Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma obsahuje informace o rozšířených seznamech řízení přístupu (ACL) portů ve Windows Serveru 2016. Rozšířené seznamy ACL na virtuálním přepínači Hyper-V můžete nakonfigurovat tak, aby povolovaly a blokovaly síťový provoz do a z virtuálních počítačů připojených k přepínači prostřednictvím virtuálních síťových adaptérů.
Toto téma obsahuje následující části.
Podrobná pravidla seznamu ACL
rozšířené seznamy ACL virtuálního přepínače Hyper-V umožňují vytvářet podrobná pravidla, která můžete použít u jednotlivých síťových adaptérů virtuálních počítačů připojených k virtuálnímu přepínači Hyper-V. Možnost vytvářet podrobná pravidla umožňují podnikům a poskytovatelům cloudových služeb řešit bezpečnostní hrozby založené na síti v prostředí víceklientských sdílených serverů.
Díky rozšířeným seznamům ACL nemusíte vytvářet široká pravidla, která blokují nebo povolují veškerý provoz ze všech protokolů do nebo z virtuálního počítače, můžete teď blokovat nebo povolit síťový provoz jednotlivých protokolů spuštěných na virtuálních počítačích. Ve Windows Server 2016 můžete vytvořit rozšířená pravidla ACL, která zahrnují následující pětici parametrů: zdrojovou IP adresu, cílovou IP adresu, protokol, zdrojový port a cílový port. Kromě toho může každé pravidlo určit směr síťového provozu (v nebo mimo provoz) a akci, kterou pravidlo podporuje (blokování nebo povolení provozu).
Můžete například nakonfigurovat seznamy ACL portu pro virtuální počítač tak, aby umožňovaly veškerý příchozí a odchozí provoz HTTP a HTTPS na portu 80 a zároveň blokovaly síťový provoz všech ostatních protokolů na všech portech.
Tato možnost určit provoz protokolu, který může nebo nemůže přijímat virtuální počítače tenanta, poskytuje flexibilitu při konfiguraci zásad zabezpečení.
Konfigurace pravidel ACL pomocí Windows PowerShell
Pokud chcete nakonfigurovat rozšířený ACL, musíte použít příkaz Prostředí Windows PowerShell Add-VMNetworkAdapterExtendedAcl. Tento příkaz má čtyři různé syntaxe s odlišným použitím pro každou syntaxi:
Přidejte rozšířené ACL do všech síťových adaptérů pojmenovaného virtuálního počítače, který je určený prvním parametrem -VMName. Syntax:
Note
Pokud chcete místo všech přidat rozšířený seznam ACL k jednomu síťovému adaptéru, můžete síťový adaptér zadat pomocí parametru -VMNetworkAdapterName.
Add-VMNetworkAdapterExtendedAcl [-VMName] <string[]> [-Action] <VMNetworkAdapterExtendedAclAction> {Allow | Deny} [-Direction] <VMNetworkAdapterExtendedAclDirection> {Inbound | Outbound} [[-LocalIPAddress] <string>] [[-RemoteIPAddress] <string>] [[-LocalPort] <string>] [[-RemotePort] <string>] [[-Protocol] <string>] [-Weight] <int> [-Stateful <bool>] [-IdleSessionTimeout <int>] [-IsolationID <int>] [-Passthru] [-VMNetworkAdapterName <string>] [-ComputerName <string[]>] [-WhatIf] [-Confirm] [<CommonParameters>]Přidejte rozšířený seznam ACL ke konkrétnímu virtuálnímu síťovému adaptéru na konkrétním virtuálním počítači. Syntax:
Add-VMNetworkAdapterExtendedAcl [-VMNetworkAdapter] <VMNetworkAdapterBase[]> [-Action] <VMNetworkAdapterExtendedAclAction> {Allow | Deny} [-Direction] <VMNetworkAdapterExtendedAclDirection> {Inbound | Outbound} [[-LocalIPAddress] <string>] [[-RemoteIPAddress] <string>] [[-LocalPort] <string>] [[-RemotePort] <string>] [[-Protocol] <string>] [-Weight] <int> [-Stateful <bool>] [-IdleSessionTimeout <int>] [-IsolationID <int>] [-Passthru] [-WhatIf] [-Confirm] [<CommonParameters>]Přidejte rozšířený seznam ACL ke všem virtuálním síťovým adaptérům, které jsou vyhrazené pro použití operačním systémem pro správu hostitelů Hyper-V.
Note
Pokud chcete místo všech přidat rozšířený seznam ACL k jednomu síťovému adaptéru, můžete síťový adaptér zadat pomocí parametru -VMNetworkAdapterName.
Add-VMNetworkAdapterExtendedAcl [-Action] <VMNetworkAdapterExtendedAclAction> {Allow | Deny} [-Direction] <VMNetworkAdapterExtendedAclDirection> {Inbound | Outbound} [[-LocalIPAddress] <string>] [[-RemoteIPAddress] <string>] [[-LocalPort] <string>] [[-RemotePort] <string>] [[-Protocol] <string>] [-Weight] <int> -ManagementOS [-Stateful <bool>] [-IdleSessionTimeout <int>] [-IsolationID <int>] [-Passthru] [-VMNetworkAdapterName <string>] [-ComputerName <string[]>] [-WhatIf] [-Confirm] [<CommonParameters>]Přidejte rozšířený seznam ACL k objektu virtuálního počítače, který jste vytvořili v prostředí Windows PowerShell, například $vm = get-vm "my_vm". Na dalším řádku kódu můžete spustit tento příkaz a vytvořit rozšířený seznam ACL s následující syntaxí:
Add-VMNetworkAdapterExtendedAcl [-VM] <VirtualMachine[]> [-Action] <VMNetworkAdapterExtendedAclAction> {Allow | Deny} [-Direction] <VMNetworkAdapterExtendedAclDirection> {Inbound | Outbound} [[-LocalIPAddress] <string>] [[-RemoteIPAddress] <string>] [[-LocalPort] <string>] [[-RemotePort] <string>] [[-Protocol] <string>] [-Weight] <int> [-Stateful <bool>] [-IdleSessionTimeout <int>] [-IsolationID <int>] [-Passthru] [-VMNetworkAdapterName <string>] [-WhatIf] [-Confirm] [<CommonParameters>]
Podrobné příklady pravidel seznamu ACL
Následuje několik příkladů, jak můžete pomocí příkazu Add-VMNetworkAdapterExtendedAcl nakonfigurovat rozšířené seznamy ACL portu a vytvořit zásady zabezpečení pro virtuální počítače.
Vynucování zabezpečení na úrovni uživatele i na úrovni aplikace
Zajištění podpory zabezpečení pro aplikaci, která není tcp/UDP
Note
Hodnoty parametru pravidla Směr v tabulkách níže jsou založeny na toku provozu do nebo z virtuálního počítače, pro který pravidlo vytváříte. Pokud virtuální počítač přijímá provoz, provoz je příchozí; Pokud virtuální počítač odesílá provoz, provoz je odchozí. Pokud například použijete pravidlo na virtuální počítač, který blokuje příchozí provoz, směr příchozího provozu je z externích prostředků do virtuálního počítače. Pokud použijete pravidlo, které blokuje odchozí provoz, směr odchozího provozu je z místního virtuálního počítače na externí prostředky.
Vynucení zabezpečení na úrovni aplikace
Vzhledem k tomu, že mnoho aplikačních serverů používá ke komunikaci s klientskými počítači standardizované porty TCP/UDP, je snadné vytvořit pravidla, která blokují nebo povolují přístup k aplikačnímu serveru filtrováním provozu přicházejícího do a přicházet z portu určeného k aplikaci.
Můžete například chtít uživateli povolit přihlášení k aplikačnímu serveru ve vašem datacentru pomocí připojení ke vzdálené ploše (RDP). Vzhledem k tomu, že protokol RDP používá port TCP 3389, můžete rychle nastavit následující pravidlo:
| Zdrojová IP adresa | Cílová IP adresa | Protocol | Zdrojový port | Cílový port | Direction | Action |
|---|---|---|---|---|---|---|
| * | * | protokol TCP | * | 3389 | In | Allow |
Tady jsou dva příklady, jak můžete vytvářet pravidla pomocí příkazů Windows PowerShellu. První ukázkové pravidlo blokuje veškerý provoz do virtuálního počítače s názvem ApplicationServer. Druhé ukázkové pravidlo, které se použije na síťový adaptér virtuálního počítače s názvem ApplicationServer, umožňuje do virtuálního počítače pouze příchozí provoz protokolu RDP.
Note
Při vytváření pravidel můžete pomocí parametru -Weight určit pořadí, ve kterém Hyper-V virtuální přepínač zpracovává pravidla. Hodnoty pro -Weight jsou vyjádřeny jako celá čísla; pravidla s vyšším celočíselnou hodnotou se zpracovávají před pravidly s nižšími celými čísly. Pokud jste například na síťový adaptér virtuálního počítače použili dvě pravidla, jedna s hmotností 1 a druhou s hmotností 10, použije se nejprve pravidlo s hmotností 10.
Add-VMNetworkAdapterExtendedAcl -VMName "ApplicationServer" -Action "Deny" -Direction "Inbound" -Weight 1
Add-VMNetworkAdapterExtendedAcl -VMName "ApplicationServer" -Action "Allow" -Direction "Inbound" -LocalPort 3389 -Protocol "TCP" -Weight 10
Vynucování zabezpečení na úrovni uživatele i na úrovni aplikace
Protože pravidlo může odpovídat IP paketu o pěti prvcích (zdrojová IP adresa, cílová IP adresa, protokol, zdrojový port a cílový port), může pravidlo vynutit podrobnější zásady zabezpečení než portový seznam ACL.
Pokud například chcete poskytovat službu DHCP omezenému počtu klientských počítačů pomocí konkrétní sady serverů DHCP, můžete nakonfigurovat následující pravidla na počítači s Windows Serverem 2016, na kterém běží Technologie Hyper-V, kde jsou hostované uživatelské virtuální počítače:
| Zdrojová IP adresa | Cílová IP adresa | Protocol | Zdrojový port | Cílový port | Direction | Action |
|---|---|---|---|---|---|---|
| * | 255.255.255.255 | UDP | * | 67 | Out | Allow |
| * | 10.175.124.0/25 | UDP | * | 67 | Out | Allow |
| 10.175.124.0/25 | * | UDP | * | 68 | In | Allow |
Následuje příklad toho, jak můžete tato pravidla vytvořit pomocí příkazů Windows PowerShellu.
Add-VMNetworkAdapterExtendedAcl -VMName "ServerName" -Action "Deny" -Direction "Outbound" -Weight 1
Add-VMNetworkAdapterExtendedAcl -VMName "ServerName" -Action "Allow" -Direction "Outbound" -RemoteIPAddress 255.255.255.255 -RemotePort 67 -Protocol "UDP"-Weight 10
Add-VMNetworkAdapterExtendedAcl -VMName "ServerName" -Action "Allow" -Direction "Outbound" -RemoteIPAddress 10.175.124.0/25 -RemotePort 67 -Protocol "UDP"-Weight 20
Add-VMNetworkAdapterExtendedAcl -VMName "ServerName" -Action "Allow" -Direction "Inbound" -RemoteIPAddress 10.175.124.0/25 -RemotePort 68 -Protocol "UDP"-Weight 20
Zajištění podpory zabezpečení pro aplikaci, která není tcp/UDP
Zatímco většina síťového provozu v datacentru je TCP a UDP, stále existuje nějaký provoz, který využívá jiné protokoly. Pokud například chcete skupině serverů povolit spuštění aplikace s vícesměrovým vysíláním PROTOKOLU IP, která závisí na protokolu IGMP (Internet Group Management Protocol), můžete vytvořit následující pravidlo.
Note
PROTOKOL IGMP má určený počet protokolu IP 0x02.
| Zdrojová IP adresa | Cílová IP adresa | Protocol | Zdrojový port | Cílový port | Direction | Action |
|---|---|---|---|---|---|---|
| * | * | 0x02 | * | * | In | Allow |
| * | * | 0x02 | * | * | Out | Allow |
Následuje příklad vytvoření těchto pravidel pomocí příkazů Windows PowerShellu.
Add-VMNetworkAdapterExtendedAcl -VMName "ServerName" -Action "Allow" -Direction "Inbound" -Protocol 2 -Weight 20
Add-VMNetworkAdapterExtendedAcl -VMName "ServerName" -Action "Allow" -Direction "Outbound" -Protocol 2 -Weight 20
Stavová pravidla ACL
Další nová funkce rozšířených seznamů ACL umožňuje konfigurovat stavová pravidla. Stavové pravidlo filtruje pakety na základě pěti atributů v paketu – zdrojová IP adresa, cílová IP adresa, protokol, zdrojový port a cílový port.
Stavová pravidla mají následující možnosti:
Vždy povolují provoz a nepoužívají se k blokování provozu.
Pokud určíte, že hodnota parametru Direction je příchozí a provoz odpovídá pravidlu, Hyper-V Virtuální přepínač dynamicky vytvoří odpovídající pravidlo, které virtuálnímu počítači umožní odesílat odchozí provoz v reakci na externí prostředek.
Pokud určíte, že hodnota parametru Direction je odchozí a provoz odpovídá pravidlu, Hyper-V Virtuální přepínač dynamicky vytvoří odpovídající pravidlo, které umožňuje příchozí provoz externího prostředku přijímat virtuálním počítačem.
Zahrnují atribut časového limitu měřený v sekundách. Když síťový paket dorazí na přepínač a paket odpovídá stavovým pravidlům, Hyper-V virtuální přepínač vytvoří stav, aby všechny následné pakety v obou směrech stejného toku byly povoleny. Stav vyprší, pokud neexistuje žádný provoz v žádném směru v časovém období určeném hodnotou časového limitu.
Následuje příklad použití stavových pravidel.
Povolit příchozí provoz vzdáleného serveru až po kontaktování místním serverem
V některých případech se musí použít stavové pravidlo, protože pouze stavové pravidlo může sledovat známé, vytvořené připojení a odlišit připojení od jiných připojení.
Pokud například chcete povolit aplikačnímu serveru virtuálního počítače inicializovat připojení na portu 80 k webovým službám na internetu a chcete, aby vzdálené webové servery mohly reagovat na provoz virtuálního počítače, můžete nakonfigurovat stavové pravidlo, které umožňuje počáteční odchozí provoz z virtuálního počítače do webových služeb; protože pravidlo je stavové, je povolený také návrat provozu do virtuálního počítače z webových serverů. Z bezpečnostních důvodů můžete blokovat veškerý ostatní příchozí síťový provoz do virtuálního počítače.
K dosažení této konfigurace pravidla můžete použít nastavení v následující tabulce.
Note
Vzhledem k omezením formátování a množství informací v tabulce níže se informace zobrazují jinak než v předchozích tabulkách v tomto dokumentu.
| Parameter | Pravidlo 1 | Pravidlo 2 | Pravidlo 3 |
|---|---|---|---|
| Zdrojová IP adresa | * | * | * |
| Cílová IP adresa | * | * | * |
| Protocol | * | * | protokol TCP |
| Zdrojový port | * | * | * |
| Cílový port | * | * | 80 |
| Direction | In | Out | Out |
| Action | Deny | Deny | Allow |
| Stateful | No | No | Yes |
| Časový limit (v sekundách) | N/A | N/A | 3600 |
Stavové pravidlo umožňuje aplikačnímu serveru virtuálního počítače připojit se ke vzdálenému webovému serveru. Při odeslání prvního paketu vytvoří virtuální přepínač Hyper-V dynamicky dva stavy toku, které umožní veškerým odesílaným paketům na vzdálený webový server a všem vracejícím se paketům ze serveru projít. Když se tok paketů mezi servery zastaví, vyprší časový limit toku v určené hodnotě časového limitu 3600 sekund nebo jedné hodiny.
Následuje příklad vytvoření těchto pravidel pomocí příkazů Windows PowerShellu.
Add-VMNetworkAdapterExtendedAcl -VMName "ApplicationServer" -Action "Deny" -Direction "Inbound" -Weight 1
Add-VMNetworkAdapterExtendedAcl -VMName "ApplicationServer" -Action "Deny" -Direction "Outbound" -Weight 1
Add-VMNetworkAdapterExtendedAcl -VMName "ApplicationServer" -Action "Allow" -Direction "Outbound" 80 "TCP" -Weight 100 -Stateful -Timeout 3600