิกที่ปุ่ม เพิ่ม และสิ่งนี้จะปรากฏขึ้นกล่องโต้ตอบที่คุณจะสามารถตั้งชื่อโปรไฟล์ใหม่ของคุณและเพิ่มกฎแรกสำหรับโปรไฟล์ใหม่
ที่ด้านบนสุดให้ตั้งชื่อโปรไฟล์ใหม่ของคุณ ฟิลด์อื่น ๆ ทั้งหมดเกี่ยวข้องกับกฎข้อแรกที่จะเพิ่มในโปรไฟล์ใหม่ สำหรับ Rule Priority คุณจะต้องเลือกค่าระหว่าง 1 ถึง 65535 วิธีที่ Cisco ใช้งานคือการใช้กฎที่มีลำดับความสำคัญต่ำสุดก่อน หากไม่ตรงกันระบบจะใช้กฎถัดไปที่มีลำดับความสำคัญต่ำสุด
ในตัวอย่างของฉันฉันเลือกลำดับความสำคัญเป็น 1 เพราะฉันต้องการให้กฎนี้ถูกประมวลผลก่อน กฎนี้จะเป็นที่อยู่ IP ที่ฉันต้องการให้การเข้าถึงสวิตช์ ภายใต้ วิธีการจัดการ คุณสามารถเลือกบริการเฉพาะหรือเลือกทั้งหมดซึ่งจะ จำกัด ทุกอย่าง ในกรณีของฉันฉันเลือกทั้งหมดเพราะฉันเปิดใช้งาน SSH และ HTTPS เท่านั้นและฉันจัดการบริการทั้งสองจากคอมพิวเตอร์เครื่องเดียว
โปรดทราบว่าหากคุณต้องการรักษาความปลอดภัยเฉพาะ SSH และ HTTPS คุณจะต้องสร้างกฎแยกต่างหากสองกฎ การ กระทำ สามารถ ปฏิเสธได้ หรือ อนุญาต เท่านั้น สำหรับตัวอย่างของฉันฉันเลือก Permit เพราะนี่จะเป็น IP ที่อนุญาต ถัดไปคุณสามารถใช้กฎกับอินเทอร์เฟซเฉพาะบนอุปกรณ์หรือคุณสามารถปล่อยไว้ที่ ทั้งหมด เพื่อให้ใช้ได้กับพอร์ตทั้งหมด
ภายใต้ นำไปใช้กับที่อยู่ IP ต้นทาง เราต้องเลือก กำหนดผู้ใช้ ที่นี่จากนั้นเลือก รุ่น 4 เว้นแต่คุณจะทำงานในสภาพแวดล้อม IPv6 ซึ่งในกรณีนี้คุณจะเลือกรุ่น 6 ตอนนี้พิมพ์ที่อยู่ IP ที่จะอนุญาตให้เข้าถึงและพิมพ์ ในเน็ตเวิร์กมาสก์ที่ตรงกับบิตที่เกี่ยวข้องทั้งหมดที่ต้องดู
ตัวอย่างเช่นเนื่องจากที่อยู่ IP ของฉันคือ 192.168.1.233 ที่อยู่ IP ทั้งหมดจึงต้องได้รับการตรวจสอบและด้วยเหตุนี้ฉันจึงจำเป็นต้องมีเครือข่ายมาสก์ของ 255.255.255.255 ถ้าฉันต้องการกฎที่จะนำไปใช้กับทุกคนในเครือข่ายย่อยทั้งหมดแล้วฉันจะใช้รูปแบบของ 255.255.255.0 นั่นหมายความว่าทุกคนที่มีที่อยู่ 192.168.1.x จะได้รับอนุญาต นั่นไม่ใช่สิ่งที่ฉันต้องการจะทำอย่างชัดเจน แต่หวังว่าจะอธิบายวิธีใช้เครือข่ายมาสก์ โปรดทราบว่ามาสก์เครือข่ายไม่ใช่ซับเน็ตมาสก์สำหรับเครือข่ายของคุณ เน็ตเวิร์กมาส์กบอกว่าบิตใดที่ Cisco ควรพิจารณาเมื่อใช้กฎนี้
คลิก ใช้ และตอนนี้คุณควรมีโปรไฟล์การเข้าถึงและกฎใหม่! คลิกที่ กฎของโปรไฟล์ ในเมนูด้านซ้ายและคุณจะเห็นกฎใหม่แสดงไว้ที่ด้านบน
ตอนนี้เราต้องเพิ่มกฎข้อที่สองของเรา หากต้องการทำสิ่งนี้ให้คลิกที่ปุ่ม เพิ่มที่ แสดงอยู่ใต้ ตารางกฏโปรไฟล์
กฎข้อที่สองนั้นง่ายมาก ๆ ประการแรกตรวจสอบให้แน่ใจว่าชื่อโปรไฟล์การเข้าถึงเป็นชื่อเดียวกับที่เราเพิ่งสร้างขึ้น ตอนนี้เราเพียงแค่ให้กฎเป็น 2 และเลือก ปฏิเสธ สำหรับการ ดำเนินการ ตรวจสอบให้แน่ใจว่าทุกอย่างถูกตั้งค่าเป็น ทั้งหมด ซึ่งหมายความว่าที่อยู่ IP ทั้งหมดจะถูกปิดกั้น อย่างไรก็ตามเนื่องจากกฎข้อแรกของเราจะถูกประมวลผลก่อนที่อยู่ IP นั้นจะได้รับอนุญาต เมื่อจับคู่กฎแล้วกฎอื่น ๆ จะถูกละเว้น หากที่อยู่ IP ไม่ตรงกับกฎข้อแรกกฎนั้นจะมาถึงกฎข้อที่สองซึ่งจะจับคู่และถูกบล็อก ดี!
สุดท้ายเราต้องเปิดใช้งานโปรไฟล์การเข้าถึงใหม่ หากต้องการทำเช่นนั้นกลับไปที่ Access Profiles และเลือกโปรไฟล์ใหม่จากรายการดรอปดาวน์ที่ด้านบน (ถัดจาก Active Access Profile ) อย่าลืมคลิก Apply และคุณน่าจะไปได้ดี
โปรดจำไว้ว่าขณะนี้การกำหนดค่านั้นได้รับการบันทึกในการกำหนดค่าที่กำลังทำงานอยู่เท่านั้น ตรวจสอบให้แน่ใจว่าคุณไปที่การ จัดการ - การจัดการไฟล์ - คัดลอก / บันทึกการกำหนดค่า เพื่อคัดลอกการ กำหนดค่า การทำงานไปยังการกำหนดค่าเริ่มต้น
หากคุณต้องการอนุญาตให้เข้าถึงที่อยู่ IP มากกว่าหนึ่งสวิตช์ให้สร้างกฎอื่นเช่นกฎข้อแรก แต่ให้ลำดับความสำคัญสูงกว่า คุณจะต้องตรวจสอบให้แน่ใจว่าคุณเปลี่ยนลำดับความสำคัญสำหรับกฎ ปฏิเสธ เพื่อให้มีลำดับความสำคัญสูงกว่ากฎ ใบอนุญาต ทั้งหมด หากคุณพบปัญหาใด ๆ หรือไม่สามารถใช้งานได้โปรดโพสต์ในความคิดเห็นและฉันจะพยายามช่วย สนุก!
