Vad är en åtkomstkontrolllista för slutpunkt?
Viktigt
Azure har två olika distributionsmodeller för att skapa och arbeta med resurser: Resource Manager och klassisk. Den här artikeln beskriver den klassiska distributionsmodellen. Microsoft rekommenderar att de flesta nya distributioner använder Resource Manager-distributionsmodellen.
En ACL (Endpoint Access Control List) är en säkerhetsförbättring som är tillgänglig för azure-distributionen. En ACL ger möjlighet att selektivt tillåta eller neka trafik för en virtuell datorslutpunkt. Den här paketfiltreringsfunktionen ger ytterligare ett säkerhetslager. Du kan endast ange nätverks-ACL:er för slutpunkter. Du kan inte ange en ACL för ett virtuellt nätverk eller ett specifikt undernät som finns i ett virtuellt nätverk. Vi rekommenderar att du använder nätverkssäkerhetsgrupper (NSG:er) i stället för ACL:er när det är möjligt. När du använder NSG:er ersätts slutpunktsåtkomstkontrollistan och framtvingas inte längre. Mer information om NSG:er finns i Översikt över nätverkssäkerhetsgrupp
ACL:er kan konfigureras med hjälp av antingen PowerShell eller Azure Portal. Information om hur du konfigurerar en nätverks-ACL med hjälp av PowerShell finns i Hantera åtkomstkontrollistor för slutpunkter med PowerShell. Information om hur du konfigurerar en nätverks-ACL med hjälp av Azure Portal finns i Så här konfigurerar du slutpunkter till en virtuell dator.
Med hjälp av nätverks-ACL:er kan du göra följande:
- Tillåt eller neka inkommande trafik selektivt baserat på IPv4-adressintervallet för fjärrundernätet till en virtuell dators indataslutpunkt.
- Blockera IP-adresser
- Skapa flera regler per slutpunkt för virtuell dator
- Använd regelordning för att säkerställa att rätt uppsättning regler tillämpas på en viss virtuell datorslutpunkt (lägst till högst)
- Ange en ACL för en specifik IPv4-adress för fjärrundernätet.
Se artikeln om Azure-gränser för ACL-gränser.
Så här fungerar ACL:er
En ACL är ett objekt som innehåller en lista med regler. När du skapar en ACL och tillämpar den på en slutpunkt för en virtuell dator sker paketfiltrering på värdnoden för den virtuella datorn. Det innebär att trafiken från fjärranslutna IP-adresser filtreras av värdnoden för matchande ACL-regler i stället för på den virtuella datorn. Detta förhindrar att den virtuella datorn spenderar de värdefulla CPU-cyklerna på paketfiltrering.
När en virtuell dator skapas skapas en standard-ACL för att blockera all inkommande trafik. Men om en slutpunkt skapas för (port 3389) ändras standard-ACL:en för att tillåta all inkommande trafik för slutpunkten. Inkommande trafik från alla fjärrundernät tillåts sedan till den slutpunkten och ingen brandväggsetablering krävs. Alla andra portar blockeras för inkommande trafik om inte slutpunkter skapas för dessa portar. Utgående trafik tillåts som standard.
Exempel på standard-ACL-tabell
| Regel # | Fjärrundernät | Slutpunkt | Tillåt/neka |
|---|---|---|---|
| 100 | 0.0.0.0/0 | 3389 | Tillstånd |
Tillåt och neka
Du kan selektivt tillåta eller neka nätverkstrafik för en virtuell dators indataslutpunkt genom att skapa regler som anger "tillåt" eller "neka". Det är viktigt att observera att all trafik tillåts till slutpunkten när en slutpunkt skapas som standard. Därför är det viktigt att förstå hur du skapar regler för tillstånd/neka och placerar dem i rätt prioritetsordning om du vill ha detaljerad kontroll över den nätverkstrafik som du väljer att tillåta för att nå slutpunkten för den virtuella datorn.
Saker att tänka på:
- Ingen ACL – Som standard när en slutpunkt skapas tillåter vi alla för slutpunkten.
- Tillåta- När du lägger till ett eller flera "tillåt"-intervall nekar du alla andra intervall som standard. Endast paket från det tillåtna IP-intervallet kan kommunicera med den virtuella datorns slutpunkt.
- Förneka- När du lägger till ett eller flera "neka"-intervall tillåter du alla andra trafikintervall som standard.
- Kombination av tillstånd och neka - Du kan använda en kombination av "tillstånd" och "neka" när du vill skapa ett specifikt IP-intervall som ska tillåtas eller nekas.
Regler och regelprioritet
Nätverks-ACL:er kan konfigureras på specifika slutpunkter för virtuella datorer. Du kan till exempel ange en nätverks-ACL för en RDP-slutpunkt som skapats på en virtuell dator som låser åtkomsten för vissa IP-adresser. Tabellen nedan visar ett sätt att bevilja åtkomst till offentliga virtuella IP-adresser (VIP) för ett visst intervall för att tillåta åtkomst för RDP. Alla andra fjärranslutna IP-adresser nekas. Vi följer en lägsta regelordning som har företräde .
Flera regler
Om du i exemplet nedan endast vill tillåta åtkomst till RDP-slutpunkten från två offentliga IPv4-adressintervall (65.0.0.0/8 och 159.0.0.0/8) kan du uppnå detta genom att ange två tillståndsregler . I det här fallet, eftersom RDP skapas som standard för en virtuell dator, kanske du vill låsa åtkomsten till RDP-porten baserat på ett fjärrundernät. Exemplet nedan visar ett sätt att bevilja åtkomst till offentliga virtuella IP-adresser (VIP) för ett visst intervall för att tillåta åtkomst för RDP. Alla andra fjärranslutna IP-adresser nekas. Detta fungerar eftersom nätverks-ACL:er kan konfigureras för en specifik slutpunkt för virtuella datorer och åtkomst nekas som standard.
Exempel – flera regler
| Regel # | Fjärrundernät | Slutpunkt | Tillåt/neka |
|---|---|---|---|
| 100 | 65.0.0.0/8 | 3389 | Tillstånd |
| 200 | 159.0.0.0/8 | 3389 | Tillstånd |
Regelordning
Eftersom flera regler kan anges för en slutpunkt måste det finnas ett sätt att organisera regler för att avgöra vilken regel som har företräde. Regelordningen anger prioritet. Nätverks-ACL:er följer en regelordning med lägst prioritet . I exemplet nedan beviljas slutpunkten på port 80 selektivt åtkomst till endast vissa IP-adressintervall. För att konfigurera detta har vi en neka-regel (regel nr 100) för adresser i utrymmet 175.1.0.1/24. En andra regel anges sedan med prioritet 200 som tillåter åtkomst till alla andra adresser under 175.0.0.0/8.
Exempel – Regelprioritet
| Regel # | Fjärrundernät | Slutpunkt | Tillåt/neka |
|---|---|---|---|
| 100 | 175.1.0.1/24 | 80 | Neka |
| 200 | 175.0.0.0/8 | 80 | Tillstånd |
Nätverks-ACL:er och belastningsutjämningsuppsättningar
Nätverks-ACL:er kan anges på en lastbalanserad uppsättningsslutpunkt. Om en ACL anges för en belastningsutjämningsuppsättning tillämpas nätverks-ACL på alla virtuella datorer i den belastningsutjämningsuppsättningen. Om till exempel en belastningsutjämningsuppsättning skapas med "Port 80" och den belastningsutjämningsuppsättningen innehåller 3 virtuella datorer, tillämpas nätverks-ACL:en som skapats på slutpunkten "Port 80" för en virtuell dator automatiskt på de andra virtuella datorerna.
