Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Platforma Azure ma dwa różne modele wdrażania do tworzenia zasobów i pracy z nimi: usługi Resource Manager i klasycznej. Ten artykuł dotyczy klasycznego modelu wdrożenia. Firma Microsoft zaleca, aby większość nowych wdrożeń korzystała z modelu wdrażania przy użyciu usługi Resource Manager.
Lista kontroli dostępu do punktu końcowego (ACL) to rozszerzenie zabezpieczeń dostępne dla wdrożenia platformy Azure. Lista kontroli dostępu (ACL) umożliwia selektywne zezwalanie na przesyłanie ruchu lub jego blokowanie dla punktu końcowego maszyny wirtualnej. Ta funkcja filtrowania pakietów zapewnia dodatkową warstwę zabezpieczeń. Tylko dla punktów końcowych można określić listy kontrolne dostępu do sieci. Nie można określić listy ACL dla sieci wirtualnej lub określonej podsieci zawartej w sieci wirtualnej. Zaleca się używanie sieciowych grup zabezpieczeń (NSG) zamiast list ACL, o ile to możliwe. W przypadku korzystania z sieciowych grup zabezpieczeń lista kontroli dostępu do punktów końcowych zostanie zastąpiona i nie będzie już wymuszana. Aby dowiedzieć się więcej na temat sieciowych grup zabezpieczeń, zobacz Omówienie sieciowej grupy zabezpieczeń
Listy ACL można skonfigurować przy użyciu programu PowerShell lub portalu Azure. Aby skonfigurować listę ACL sieci przy użyciu programu PowerShell, zobacz Zarządzanie listami kontroli dostępu dla punktów końcowych przy użyciu programu PowerShell. Aby skonfigurować ACL sieci przy użyciu Azure Portal, zobacz Jak skonfigurować punkty końcowe dla maszyny wirtualnej.
Korzystając z list kontroli dostępu sieci (network ACLs), możesz wykonać następujące czynności:
- Selektywnie zezwalaj lub odmawiaj ruch przychodzący na podstawie zakresu adresów IPv4 zdalnej podsieci dla punktu końcowego wejściowego maszyny wirtualnej.
- Adresy IP listy bloków
- Tworzenie wielu reguł na punkt końcowy maszyny wirtualnej
- Użyj kolejności reguł, aby upewnić się, że dla danego punktu końcowego maszyny wirtualnej zastosowano prawidłowy zestaw reguł (najniższy do najwyższego)
- Określ ACL dla konkretnego adresu IPv4 zdalnej podsieci.
Zobacz artykuł Azure limits dotyczący limitów ACL.
Jak działają listy kontroli dostępu (ACL)
Lista ACL jest obiektem zawierającym listę reguł. Podczas tworzenia listy ACL i stosowania jej do punktu końcowego maszyny wirtualnej filtrowanie pakietów odbywa się w węźle hosta maszyny wirtualnej. Oznacza to, że ruch ze zdalnych adresów IP jest filtrowany przez węzeł hosta w celu dopasowania do reguł listy ACL, zamiast na maszynie wirtualnej. Uniemożliwia to maszynie wirtualnej wydawanie cennych cykli procesora CPU na filtrowanie pakietów.
Po utworzeniu maszyny wirtualnej zostanie umieszczona domyślna lista ACL blokująca cały ruch przychodzący. Jeśli jednak punkt końcowy zostanie utworzony dla (port 3389), domyślna lista ACL zostanie zmodyfikowana, aby zezwolić na cały ruch przychodzący dla tego punktu końcowego. Ruch przychodzący z dowolnej zdalnej podsieci jest następnie dozwolony do tego punktu końcowego i nie jest wymagana żadna aprowizacja zapory. Wszystkie inne porty są blokowane dla ruchu przychodzącego, chyba że dla tych portów zostaną utworzone punkty końcowe. Ruch wychodzący jest domyślnie dozwolony.
Przykładowa domyślna tabela listy ACL
| Reguła # | Podsieć zdalna | Punkt końcowy | Zezwól/odmów |
|---|---|---|---|
| 100 | 0.0.0.0/0 | 3389 | Pozwolenie |
Zezwól i odmów
Możesz selektywnie zezwalać na ruch sieciowy dla punktu końcowego wejściowego maszyny wirtualnej lub blokować go, tworząc reguły określające "zezwolenie" lub "odmów". Należy pamiętać, że domyślnie po utworzeniu punktu końcowego cały ruch jest dozwolony dla punktu końcowego. Z tego powodu ważne jest, aby zrozumieć, jak utworzyć reguły zezwolenia/odmowy i umieścić je w odpowiedniej kolejności pierwszeństwa, jeśli chcesz uzyskać szczegółową kontrolę nad ruchem sieciowym, który chcesz zezwolić na dotarcie do punktu końcowego maszyny wirtualnej.
Kwestie do rozważenia:
- Brak listy ACL — Domyślnie po utworzeniu punktu końcowego zezwalamy na wszystko dla tego punktu końcowego.
- Uprawnienia- Kiedy dodajesz jeden lub więcej zakresów "uprawnień," automatycznie odrzucasz wszystkie inne zakresy. Tylko pakiety z dozwolonego zakresu adresów IP będą mogły komunikować się z punktem końcowym maszyny wirtualnej.
- Zakazać - Gdy dodasz co najmniej jeden zakres "zakazu", domyślnie zezwalasz na wszystkie inne zakresy ruchu.
- Kombinacja zezwolenia i odmowy — Możesz użyć kombinacji „zezwolenia” i „odmowy”, gdy chcesz wydzielić określony zakres adresów IP, aby został dozwolony lub odrzucony.
Reguły i ich hierarchia pierwszeństwa
Listy kontroli dostępu sieciowego można skonfigurować na określonych punktach końcowych maszyn wirtualnych. Można na przykład określić listę ACL sieci dla punktu końcowego protokołu RDP utworzonego na maszynie wirtualnej, która blokuje dostęp do określonych adresów IP. W poniższej tabeli przedstawiono sposób udzielania dostępu do publicznych wirtualnych adresów IP (VIP) określonego zakresu w celu zezwolenia na dostęp do protokołu RDP. Wszystkie inne zdalne adresy IP są odrzucane. Stosujemy zasadę, że najniższa wartość ma pierwszeństwo.
Wiele reguł
W poniższym przykładzie, jeśli chcesz zezwolić na dostęp do punktu końcowego protokołu RDP tylko z dwóch publicznych zakresów adresów IPv4 (65.0.0.0/8 i 159.0.0.0/8), możesz to osiągnąć, określając dwie reguły zezwolenia . W takim przypadku, ponieważ protokół RDP jest tworzony domyślnie dla maszyny wirtualnej, możesz zablokować dostęp do portu RDP na podstawie podsieci zdalnej. W poniższym przykładzie pokazano sposób udzielania dostępu do publicznych wirtualnych adresów IP (VIP) określonego zakresu w celu zezwolenia na dostęp do protokołu RDP. Wszystkie inne zdalne adresy IP są odrzucane. Działa to, ponieważ reguły ACL dla sieci mogą być skonfigurowane dla konkretnego punktu końcowego maszyny wirtualnej, a dostęp jest domyślnie odrzucany.
Przykład — wiele reguł
| Reguła # | Podsieć zdalna | Punkt końcowy | Zezwól/odmów |
|---|---|---|---|
| 100 | 65.0.0.0/8 | 3389 | Pozwolenie |
| 200 | 159.0.0.0/8 | 3389 | Pozwolenie |
Kolejność reguł
Ponieważ dla punktu końcowego można określić wiele reguł, musi istnieć sposób organizowania reguł w celu określenia, która reguła ma pierwszeństwo. Kolejność reguł określa pierwszeństwo. Listy ACL sieci są zgodne z najniższą kolejnością reguł pierwszeństwa. W poniższym przykładzie punkt końcowy na porcie 80 jest selektywnie udzielany dostępu tylko do określonych zakresów adresów IP. Aby to skonfigurować, mamy regułę odmowy (reguła nr 100) dla adresów w przestrzeni 175.1.0.1/24. Druga reguła jest następnie określona z pierwszeństwem 200, która zezwala na dostęp do wszystkich innych adresów poniżej 175.0.0.0/8.
Przykład — pierwszeństwo reguły
| Reguła # | Podsieć zdalna | Punkt końcowy | Zezwól/odmów |
|---|---|---|---|
| 100 | 175.1.0.1/24 | 80 | Odmów |
| 200 | 175.0.0.0/8 | 80 | Pozwolenie |
Listy ACL sieci i zestawy zrównoważone obciążeniowo
Listy kontrolne dostępu (ACL) w sieci można określić w punkcie końcowym zestawu równoważenia obciążenia. Jeśli lista ACL jest określona dla zestawu o zrównoważonym obciążeniu, lista ACL sieci jest stosowana do wszystkich maszyn wirtualnych w tym zestawie o zrównoważonym obciążeniu. Jeśli na przykład zostanie utworzony zestaw o zrównoważonym obciążeniu z "Portem 80", a zestaw równoważenia obciążenia zawiera 3 VM, to lista ACL sieci utworzona na punkcie końcowym "Port 80" jednej z maszyn zostanie automatycznie zastosowana do pozostałych VM.
Dalsze kroki
Zarządzanie listami kontroli dostępu dla punktów końcowych przy użyciu programu PowerShell