Mi az a végpontok hozzáférés-vezérlési listája?What is an endpoint access control list?

Fontos

Az Azure két különböző üzembe helyezési modellel rendelkezik az erőforrások létrehozásához és használatához: Resource Manager és klasszikus.Azure has two different deployment models for creating and working with resources: Resource Manager and classic. Ez a cikk a klasszikus üzembehelyezési modellt ismerteti.This article covers using the classic deployment model. A Microsoft azt javasolja, hogy a legtöbb új központi telepítés a Resource Manager-alapú üzemi modellt használja.Microsoft recommends that most new deployments use the Resource Manager deployment model.

A végpontok hozzáférés-vezérlési listája (ACL) az Azure-beli üzembe helyezés számára elérhető biztonsági fejlesztés.An endpoint access control list (ACL) is a security enhancement available for your Azure deployment. Az ACL lehetővé teszi, hogy szelektíven engedélyezze vagy megtagadja a virtuális gép végpontjának forgalmát.An ACL provides the ability to selectively permit or deny traffic for a virtual machine endpoint. Ez a csomagszűrő funkció további biztonsági réteget biztosít.This packet filtering capability provides an additional layer of security. Csak a végpontok hálózati hozzáférés-vezérlési listáit lehet megadni.You can specify network ACLs for endpoints only. Nem adhat meg ACL-t egy virtuális hálózathoz vagy egy virtuális hálózatban található adott alhálózathoz.You can't specify an ACL for a virtual network or a specific subnet contained in a virtual network. Az ACL-ek helyett hálózati biztonsági csoportokat (NSG) ajánlott használni, amikor csak lehetséges.It is recommended to use network security groups (NSGs) instead of ACLs, whenever possible. A NSG használatakor a rendszer lecseréli a végpontok hozzáférés-vezérlési listáját, és a továbbiakban nem kényszeríti ki.When using NSGs, endpoint access control list will be replaced and no longer enforced. További információ a NSG: hálózati biztonsági csoport – áttekintésTo learn more about NSGs, see Network security group overview

Az ACL-eket a PowerShell vagy a Azure Portal használatával lehet konfigurálni.ACLs can be configured by using either PowerShell or the Azure portal. Ha hálózati ACL-t szeretne konfigurálni a PowerShell használatával, tekintse meg a végpontok hozzáférés-vezérlési listáinak kezelése a PowerShell használatávalcímű témakört.To configure a network ACL by using PowerShell, see Managing access control lists for endpoints using PowerShell. Ha a hálózati ACL-t a Azure Portal használatával szeretné konfigurálni, tekintse meg a végpontok virtuális géphez való beállításátismertető témakört.To configure a network ACL by using the Azure portal, see How to set up endpoints to a virtual machine.

A hálózati ACL-ek használatával a következőket teheti:Using Network ACLs, you can do the following:

  • A bejövő forgalom szelektív engedélyezése vagy megtagadása a távoli alhálózat IPv4-címtartomány alapján egy virtuálisgép-bemeneti végponton.Selectively permit or deny incoming traffic based on remote subnet IPv4 address range to a virtual machine input endpoint.
  • Feketelista IP-címeiBlacklist IP addresses
  • Több szabály létrehozása virtuálisgép-végpontonCreate multiple rules per virtual machine endpoint
  • A szabályok sorrendjét használva biztosíthatja, hogy a megfelelő szabálykészlet legyen alkalmazva egy adott virtuálisgép-végponton (a legalacsonyabb – a legmagasabb).Use rule ordering to ensure the correct set of rules are applied on a given virtual machine endpoint (lowest to highest)
  • Egy adott távoli alhálózati IPv4-címnek megfelelő ACL-t kell megadnia.Specify an ACL for a specific remote subnet IPv4 address.

Tekintse meg az Azure korlátairól szóló cikket az ACL korlátaival kapcsolatban.See the Azure limits article for ACL limits.

Az ACL-ek működéseHow ACLs work

Az ACL egy olyan objektum, amely tartalmazza a szabályok listáját.An ACL is an object that contains a list of rules. Amikor létrehoz egy ACL-t, és alkalmazza azt egy virtuálisgép-végpontra, a csomagszűrés a virtuális gép gazdagép csomópontján történik.When you create an ACL and apply it to a virtual machine endpoint, packet filtering takes place on the host node of your VM. Ez azt jelenti, hogy a távoli IP-címekről érkező forgalmat a gazdagép csomópontja szűri az ACL-szabályoknak a virtuális gépen való megfeleltetése helyett.This means the traffic from remote IP addresses is filtered by the host node for matching ACL rules instead of on your VM. Ez megakadályozza, hogy a virtuális gép értékes CPU-ciklusokat fordítson a csomagszűrés számára.This prevents your VM from spending the precious CPU cycles on packet filtering.

Virtuális gép létrehozásakor a rendszer egy alapértelmezett ACL-t helyez el az összes bejövő forgalom blokkolásához.When a virtual machine is created, a default ACL is put in place to block all incoming traffic. Ha azonban létrehoz egy végpontot a (3389-es porthoz), akkor az alapértelmezett ACL-t úgy módosítja, hogy az adott végpont összes bejövő forgalmát engedélyezze.However, if an endpoint is created for (port 3389), then the default ACL is modified to allow all inbound traffic for that endpoint. A rendszer a távoli alhálózatokról érkező bejövő forgalmat ezután engedélyezi a végpont számára, és nincs szükség tűzfal üzembe helyezésére.Inbound traffic from any remote subnet is then allowed to that endpoint and no firewall provisioning is required. Az összes többi port blokkolva van a bejövő forgalom számára, kivéve, ha végpontok jönnek létre a portok számára.All other ports are blocked for inbound traffic unless endpoints are created for those ports. A kimenő forgalom alapértelmezés szerint engedélyezett.Outbound traffic is allowed by default.

Példa alapértelmezett ACL-táblázatraExample Default ACL table

Szabály #Rule # Távoli alhálózatRemote Subnet VégpontEndpoint Engedélyezés/megtagadásPermit/Deny
100100 0.0.0.0/00.0.0.0/0 33893389 EngedélyezésePermit

Engedélyezés és megtagadásPermit and deny

A virtuális gép bemeneti végpontjának hálózati forgalmát szelektív módon engedélyezheti vagy tilthatja le olyan szabályok létrehozásával, amelyek az "engedélyezés" vagy a "megtagadás" beállítást adják meg.You can selectively permit or deny network traffic for a virtual machine input endpoint by creating rules that specify "permit" or "deny". Fontos megjegyezni, hogy a végpontok létrehozásakor alapértelmezés szerint minden forgalom engedélyezett a végpont számára.It's important to note that by default, when an endpoint is created, all traffic is permitted to the endpoint. Ezért fontos tisztában lenni az engedélyezési/megtagadási szabályok létrehozásával és a megfelelő sorrendben történő elhelyezésével, ha azt szeretné, hogy a hálózati forgalom részletesen szabályozható legyen a virtuális gép végpontjának eléréséhez.For that reason, it's important to understand how to create permit/deny rules and place them in the proper order of precedence if you want granular control over the network traffic that you choose to allow to reach the virtual machine endpoint.

Megfontolandó pontok:Points to consider:

  1. Nincs ACL – A végpontok létrehozásakor alapértelmezés szerint az összes végpontot engedélyezzük.No ACL – By default when an endpoint is created, we permit all for the endpoint.
  2. Engedélyezés – Ha hozzáad egy vagy több "engedélyezési" tartományt, a rendszer alapértelmezés szerint letiltja az összes többi tartományt.Permit - When you add one or more "permit" ranges, you are denying all other ranges by default. Csak az engedélyezett IP-címtartomány csomagjai lesznek képesek kommunikálni a virtuális gép végpontjának használatával.Only packets from the permitted IP range will be able to communicate with the virtual machine endpoint.
  3. Megtagadás – Egy vagy több "megtagadás" tartomány hozzáadásakor a rendszer alapértelmezés szerint engedélyezi az összes többi tartomány forgalmát.Deny - When you add one or more "deny" ranges, you are permitting all other ranges of traffic by default.
  4. Az engedélyezés és a Megtagadás kombinációja – Az "engedélyezés" és a "megtagadás" kombinációját használhatja, ha egy adott IP-címtartományt szeretne kifaragni, amelyet engedélyezni vagy megtagadni kíván.Combination of Permit and Deny - You can use a combination of "permit" and "deny" when you want to carve out a specific IP range to be permitted or denied.

Szabályok és szabályok prioritásaRules and rule precedence

Hálózati ACL-ek állíthatók be adott virtuálisgép-végpontokon.Network ACLs can be set up on specific virtual machine endpoints. Megadhat például egy hálózati ACL-t egy virtuális gépen létrehozott RDP-végponthoz, amely lezárja bizonyos IP-címek elérését.For example, you can specify a network ACL for an RDP endpoint created on a virtual machine which locks down access for certain IP addresses. Az alábbi táblázat bemutatja, hogyan biztosíthat hozzáférést egy bizonyos tartományhoz tartozó nyilvános virtuális IP-címekhez (VIP), hogy engedélyezze a hozzáférést az RDP-hez.The table below shows a way to grant access to public virtual IPs (VIPs) of a certain range to permit access for RDP. Minden más távoli IP-cím megtagadva.All other remote IPs are denied. A legalacsonyabb sorrendű szabályt követjük.We follow a lowest takes precedence rule order.

Több szabályMultiple rules

Ha az alábbi példában az RDP-végpont elérését csak két nyilvános IPv4-címtartomány (65.0.0.0/8 és 159.0.0.0/8) alapján szeretné engedélyezni, ezt két engedélyezési szabály megadásával érheti el.In the example below, if you want to allow access to the RDP endpoint only from two public IPv4 address ranges (65.0.0.0/8, and 159.0.0.0/8), you can achieve this by specifying two Permit rules. Ebben az esetben, mivel a virtuális gép alapértelmezés szerint az RDP-t hozza létre, a távoli alhálózat alapján érdemes lehet zárolni az RDP-porthoz való hozzáférést.In this case, since RDP is created by default for a virtual machine, you may want to lock down access to the RDP port based on a remote subnet. Az alábbi példa azt mutatja be, hogyan lehet hozzáférést biztosítani egy bizonyos tartomány nyilvános virtuális IP-címeihez (VIP), hogy engedélyezze a hozzáférést az RDP-hez.The example below shows a way to grant access to public virtual IPs (VIPs) of a certain range to permit access for RDP. Minden más távoli IP-cím megtagadva.All other remote IPs are denied. Ez azért működik, mert hálózati ACL-ek állíthatók be egy adott virtuálisgép-végponthoz, és a hozzáférés alapértelmezés szerint meg van tagadva.This works because network ACLs can be set up for a specific virtual machine endpoint and access is denied by default.

Példa – több szabályExample – Multiple rules

Szabály #Rule # Távoli alhálózatRemote Subnet VégpontEndpoint Engedélyezés/megtagadásPermit/Deny
100100 65.0.0.0/865.0.0.0/8 33893389 EngedélyezésePermit
200200 159.0.0.0/8159.0.0.0/8 33893389 EngedélyezésePermit

Szabály sorrendjeRule order

Mivel egy végponthoz több szabály is megadható, a szabályok rendszerezésének meg kell felelnie, hogy melyik szabály elsőbbséget élvez.Because multiple rules can be specified for an endpoint, there must be a way to organize rules in order to determine which rule takes precedence. A szabály sorrendje a sorrendet adja meg.The rule order specifies precedence. A hálózati ACL-ek a legalacsonyabb elsőbbségi szabályok sorrendjét követik.Network ACLs follow a lowest takes precedence rule order. Az alábbi példában az 80-as porton lévő végpont szelektív módon kap hozzáférést csak bizonyos IP-címtartományok számára.In the example below, the endpoint on port 80 is selectively granted access to only certain IP address ranges. Ennek konfigurálásához egy megtagadási szabály (100- # es szabály) tartozik a 175.1.0.1/24 terület címeihez.To configure this, we have a deny rule (Rule # 100) for addresses in the 175.1.0.1/24 space. Ezután megadhat egy második szabályt a 200-as prioritással, amely engedélyezi a hozzáférést az összes többi címhez a 175.0.0.0/8 alatt.A second rule is then specified with precedence 200 that permits access to all other addresses under 175.0.0.0/8.

Példa – szabályok prioritásaExample – Rule precedence

Szabály #Rule # Távoli alhálózatRemote Subnet VégpontEndpoint Engedélyezés/megtagadásPermit/Deny
100100 175.1.0.1/24175.1.0.1/24 8080 MegtagadásDeny
200200 175.0.0.0/8175.0.0.0/8 8080 EngedélyezésePermit

Hálózati ACL-ek és elosztott terhelésű készletekNetwork ACLs and load balanced sets

A hálózati ACL-ek megadhatók egy elosztott terhelésű készlet végpontján.Network ACLs can be specified on a load balanced set endpoint. Ha egy elosztott terhelésű készlethez hozzáférés-vezérlési lista van megadva, a rendszer a hálózati ACL-t alkalmazza a terheléselosztásos készletben lévő összes virtuális gépre.If an ACL is specified for a load balanced set, the network ACL is applied to all virtual machines in that load balanced set. Ha például egy elosztott terhelésű készlet jön létre a "port 80" értékkel, és az elosztott terhelésű készlet 3 virtuális gépet tartalmaz, akkor az egyik virtuális gép "port 80" végpontján létrehozott hálózati ACL automatikusan a többi virtuális gépre lesz érvényes.For example, if a load balanced set is created with "Port 80" and the load balanced set contains 3 VMs, the network ACL created on endpoint "Port 80" of one VM will automatically apply to the other VMs.

Hálózati ACL-ek és elosztott terhelésű készletek

További lépésekNext Steps

A végpontok hozzáférés-vezérlési listáját a PowerShell használatával kezelhetiManage access control lists for endpoints using PowerShell