匯出 (0) 列印
全部展開

關於網路存取控制清單 (ACL)

更新日期: 2014年2月

網路存取控制清單 (ACL) 是 Windows Azure 部署適用的安全性增強功能。ACL 可供您選擇性地針對虛擬機器端點允許或拒絕流量。這項封包篩選功能將提供額外一層的安全性。目前,您只能為端點指定網路 ACL。虛擬網路或是包含在虛擬網路中的特定子網路均無法指定 ACL。您可以使用 PowerShell 或在管理入口網站中設定 ACL。若要使用 PowerShell 設定網路 ACL,請參閱<使用 PowerShell 管理端點的存取控制清單 (ACL)>。若要使用管理入口網站設定網路 ACL,請參閱<如何設定虛擬機器的端點>。

使用網路 ACL 可以執行下列作業:

  • 根據遠端子網路 IPv4 位址範圍,選擇性地允許或拒絕連入流量送至虛擬機器輸入端點。

  • 將 IP 位址列入黑名單。

  • 為每個虛擬機器端點建立多個規則。

  • 為每個虛擬機器端點指定多達 50 個 ACL 規則。

  • 使用規則順序以確保將正確的一組規則套用於給定的虛擬機器端點 (從最低到最高)。

  • 針對特定遠端子網路 IPv4 位址指定 ACL。

ACL 是包含規則清單的物件。當您建立 ACL 並將其套用於虛擬機器端點之後,在該 VM 的主機節點上便會進行封包篩選。這表示來自遠端 IP 位址的流量將由符合 ACL 規則的主機節點加以篩選,而不是在 VM 上進行。如此可讓您的 VM 免於耗費珍貴的 CPU 運算資源從事封包篩選。

虛擬機器建立時,會連帶建立一份預設 ACL 以封鎖所有連入流量。不過,若一旦建立端點 (連接埠 3389),預設 ACL 將會修改為該端點允許所有傳入流量。來自任何遠端子網路的傳入流量將獲允許送至該端點,而且不需要佈建防火牆。所有其他連接埠的輸入流量都會遭到封鎖,除非您為這些連接埠建立端點。輸出流量則預設為一律允許。

範例 - 預設 ACL 表格

 

規則編號 遠端子網路 端點 允許/拒絕

100

0.0.0.0/0

3389

允許

您可透過建立規則,以指定「允許」或「拒絕」的方式,選擇性地針對虛擬機器輸入端點允許或拒絕網路流量。請務必注意,端點建立時預設會拒絕所有流量送至該端點。因此,若您想要精確地控制從而允許所選的網路流量送達虛擬機器端點,就一定要了解該如何建立允許/拒絕規則並安排適當的規則優先順序。

應考量的重點:

  1. 無 ACL – 建立端點時,依預設該端點將允許所有流量。

  2. 允許 - 若您加入一個或多個「允許」範圍,則預設將拒絕所有其他範圍。唯有來自所允許 IP 範圍的封包才能夠與虛擬機器端點通訊。

  3. 拒絕 - 若您加入一個或多個「拒絕」範圍,則預設將允許所有其他範圍的流量。

  4. 允許和拒絕的組合 - 您可以使用「允許」和「拒絕」的組合,就特定的 IP 範圍規劃允許或拒絕流量。

網路 ACL 可以設定於特定的虛擬機器端點。例如,您可為虛擬機器上所建立的 RDP 端點指定網路 ACL 以封鎖對特定 IP 位址的存取。下表顯示授與存取特定範圍的公開虛擬 IP (VIP) 從而允許存取 RDP 的一種方式。所有其他遠端 IP 都將遭到拒絕。規則的順序為「編號最低者優先」(Lowest Takes Precedence)。

在以下範例中,若您只希望允許兩個公開 IPv4 位址範圍 (65.0.0.0/8 和 159.0.0.0/8) 存取 RDP 端點,可藉著指定兩個「允許」(Permit) 規則達到此目的。就本例而言,由於系統預設會為虛擬機器建立 RDP,您可能就要根據遠端子網路來封鎖對 RDP 連接埠的存取。以下範例示範授與存取特定範圍的公開虛擬 IP (VIP) 從而允許存取 RDP 的一種方式。所有其他遠端 IP 都將遭到拒絕。這種方式將能奏效,因為網路 ACL 的設定對象可為特定的虛擬機器端點且依預設會拒絕存取。

範例 – 多個規則

 

規則編號 遠端子網路 端點 允許/拒絕

100

65.0.0.0/8

3389

允許

200

159.0.0.0/8

3389

允許

由於單一端點可以指定多個規則,規則必須井然有序以利於決定各個規則的優先順序。規則順序即是指定優先順序。網路 ACL 係依循「編號最低者優先」(Lowest Takes Precedence) 的規則順序。在以下範例中,將選擇性地授與位於連接埠 80 的端點僅限存取特定 IP 位址範圍。其作法是針對落入 175.1.0.1/24 空間的位址設定拒絕規則 (規則編號 100)。接著指定的第二個規則優先順序為 200,將允許存取 175.0.0.0/8 之下的所有其他位址。

範例 – 規則優先順序

 

規則編號 遠端子網路 端點 允許/拒絕

100

175.1.0.1/24

80

拒絕

200

175.0.0.0/8

80

允許

網路 ACL 可以指定於負載平衡集 (LB 集) 端點。若是為 LB 集指定 ACL,網路 ACL 便會套用至該 LB 集內的所有虛擬機器。例如,假設 LB 集是使用「連接埠 80」建立,而此 LB 集包含 3 個 VM,則由其中任一個 VM 的「連接埠 80」端點上建立的網路 ACL 都將自動套用至其餘的 VM。

網路 ACL 和負載平衡集

另請參閱

顯示:
© 2014 Microsoft