如何从交换机/路由器端保护老化的 PC?

网络工程 思科 联网
2021-07-11 09:44:51

我有一台老化的 Windows XP PC,其目的是使用机器特定的软件通过 RS-232 连接将代码提供给制造机器。PC 需要从网络文件共享中检索其代码。这台电脑随制造机器一起提供(购买使用过),我没有/无法获得其管理员密码。此外,PC 已禁用自动更新并禁用其防火墙,如果没有管理员访问权限,则无法打开这些功能。我担心在我的网络上安装未更新/未设置防火墙的 PC 会带来安全风险。

我能否通过我们的 Cisco 管理型交换机 (SG300) 上的设置来保护这台机器,以将其限制为一项且唯一的网络相关任务 - 即连接到网络文件共享?机器不需要上网。它只需要访问单个网络文件共享。有没有办法做到这一点?

以下是有关我们网络配置的更多详细信息:

  • 管理型交换机是 Cisco SG300。它正在处理所有第 3 层交换。
  • 文件服务器连接到 Cisco SG300 交换机。
  • 路由器是 Ubiquiti Edgerouter X,但是我认为这是不可能的,因为 Cisco 交换机正在执行所有内部交换和处理 Vlan。
  • 老化的 PC 通过 Wifi 连接到网络。
  • 老化的 PC 没有 Wifi 卡,因此它通过有线以太网到 wifi 适配器(IOGear GWU627W6)连接到 Wifi。
  • 无线接入点是 Ubiquiti Unifi AP-LR,它连接到 Cisco SG300 交换机。
1个回答
  • 考虑向您的交换机添加基于 MAC 的访问控制列表。这将使老化的 PC 只能向服务器发送和从服务器接收帧
  • 考虑 IP 地址和端口 ACL,因此即使使用此服务器,它也只能执行文件共享相关任务
  • 考虑将老化的 PC 更改为有线:然后只有帧必须通过交换机到 PC
  • 如果您无法连线,请考虑将老化 PC 的 wifi 置于其自己的 SSID 中
  • 考虑从 PC 到服务器上的第二个 NIC 的直接线路,否则使用未路由的 IP 地址
其它你可能感兴趣的问题
上一篇OSPFv2和OSPFv3实例如何学习邻居IP地址? 下一篇带宽与每秒包数(PPS)的关系说明(思科路由器性能)