VENTAS: 1-800-867-1389

Acerca de las listas de control de acceso (ACL) de red

Actualizado: febrero de 2014

Una Lista de control de acceso (ACL) de red es una mejora de seguridad disponible para la implementación de Windows Azure. Una ACL ofrece la posibilidad de permitir o denegar de forma selectiva el tráfico para un extremo de máquina virtual. Esta capacidad de filtrado de paquetes proporciona un nivel adicional de seguridad. Actualmente, solo se pueden especificar ACL de red para extremos. No se puede especificar una ACL para una red virtual o una subred específica dentro de la red virtual. Las ACL se pueden configurar usando PowerShell o en el Portal de administración. Para configurar una ACL de red usando PowerShell, vea Listas de administración de control de acceso (ACL) para extremos usando PowerShell. Para configurar una ACL de red usando el Portal de administración, vea Cómo establecer extremos en una máquina virtual.

Con las ACL de red se puede hacer lo siguiente:

  • Permitir o denegar selectivamente el tráfico entrante según un intervalo remoto de direcciones IPv4 de subred en un extremo de entrada de máquina virtual.

  • Elaborar una lista negra de direcciones IP

  • Crear varias reglas por extremo de máquina virtual

  • Especificar hasta 50 reglas de ACL por extremo de máquina virtual

  • Usar ordenación de reglas para asegurarse de que se aplica el conjunto correcto de reglas a un extremo de máquina virtual determinado (de menor a mayor)

  • Especificar una ACL para una dirección IPv4 de subred remota específica.

Una ACL es un objeto que contiene una lista de reglas. Al crear una ACL y aplicarla a un extremo de máquina virtual, se realiza el filtrado de paquetes en el nodo de host de la máquina virtual. Esto significa que el nodo de host filtra el tráfico de las direcciones IP remotas para las reglas de ACL coincidentes en lugar de filtrarlo en la máquina virtual. Esto impide que la máquina virtual desperdicie los preciosos ciclos de CPU en el filtrado de paquetes.

Cuando se crea una máquina virtual, se establece una ACL predeterminada para bloquear todo el tráfico entrante. Sin embargo, si se crea un extremo para el puerto 3389, se modifica la ACL predeterminada para permitir todo el tráfico entrante para dicho extremo. Entonces se permite el tráfico entrante desde cualquier subred remota en ese extremo y no es necesario aprovisionar ningún firewall. Se impide el tráfico entrante en todos los demás puertos a menos que se creen extremos para esos puertos. El tráfico de salida se permite de forma predeterminada.

Ejemplo de tabla predeterminada de ACL

 

Nº de regla Subred remota Extremo Permitir o denegar

100

0.0.0.0/0

3389

Permitir

Se puede permitir o denegar selectivamente el tráfico de red para un extremo de entrada de máquina virtual mediante la creación de reglas que especifiquen “permitir” o “denegar”. Es importante tener en cuenta que, de forma predeterminada, cuando se crea un extremo se deniega todo el tráfico en el extremo. Por eso, es importante entender cómo se crean las reglas para permitir/denegar y cómo colocarlas en el orden de prioridad adecuado si se desea tener un mayor control sobre el tráfico de red elegido para que se pueda llegar al extremo de máquina virtual.

Puntos que se deben tener en cuenta:

  1. Ninguna ACL: de forma predeterminada, cuando se crea un extremo, se permite todo para ese extremo.

  2. Permitir: al agregar uno o varios intervalos de “permitir”, se están denegando todos los demás intervalos de forma predeterminada. Solo los paquetes del intervalo de direcciones IP permitido podrán comunicarse con el extremo de máquina virtual.

  3. Denegar: al agregar uno o varios intervalos de “denegar”, se están permitiendo todos los demás intervalos de tráfico de forma predeterminada.

  4. Combinación de Permitir y Denegar: se puede utilizar una combinación de “permitir” y “denegar” si se desea definir un intervalo de direcciones IP específico que se permitirá o denegará.

Es posible configurar ACL de red en determinados extremos de máquina virtual. Por ejemplo, puede especificar una ACL de red para un extremo RDP creado en una máquina virtual que bloquee el acceso para determinadas direcciones IP. En la tabla siguiente se muestra una manera de conceder acceso a direcciones IP virtuales (VIP) públicas de un intervalo determinado para permitir el acceso para RDP. Se deniegan todas las demás direcciones IP remotas. Seguimos un orden de reglas en el que el nivel inferior tiene prioridad.

En el ejemplo siguiente, si desea permitir el acceso al extremo RDP solo desde dos intervalos de direcciones IPv4 públicas (65.0.0.0/8 y 159.0.0.0/8), puede especificar dos reglas de Permitir. En este caso, como RDP se crea de forma predeterminada para una máquina virtual, puede que desee bloquear el acceso al puerto RDP según una subred remota. En el ejemplo siguiente se muestra una manera de conceder acceso a direcciones IP virtuales (VIP) públicas de un intervalo determinado para permitir el acceso para RDP. Se deniegan todas las demás direcciones IP remotas. Esto funciona porque se pueden configurar ACL de red para un extremo de máquina virtual específico y se deniega el acceso de forma predeterminada.

Ejemplo: varias reglas

 

Nº de regla Subred remota Extremo Permitir o denegar

100

65.0.0.0/8

3389

Permitir

200

159.0.0.0/8

3389

Permitir

Puesto que se pueden especificar varias reglas para un extremo, debe haber una manera de organizarlas para determinar qué regla tiene prioridad. El orden de las reglas especifica la prioridad. Las ACL de red siguen un orden de reglas en el que el nivel inferior tiene prioridad. En el ejemplo siguiente, se concede de forma selectiva acceso al extremo del puerto 80 solo para algunos intervalos de direcciones IP. Para configurarlo, tenemos una regla de denegar (regla nº 100) para las direcciones del espacio 175.1.0.1/24. Después se especifica una segunda regla con prioridad 200 que permite el acceso a todas las demás direcciones bajo 175.0.0.0/8.

Ejemplo: precedencia de reglas

 

Nº de regla Subred remota Extremo Permitir o denegar

100

175.1.0.1/24

80

Denegar

200

175.0.0.0/8

80

Permitir

Se pueden especificar ACL de red en un extremo de conjunto de carga equilibrada. Si se especifica una ACL para un conjunto de carga equilibrada, la ACL de red se aplicará a todas las máquinas virtuales de ese conjunto. Por ejemplo, si se crea un conjunto de carga equilibrada con el “puerto 80 " y el conjunto contiene 3 máquinas virtuales, la ACL de red creada en el extremo del "puerto 80" de una máquina virtual se aplicará automáticamente a las demás máquinas virtuales.

ACL de red y conjuntos con equilibrio de carga

Vea también

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft