Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Kokkuvõte

On Microsoft System Center 2012 R2 Virtual Machine Manageri (VMM) nüüd keskselt luua ja hallata Hyper-V pordi pääsuloendite (ACL) VMM-i.

Lisateabe saamiseks

Värskenduskomplekt 8 System Center 2012 R2 Virtual Machine Manager kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:



3096389 värskenduskomplekt 8 System Center 2012 R2 Virtual Machine Manager

Sõnastik

Oleme parandanud Virtual Machine Manageri objektimudel, lisades järgmised uued mõisted võrgu haldamise alal.

  • Pordi pääsuloend (ACL-i pordi)
    Objekti, mis on seotud erinevate VMM võrgu primitiivide võrguturbe kirjeldamiseks. Pordi toimib ACL – access control entries või ACL-i reeglid. Pääsureguleerimisloendi võivad olla seotud suvalise arvu (null või rohkem) VMM networking primitiivide VM võrk, VM alamvõrgu, virtual network adapter või VMM management server ise. Pääsureguleerimisloendi võib sisaldada mis tahes arvu (null või rohkem) ACL-i reeglid. Iga ühilduv VMM networking primitiivses (VM võrk, VM alamvõrgu, virtual network adapter või VMM management server) on ACL ühendatud ühte porti või puudub.

  • Access control pordikirje või ACL reegel
    Objekti, mis kirjeldab filtreerimise poliitika. Mitme ACL reeglid saate samasse porti ACL on olemas ja rakendada sõltuvalt nende prioriteet. Iga ACL reegel vastab täpselt üks port ACL-i.

  • Global Settings
    Virtuaalne mõiste, mis kirjeldab pordi ACL, mida rakendatakse kõik VM virtuaalne võrguadapterid infrastruktuuri. Ei ole eraldi objekti tüüp Globaalsätted. Selle asemel Globaalsätted port ACL peab VMM management server ise. VMM management server objekti võib olla üks port ACL või puudub.

Võrgu haldamise alal objekte, mis olid varem kohta teabe saamiseks lugege Virtual Machine Manageri võrgu objekti põhialused.

Mida ma saan selle funktsiooni

PowerShelli kasutajaliideses VMM-i abil saate nüüd tehke järgmised toimingud:

  • Määratlege port ACL-ide ja nende ACL-i reeglid.

    • Reeglid rakendatakse virtuaalse kommutaatoriportidel Hyper-V serverite "laiendatud port ACL-ide" (VMNetworkAdapterExtendedAcl) Hyper-V terminoloogia. See tähendab, et need kehtivad ainult Windows Server 2012 R2 (ja Hyper-V Server 2012 R2) hosti serverid.

    • VMM-i ei loo "pärand" Hyper-V pordi ACL (VMNetworkAdapterAcl). Seetõttu ei saa rakendada port ACL-ide Windows Server 2012 (või Hyper-V Server 2012) hosti serverid, VMM-i abil.

    • Kõik port ACL-i reeglid, mis on määratletud VMM selle funktsiooni abil on stateful (TCP). Te ei saa luua kodakondsuseta ACL reeglid TCP VMM-i abil.

    Laiendatud port ACL-i funktsiooni Windows Server 2012 R2 Hyper-V kohta lisateabe saamiseks vaadake Loo turvapoliitika laiendatud Port juurdepääsu kontrolli loetletakse jaoks Windows Server 2012 R2.

  • Lisage pordi ACL Globaalsätted. See kehtib kõigi VM virtuaalse võrgu adapter. See on saadaval ainult täielik administraatoritel.

  • Manustama luuakse port ACL-ide VM võrk, VM alamvõrgud või VM virtuaalse võrgu adapter. See on saadaval täielik administraatoritel, rentniku administraatoritel ja kasutajatel iseteeninduse (SSUs).

  • Saate vaadata ja värskendada port ACL reeglid, mis on konfigureeritud individuaalsed VM vNIC.

  • Kustuta port ACL-ide ja nende ACL-i reeglid.

Kõik need toimingud on kaetud üksikasjalikumalt käesoleva artikli lõpupoole.

Pidage meeles, et see on avatud ainult läbi PowerShelli cmdletid ja ei kajastu VMM-i konsooli Kasutajaliidese (välja arvatud "Vastavuse" olek).

Mida ma ei saa teha seda funktsiooni?

  • Hallata või uuendada üksikute reeglite eksemplari kui ACL jagada mitu eksemplari. Kõik reeglid nende eellase ACL-ide keskselt hallata ja kohaldatakse, kui ACL on ühendatud.

  • Lisada rohkem kui ühe ACL üksus.

  • Kehtivad port ACL-ide virtuaalne võrguadapterid (vNICs) Hyper-V emasektsioonis (OS-i juhtimine).

  • Looge port ACL-i reeglid, mis sisaldavad IP-tasandi Protokollid (v.a TCP või UDP).

  • Kehtivad port ACL-ide loogilised võrgud, võrgu saidid (loogiline võrgu mõisted), alamvõrgu vLANs ja muud VMM võrgu primitiivide, mis on loetletud eespool.

Kuidas kasutada funktsiooni?

Uue pordi ACL-ide ja nende port ACL reeglid

Nüüd saate luua ACL-ide ja nende ACL reeglite otse VMM-is PowerShelli cmdlet-käskude abil.

Looge uus ACL

Lisatakse järgmised uued PowerShelli cmdlet-käsud:

Uus-SCPortACL – nimi <stringi> [– Kirjeldus <stringi>]

-Nimi: Pordi ACL nimi

– Kirjeldus: Pordi ACL (soovi korral parameeter) kirjeldus

Get-SCPortACL

Toob port ACL

-Nimi: Soovi korral filtreerige nime

-ID: soovi korral filtreerida ID

Proovi käsud

New-SCPortACL -Name Samplerule -Description SampleDescription 


$acl = Get-SCPortACL -Name Samplerule



Määratlege port ACL-i reeglid, port ACL

Iga pordi ACL koosneb kogumise port ACL-i reeglid. Iga reegel sisaldab erinevaid parameetreid.

  • Nimi

  • Kirjeldus

  • Tüüp: Sissetulev ja väljaminev (ACL rakendatakse ainult)

  • Tegevus: Luba/Keela (ACL, liikluse lubamiseks või blokeerimiseks liiklus toiming)

  • SourceAddressPrefix:

  • SourcePortRange:

  • DestinationAddressPrefix:

  • DestinationPortRange:

  • Protokolli: TCP/Udp/iga (Märkus: IP-tasandi Protokollid port ACL, mis on määratletud VMM-i ei toetata. Neid tooteid endiselt toetatakse üldjuhul Hyper-v.)

  • Prioriteet: 1 – 65535 (väikseim number on kõrgeim prioriteet). See on võrreldes seda rakendatakse kiht. (Lisateabe saamiseks ACL reeglite rakendamine põhineb prioriteet ja millele on lisatud järgmised ACL objekti.)

Uus PowerShelli cmdlet-käsud on lisatud

Uus SCPortACLrule - PortACL <PortACL>-nimi <stringi> [-Kirjeldus < stringi >]-tüüpi < Sissetulev | Väljaminev >-toimingu < luba | Keela >-prioriteet < uint16 >-protokolli < Tcp | UDP | Mis tahes > [-SourceAddressPrefix < string: sordib | IPSubnet >] [-SourcePortRange < string: X | X-Y | Mis tahes >] [-DestinationAddressPrefix < string: sordib | IPSubnet >] [-DestinationPortRange < string: X | X-Y | Mis tahes >]

Get-SCPortACLrule

Toob kõik port ACL-i reeglid.

  • Nimi: Soovi korral filtreerige nime

  • ID: Soovi korral filtreerida ID

  • PortACL: Soovi korral filtreerida port ACL

Proovi käsud

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 


New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 


New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 


New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Ühendamine ja lahtiühendamine ACL-ide port



ACL-ide võivad olla seotud järgmisega:

  • Globaalsätted (kehtib kõigi VM võrguadapterid. Ainult täielik administraatoritel saate seda teha.)

  • VM-i võrgu (täielik administraatoritel/rentniku administraatoritel/SSUs, saate seda teha.)

  • VM alamvõrgu (täielik administraatoritel/rentniku administraatoritel/SSUs, saate seda teha.)

  • Virtuaalse võrgu adapter (täielik administraatoritel/rentniku administraatoritel/SSUs, saate seda teha.)

Globaalsätted

Nende port ACL reeglid kehtivad kõigi VM virtuaalse võrgu adapter infrastruktuur.

Olemasoleva PowerShelli cmdletid värskendati uue parameetritega ühendamine ja lahtiühendamine ACL-ide porti.

Set-SCVMMServer – VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | - RemovePortACL]

  • PortACL: Uus vabatahtlik parameeter konfigureerib määratud pordi ACL Globaalsätted.

  • RemovePortACL: Uus vabatahtlik parameeter, mis eemaldab kõik konfigureeritud port ACL Globaalsätted.

Get-SCVMMServer: annab konfigureeritud port ACL tagastatud objekt.

Proovi käsud

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 


Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL

VM-i võrgu


Need reeglid rakendatakse kõik VM virtuaalne võrguadapterid VM võrguga ühendatud.

Olemasoleva PowerShelli cmdletid värskendati uue parameetritega ühendamine ja lahtiühendamine ACL-ide porti.

Uus SCVMNetwork [-PortACL <NetworkAccessControlList>] [ülejäänud parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab teil määrata pordi ACL VM võrgu loomise ajal.

Set-SCVMNetwork [-PortACL <NetworkAccessControlList> | - RemovePortACL] [ülejäänud parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab määratud pordi ACL VM võrgu.

-RemovePortACL: uus vabatahtlik parameeter, mis eemaldab kõik konfigureeritud port ACL VM võrgu kaudu.

Get-SCVMNetwork: annab konfigureeritud port ACL tagastatud objekt.

Proovi käsud

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 


Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL


VM alamvõrgu



Need reeglid rakendatakse kõik VM virtuaalne Võrguadapterid, mis on seotud selle VM alamvõrgu.

Olemasoleva PowerShelli cmdletid värskendati uue parameetri ühendamine ja lahtiühendamine ACL-ide porti.

Uus SCVMSubnet [-PortACL <NetworkAccessControlList>] [ülejäänud parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab teil määrata pordi ACL VM alamvõrgu loomise ajal.

Set-SCVMSubnet [-PortACL <NetworkAccessControlList> | - RemovePortACL] [ülejäänud parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab määratud pordi ACL VM alamvõrgu.

-RemovePortACL: uus vabatahtlik parameeter, mis eemaldab kõik konfigureeritud port ACL VM alamvõrgu.

Get-SCVMSubnet: annab konfigureeritud port ACL tagastatud objekt.

Proovi käsud

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 


Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL


VM virtual network adapter (vmNIC)



Olemasoleva PowerShelli cmdletid värskendati uue parameetritega ühendamine ja lahtiühendamine ACL-ide porti.

Uus SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList>] [ülejäänud parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab teil määrata pordi ACL virtuaalne võrguadapter uue vNIC loomise ajal.

Set-SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList> | - RemovePortACL] [ülejäänud parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab määratud pordi ACL virtuaalne võrguadapter.

-RemovePortACL: uus vabatahtlik parameeter, mis eemaldab kõik konfigureeritud port ACL virtuaalne võrguadapter.

Get-SCVirtualNetworkAdapter: annab konfigureeritud port ACL tagastatud objekt.

Proovi käsud

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 


Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL


Pordi ACL reeglite rakendamine

Vms-süsteemi värskendamisel pärast seda, kui manustate ACL-ide port märkate, et vms-süsteemi olek kuvatakse "Ei ole nõuetele vastav" virtuaalarvuti vaates struktuuri tööruumi. (Virtuaalarvuti vaate aktiveerimiseks peate esmalt sirvige Loogilised võrgud sõlm või Loogiline lülitub struktuuri tööruumi sõlme). Pange tähele, et VM-i värskendamine toimub automaatselt taustal (ajakava) kohta. Seega isegi juhul, kui te ei värskenda VMs selgesõnaliselt nad lähevad olekusse lõpuks.

alternate text

Sellest hetkest ACL-ide port on pole veel seotud VMs ja nende asjakohane virtuaalse võrgu adapter. ACL-ide port rakendamiseks peate protsessi, mida nimetatakse parandamisest. See kunagi toimub automaatselt ja peaks algama selgesõnaliselt kasutaja taotluse.

Parandamise käivitamiseks võite kas klõpsake lindil Remediate või Parandamise SCVirtualNetworkAdapter cmdlet-käsu käivitada. On see funktsioon cmdlet-käsu süntaks konkreetse võrgusätteid.

Parandamise SCVirtualNetworkAdapter - VirtualNetworkAdapter <VirtualNetworkAdapter>

Remediating need VMs märkida nende nõuetele vastavaks ja tagab, et laiendatud port ACL rakendatakse. Pange tähele, et pordi ACL-ide ei kehti ühtegi VMs ulatust seni, kuni te need otseselt remediate.

Pordi ACL-i reeglite

ACL-ide ja ACL-i reeglid, saate kasutada järgmisi PowerShelli cmdletid.

Uus PowerShelli cmdlet-käsud on lisatud



Tuua port ACL-ide

Parameeter määrata 1. Saada kõik või nimi: Get-SCPortACL [-nime <>]

Parameetri seada 2. Et saada ID: Get-SCPortACL -Id <> [-nime <>]

Tuua port ACL reeglid

Parameeter määrata 1. Kõik või nimi: Get-SCPortACLrule [-nime <>]

Parameetri seada 2. ID: Get-SCPortACLrule -Id <>

Parameeter määrata 3. ACL-i objekti: Get-SCPortACLrule – PortACL <NetworkAccessControlList>

Värskendamine port ACL reeglid

ACL, mis on ühendatud võrguadapterite värskendamisel muudatused kajastuvad kõik network adapter eksemplarid kasutavad seda ACL. Jaoks sellist Pääsureguleerimisloendit, mille VM alamvõrgu või VM võrku ühendatud, uuendatakse kõik network adapter eksemplarid ühendatud selle alamvõrgu muudatused.

Märkus. ACL-i reeglid üksikute network adapters värskendamine toimub paralleelselt üks proovida parimaid jõupingutusi kava. Adapterid, mida ei saa värskendada mingil põhjusel on märgitud "turvalisuse incompliant" ja ülesanne lõpeb tõrketeate, mis ütleb, et võrgukaart ei värskendamine õnnestus. "Turvalisuse incompliant" viitab siin vastuolu oodata võrrelduna tegelik ACL-i reeglid. Adapter on vastavus seisukorra "Ei ole nõuetele vastav" koos asjakohaste tõrketeated. Lisateabe saamiseks remediating pärast virtuaalarvutid eelmise jaotisest.

Uus PowerShelli cmdlet-käsk lisatud

Set SCPortACL - PortACL <PortACL> [-nime <Name>] [-Kirjeldus < description >]

Set SCPortACLrule - PortACLrule <PortACLrule> [-nime <name>] [-Kirjeldus <stringi>] [-Tippige <PortACLRuleDirection> {Sissetulev | Väljaminev}] [-toimingu <PortACLRuleAction> {Luba | Keela}] [-SourceAddressPrefix <stringi>] [-SourcePortRange <stringi>] [-DestinationAddressPrefix <stringi>] [-DestinationPortRange <stringi>] [-protokolli <PortACLruleProtocol> {Tcp | UDP | Mis tahes}]

Set SCPortACL: port ACL kirjeldus muutub.

  • Kirjeldus: Värskenduste kirjeldus.


Set SCPortACLrule: muudab port ACL reegli parameetrid.

  • Kirjeldus: Värskenduste kirjeldus.

  • Tüüp: Värskendab ACL rakendatud suund.

  • Tegevus: Värskendab ACL toiming.

  • Protokoll: Värskendab protokoll, mille ACL rakendatakse.

  • Prioriteet: Värskendab prioriteet.

  • SourceAddressPrefix: Värskendab allikas aadress eesliide.

  • SourcePortRange: Värskendab source port vahemikus.

  • DestinationAddressPrefix: Värskendab sihtkoha aadress eesliide.

  • DestinationPortRange: Värskendab sihtkoha port vahemikus.

ACL-ide port ja port ACL reeglite kustutamine

Pääsureguleerimisloendi saab kustutada ainult juhul, kui pole manustatud sõltuvused. Sõltuvuste hulka kuuluvad VM võrgu/VM alamvõrgu/virtual network adapter/Globaalsätted ACL seotud. Kustuta port ACL-i, kasutades PowerShelli cmdlet-käsk katsel cmdlet-i tuvastada kas pordi ACL on ühendatud mõni sõltuvused ja viskavad sobiv tõrketeated.

Pordi ACL-ide eemaldamine

Lisatud uus PowerShelli cmdlet-käsud:

Eemalda SCPortACL - PortACL <NetworkAccessControlList>

Eemaldamine port ACL reeglid

Lisatud uus PowerShelli cmdlet-käsud:

Eemalda SCPortACLRule - PortACLRule <NetworkAccessControlListRule>

Pange tähele, et kustutamine VM alamvõrgu/VM Network/Network adapter eemaldab automaatselt koos seda ACL.

Pääsureguleerimisloendi saab lahtiseostatud ka VM alamvõrgu/VM network/network adapter, muutes vastava VMM võrgu objekti. Selleks kasutage koos lülitiga - RemovePortACL cmdlet Set - varasemate jaotistes kirjeldatud. Sel juhul port ACL-i ei saa lahutada vastava võrgu objekti, kuid ei kustutata VMM infrastruktuuri. Seetõttu seda saab uuesti hiljem.

Out-of-band muudab ACL-i reeglid

Kui me teeme out-of-band (OOB) muudatused ACL-i reeglid Hyper-V virtuaalne lüliti pordist (kohalikud nagu Add-VMNetworkAdapterExtendedAclHyper-V cmdlet-käskude abil), VM-i värskendada kuvatakse võrguadapteri nii, nagu "Turvalisuse Incompliant." Võrguadapteri saab alates VMM tervendama siis siis, "Applying port ACL" kirjeldatud viisil. Kuid parandamisest üle kõik port ACL reeglid ja neid, mis on kavandatud VMM VMM väljaspool määratletud.

Pordi ACL reegli prioriteet ja rakenduse järjestus (Täpsem)

Core mõisted



Iga pordi ACL reegli pordi ACL on atribuut nimega "Prioriteet." Reeglid rakendatakse nende prioriteet tellimuse. Järgmisi põhilisi põhimõtteid Määratlege reeglid järjestus:

  • Madalam prioriteet number, seda suurem on järjestus on. See tähendab, kui mitut porti ACL reeglit on vastuolus üksteist, wins reegli madalam prioriteet.

  • Reegli toiming ei mõjuta see järjestus. See tähendab, erinevalt NTFS-i ACL-ide (näiteks) siin meil ei ole mõiste nagu "Keela alati ülimuslik luba".

  • Sama prioriteedi (sama numbriline väärtus), ei saa olla sama suunaga kaks reeglid. Selline käitumine takistab olukorras, kus üks määratleda "Deny" ja "Allow" reeglid võrdne prioriteet, kuna see põhjustaks ebaselgus või konflikt.

  • Konflikt on määratletud kahe või enama reeglid pakutavale ja samas suunas. Konflikt võib ilmneda juhul, kui on kaks porti ACL reeglid sama prioriteet ja kaks ACL-ide, mida rakendatakse eri suunas ja tasemest osaliselt kattuvad. See tähendab, võib objekt (nt vmNIC), mis kuulub nii. Kattuvate näide on VM võrgu- ja VM alamvõrgu samasse võrku.

Ühele üksusele mitu porti ACL-ide rakendamine

Kuna port ACL-ide rakendada erinevaid VMM networking objektid (või erinevad, nagu eespool kirjeldatud), ühe VM virtual network adapter (vmNIC) võib sattuda mitut porti ACL-ide ulatus. Selle stsenaariumi puhul pordi ACL-i reeglid, port ACL rakendatakse. Need reeglid järjestus võib olla erinevad, sõltuvalt sellest, mitu uut VMM-i kohandada sätteid, mis on nimetatud käesoleva artikli lõpupoole.

Registrisätted

Need sätted on määratletud Dword-väärtusi Windowsi registris VMM management server järgmise võtme alt:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manageri Server\Settings
Pidage meeles, et need sätted mõjutavad port ACL-ide käitumise üle kogu VMM infrastruktuuri.

Tõhus port ACL reegli prioriteet

Seda arutelu kirjeldatakse port ACL reeglid tegelik järjestus mitut porti ACL-ide rakendamisel ühe üksuse tõhus reegli prioriteet. Pidage meeles, et on eraldi säte või objekti VMM-i määratlemiseks või vaatamiseks tõhus reegli prioriteet. See arvutatakse pikkus.

On kaks globaalne režiimi, kus saab arvutada tõhus reegli prioriteet. Registri säte on sisse lülitatud režiimid:

PortACLAbsolutePriority
See säte lubatud väärtused on 0 (null) või 1, kus 0 tähistab vaikekäitumise.

Suhteline prioriteet (vaikekäitumine)

Selles režiimis lubamiseks atribuudi PortACLAbsolutePriority registri väärtus 0 (null). Selles režiimis kehtib ka siis, kui seade ei määratleta registris (st kui atribuuti pole loodud).

Selles režiimis core mõisted, mida kirjeldati eespool Lisaks kohaldatakse järgmisi põhimõtteid:

  • Prioriteet jooksul samasse porti ACL-i ei säilitata. Seetõttu töödeldakse nii suhteline jooksul ACL prioriteet väärtused, mis on määratletud iga reegel.

  • Mitut porti ACL-ide rakendamisel oma reeglid rakendatakse jääkfailihulgad. Jooksul sama bucket rakendatakse koos reeglid sama ACL (on seotud konkreetse objekti). Konkreetse jääkfailihulgad järjestus sõltub objekti ACL-i pordi külge.

  • Siin on reeglid, mis on määratletud Globaalsätted ACL (olenemata oma prioriteedi määratletud port ACL) alati ülimuslik reeglid, mis on määratletud ACL, mis on seotud vmNIC ja nii edasi. Teiste sõnadega, jõustatakse kihi eraldamine.


Lõpuks tõhus reegli prioriteet võib erineda numbriline väärtus, mille määrate pordi ACL reegli atribuudid. Lisateabe saamiseks kuidas selline käitumine on jõustatav ja kuidas saab muuta oma loogikat järgmiselt.

  1. Kolm "objektiga seotud" taset (st vmNIC, VM alamvõrgu ja VM võrk) ülimuslikud järjestust saab muuta.

    1. Globaalsätted järjestuses ei saa muuta. See alati ülimuslik kõrgeim (või tellimuse = 0).

    2. On kolm taset, saate seada numbriline väärtus vahemikus 0 kuni 3, kus 0 on suurim järjestus (võrdne Globaalsätted) ja 3 on väikseima järjestus järgmisi sätteid:

      • PortACLVMNetworkAdapterPriority (vaikimisi 1)

      • PortACLVMSubnetPriority (vaikimisi 2)

      • PortACLVMNetworkPriority (vaikimisi 3)

    3. Kui sama väärtusega (0 kuni 3) määramiseks nende mitme registrisätete või määrake väärtus vahemikus 0 – 3 väljaspool VMM ei õnnestu tagasi selle vaikekäitumise.

  2. Tellimine jõustatav viis on tõhus reegli prioriteet muudetakse nii, et ACL-i reeglid, mis on määratletud kõrgemal tasemel saada kõrgema prioriteedi (st väiksemaid numbriline väärtus). Tõhus ACL arvutamisel iga suhteline reegli prioriteet väärtus on "bumped" taseme täpne väärtus või "samm."

  3. Taseme täpne väärtus on "samm", mis eraldab erineva. Vaikimisi "samm" suurus 10000 ja on konfigureeritud järgmine registri säte:

    PortACLLayerSeparation

  4. See tähendab, et selles režiimis ei saa ühtegi reegel prioriteet jooksul ACL (st reegel, mis on saanud nii suhteline) ületada järgmisi sätte väärtus:

    PortACLLayerSeparation (vaikimisi 10000)

Konfiguratsiooni näide

Oletame, et kõik sätted on vaikeväärtused. (Neid on kirjeldatud eespool.)

  1. Meil on sellist Pääsureguleerimisloendit, mis on seotud vmNIC (PortACLVMNetworkAdapterPriority = 1).

  2. Tõhus prioriteet kõik reeglid, mis on määratletud selle ACL-i bumped, 10000 (PortACLLayerSeparation väärtus).

  3. Me määratleda reegli selle ACL, millel on prioriteet, mis on seatud 100.

  4. Tõhus prioriteetsed selle reegli jaoks oleks 10000 + 100 = 10100.

  5. Reegel on ülimuslik teiste sama ACL prioriteet on suurem kui 100 reeglid.

  6. Reegel on alati ülimuslik üle kõik reeglid, mis on määratletud ACL-ide VM võrgu-ja VM alamvõrgu tase on lisatud. (See on täidetud, sest neid loetakse "madalam").

  7. Reegli kunagi on ülimuslik reeglid, mis on määratletud Globaalsätted ACL-i kaudu.

Selles režiimis eelised

  • Mitme eksemplariga stsenaariumid on suuremat turvalisust, sest port ACL-i reeglid, mis on määratletud struktuuri admin (Globaalsätted tase) on alati ülimuslik reeglid, mis on määratletud rentnike ise.

  • Pordi ACL reegli konflikte (st ebaselgused) ei saa automaatselt kihi eraldamine tõttu. See on väga lihtne ennustada, millised reeglid kehtib ja miks.

Selles režiimis ettevaatusabinõud

  • Vähem paindlikkust. Kui määrate (nt "Keela kõik liiklust port 80") global Settings reegli, saate luua kunagi seda reeglit üksikasjalikuma vabastamine alumine kiht (nt "luba pordi 80 ainult selle VM, mis töötab tegelikust veebiserveri").

Suhteline prioriteet

Selles režiimis lubamiseks atribuudi PortACLAbsolutePriority väärtuseks 1 registrit.

Selles režiimis Lisaks core mõistete eespool kirjeldatud kohaldatakse järgmisi põhimõtteid:

  • Kui objekt kuulub mitme ACL-ide (näiteks VM võrgu ja alamvõrgu VM) ulatus, rakendatakse kõik reeglid, mis on määratletud ühtegi ühendatud ACL-ide ühendatud järjestuses (või ühe bucket). Ei ole taseme vahe ja no "keemistsentrid" üldse.

  • Kõik reegli prioriteetide käsitletakse absolute, täpselt nii, nagu need on määratletud iga reegli prioriteet. Teiste sõnadega, tõhus prioriteetsed iga reegli jaoks on sama, mis on määratletud reegli ise ja ei muutu VMM mootor enne seda rakendatakse.

  • Kõik muud registrisätete eelmises jaotises kirjeldatud need ei toimi.

  • Selles režiimis ei saa ühtegi reegel prioriteet Pääsureguleerimisloendi (st on reegli eesmärk, mis on saanud nii absoluutne) ületada 65535.

Konfiguratsiooni näide

  1. ACL Globaalsätted saate määratleda reegli, mille prioriteet on seatud 100.

  2. ACL, mis on seotud vmNIC, saate määratleda reegli, mille prioriteet on seatud 50.

  3. Reegel, mis on määratletud vmNIC tase ülimuslik, sest see on kõrgem prioriteet (st väiksem numbriline väärtus).

Selles režiimis eelised

  • Suuremat paindlikkust. Saate luua "ühekordne" erandeid Globaalsätted reeglid madalama taseme (nt VM alamvõrgu või vmNIC).

Selles režiimis ettevaatusabinõud

  • Planeerimine võib muutuda keerulisemaks, sest ei ole taseme vahe. Ja saab tavaliselt tasemel, mis alistab muud reeglid, mis on määratletud muud objektid.

  • Mitme eksemplariga keskkondades, võib mõjutada turvalisuse, kuna rentnik saate luua reegli VM alamvõrgu tase, mis alistab poliitika, mis on määratletud struktuuri administraatori tasemel Globaalsätted.

  • Reegli konfliktid (st ebaselgused) ei kõrvalda automaatselt ja võib tekkida. VMM-i võib takistada vastuolud ainult ACL samal tasemel. ACL-ide seotud eri objektide vahel ei takista konflikte. Konflikti juhul, sest VMM-i ei saa lahendada konflikti automaatselt, see lõpetab eeskirjadest ja viskavad tõrge.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×