Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von großer Bedeutung
Azure verfügt über zwei verschiedene Bereitstellungsmodelle zum Erstellen und Arbeiten mit Ressourcen: Ressourcen-Manager und klassisch. Dieser Artikel befasst sich mit der Verwendung des klassischen Bereitstellungsmodells. Microsoft empfiehlt, dass die meisten neuen Bereitstellungen das Ressourcen-Manager-Bereitstellungsmodell verwenden.
Eine Zugriffssteuerungsliste (Endpoint Access Control List, ACL) ist eine Sicherheitsverbesserung für Ihre Azure-Bereitstellung. Eine ACL bietet die Möglichkeit, den Datenverkehr für einen Endpunkt eines virtuellen Computers selektiv zuzulassen oder zu verweigern. Diese Paketfilterfunktion bietet eine zusätzliche Sicherheitsebene. Sie können nur Netzwerk-ACLs für Endpunkte angeben. Sie können keine ACL für ein virtuelles Netzwerk oder ein bestimmtes Subnetz angeben, das in einem virtuellen Netzwerk enthalten ist. Es wird empfohlen, nach Möglichkeit Netzwerksicherheitsgruppen (NSGs) anstelle von ACLs zu verwenden. Bei Verwendung von NSGs wird die Zugriffssteuerungsliste des Endpunkts ersetzt und nicht mehr durchgesetzt. Weitere Informationen zu NSGs finden Sie in der Übersicht über die Netzwerksicherheitsgruppe
ACLs können entweder mithilfe von PowerShell oder dem Azure-Portal konfiguriert werden. Informationen zum Konfigurieren einer Netzwerk-ACL mithilfe von PowerShell finden Sie unter Verwalten von Zugriffssteuerungslisten für Endpunkte mit PowerShell. Informationen zum Konfigurieren einer Netzwerk-ACL mithilfe des Azure-Portals finden Sie unter Einrichten von Endpunkten auf einem virtuellen Computer.
Mithilfe von Netzwerk-ACLs können Sie folgende Aktionen ausführen:
- Selektiv eingehenden Datenverkehr basierend auf dem Adressbereich des Remotesubnetz-IPv4 zu einem Eingabeendpunkt eines virtuellen Computers zulassen oder verweigern.
- BLOCKIERTE IP-Adressen
- Erstellen mehrerer Regeln pro Endpunkt des virtuellen Computers
- Verwenden Sie die Reihenfolge der Regeln, um sicherzustellen, dass der richtige Satz von Regeln auf einem bestimmten Endpunkt einer virtuellen Maschine angewendet wird (von niedrig bis hoch).
- Geben Sie eine ACL für eine bestimmte IPv4-Adresse des Remotesubnetzs an.
Informationen zu ACL-Grenzwerten finden Sie im Artikel zu Azure-Grenzwerten .
Funktionsweise von ACLs
Eine ACL ist ein Objekt, das eine Liste von Regeln enthält. Wenn Sie eine ACL erstellen und auf einen Endpunkt eines virtuellen Computers anwenden, erfolgt die Paketfilterung auf dem Hostknoten Ihrer VM. Dies bedeutet, dass der Datenverkehr von Remote-IP-Adressen vom Hostknoten nach übereinstimmenden ACL-Regeln und nicht auf Ihrer VM gefiltert wird. Dadurch wird verhindert, dass Ihre VM die wertvollen CPU-Zyklen für die Paketfilterung ausgibt.
Wenn ein virtueller Computer erstellt wird, wird eine Standard-ACL eingerichtet, um den gesamten eingehenden Datenverkehr zu blockieren. Wenn jedoch ein Endpunkt erstellt wird (Port 3389), wird die Standard-ACL geändert, um den gesamten eingehenden Datenverkehr für diesen Endpunkt zuzulassen. Eingehender Datenverkehr von einem beliebigen entfernten Subnetz wird dann zu diesem Endpunkt zugelassen, und es ist keine Firewall-Konfiguration erforderlich. Alle anderen Ports werden für eingehenden Datenverkehr blockiert, es sei denn, Endpunkte werden für diese Ports erstellt. Ausgehender Datenverkehr ist standardmäßig zulässig.
Beispiel für eine Standard-ACL-Tabelle
| Regel # | Remote-Subnetz | Endpunkt | Genehmigung/Ablehnung |
|---|---|---|---|
| 100 | 0.0.0.0/0 | 3389 | -Genehmigung |
Genehmigung und Ablehnung
Sie können den Netzwerkdatenverkehr für einen Eingabeendpunkt eines virtuellen Computers selektiv zulassen oder verweigern, indem Sie Regeln erstellen, die "Permit" oder "Verweigern" angeben. Es ist wichtig zu beachten, dass standardmäßig, wenn ein Endpunkt erstellt wird, der gesamte Datenverkehr an den Endpunkt zulässig ist. Aus diesem Grund ist es wichtig zu verstehen, wie Genehmigungs-/Ablehnungsregeln erstellt und in der richtigen Reihenfolge der Rangfolge platziert werden, wenn Sie eine präzise Kontrolle über den Netzwerkdatenverkehr wünschen, den Sie zulassen möchten, um den Endpunkt des virtuellen Computers zu erreichen.
Zu berücksichtigende Punkte:
- Keine ACL – Wenn ein Endpunkt erstellt wird, lassen wir standardmäßig alle für den Endpunkt zu.
- Erlauben- Wenn Sie einen oder mehrere "permit"-Bereiche hinzufügen, verweigern Sie standardmäßig alle anderen Bereiche. Nur Pakete aus dem zulässigen IP-Bereich können mit dem Endpunkt des virtuellen Computers kommunizieren.
- Verweigerung – Wenn Sie einen oder mehrere „Verweigerungsbereiche“ hinzufügen, erlauben Sie standardmäßig alle anderen Bereiche des Datenverkehrs.
- Kombination aus Genehmigung und Ablehnung - Sie können eine Kombination aus "Permit" und "Verweigern" verwenden, wenn Sie einen bestimmten IP-Bereich genehmigen oder verweigern möchten.
Regeln und Regelvorrang
Netzwerk-ACLs können auf bestimmten Endpunkten für virtuelle Computer eingerichtet werden. Sie können z. B. eine Netzwerk-ACL für einen RDP-Endpunkt angeben, der auf einem virtuellen Computer erstellt wurde, der den Zugriff für bestimmte IP-Adressen sperrt. Die folgende Tabelle zeigt eine Möglichkeit zum Gewähren des Zugriffs auf öffentliche virtuelle IPs (VIPs) eines bestimmten Bereichs, um den Zugriff auf RDP zu ermöglichen. Alle anderen Remote-IPs werden verweigert. Wir folgen einer Regel: das niedrigste hat Vorrang.
Mehrere Regeln
Wenn Sie im folgenden Beispiel nur den Zugriff auf den RDP-Endpunkt aus zwei öffentlichen IPv4-Adressbereichen zulassen möchten (65.0.0.0/8 und 159.0.0.0/8), können Sie dies erreichen, indem Sie zwei Genehmigungsregeln angeben. Da RDP standardmäßig für einen virtuellen Computer erstellt wird, sollten Sie den Zugriff auf den RDP-Port basierend auf einem Remotesubnetz sperren. Das folgende Beispiel zeigt eine Möglichkeit zum Gewähren des Zugriffs auf öffentliche virtuelle IPs (VIPs) eines bestimmten Bereichs, um den Zugriff auf RDP zu ermöglichen. Alle anderen Remote-IPs werden verweigert. Dies funktioniert, da Netzwerk-ACLs für einen bestimmten Endpunkt eines virtuellen Computers eingerichtet werden können und der Zugriff standardmäßig verweigert wird.
Beispiel – Mehrere Regeln
| Regel # | Remote-Subnetz | Endpunkt | Genehmigung/Ablehnung |
|---|---|---|---|
| 100 | 65.0.0.0/8 | 3389 | -Genehmigung |
| 200 | 159.0.0.0/8 | 3389 | -Genehmigung |
Regelreihenfolge
Da für einen Endpunkt mehrere Regeln angegeben werden können, muss es eine Möglichkeit zum Organisieren von Regeln geben, um zu bestimmen, welche Regel Vorrang hat. Die Regelreihenfolge gibt Vorrang an. Netzwerk-ACLs folgen in der Regelreihenfolge einem Prinzip, bei dem der niedrigste Wert Vorrang hat. Im folgenden Beispiel wird dem Endpunkt auf Port 80 selektiv zugriff auf nur bestimmte IP-Adressbereiche gewährt. Um dies zu konfigurieren, haben wir eine Verweigerungsregel (Regel # 100) für Adressen im Leerraum 175.1.0.1/24. Anschließend wird eine zweite Regel mit Rang 200 angegeben, die den Zugriff auf alle anderen Adressen unter 175.0.0.0/8 zulässt.
Beispiel – Regelrang
| Regel # | Remote-Subnetz | Endpunkt | Genehmigung/Ablehnung |
|---|---|---|---|
| 100 | 175.1.0.1/24 | 80 | Leugnen |
| 200 | 175.0.0.0/8 | 80 | -Genehmigung |
Netzwerk-ACLs und Lastenausgleichssätze
Netzwerk-ACLs können auf einem Endpunkt eines Satzes mit Lastenausgleich angegeben werden. Wenn eine ACL für einen Lastenausgleichssatz angegeben ist, wird die Netzwerk-ACL auf alle virtuellen Computer in diesem Lastenausgleichssatz angewendet. Wenn beispielsweise ein Lastenausgleichssatz mit "Port 80" erstellt wird und der Lastenausgleichssatz 3 VMs enthält, wird die netzwerk-ACL, die auf dem Endpunkt "Port 80" eines virtuellen Computers erstellt wurde, automatisch auf die anderen virtuellen Computer angewendet.
Nächste Schritte
Verwalten von Zugriffssteuerungslisten für Endpunkte mithilfe von PowerShell