Uç nokta erişim denetim listesi nedir?What is an endpoint access control list?

Önemli

Azure iki farklı olan dağıtım modelleri oluşturmak ve bu kaynaklarla çalışmak için: Resource Manager ve klasik.Azure has two different deployment models for creating and working with resources: Resource Manager and classic. Bu makale klasik dağıtım modelini incelemektedir.This article covers using the classic deployment model. Microsoft, en yeni dağıtımların Resource Manager dağıtım modelini kullanmasını önerir.Microsoft recommends that most new deployments use the Resource Manager deployment model.

Bir uç nokta erişim denetim listesi (ACL) Azure dağıtımınız için bir güvenlik geliştirmesi ' dir.An endpoint access control list (ACL) is a security enhancement available for your Azure deployment. Bir ACL seçmeli olarak erişime izin verebilir veya trafiği bir sanal makine uç noktası için olanağı sağlar.An ACL provides the ability to selectively permit or deny traffic for a virtual machine endpoint. Bu paket filtreleme özelliği, ek bir güvenlik katmanı sağlar.This packet filtering capability provides an additional layer of security. Yalnızca uç noktaları için ağ ACL'leri belirtebilirsiniz.You can specify network ACLs for endpoints only. ACL'ye yönelik bir sanal ağ veya sanal ağ içinde yer alan belirli bir alt ağ belirtemezsiniz.You can't specify an ACL for a virtual network or a specific subnet contained in a virtual network. ACL'ler yerine, mümkün olduğunda ağ güvenlik grupları (Nsg'ler) kullanmak için önerilir.It is recommended to use network security groups (NSGs) instead of ACLs, whenever possible. Nsg'leri kullanarak, uç nokta erişim denetim listesi değiştirildi ve artık zorunlu.When using NSGs, endpoint access control list will be replaced and no longer enforced. Nsg'ler hakkında daha fazla bilgi edinmek için ağ güvenlik grubu genel bakışTo learn more about NSGs, see Network security group overview

ACL, PowerShell veya Azure portalını kullanarak yapılandırılabilir.ACLs can be configured by using either PowerShell or the Azure portal. PowerShell kullanarak bir ağ ACL yapılandırmak için bkz yönetme erişim denetim listeleri için PowerShell kullanarak uç.To configure a network ACL by using PowerShell, see Managing access control lists for endpoints using PowerShell. Azure portalını kullanarak bir ağ ACL yapılandırmak için bkz bir sanal makineye uç noktaları ayarlama işlemini.To configure a network ACL by using the Azure portal, see How to set up endpoints to a virtual machine.

Ağ ACL'leri kullanarak bunu yapabilirsiniz:Using Network ACLs, you can do the following:

  • Seçmeli olarak erişime izin verebilir veya uzak alt ağ IPv4 adres aralığı için bir sanal makine giriş uç noktasına göre gelen trafiği.Selectively permit or deny incoming traffic based on remote subnet IPv4 address range to a virtual machine input endpoint.
  • Kara liste IP adresleriBlacklist IP addresses
  • Sanal makine uç noktası başına birden çok kural oluşturmaCreate multiple rules per virtual machine endpoint
  • Kullanım Kuralları doğru kümesini emin olmak için kural sıralama belirli sanal makine uç noktası (en düşük, en yüksek için) üzerinde uygulanırUse rule ordering to ensure the correct set of rules are applied on a given virtual machine endpoint (lowest to highest)
  • ACL'ye yönelik belirli bir uzak alt IPv4 adresi belirtin.Specify an ACL for a specific remote subnet IPv4 address.

Bkz: Azure limitleri makale ACL sınırları.See the Azure limits article for ACL limits.

ACL'leri nasıl çalışır?How ACLs work

Bir ACL kurallarının bir listesini içeren bir nesnedir.An ACL is an object that contains a list of rules. Bir ACL oluşturmak ve bir sanal makine uç noktası için geçerli olduğunda, paket filtreleme, sanal Makinenizin ana bilgisayar düğümü üzerinde gerçekleşir.When you create an ACL and apply it to a virtual machine endpoint, packet filtering takes place on the host node of your VM. Bu, uzak IP adreslerinden gelen trafik için vm'nizdeki eşleşen ACL kuralları yerine ana bilgisayar düğümü tarafından filtrelenir anlamına gelir.This means the traffic from remote IP addresses is filtered by the host node for matching ACL rules instead of on your VM. Bu, sanal makinenizin üzerinde paket filtreleme değerli CPU döngülerini harcamalarını engeller.This prevents your VM from spending the precious CPU cycles on packet filtering.

Bir sanal makine oluşturulduğunda varsayılan ACL'nin gelen tüm trafiği engellemek için yerinde konur.When a virtual machine is created, a default ACL is put in place to block all incoming traffic. Ancak, bir uç noktası (3389 bağlantı noktası için), ardından ACL değiştirilmişse bu uç nokta için tüm gelen trafiğe izin veren varsayılan oluşturulur.However, if an endpoint is created for (port 3389), then the default ACL is modified to allow all inbound traffic for that endpoint. Tüm uzak alt ağından gelen trafiğe daha sonra Bu uç noktasına izin verilir ve hiçbir güvenlik duvarı sağlama gereklidir.Inbound traffic from any remote subnet is then allowed to that endpoint and no firewall provisioning is required. Uç noktaları için bu bağlantı noktalarını oluşturulan sürece diğer tüm bağlantı noktaları için gelen trafik engellenir.All other ports are blocked for inbound traffic unless endpoints are created for those ports. Giden trafiğe varsayılan olarak izin verilir.Outbound traffic is allowed by default.

Örnek varsayılan ACL'si tabloExample Default ACL table

Kuralı #Rule # Uzak alt ağRemote Subnet Uç noktasıEndpoint İzin verme ve reddetmePermit/Deny
100100 0.0.0.0/00.0.0.0/0 33893389 İzin verPermit

İzin ve reddetmePermit and deny

Seçmeli olarak izin vermek veya trafiği bir sanal makine giriş uç noktası için "izin ver" belirten kuralları veya "Reddet" oluşturarak reddet.You can selectively permit or deny network traffic for a virtual machine input endpoint by creating rules that specify "permit" or "deny". Bir uç noktası oluşturulduğunda, varsayılan olarak, uç nokta için tüm trafiğe izin verildiğini unutmayın.It's important to note that by default, when an endpoint is created, all traffic is permitted to the endpoint. Bu nedenle, izin verme/reddetme kurallarını oluşturma ve sanal makine uç noktası erişmesine izin vermeyi seçtiğiniz ağ trafik üzerinde ayrıntılı denetim istiyorsanız, bunları uygun öncelik sırasına göre Yerleştir anlamak önemlidir.For that reason, it's important to understand how to create permit/deny rules and place them in the proper order of precedence if you want granular control over the network traffic that you choose to allow to reach the virtual machine endpoint.

Dikkate alınacak noktalar:Points to consider:

  1. Hiçbir ACL – bir uç noktası oluşturulduğunda, varsayılan olarak biz tüm uç nokta için izin verir.No ACL – By default when an endpoint is created, we permit all for the endpoint.
  2. İzin ver - bir veya daha fazla "izin ver" aralıkları eklediğinizde, varsayılan olarak tüm aralıkları reddediyorsunuz.Permit - When you add one or more "permit" ranges, you are denying all other ranges by default. Yalnızca izin verilen IP aralığından paketlerin sanal makine uç noktası ile iletişim kurmak mümkün olacaktır.Only packets from the permitted IP range will be able to communicate with the virtual machine endpoint.
  3. Reddetme - bir veya daha fazla "Reddet" aralıkları eklediğinizde, varsayılan olarak tüm trafiği aralıklarına vermiş olursunuz.Deny - When you add one or more "deny" ranges, you are permitting all other ranges of traffic by default.
  4. İzin verme ve reddetme - birleşimi "izin ver" ve "izin verilen veya reddedilen için belirli bir IP aralığı ayırma işlemini koordine istediğinizde reddetme" bir birleşimini kullanabilirsiniz.Combination of Permit and Deny - You can use a combination of "permit" and "deny" when you want to carve out a specific IP range to be permitted or denied.

Kurallar ve kural önceliğiRules and rule precedence

Ağ ACL'leri belirli sanal makine uç noktalarına üzerinde ayarlanabilir.Network ACLs can be set up on specific virtual machine endpoints. Örneğin, bir ağ erişim tuşunu hangi kilitleri belirli IP adresleri bir sanal makine üzerinde oluşturulan bir RDP uç noktası için ACL belirtebilirsiniz.For example, you can specify a network ACL for an RDP endpoint created on a virtual machine which locks down access for certain IP addresses. Aşağıdaki tabloda, RDP erişimine izin verecek şekilde genel sanal IP (VIP), belirli bir aralıkla erişim vermek için bir yol gösterir.The table below shows a way to grant access to public virtual IPs (VIPs) of a certain range to permit access for RDP. Diğer uzak tüm IP'lere engellenir.All other remote IPs are denied. Sizinle bir en düşük öncelik kazanır kural sırası.We follow a lowest takes precedence rule order.

Birden çok kuralMultiple rules

Yalnızca iki ortak IPv4 adres aralıklarını (65.0.0.0/8 ve 159.0.0.0/8), RDP uç noktaya erişime izin vermek istiyorsanız, aşağıdaki örnekte, iki belirterek bunu gerçekleştirebilirsiniz izin kuralları.In the example below, if you want to allow access to the RDP endpoint only from two public IPv4 address ranges (65.0.0.0/8, and 159.0.0.0/8), you can achieve this by specifying two Permit rules. Bu durumda varsayılan sanal makine için RDP oluşturulduğundan, uzak bir alt ağa dayalı RDP bağlantı noktası erişimi kilitleme isteyebilirsiniz.In this case, since RDP is created by default for a virtual machine, you may want to lock down access to the RDP port based on a remote subnet. Aşağıdaki örnek, RDP erişimine izin verecek şekilde genel sanal IP (VIP), belirli bir aralıkla erişim vermek için bir yol gösterir.The example below shows a way to grant access to public virtual IPs (VIPs) of a certain range to permit access for RDP. Diğer uzak tüm IP'lere engellenir.All other remote IPs are denied. Bu belirli bir sanal makine uç noktası için ağ ACL'lerini ayarlanabilir ve varsayılan olarak erişim reddedildi çünkü çalışır.This works because network ACLs can be set up for a specific virtual machine endpoint and access is denied by default.

Örneğin, birden çok kuralExample – Multiple rules

Kuralı #Rule # Uzak alt ağRemote Subnet Uç noktasıEndpoint İzin verme ve reddetmePermit/Deny
100100 65.0.0.0/865.0.0.0/8 33893389 İzin verPermit
200200 159.0.0.0/8159.0.0.0/8 33893389 İzin verPermit

Kural sırasıRule order

Birden çok kural için bir uç nokta belirtilebilir, çünkü hangi kural öncelikli olur belirlemek için kuralları düzenlemek için bir yol olmalıdır.Because multiple rules can be specified for an endpoint, there must be a way to organize rules in order to determine which rule takes precedence. Kural sırası önceliği belirtir.The rule order specifies precedence. Ağ ACL'leri izleme bir en düşük öncelik kazanır kural sırası.Network ACLs follow a lowest takes precedence rule order. Aşağıdaki örnekte, uç nokta bağlantı noktası 80 üzerinde seçmeli olarak yalnızca belirli IP adresi aralıklarını erişimi verilir.In the example below, the endpoint on port 80 is selectively granted access to only certain IP address ranges. Bir reddetme kuralı sahibiz bunu yapılandırmak için (kural # 100) 175.1.0.1/24 alan adresleri.To configure this, we have a deny rule (Rule # 100) for addresses in the 175.1.0.1/24 space. İkinci bir kural, ardından 175.0.0.0/8 altında diğer tüm adreslere erişimine 200 önceliğe sahip belirtilir.A second rule is then specified with precedence 200 that permits access to all other addresses under 175.0.0.0/8.

Örneğin, kural önceliğiExample – Rule precedence

Kuralı #Rule # Uzak alt ağRemote Subnet Uç noktasıEndpoint İzin verme ve reddetmePermit/Deny
100100 175.1.0.1/24175.1.0.1/24 8080 ReddetDeny
200200 175.0.0.0/8175.0.0.0/8 8080 İzin verPermit

Ağ ACL'leri ve yük dengeli kümelerNetwork ACLs and load balanced sets

Bir yük dengeli küme uç noktası üzerinde ağ ACL'lerine belirtilebilir.Network ACLs can be specified on a load balanced set endpoint. Bir ACL için yük dengeli bir küme belirtilirse, ACL ağ, yük dengeli kümedeki tüm sanal makinelere uygulanır.If an ACL is specified for a load balanced set, the network ACL is applied to all virtual machines in that load balanced set. Örneğin, bir yük dengeli kümesi "80 numaralı bağlantı noktasıyla" oluşturulur ve yük dengeli küme 3 VM varsa, "VM otomatik olarak diğer Vm'lere uygulanır birinin 80 numaralı bağlantı noktası" uç noktasında ACL ağ oluşturulur.For example, if a load balanced set is created with "Port 80" and the load balanced set contains 3 VMs, the network ACL created on endpoint "Port 80" of one VM will automatically apply to the other VMs.

Ağ ACL'leri ve yük dengeli kümeler

Sonraki AdımlarNext Steps

PowerShell kullanarak uç noktalar için erişim denetim listelerini yönetebilirManage access control lists for endpoints using PowerShell