Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Azure heeft twee verschillende implementatiemodellen voor het maken en werken met resources: Resource Manager en klassiek. Dit artikel gaat over het gebruik van het klassieke implementatiemodel. Microsoft raadt aan dat de meeste nieuwe implementaties gebruikmaken van het Resource Manager-implementatiemodel.
Een ACL (Endpoint Access Control List) is een beveiligingsverbetering die beschikbaar is voor uw Azure-implementatie. Een ACL biedt de mogelijkheid om selectief verkeer toe te staan of te weigeren voor een eindpunt van een virtuele machine. Deze mogelijkheid voor pakketfiltering biedt een extra beveiligingslaag. U kunt alleen netwerk-ACL's voor eindpunten opgeven. U kunt geen ACL opgeven voor een virtueel netwerk of een specifiek subnet in een virtueel netwerk. Het wordt aanbevolen om waar mogelijk netwerkbeveiligingsgroepen (NSG's) te gebruiken in plaats van ACL's. Wanneer u NSG's gebruikt, wordt de lijst met eindpunttoegangsbeheer vervangen en wordt deze niet meer afgedwongen. Zie overzicht van netwerkbeveiligingsgroepen voor meer informatie over NSG's
ACL's kunnen worden geconfigureerd met behulp van PowerShell of Azure Portal. Zie Toegangsbeheerlijsten voor eindpunten beheren met behulp van PowerShell om een netwerk-ACL te configureren met behulp van PowerShell. Als u een netwerk-ACL wilt configureren met behulp van Azure Portal, raadpleegt u Eindpunten instellen op een virtuele machine.
Met netwerk-ACL's kunt u het volgende doen:
- Selectief inkomend verkeer toestaan of weigeren op basis van het IPv4-adresbereik van het externe subnet naar een eindpunt voor invoer van een virtuele machine.
- IP-adressen blokkeren
- Meerdere regels per eindpunt voor virtuele machines maken
- Regelvolgorde gebruiken om ervoor te zorgen dat de juiste set regels wordt toegepast op een bepaald eindpunt van de virtuele machine (laagste naar hoogste)
- Geef een ACL op voor een specifiek IPv4-adres van een extern subnet.
Zie het artikel Over Azure-limieten voor ACL-limieten.
Hoe ACL's werken
Een ACL is een object dat een lijst met regels bevat. Wanneer u een ACL maakt en deze toepast op een eindpunt van een virtuele machine, vindt pakketfiltering plaats op het hostknooppunt van uw VIRTUELE machine. Dit betekent dat het verkeer van externe IP-adressen wordt gefilterd door het hostknooppunt voor overeenkomende ACL-regels in plaats van op uw VIRTUELE machine. Hiermee voorkomt u dat uw VIRTUELE machine de kostbare CPU-cycli besteedt aan pakketfiltering.
Wanneer een virtuele machine wordt gemaakt, wordt er een standaard-ACL ingesteld om al het binnenkomende verkeer te blokkeren. Als er echter een eindpunt wordt gemaakt voor (poort 3389), wordt de standaard-ACL gewijzigd om al het binnenkomende verkeer voor dat eindpunt toe te staan. Binnenkomend verkeer vanaf een extern subnet is vervolgens toegestaan voor dat eindpunt en er is geen firewallinrichting vereist. Alle andere poorten worden geblokkeerd voor inkomend verkeer, tenzij eindpunten voor deze poorten worden gemaakt. Uitgaand verkeer is standaard toegestaan.
Voorbeeld van standaard-ACL-tabel
| Regel # | Extern subnet | Eindpunt | Toestaan/weigeren |
|---|---|---|---|
| 100 | 0.0.0.0/0 | 3389 | toestaan |
Toestaan en weigeren
U kunt netwerkverkeer selectief toestaan of weigeren voor een invoereindpunt van een virtuele machine door regels te maken waarmee 'toestaan' of 'weigeren' wordt opgegeven. Het is belangrijk om te weten dat, wanneer een eindpunt wordt gemaakt, standaard al het verkeer naar het eindpunt is toegestaan. Daarom is het belangrijk om te begrijpen hoe u regels voor toestaan/weigeren maakt en deze in de juiste volgorde van prioriteit plaatst als u gedetailleerde controle wilt over het netwerkverkeer dat u kiest om het eindpunt van de virtuele machine te bereiken.
Belangrijke aandachtspunten
- Geen ACL - Wanneer er een eindpunt wordt gemaakt, staan we standaard alles toe voor het eindpunt.
- Vergunning - Wanneer u een of meer bereiken 'vergunning' toevoegt, zijn alle andere bereiken standaard geweigerd. Alleen pakketten uit het toegestane IP-bereik kunnen communiceren met het eindpunt van de virtuele machine.
- Blokkeren - Wanneer u een of meer 'blokkeren'-bereiken toevoegt, worden alle andere bereiken standaard toegestaan.
- Combinatie van Toestaan en Weigeren - U kunt een combinatie van 'toestaan' en 'weigeren' gebruiken wanneer u een specifiek IP-bereik wilt toewijzen dat is toegestaan of geweigerd.
Prioriteit van regels en regels
Netwerk-ACL's kunnen worden ingesteld op specifieke eindpunten van virtuele machines. U kunt bijvoorbeeld een netwerk-ACL opgeven voor een RDP-eindpunt dat is gemaakt op een virtuele machine die de toegang voor bepaalde IP-adressen vergrendelt. In de onderstaande tabel ziet u een manier om toegang te verlenen tot openbare virtuele IP-adressen (VIP's) van een bepaald bereik om toegang voor RDP toe te staan. Alle andere externe IP-adressen worden geweigerd. We volgen een laagste krijgt voorrang regelvolgorde.
Meerdere regels
Als u in het onderstaande voorbeeld alleen toegang tot het RDP-eindpunt wilt toestaan vanuit twee openbare IPv4-adresbereiken (65.0.0.0/8 en 159.0.0.0/8), kunt u dit bereiken door twee regels voor toestaan op te geven. Aangezien RDP standaard wordt gemaakt voor een virtuele machine, wilt u mogelijk de toegang tot de RDP-poort vergrendelen op basis van een extern subnet. In het onderstaande voorbeeld ziet u een manier om toegang te verlenen tot openbare virtuele IP's (VIP's) van een bepaald bereik om toegang voor RDP toe te staan. Alle andere externe IP-adressen worden geweigerd. Dit werkt omdat netwerk-ACL's kunnen worden ingesteld voor een specifiek eindpunt van de virtuele machine en de toegang standaard wordt geweigerd.
Voorbeeld: meerdere regels
| Regel # | Extern netwerksegment | Eindpunt | Toestaan/weigeren |
|---|---|---|---|
| 100 | 65.0.0.0/8 | 3389 | toestaan |
| 200 | 159.0.0.0/8 | 3389 | toestaan |
Regelvolgorde
Omdat er meerdere regels kunnen worden opgegeven voor een eindpunt, moet er een manier zijn om regels te ordenen om te bepalen welke regel voorrang heeft. De regelvolgorde geeft prioriteit aan. Netwerk-ACL's volgen een laagste heeft voorrang regelvolgorde. In het onderstaande voorbeeld krijgt het eindpunt op poort 80 selectief toegang tot alleen bepaalde IP-adresbereiken. Om dit te configureren, hebben we een regel voor weigeren (regel 100) voor adressen in de ruimte 175.1.0.1/24. Een tweede regel wordt vervolgens opgegeven met prioriteit 200 die toegang tot alle andere adressen onder 175.0.0.0/8 toestaat.
Voorbeeld: prioriteit van regels
| Regel # | Extern subnet | Eindpunt | Toestaan/weigeren |
|---|---|---|---|
| 100 | 175.1.0.1/24 | 80 | Weigeren |
| 200 | 175.0.0.0/8 | 80 | toestaan |
Netwerk-ACL's en sets met gelijke taakverdeling
Netwerk-ACL's kunnen worden opgegeven op een eindpunt van een set met gelijke taakverdeling. Als een ACL is opgegeven voor een set met gelijke taakverdeling, wordt de netwerk-ACL toegepast op alle virtuele machines in die set met gelijke taakverdeling. Als bijvoorbeeld een set met gelijke taakverdeling wordt gemaakt met Poort 80 en de set met gelijke taakverdeling 3 VM's bevat, wordt de netwerk-ACL die is gemaakt op eindpunt Poort 80 van één VIRTUELE machine automatisch toegepast op de andere VM's.
Volgende stappen
Toegangsbeheerlijsten voor eindpunten beheren met Behulp van PowerShell