По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В проводной сети любые два устройства, которые должны взаимодействовать друг с другом, соединяются проводом. В качестве провода может выступать медный или волоконно-оптический кабель. Функциональные возможности по передаче данных по проводу, ограничены физическими свойствами провода. Строгие требования к проводам Ethernet определены в стандарте IEEE 802.3, в котором описаны способы подключения устройств, способы отправки и получения данных по проводным соединениям.
Проводные сети имеют ограничения для передачи данных по каналам связи, что не способствует, успешной коммуникации. Качество передачи данных, их успешная доставка до получателя, очень сильно зависит от типа и размера провода, количества витков, межвиткового расстояния, и максимальной длины кабеля. Все эти требования должны соответствовать стандарту IEEE 802.3.
Проводная сеть является ограниченной по длине и количеству подключаемых устройств, а именно напрямую по проводу могут подключиться только два устройства.
К основным недостаткам проводных сетей так же относится стационарность сетевого оборудования и компьютеров. Это означает, что соединенные проводами устройства, не могут легко перемещаться по помещению. Все устройства привязаны к сетевым разъемам. В современном мире очень много стало мобильных устройств и поэтому нецелесообразно привязывать их к конкретной розетке или разъёму коммуникационного оборудования.
Понятие беспроводной сети следует из ее названия, то есть данная сеть устраняет необходимость в проводе. Первостепенным становится удобство и мобильность, давая пользователям свободу перемещения в любом направлении, оставаясь подключенными к сети. Пользователь может использовать любое беспроводное устройство, которое имеет возможность подключения к сети.
Передача данных в беспроводных сетях осуществляется "по воздуху" при отсутствии препятствий и помех. При использовании беспроводной среды передачи данных, для их качественной доставки необходимо учитывать две вещи:
Беспроводные устройства должны соответствовать единому стандарту (IEEE 802.11).
Беспроводное покрытие должно охватывать ту область, на которой планируется использование устройствами.
Топологии Wireless LAN
Беспроводная связь осуществляется "по воздуху" посредством радиосигналов. Предположим, что одно устройство, передатчик, посылает радиосигналы другому устройству, приемнику. Как показано на рисунке, связь между передатчиком и приемником осуществляется в любое время, если оба устройства настроены на одну и ту же частоту (или канал) и используют одну и ту же схему для передачи данных между ними. Все это выглядит просто, за исключением того, что на самом деле это не удобно и не практично.
Для эффективного использования беспроводной сети данные должны передаваться в обоих направлениях, как показано на рисунке. Для отправки данных с устройства А на устройство В, устройство В должно дождаться прихода данных к себе и когда канал освободится отправить на устройство А.
В беспроводной связи, при одновременной передаче данных, могут возникнуть помехи, т.е. передаваемые сигналы будут мешать друг другу. Чем больше беспроводных сетей, тем выше вероятность возникновения помех. Например, на рисунке изображены четыре устройства, работающие на одном и том же канале, и то, что может произойти, если часть из них или все одновременно начнут передавать данные.
Вышенаписанное сильно напоминает нам традиционную (некоммутируемую) локальную сеть Ethernet, где несколько хостов могут подключаться к общему ресурсу и совместно использовать канал передачи данных. Чтобы эффективно использовать общий ресурс, все хосты должны работать в полудуплексном режиме, во избежание столкновений с другими уже выполняемыми передачами. Побочным эффектом является то, что ни один хост не может передавать и принимать одновременно в общей среде.
Аналогичное происходит и в беспроводной сети. Так как несколько хостов могут совместно использовать один и тот же канал, они также совместно используют "эфирное время" или доступ к этому каналу в любой момент времени. Что бы избежать конфликтных ситуаций и создание помех, хосты должны передавать данные в определенный момент времени, ожидая освобождения канала. Для работы в беспроводных сетях все устройства должны соответствовать стандарту 802.11.
Важно понимать, что по умолчанию беспроводная среда не учитывает количество устройств и не контролирует устройства, которые могут передавать данные. Любое устройство, имеющее адаптер беспроводной сети, может в любой момент подключиться к беспроводной сети.
Как минимум, беспроводная сеть должна уметь определять, что каждое устройство, подключаемое к каналу передачи данных, поддерживает общий набор параметров. Кроме того, должен быть способ контроля устройств (и пользователей), которым разрешено использовать беспроводную среду и методы, используемые для обеспечения безопасности беспроводной передачи данных.
Базовый набор услуг (BSS)
Идея состоит в том, чтобы сделать каждую беспроводную зону обслуживания замкнутой для группы мобильных устройств, которая формируется вокруг фиксированного устройства. Прежде чем устройство сможет подключиться, оно должно объявить о своих возможностях, а затем получить разрешение на подключение. В стандарте 802.11 это называется базовым набором услуг (BSS, Basic Service Set). В центре каждого BSS находится беспроводная точка доступа (AP). AP работает в инфраструктурном режиме, что означает, что он предлагает услуги, необходимые для формирования инфраструктуры беспроводной сети. AP также устанавливает свой BSS по одному беспроводному каналу. AP и члены BSS должны использовать один и тот же канал для правильной связи.
Поскольку работа BSS зависит от точки доступа, то BSS ограничена областью, равной расстоянию, на которое может распространяться сигнал точки доступа. Это называется базовой зоной обслуживания (BSA) или ячейкой. На рисунке ячейка показана в виде окружности, в центре которой имеется точка доступа. Ячейки могут выглядеть по-разному:
зависит от устройств, подключенных к AP;
зависит от физического окружения, которое может повлиять на сигналы AP;
Точка доступа (АР) служит единственной точкой контакта для каждого устройства, которое хочет использовать BSS. Она объявляет о существовании BSS, чтобы устройства могли найти его и попытаться присоединиться. Для этого AP использует уникальный идентификатор BSS (BSSID), основанный на собственном MAC-адресе.
Кроме того, точка доступа присваивает беспроводной сети идентификатор набора услуг (SSID-текстовую строку, содержащую логическое имя). Представьте себе, что BSSID - это машинный код, который однозначно идентифицирует BSS (AP). А SSID - это символьная строка, задаваемая человеком, который идентифицирует беспроводную службу.
Членство в BSS называется ассоциацией. Беспроводное устройство должно отправить запрос на ассоциацию точке доступа, и точка доступа должна либо предоставить, либо отклонить запрос. При разрешении, устройство становится клиентом, или станцией 802.11 (STA) в BSS. И что же дальше? Пока клиент беспроводной сети остается подключенным к BSS, все данные, приходящие к нему и исходящие от клиента, проходят через точку доступа, как показано на рисунке. Используя BSSID в качестве адреса источника или назначения, фреймы данных можно ретранслировать в точку доступа или из нее.
На рисунке изображено движение трафика внутри BSS. BSS содержит четыре устройства, подключенные к точке доступа по беспроводному соединению. Идентификатор набора служб (SSID) носит название "Моя сеть". Базовый идентификатор набора услуг (BSSID) - это MAC-адрес точки доступа d4:20:6d:90:ad:20. Любой клиент, связанный с BSS, не может напрямую связаться с любым другим клиентом в BSS. Весь трафик проходит через точку доступа.
Почему же два клиента должны общаться именно через точку доступа, а не напрямую? Это связано с тем, что все подключения через точку доступа и BSS стабильны и контролируются.
Система распределения
Нужно учитывать то, что BSS имеет одну точку доступа AP и не имеет явного подключения к обычной сети Ethernet. В этом случае точка доступа и связанные с ней клиенты образуют автономную сеть. Но роль точки доступа не ограничивается только управлением BSS, рано или поздно появится необходимость взаимодействия беспроводных клиентов с другими устройствами, которые не являются членами BSS. К счастью, точка доступа имеет возможность подключаться к сети Ethernet, как по беспроводным каналам, так и по проводам. Стандарт 802.11 позволяет подключаться по проводам Ethernet и использовать их в качестве распределительной системы (DS) для беспроводной BSS (см. рис.6).
Вообще можно сказать, что точка доступа выступает в качестве моста между разнородными средами передачи данных (проводной и беспроводной). Проще говоря, точка доступа отвечает за сопоставление виртуальной локальной сети (VLAN) с SSID. На рисунке точка доступа сопоставляет VLAN 10 с беспроводной локальной сетью, используя SSID "Моя сеть". Клиенты, связанные с SSID "Моя сеть", будут, подключены к VLAN 10.
Рисунок иллюстрирует систему распределения, поддерживающую BSS. Система распределения состоит из коммутатора третьего уровня в сети VLAN 10. Данный коммутатор подключен к интернету с помощью кабеля. AP (точка доступа) подключается к коммутатору так же с помощью кабеля. Точка доступа формирует BSS (базовый набор услуг). Устройства, входящие в область BSS - это все устройства, подключенные по беспроводной связи к точке доступа. Идентификатор SSID "Моя сеть" и BSSID- d4:20:6d:90:ad:20.
Данный принцип подключения позволяет сопоставлять несколько VLAN с несколькими SSID. Для этого точка доступа должна быть соединена с коммутатором магистральным каналом. На рисунке 7 VLAN 10, 20 и 30 соединены с точкой доступа через распределительную систему (DS). Точка доступа использует тег 802.1Q для сопоставления номеров VLAN с соответствующими SSID. Например, VLAN 10 сопоставляется с SSID "Моя сеть", VLAN 20 сопоставляется с SSID "Чужая сеть" и VLAN 30 к SSID "Гости".
На рисунке показан процесс поддержки нескольких SSID одной точкой доступа:
Несмотря на то, что точка доступа поддерживает одновременно несколько логических беспроводных сетей, каждый из SSID работают в одной зоне (области). Причина в том, что точка доступа использует один и тот же передатчик, приемник, антенну и канал для каждого SSID. Однако это утверждение может ввести в некоторое заблуждение: несколько SSID могут создать иллюзию масштабируемости сети. Хоть и беспроводные клиенты могут быть распределены по разным SSDI, но все же они используют совместно одну точку доступа. А это в свою очередь приводит к "борьбе" за эфирное время на канале.
Расширенный набор услуг
Обычно одна точка доступа не может охватить всю зону (область), где могут находиться клиенты. Например, потребуется беспроводное покрытие на всем этаже торгового центра, гостиницы, больницы или другого крупного здания. Что бы покрыть большую площадь, которую может охватить одна ячейка точки доступа, просто необходимо добавить больше точек доступа и распределить их по этажу (этажам).
Когда точки доступа расположены в разных местах, все они могут быть связаны между собой коммутируемой инфраструктурой. В стандарте 802.11 эта возможность называется расширенным набором услуг (extended service set (ESS))
Расширенный набор услуг показан на рисунке.
Идея состоит в том, чтобы заставить несколько точек доступа взаимодействовать так, чтобы беспроводное подключение было не заметным для клиента. В идеале, любые SSID, определенные на одной точке доступа, так же должны быть определены на всех остальных точках доступа в ESS (Extended Service Set). В противном случае клиенту приходилось бы каждый раз переподключаться, как только бы он попадал в ячейку другой точки доступа.
Как видно из рисунка, что каждая ячейка имеет уникальный BSSID, но обе ячейки имеют общий SSID. Независимо от местоположения клиента в пределах ESS, SSID останется тем же самым, но клиент всегда может отличить одну точку доступа от другой.
На рисунке показан принцип работы расширенного набора услуг. Коммутатор (VLAN 10) подключен к интернету по кабелю. Две точки доступа подключены к этому коммутатору так же проводами. Эти точки располагаются рядом так, что области их действия пересекаются. BSS двух точек доступа, объединены, и образуют расширенный набор услуг (ESS). AP-1 имеет BSSID d4:20:6d:90:ad:20, а её базовый набор услуг-BSS-1. Точка доступа подключена к клиенту по беспроводной сети. AP2 имеет BSSID e6:22:47:af:c3:70, а её базовый набор услуг-BSS-2. Точка доступа подключена к клиенту по беспроводной сети. SSID обоих BSS - это "Моя сеть". Переход клиента от одной точки доступа к другой называется роумингом.
В ESS беспроводной клиент может связываться с одной точкой доступа, пока он физически расположен рядом с этой точкой. При перемещении клиента в другое место, он автоматически подключается к ближайшей точке доступа. Переход от одной точки доступа к другой называется роумингом. Имейте в виду, что каждая точка предлагает свой собственный BSS на своем собственном канале, чтобы предотвратить помехи между точками доступа. Так как беспроводное устройство (клиентское) может перемещаться от одной точки доступа к другой, оно должно уметь сканировать доступные каналы, чтобы найти новую точку доступа (и BSS) для переподключения. Фактически клиент перемещается от BSS к BSS и от канала к каналу.
Независимый базовый набор услуг
Обычно беспроводная сеть использует точку доступа для организации, контроля и масштабируемости. Иногда это невозможно или неудобно в различных ситуациях. Например, два человека, которые хотят обменяться электронными документами на встрече, могут не найти доступную BSS или не смогут пройти аутентификацию в сети. Кроме того, многие принтеры могут печатать документы по беспроводной сети, не полагаясь на обычный BSS или точку доступа.
Стандарт 802.11 позволяет двум или более беспроводным клиентам напрямую связываться друг с другом, без каких-либо посредников сетевого подключения. Это называется специальной беспроводной сетью (ad hoc) или независимым базовым набором услуг (IBSS), как показано на рисунке. Чтобы это работало, одно из устройств должно стать главным и разослать в эфир свое сетевое имя, необходимые параметры беспроводного подключения, так же как это сделала бы точка доступа. Любое другое устройство может затем присоединиться по мере необходимости. IBSS предназначены для организации небольшой беспроводной сети для восьми - десяти устройств. Эта сеть не масштабируема.
Во всем мире умные города являются неотъемлемой частью устойчивого развитие общества.
Основные концепции системы "Умный город":
Контроль дорожного движения;
Управление муниципальным транспортом;
Управление общественным транспортом;
Управление парковками.
Умные города гарантируют, что их граждане доберутся от точки "А" до точки "Б" максимально безопасно и эффективно. Для достижения этой цели муниципалитеты обращаются к разработке IoT (Internet of Things) и внедрению интеллектуальных транспортных решений. Интеллектуальные дорожные решения используют различные типы датчиков, а также извлекают данные GPS из смартфонов водителей для определения количества, местоположения и скорости транспортных средств. В то же время интеллектуальные светофоры, подключенные к облачной платформе управления, позволяют отслеживать время работы "зеленого света" и автоматически изменять огни в зависимости от текущей дорожной ситуации для предотвращения заторов на дороге.
Примеры концепций системы "Умного города":
Смарт-паркинг
С помощью GPS-данных система автоматически определяет, заняты ли места для парковки или доступны, и создают карту парковки в режиме реального времени. Когда ближайшее парковочное место становится бесплатным, водители получают уведомление и используют карту на своем телефоне, чтобы найти место для парковки быстрее и проще, а не заниматься поиском парковочного места вслепую.
Служебные программы
Умные города позволяют гражданам экономить деньги, предоставляя им больше контроля над своими домашними коммунальными услугами. IoT обеспечивает различные подходы к использованию интеллектуальных утилит:
Смарт-счетчики и выставление счетов;
Выявление моделей потребления;
Удаленный мониторинг.
Искусственный интеллект
Искусственный интеллект становится ведущим драйвером в цифровой трансформации экономики и социальной жизни. Социальная организация производства и предоставления услуг меняются. Рутинные операции выполняются роботами. Решения принимаются на основе искусственного интеллекта. С помощью него можно предотвратить управленческие ошибки и облегчить принятие решений во всех сферах городского хозяйства и управления.
Преобладание цифровых документов над бумажными
Реализация этой концепции позволяет городу в полной мере использовать все преимущества цифровых технологий:
Оказание государственных услуг более прозрачное;
Оптимизация административных процедур;
Наиболее эффективное использование ресурсов.
Промышленность
Реализация проектов по комплексному онлайн-мониторингу промышленных объектов. Благодаря данной системе, можно контролировать состояние системы, управлять ей, а также получать статистику.
Транспорт
Данные от датчиков IoT могут помочь выявить закономерности того, как граждане используют транспорт. Чтобы провести более сложный анализ, интеллектуальные решения для общественного транспорта могут объединить несколько источников, таких как продажа билетов и информация о движении.
Благодаря реализации данного направления можно осуществлять мониторинг транспортной инфраструктуры и мониторинг транспортных средств. Современные решения способны существенно повысить эффективность грузоперевозок, а также оптимизировать работу железнодорожных путей и дорожного покрытия, следя за температурой и влажностью.
Известные уязвимости представленных систем
В настоящее время происходит рост технологических возможностей, а также рост разнообразия различных электронных устройств и оборудования, используемых в автоматизированных системах управления, всё это ведет к повышению количества уязвимостей к данным системам. В добавок ко всему, процесс введения в эксплуатацию различных решений не дает стопроцентной гарантии того, что не будут допущены различные ошибки в глобальном проектировании. Это создает вероятность появления дополнительных архитектурных уязвимостей.
Злоумышленники могут воспользоваться известными проблемами с безопасностью компонентов жизнеобеспечения в системах автоматизации и предпринять попытку реализации атаки. Такие действия злоумышленников могут прервать нормальную работу такого масштабного объекта, как, например, аэропорт, повлечь за собой вывод из нормальной работы системы жизнеобеспечения, блокируя систему безопасности. И, будучи незамеченными вовремя, способны привести к непоправимым последствиям.
Большинство систем не защищено от попыток внедрения. Обычно все решения в области защиты систем реализуются на уровне межсетевого экрана. Но в случае с попытками атаки на столь критичные системы этого оказывается недостаточно.
Роль информационной безопасности для экосистем
Информационная безопасность связана с внедрением защитных мер от реализации угрозы несанкционированного доступа, что является частью управления информационными рисками и включает предотвращение или уменьшение вероятности несанкционированного доступа.
Основной задачей информационной безопасности является защита конфиденциальности, целостности и доступности информации, поддержание продуктивности организации часто является важным фактором. Это привело к тому, что отрасль информационной безопасности предложила рекомендации, политики информационной безопасности и отраслевые стандарты в отношении паролей, антивирусного программного обеспечения, брандмауэров, программного обеспечения для шифрования, юридической ответственности и обеспечения безопасности, чтобы поделиться передовым опытом.
Информационная безопасность достигается через структурированный процесс управления рисками, который:
Определяет информацию, связанные активы и угрозы, уязвимости и последствия несанкционированного доступа;
Оценивает риски;
Принимает решения о том, как решать или рассматривать риски, т. е. избегать, смягчать, делиться или принимать;
Отслеживает действия и вносит коррективы для решения любых новых проблем, изменений или улучшений.
Типы протоколов для системы управления "Умным городом"
Протоколы и стандарты связи при организации Интернета вещей можно в широком смысле разделить на две отдельные категории.
Сетевые Протоколы Интернета Вещей
Сетевые протоколы Интернета вещей используются для подключения устройств по сети. Это набор коммуникационных протоколов, обычно используемых через Интернет. При использовании сетевых протоколов Интернета вещей допускается сквозная передача данных в пределах сети.
Рассмотрим различные сетевые протоколы:
NBIoT (Narrowband Internet of Things)
Узкополосный IoT или NB-IoT это стандарт беспроводной связи для Интернета вещей (IoT). NB-IoT относится к категории сетевых стандартов и протоколов маломощных глобальных сетей (LPWAN low power wide area network), позволяющих подключать устройства, которым требуются небольшие объемы данных, низкая пропускная способность и длительное время автономной работы.
LoRaWan (Long Range Wide Area Network) глобальная сеть дальнего радиуса действия
Это протокол для работы устройств дальнего действия с низким энергопотреблением, который обеспечивает обнаружение сигнала ниже уровня шума. LoRaWan подключает аккумуляторные устройства по беспроводной сети к интернету, как в частных, так и в глобальных сетях. Этот коммуникационный протокол в основном используется умными городами, где есть миллионы устройств, которые функционируют с малой вычислительной мощностью.
Интеллектуальное уличное освещение это практический пример использования протокола LoRaWan IoT. Уличные фонари могут быть подключены к шлюзу LoRa с помощью этого протокола. Шлюз, в свою очередь, подключается к облачному приложению, которое автоматически управляет интенсивностью лампочек на основе окружающего освещения, что помогает снизить потребление энергии в дневное время.
Bluetooth
Bluetooth один из наиболее широко используемых протоколов для связи на короткие расстояния. Это стандартный протокол IoT для беспроводной передачи данных. Этот протокол связи является безопасным и идеально подходит для передачи данных на короткие расстояния, малой мощности, низкой стоимости и беспроводной связи между электронными устройствами. BLE (Bluetooth Low Energy) это низкоэнергетическая версия протокола Bluetooth, которая снижает энергопотребление и играет важную роль в подключении устройств Интернета вещей.
ZigBee
ZigBee это протокол Интернета вещей, что позволяет смарт-объекты, чтобы работать вместе. Он широко используется в домашней автоматизации. Более известный для промышленных установок, ZigBee используется с приложениями, которые поддерживают низкоскоростную передачу данных на короткие расстояния.
Уличное освещение и электрические счетчики в городских районах, которые обеспечивают низкое энергопотребление, используют коммуникационный протокол ZigBee. Он также используется с системами безопасности и в умных домах и городах.
Протоколы передачи данных Интернета Вещей
Протоколы передачи данных IoT используются для подключения маломощных устройств Интернета вещей. Эти протоколы обеспечивают связь точка-точка с аппаратным обеспечением на стороне пользователя без какого-либо подключения к интернету. Подключение в протоколах передачи данных IoT осуществляется через проводную или сотовую сеть. К протоколам передачи данных Интернета вещей относятся:
MQTT (Message Queuing Telemetry Transport) телеметрический транспорт очереди сообщений
Один из наиболее предпочтительных протоколов для устройств Интернета вещей, MQTT собирает данные с различных электронных устройств и поддерживает удаленный мониторинг устройств. Это протокол подписки/публикации, который работает по протоколу TCP, что означает, что он поддерживает событийный обмен сообщениями через беспроводные сети.
CoAP (Constrained Application Protocol)
CoAP это протокол интернет-утилиты для функционально ограниченных гаджетов. Используя этот протокол, клиент может отправить запрос на сервер, а сервер может отправить ответ обратно клиенту по протоколу HTTP. Для облегченной реализации он использует протокол UDP (User Datagram Protocol) и сокращает использование пространства.
AMQP (Advanced Message Queuing Protocol) расширенный протокол очереди сообщений
AMQP это протокол уровня программного обеспечения для ориентированной на сообщения среды промежуточного программного обеспечения, обеспечивающий маршрутизацию и постановку в очередь. Он используется для надежного соединения точка-точка и поддерживает безопасный обмен данными между подключенными устройствами и облаком. AMQP состоит из трех отдельных компонентов, а именно: обмена, очереди сообщений и привязки. Все эти три компонента обеспечивают безопасный и успешный обмен сообщениями и их хранение. Это также помогает установить связь одного сообщения с другим.
Протокол AMQP в основном используется в банковской отрасли. Всякий раз, когда сообщение отправляется сервером, протокол отслеживает сообщение до тех пор, пока каждое сообщение не будет доставлено предполагаемым пользователям/адресатам без сбоев.
M2M (Machine-to-Machine) протокол связи между машинами
Это открытый отраслевой протокол, созданный для обеспечения удаленного управления приложениями устройств Интернета вещей. Коммуникационные протоколы М2М являются экономически эффективными и используют общедоступные сети. Он создает среду, в которой две машины взаимодействуют и обмениваются данными. Этот протокол поддерживает самоконтроль машин и позволяет системам адаптироваться к изменяющимся условиям окружающей среды.
Коммуникационные протоколы M2M используются для интеллектуальных домов, автоматизированной аутентификации транспортных средств, торговых автоматов и банкоматов.
XMPP (eXtensible Messaging and Presence Protocol) расширяемый протокол обмена сообщениями и информацией о присутствии
XMPP имеет уникальный дизайн. Он использует механизм для обмена сообщениями в режиме реального времени. XMPP является гибким и может легко интегрироваться с изменениями. XMPP работает как индикатор присутствия, показывающий состояние доступности серверов или устройств, передающих или принимающих сообщения.
Помимо приложений для обмена мгновенными сообщениями, таких как Google Talk и WhatsApp, XMPP также используется в онлайн-играх, новостных сайтах и голосовом стандарте (VoIP).
Протоколы Интернета вещей предлагают защищенную среду для обмена данными. Очень важно изучить потенциал таких протоколов и стандартов, так как они создают безопасную среду. Используя эти протоколы, локальные шлюзы и другие подключенные устройства могут взаимодействовать и обмениваться данными с облаком.
Windows включает в себя надежный (в целом 🙄), но простой в использовании, брандмауэр с расширенными возможностями. А с помощью PowerShell 7 можно легко настроить его из командной строки. В этой статье описываются общие команды, используемые в межсетевом экране Windows, а также возможные способы их использования.
Модуль NetSecurity хорошо задокументирован. Учтите, что эта статья относится только к операционной системе Windows. Для других операционных систем существуют другие инструменты командной строки, которые могут использоваться для выполнения тех же задач, такие как UFW или IPTables в Linux.
Вызов модуля NetSecurity
Предустановленный в системе модуль NetSecurity обладает всем необходимым функционалом для управления правилами межсетевого экрана Windows. Чтобы задействовать данный модуль, достаточно импортировать его показанным ниже способом (конечно же команду запускаем в PowerShell):
Import-Module -Name 'NetSecurity'
Вывод списка правил
Командлет Get-NetFirewallRule выводит список настроенных правил. В системе большое количество предварительно настроенных правил, но для примера мы выбрали первые 10:
Get-NetFirewallRule | Select-Object DisplayName, Enabled, Direction, Action -First 10
По умолчанию, командлет выводит все параметры, но на примере выше мы выбрали всего четыре из них (они, собственно, перечислены в команде). А получить все параметры можно командой:
Get-NetFirewallRule | Select-Object * -First 1
Создание нового правила
Создать новое правило позволяет команда New-NetFirewallRule. Основные параметры, которые нужно передать команде следующие:
DisplayName - название правила;
Direction - Направление трафика, которое нужно блокировать. Может быть либо входящим (Inbound), либо Исходящим (Outbound);
Action - Действие правила. Правило может быть либо Разрешающим (Allow), либо Запрещающим (Block).
$Params = @{ "DisplayName" = 'Block WINS' "Direction" = 'Inbound' "Action" = 'Block' "RemoteAddress" = 'WINS' }
New-NetFirewallRule @Params
Если не указан параметр Name, система сгенерирует случайный GUID. DisplayName может быть читабельным, но сам Name будет сгенерирован случайным образом.
Изменение существующего правила
Что если нужно изменить какой-то параметр правила, не удаляя и пересоздавая его? Для этого нужно задействовать командлет Set-NetFirewallRule.
$Params = @{
"DisplayName" = 'Block WINS'
"Action" = 'Allow'
}
Set-NetFirewallRule @Params
Данная команда также позволяет вносить изменения в несколько правил сразу. Это можно сделать, передав команде одно из трех параметров правила:
Name - Параметр по умолчанию. Если команде переданы несколько параметров Name в виде строки или же через пайплайн (|), изменения коснутся каждого из правил;
DisplayName - так же, как и в случае с параметром Name, команде можно передать нескольких правил, чтобы изменить их;
DisplayGroup или Group - Если несколько правил сгруппированы, то команде можно передать название этой группы и внести изменения во все члены указанной группы.
Удаление правила
И, наконец, мы хотим удалить правило, которое больше не нужно. Для этого запускаем командлет Remove-NetFirewallRule. Также при удалении часто рекомендуется использовать параметр WhatIf, который позволяет убедиться в том, что будет удалено нужное правило.
Remove-NetFirewallRule -DisplayName "Block WINS"
Следует отметить, что данный командлет позволяет удалять несколько правил сразу. На примере ниже мы удаляем все отключенные правила, которые содержит групповая политика firewall_gpo в домене ad.local.test.
Remove-NetFirewallRule -Enabled 'False' -PolicyStore 'ad.local.test\firewall_gpo'
Запущенный сам по себе командлет Remove-NetFirewallRule достаточно полезный, но в то же время опасный, так как удаляет все локально созданные правила. Если есть доменная групповая политика, определяющая правила межсетевого экрана, данная команда удалит все локальные правила, конфликтующие с правилами групповой политики.
Дополнительные возможности
Модуль NetSecurity включает в себя множество других команд, которые мы не затронули в данной статье. Поэтому ниже приводим список и возможности данных команд.
Copy-NetFirewallRule - данная команда копирует существующее правило и все связанные с ними фильтры в то же или другое хранилище политик;
Disable-NetFirewallRule - отключает ранее созданное правило. Отключенное правило не удаляется из базы, но уже никак не влияет на трафик. Если запустить эту команду без параметров, то она отключит все активные правила на целевой машине. Поэтому если не указано конкретное правило или группа правил, рекомендуется всегда запускать данную команду с параметром WhatIf;
Enable-NetFirewallRule - в противовес предыдущей команде, данный командлет включает все отключенные правила. Если не указано конкретное правило, то данную команду также рекомендуется запускать с параметром WhatIf;
Get-NetFirewallProfile - эта команда отображает параметры, настроенные для указанного профиля, например, профилей Domain, Private или Public;
Get-NetFirewallSettings - глобальные параметры брандмауэра можно получить с помощью команды Get-NetFirewallSettings. Это такие параметры, как параметры сертификатов, организация очередей пакетов или списки авторизации;
Rename-NetFirewallRule - данная команда позволяет переименовать существующее правило. Это полезно, если правило было создано без указания имени, таким образом получив случайный GUID в качестве название, и предпочтительно назначить читабельное название;
Set-NetFirewallProfile - для установки определенных параметров отдельных профилей можно использовать команду Set-NetFirewallProfile. Это позволяет каждому профилю иметь различные настройки;
Set-NetFirewallSettings - позволяет настроить поведение межсетевого экрана независимо от используемого профиля сети;
Show-NetFirewallRule - эта вспомогательная команда отображает правила брандмауэра и связанные с ними объекты в виде отформатированного списка.
Данный модуль также включает расширенные возможности для управления IPSec. Указанные выше команды управляют стандартными настройками межсетевого экрана Windows.
Заключение
Существует множество команд для управления межсетевым экраном Windows. В этой статье рассматриваются только некоторые из них, наиболее важные команды для быстрого вывода списка, создания, изменения и удаления правил брандмауэра. Но с помощью модуля NetSecurity можно сделать настройки и посложнее.