Список управления доступом acl имеет неверную структуру

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

федеральное государственное бюджетное образовательное учреждение

«Сибирский государственный аэрокосмический университет имени академика М.Ф. Решетнева»

АЭРОКОСМИЧЕСКИЙ КОЛЛЕДЖ

Практическая работа № 6

Преподаватель Пятков Антон Геннадьевич

ДисциплинаОсновы информационной безопасности

Практическая работа № 6

«Подсистема разграничения доступа в ОС Windows NT»

Цель: получить навыки работы с подсистемой разграничения доступа ОС семейства Windows NT. Рассмотреть реализацию дискреционной модели доступа в ОС Windows NT.

Теоретическая часть

Основу политики безопасности для компьютерной системы любой организации составляют правила разграничения доступа (ПРД) к объектам компьютерной системы. Разграничение доступа к компьютерным ресурсам базируется на различных моделях управления доступом. В ОС MicrosoftWindowsNT и ОС семейства Unix обычно применяется дискреционное и ролевое управление доступом к объектам.

Дискреционная модель разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретного субъекта. Правом редактирования дискреционного списка контроля доступа обычно обладают владелец объекта и администратор безопасности. Эта модель отличается простотой реализации, но возможна утечка конфиденциальной информации даже в результате санкционированных действий пользователей.

Мандатная модель разграничения доступа предполагает назначение объекту метки (грифа) секретности, а субъекту – уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил «не читать выше» и «не записывать ниже» своего уровня секретности. Использование мандатной модели, в отличие от дискреционного управления доступом, предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.

Ролевая модель разграничения доступа основана на конструировании ролей и назначении их пользователям на основании выполняемых ими конкретных должностных обязанностей. При назначении и использовании ролей возможно наложение динамических и статических ограничений на совмещение разных ролей одним субъектом, одновременное использование одной роли разными субъектами и т.п. Подобный подход к разграничению доступа к объектам позволяет разделить обязанности между конструктором ролей и диспетчером ролей, а также более точно связать права доступа пользователей к объектам компьютерной системы с их обязанностями в организации, исключить избыточность полномочий.

В ОС Windows NT существует понятие «защищенный объект» (securableobject). Это объект, доступ к которому контролируется и ограничивается операционной системой. К таким объектам относятся:

ü файлы и каталоги файловой системы NTFS;

ü процессыипотоки (Process and threads);

ü файлы, спроецированные в память (mappedfiles);

ü маркерыдоступа (access tokens);

ü объектыуправленияокнами (Window–management objects);

ü разделыреестра (registry keys);

ü службы Win32 (services);

ü принтеры (Printers);

ü разделенные сетевые ресурсы (Networkshares);

ü объектысинхронизациипроцессов (Interprocess synchronization objects: events, mutexes, semaphores, waitable timers);

ü задачи (Job objects).

В модели ограничения доступа Win32 существует два базовых понятия:

Accesstokens – маркеры доступа (МД), содержащие информацию о пользователе.

Securitydescriptors (SID) – описатели защиты, содержащие информацию о правах тех или иных учетных записей на доступ к объекту.

При регистрации пользователя в системе после успешной проверки имени и пароля создается маркер доступа. Для каждого процесса, выполняемого далее в контексте этого пользователя, создается копия МД. Маркер доступа содержит множество идентификаторов защиты (securityidentifiers, SID), определяющих учетные записи пользователя и тех групп, в которые он входит. Кроме того, МД содержит список привилегий (privilege) – прав на доступ к тем или иным объектам, предоставляемых той или иной учетной записи. С помощью этой информации операционная система определяет возможности доступа пользователя к ресурсам.

При создании защищенного объекта ОС присваивает ему описатель защиты (securitydescriptor, SD) – той защиты, которая имеется у пользователя, создающего объект, или же той, что задана по умолчанию. Приложения Win32 могут использовать функции API как для получения, так и для изменения информации о доступе к объектам.

Securitydescriptor содержит информацию о владельце объекта, а также может включать следующие списки контроля доступа AccessContolList (ACL):

ü Discretionaryaccess–controllist (DACL) – разграничительные списки контроля доступа, в которых содержатся пользователи и группы с соответствующими правами на доступ к объекту;

ü Systemaccess–controllist (SACL) – системные списки контроля доступа, которые определяют, как осуществляется аудит попыток доступа к объекту.

ü Список контроля доступа содержит список записей контроля доступа (access–controlentries, ACEs). Каждая запись содержит набор битовых флагов и идентификатор SID попечителя (trustee) – пользователя или группы, к которой эти права применены.

SecurityDescriptor

Эти объекты содержат информацию о безопасности, соотнесенную с тем или иным защищенным объектом. Физически этот объект представляет собой структуру SECURITY_DESCRIPTOR, описанную в файле Windows.h:

Структура SECURITY_DESCRIPTOR используется для доступа к информации о безопасности объектов. Но изменять поля непосредственно в данной структуре невозможно. Для этого необходимо использовать специальные функции (например, SetSecurityDescriptorOwner(…)). Кроме того, Win32 API предоставляет интерфейс для создания и инициализации описателя SD для новых объектов.

Accesstoken

Accesstoken (маркер доступа) – это объект операционной системы, который описывает контекст ограничения доступа к процессу или потоку. Он содержит привилегии, соответствующие учетной записи пользователя, ассоциированного с процессом или потоком. Маркер доступа создается после успешной идентификации пользователя в системе. После этого каждый процесс, который так или иначе запускается данным пользователем, сопровождается копией его маркера.

Идентификатор защиты SID

Уникальный параметр переменной длины, определяющий учетную запись (account) и хранящийся в базе данных системы безопасности Windows NT, – вот что такое SID. В начале каждого сеанса, как только пользователь идентифицирован в системе, его SID извлекается из БД и помещается в маркер доступа. Далее это значение используется операционной системой при всех действиях пользователя с защищенными объектами.

Существует несколько стандартных SID, применяемых для учетных записей:

ü NULL – S–1–0–0 – SID группы, в которую не входят пользователи. Используется лишь тогда, когда SID неизвестен;

ü World – S–1–1–0 – группа, включающая в себя всех пользователей;

ü Local – S–1–2–0 – пользователи, имеющие непосредственный, физический доступ к системе;

ü CreatorOwner ID – S–1–3–0 – SID, которым заменяется SID пользователя, создавшего объект. Этот SID используется для унаследованных записей ACE;

ü CreatorGroup ID – S–1–3–1 – значение, заменяющее SID основной группы, к которой принадлежит пользователь, создавший объект. Этот SID, как и предыдущий, используется для унаследованных записей ACE.

Список управления доступом ACL

ACL представлен структурой, описанной в Windows.h:

Система ограничения доступа Windows NT/2000 использует несколько типов записей ACE, содержащей, кроме того, и названия соответствующих этим типам структур данных. Для того чтобы унифицировать процедуру анализа структур ACE, разработчики включили во все структуры _ACE одинаковую последовательность полей, которая отображается в структуре ACE_HEADER:

Читайте также:  Сравнительная характеристика жестких дисков

Первое поле AceType определяет тип структуры. Очевидно, что указатель на любую структуру _ACE можно преобразовать в указатель на ACE_HEAER, получить тип ACE, после чего этот указатель преобразовать в указатель на соответствующую полученному типу структуру данных. Такой прием широко используется в различных API продуктов Microsoft.

Для просмотра и установки параметров доступа к объектам NTFS используется утилита icacls.exe, входящая в WindowsNT, или графический интерфейс WindowsNT. Для работы с утилитой используется консоль Windows. Синтаксис:

icacls.exefilename [/T][/E][/C][/Guser:perm][/Ruser [. ]][/Puser:perm [. ]] [/D user [. ]]

Filename – без других параметров выводит на экран список пользователей и их прав на доступ к объекту Filename.

/T – изменяет список записей управления доАшдступом к объекту, а если это папка, то ко всем вложенным папкам.

/E – заменяет список записей управления доступом.

/C – позволяет продолжить работу в случае ошибки отказа в доступе.

/G user:perm – устанавливает для пользователя, определяемого параметром user, права на доступ к объекту, определяемые параметром perm:

N – нет; R – чтение; W – запись; C – изменение; F – полный контроль.

/R user – удаляет для указанного пользователя права на доступ к объекту.

/P user:perm – изменяет для указанного в параметре user пользователя права на доступ к объекту, которые описываются параметром perm и могут быть следующими:

N – нет; R – чтение; W – запись; C – изменение; F – полный контроль.

/D user – запрещает применять пользователю доступ к указанному объекту.

Таким образом, AccessControlList или ACL – список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

В системе с моделью безопасности, основанной на ACL, когда субъект запрашивает выполнение операции над объектом, система сначала проверяет список разрешённых для этого субъекта операций, и только после этого даёт (или не даёт) доступ к запрошенному действию.

При централизованном хранении списков контроля доступа можно говорить о матрице доступа, в которой по осям размещены объекты и субъекты, а в ячейках — соответствующие права. Однако в большом количестве систем списки контроля доступа к объектам хранятся отдельно для каждого объекта, зачастую непосредственно с самим объектом.

Традиционные ACL системы назначают права индивидуальным пользователям, и со временем и ростом числа пользователей в системе списки доступа могут стать громоздкими. Вариантом решения этой проблемы является назначения прав группам пользователей, а не персонально. Другим вариантом решения этой проблемы является «Управление доступом на основе ролей», где функциональные подмножества прав к ряду объектов объединяются в «роли», и эти роли назначаются пользователям. Однако, в первом варианте группы пользователей также часто называются ролями. Графический доступ к ACL можно получить через вкладку «Безопасность» (рисунок 1).

Рисунок 1 – ACL файла

Практическая часть

В отчёте представить (с описанием и снимками экрана, достаточными для понимания факта проделанной работы) следующее:

1. Создайте пользователей в соответствии с таблицей 1. Первый пользователь имеет роль администратора. Второй – пользователь.

2. Создайте ресурсы под соответствующими папкам учетными записями в соответствии с таблицей 1, заполните ресурсы данными;

3. Реализуйте в системе Windows NT указанную (таблица 1) матрицу доступа. Продемонстрируйте результат реализации матрицы доступа под каждым пользователем. Прокомментируйте результат.

Таблица 1. Матрица доступа

Пользователь Ресурс С:ХозяинСписок рабов.txt С:ХозяинОтчёт в налоговую.docx С:РабФото хозяина.jpg С:РабСписок дел для раба.txt С:РабСделанные дела.txt С:РабМотиватор.exe
Хозяин Полный доступ Изменение Запись Полный доступ Чтение Запрет записи и изменения Полный доступ
Раб Полный запрет Чтение Чтение Запрет изменения Чтение Запрет записи и изменения Полный доступ Чтение и выполнение

В файл «Список сделанных дел напишите свою фамилию, номер зачетки и «сделал это задание», скриншот также добавьте в отчет.

4. Под учётной записью «Хозяина» измените ресурс «С:РабСделанные дела.txt». Прокомментируйте результат.

Вопросы (кратко ответить):

1. Какая формальная модель доступа присутствует в WindowsNT?

2. Что такое подсистема разграничения доступом и зачем она нужна?

3. Какие права доступа существуют?

4. Чем привилегии отличаются от прав доступа? Что больше?

5. Каков принцип работы подсистемы разграничения доступа?

6. Кто такой владелец файла?

7. Как изменять права доступа в Windows?

8. Что такое ACL и где его найти?

9. Как можно получить права доступа, когда доступ запрещён?

10. Что такое права доступа? Кто их распределяет?

11. Как запретить доступ к своей папке другим пользователям?

12. Что такое учётная запись? Какие они бывают?

Дата добавления: 2018-06-01 ; просмотров: 764 ; ЗАКАЗАТЬ РАБОТУ

Списки управления доступом являются частью комплексной системы безопасности сети. Они позволяют запретить/разрешить определенным хостам доступ к ресурсам сети. Например, в корпоративной сети администраторы могут запретить доступ в интернет определенным пользователям, а остальным наоборот – разрешить.

Запретить/разрешить мы можем на основе IP адресов, портов и задействованных протоколов. На этом принципе и работают списки управления доступом ACL ( Access Control List ).

Другим примером использования списков доступа является запрет поступающих на маршрутизатор пакетов протокола ICMP. Как мы знаем с помощью ICMP работают утилиты Ping, Traceroute/Tracert. С помощью данных утилит можно просканировать сеть, а это нежелательно с точки зрения политики безопасности каждой сети.

Списки доступа позволяют фильтровать трафик на входе и выходе интерфейса маршрутизатора.

И в чем же разница?

Разница в том, что на входе весь поступающий трафик подвергается фильтрации. Нежелательные пакеты отбрасываются и уже только потом остальные пакеты маршрутизируются:

Когда ACL настроены на выходе интерфейса, то трафик фильтруется сразу же после процесса маршрутизации:

Данная особенность может быть полезна при определенных обстоятельствах.

Так что же из себя представляют списки доступа и как они работают?

Списки доступа содержат просто набор инструкций какие порты и адреса блокировать, а какие наоборот разрешить. Этих инструкций может от нескольких единиц до десятков.

При поступлении трафика проверка списка доступа начинается сверху вниз, то есть с первой инструкции. Как только будет найдено совпадение проверка списка прекратится и будет выполнено действие, указанное в инструкции (заблокировать или пропустить).

Внизу списка всегда следует неявная инструкция по блокировке всего трафика. Данная инструкция добавляется автоматически самой системой. В настройках она не видна, но нужно знать, что она есть.

Cisco IOS поддерживает 3 типа ACL:

  • стандартные списки
  • расширенные списки
  • именованные списки

Стандартные списки позволяют проверять только IP адрес отправителя. Например,в нашем 1-ом примере доступ в интернет Алисе и Кате можно закрыть с помощью стандартного списка. В данном случае блокируется абсолютно весь трафик, проходящий через маршрутизатор. Стандартные списки доступа рекомендуется устанавливать как можно ближе к отправителю.

Читайте также:  Температура жала паяльника 100 вт

Расширенные списки позволяют фильтровать пакеты на основе адресов, портов и протоколов получателя и отправителя.

Например, Алисе разрешается использовать электронную почту, но все еще запрещается использовать остальной доступ в интернет. Кате же разрешены звонки по интернет и запрещены все остальные службы интернет.

Электронная почта работает по протоколам POP/SMTP (порты 110/ 25). Следовательно можно внести исключение в списки доступа исходя из выше описанных условий.

То же самое касается и IP телефонии – выбираем задействованный протокол и порт и вносим в список доступа.

Расширенные списки рекомендуется устанавливать ближе к получателю.

Именованные списки являются теми же стандартными и расширенными ACL, однако предоставляют более гибкие возможности для редактирования (об этом немного позже).

Рассмотрим какие команды используются в каждом типе ACL, а затем применим их на примере.

Инструкция задается следующей командой:

Router(config)# access-list номер permit | deny IP_адрес_отправителя инвертированная_маска (wildcard mask)

Router(config)# access-list 1 deny 192.168.1.0 0.0.0.255

Router(config)# access-list 1 permit 10.1.0.0 0.0.255.255

Router(config)# access-list 1 deny any

Номер списка принимает значения от 1 до 99. Цифры не означают приоритет или упорядоченность. Это просто номер списка. Затем следует команда permit (разрешить) или deny (запретить). С помощью инвертированной маски (wildcard mask) мы можем определить диапазон адресов, на которые будет распространяться запрет/разрешение.

В первой команде мы запрещаем сеть 192.168.1.0/24, а во второй разрешаем сеть 10.1.0.0/16.

Таких команд (инструкций) можно добавлять сколько угодно. Как было отмечено ранее работа всегда начинается с самой первой команды и далее идет вниз по списку. В конце списка всегда стоит неявная команда запрещающая весь остальной трафик, поэтому необходимо это учитывать при планировании списков доступа. При добавлении новой команды в список она добавляется всегда в конец списка.

А как работает инвертированная маска (wildcard mask)?

Работа инвертированной маски основана на следующем принципе.

На тех битовых позициях, где установлен 0 IP адрес устройства должен совпадать с адресом, указанным в настройках ACL.

На тех битовых позициях, где установлена 1 IP адрес устройства может не совпадать с адресом, указанным в настройках ACL, то есть может принимать любые значения. Поясню сказанное на примерах.

Пример №1

Необходимо разрешить доступ диапазону адресов 192.168.1.0 – 192.168.1.255. Так как первые 3 октета должны совпадать полностью, а четвертый может принимать любые значения, то используем маску 0.0.0.255. Вот как это выглядит на рисунке

Пример №2

К диапазону 192.168.1.0-192.168.1.255 добавим еще один диапазон 192.168.2.0 – 192.168.2.255.

Теперь у нас должны совпадать первые 2 октета полностью и первые 6 бит третьего октета. Поэтому маска у нас 0.0.3.255. А в настройках ACL мы укажем адрес 192.168.0.0. Можно, конечно, указать сразу 2 отдельные команды на каждый диапазон, с помощью маски мы можем сократить запись

Пример №3

Необходимо разрешить/запретить диапазон 200.40.0.4 – 200.40.0.7. У нас совпадают полностью первые 3 октета и первые 6 бит четвертого октета:

После того, как список создан, необходимо определить направление (входящий или исходящий) трафика и на каком интерфейсе он будет фильтроваться:

Router(config-if)# ip access-group номер_применяемого_списка in | out

in – входящий трафик

out – исходящий трафик

Алгоритм работы стандартного списка выглядит так:

Расширенный список доступа

Расширенные списки доступа имеют номера от 100 до 199.

Команды имеют довольно широкий набор опций, поэтому покажу наиболее общий пример команды:

Router(config)#access-list номер permit | deny протокол IP_адрес_отправителя инвертированная_маска порт_отправителя IP_адрес_получателя инвертированная_маска порт_получателя

Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 eq 80 10.1.1.0 0.0.0.255 eq 443

Данная команда разрешает TCP трафик от хостов с диапазоном 192.168.1.0/24 на хосты с диапазоном 10.1.1.0/24. Причем порты отправителя должны быть равны 80, а порты получателя – 443. Если все эти условия соблюдаются, то пакет пропускается, если нет, то переходит к следующей команде.

Router(config)#access-list 100 deny tcp any host 172.16.1.5 gt 5000

А вот эта команда запрещает весь TCP трафик от любого хоста на конкретный хост с адресом 172.16.1.5. Причем запрет действует при условии, что запросы идут на порты получателя от 5001 и выше.

В конце списка всегда следует неявная команда, запрещающая весь трафик.

Не забудь определить интерфейс и направление трафика для фильтрации.

Вот как выглядит алгоритм работы расширенных списков:

Для просмотра настроек используй следующие команды:

Router# show running-config

Router# show ip access-lists

Router# show ip access-lists interface название_интерфейса

Ничем не отличаются от стандартных и расширенных списков, однако позволяют гибко редактировать вновь созданные списки.

Стандартные и расширенные списки редактировать нельзя. К примеру, нельзя в середину списка вставить команду или удалить ее. Для этого нужно сначала деактивировать список на самом интерфейсе , а затем полностью его удалить и настроить заново.

Именованный список позволяет использовать названия списков вместо их номеров. Все введенные команды нумеруются, что позволяет легко добавлять и удалять команды.

Синтаксис команд представлен ниже.

Для стандартных списков:

Router(config)# ip access-list standard название

Router(config-std-nacl)# permit host IP_адрес_отправителя

Router(config-std-nacl)# deny IP_адрес_отправителя инвертированная_маска

Для расширенных списков:

Router(config)# ip access-list extended название

Router(config-ext-nacl)# permit ip IP_адрес_отправителя инвертированная_маска IP_адрес_получателя инвертированная_маска

Router(config-ext-nacl)# deny tcp IP_адрес_отправителя инвертированная_маска порт_отправителя IP_адрес_получателя инвертированная_маска порт_получателя

Чтобы удалить ненужную команду достаточно узнать ее номер. Чтобы узнать номер введи команду:

Router# show ip access-list название

а затем укажи ее номер при удалении:

Router(config-ext-nacl)# no 10 – этого уже достаточно

Ну а чтобы добавить команду достаточно тоже указать номер и затем саму команду.

Обращаю твое внимание, что удаление и добавление строк списка происходит в режиме настройки ACL, например так:

Router(config-ext-nacl)# 5 deny ip any any

Пример использования списков доступа

Сеть состоит из 3 частей:

  • Внутренняя сеть – основная инфраструктура локальной сети любого предприятия.
  • Демилитаризованная зона DMZ – в ней располагаются сервера, которые доступны из интернета. Доступ во внутреннюю сеть из этой зоны закрыт из соображений безопасности.
  • Внешняя сеть – связывается напрямую с провайдером. Обычно состоит из маршрутизаторов и сетевых экранов (firewalls).

Именно по этому принципу и строятся сети предприятий.

Задача у нас следующая:

  1. Всем серверам из DMZ запретить доступ во внутреннюю сеть
  2. Всем серверам из DMZ разрешить двустороннюю связь в интернет
  3. Пользователям из интернета разрешить доступ на серверы в DMZ, учитывая протокол взаимодействия и порты TCP/UDP
  4. Разрешить доступ внутренним пользователям на серверы DMZ
  5. Запретить Алине и Саше доступ в интернет и DMZ, то есть они могут работать только во внутренней сети.
Читайте также:  Что такое wallet address

Пункт №1 можно решить с помощью расширенного списка на маршрутизаторе LAN_Router

На самом деле в данном примере серверы не имеет доступа к внутренним компьютерам, потому что подключены к различным интерфейсам маршрутизатора Firewall. Данный маршрутизатор ничего не знает о сети 192.168.1.0/24, поэтому не может перенаправить пакеты серверов к маршрутизатору LAN_Router. Однако достаточно маленькой ошибки в конфигурации и внутренние компьютеры станут доступны не только для DMZ, но и для внешней сети.

Поэтому список доступа на маршрутизаторе LAN_router безусловно необходим.

А какие ошибки могут привести к тому, что сеть LAN будет доступна для DMZ?

Например, на маршрутизаторе Firewall при настройке статического маршрута может быть по ошибке указан интерфейс, ведущий к маршрутизатору LAN_Router.

Или на маршрутизаторе LAN_Router будет выполнена команда redistribute connected . В данный момент между 2-мя маршрутизаторами настроен EIGRP. Если выполнить вышеназванную команду, то маршрутизатор Firewall узнает о сети LAN.

Пункты №2 и №3 не требуют списков доступа. Достаточно настроить правильно маршрутизацию и NAT на маршрутизаторе Firewall

Пункт №4. Внутренние пользователи уже имеют доступ в зону DMZ, однако связь будет работать только в одну сторону, так как мы закрыли доступ еще в п.1.

Как же сделать так, чтобы внутренние пользователи имели полноценный доступ ко всем серверам и в то же время запретить серверам доступ во внутреннюю сеть?

Решение простое – достаточно настроить NAT на маршрутизаторе LAN_Router. Тогда только внутренние пользователи смогут подключаться к серверам, а сервера уже не смогут из-за активированного списка доступа. Однако это не единственное решение

Пункт №5 решается с помощью стандартного списка

Область применения: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

После создания ACL и назначения его виртуальной подсети может потребоваться переопределить список ACL по умолчанию в виртуальной подсети с помощью определенного списка ACL для отдельного сетевого интерфейса. Once you’ve created an ACL and assigned it to a virtual subnet, you might want to override that default ACL on the virtual subnet with a specific ACL for an individual network interface. В этом случае конкретные списки управления доступом применяются непосредственно к сетевым интерфейсам, подключенным к виртуальным ЛС, а не к виртуальной сети. In this case, you apply specific ACLs directly to network interfaces attached to VLANs, instead of the virtual network. Если в виртуальной подсети, подключенной к сетевому интерфейсу, установлены списки управления доступом, то применяются оба списка ACL и приоритеты ACL сетевых интерфейсов, расположенные выше списков ACL виртуальной подсети. If you have ACLs set on the virtual subnet connected to the network interface, both ACLs are applied and prioritizes the network interface ACLs above the virtual subnet ACLs.

Если список ACL не был создан и назначен виртуальной сети, см. раздел Использование списков управления доступом (ACL) для управления потоком сетевого трафика центра обработки данных для создания списка управления доступом и его назначения виртуальной подсети. If you have not created an ACL and assigned it to a virtual network, see Use Access Control Lists (ACLs) to Manage Datacenter Network Traffic Flow to create an ACL and assign it to a virtual subnet.

В этом разделе мы покажем, как добавить список управления доступом к сетевому интерфейсу. In this topic, we show you how to add an ACL to a network interface. Мы также покажем, как удалить список ACL из сетевого интерфейса, используя Windows PowerShell и сетевой контроллер REST API. We also show you how to remove an ACL from a network interface using Windows PowerShell and the Network Controller REST API.

Пример. Добавление ACL к сетевому интерфейсу Example: Add an ACL to a network interface

В этом примере показано, как добавить список ACL в виртуальную сеть. In this example, we demonstrates how to add an ACL to a virtual network.

Кроме того, можно добавить список управления доступом в то же время, когда вы создадите сетевой интерфейс. It is also possible to add an ACL at the same time that you create the network interface.

Получите или создайте сетевой интерфейс, к которому будет добавлен ACL. Get or create the network interface to which you will add the ACL.

Получите или создайте список ACL, который будет добавлен к сетевому интерфейсу. Get or create the ACL you will add to the network interface.

Назначение ACL свойству Акцессконтроллист сетевого интерфейса Assign the ACL to the AccessControlList property of the network interface

Добавление сетевого интерфейса в сетевой контроллер Add the network interface in Network Controller

Пример. Удаление списка ACL из сетевого интерфейса с помощью Windows PowerShell и сетевого контроллера REST API Example: Remove an ACL from a network interface by using Windows Powershell and the Network Controller REST API

В этом примере мы покажем, как удалить список управления доступом. In this example, we show you how to remove an ACL. При удалении ACL к сетевому интерфейсу применяется набор правил по умолчанию. Removing an ACL applies the default set of rules to the network interface. Набор правил по умолчанию разрешает весь исходящий трафик, но блокирует весь входящий трафик. The default set of rules allows all outbound traffic but blocks all inbound traffic.

Если вы хотите разрешить весь входящий трафик, необходимо выполнить предыдущий Пример , чтобы добавить список управления доступом, который разрешает весь входящий и весь исходящий трафик. If you want to allow all inbound traffic, you must follow the previous example to add an ACL that allows all inbound and all outbound traffic.

Получите сетевой интерфейс, из которого будет удален список управления доступом. Get the network interface from which you will remove the ACL.

Назначьте $NULL свойству конфигурации Акцессконтроллист. Assign $NULL to the AccessControlList property of the ipConfiguration.

Добавьте объект сетевого интерфейса в сетевом контроллере. Add the network interface object in Network Controller.

Оцените статью
Добавить комментарий

Adblock
detector