Windows Azure 之 安全控制-ACL

由于近期忙于其他事,所以 很长时间没写文章了,今天看见有客户发邮件说是在Azure上部署了一台MY SQL服务器有异常连接信息,所以就找了一点时间总结了一下,分享给有需要的同学参考学习;21 世纪互联Azure的功能还在逐渐更新中,而Global Azure的功能已经更新很多了,相比21世纪互联的Azure功能更新比较慢,言归正传,我们还是说说环境吧,在Azure上部署环境有两种方式:1、Mysql服务器是安装在Azure VM上。2、基于Azure Pass平台Mysql 服务。两者的部署方法及原理有很大区别,具体就不多介绍了,不管对于那种方式部署的安全控制,微软还是做的不错的,通过相应的访问控制提高安全性,当然说到Azure上的MYSQL服务,其实微软更新该功能不久,之前只支持SQL Server版本,现在已经很好的支持Mysql数据库了,接着我们再说说上面的安全问题,其实微软从最早的SQL Server上就有配置,为了保证数据信息的安全性,是对相关数据库的配置是有安全配置的,比如可以对Azure上的SQL Server数据库做访问控制(ACL),所谓的白名单和和黑名单,其实大多数服务的规则都是统一的,Deny的优先级高于Allow的优先级。

在Azure上的终结点做管理ACL我们需要注意一点,对指定的终结点可以做管理ACL,比如在一台VM下有2个或者更多的终结点的话, 我们需要选择指定的终结点,然后再单击管理ACL,这样是针对指定的终结点做管理ACL操作的。

我们具体对环境解释说明一下吧:对于以上第一种情况,如果是在Azure上新建VM后,在VM内安装SQL Server或者Mysql服务的话,如何做安全控制呢,我们需要配置基于VM的ACL配置,

在此例子中,

记住,在Azure VM上部署的所有服务,需要在终结点开放端口:我们再次为了测试,所以在VM上安装了apache,所以我们需要添加80端口

我们通过网页可以访问

打开VM---终结点标签---单击HTTP终结点--管理ACL

操作类型:允许、拒绝

管理端点ACL我们需要注意一下:操作中有两个选项:

注:如果不添加任何允许或者拒绝列表的话,默认是允许全部任意地址子网链接访问的。

允许:允许顾名思义就是白名单,如果添加允许的ACL的话,只要改允许的ACL子网列表才可以链接访问,除允许的子网以外子网全部拒绝。

拒绝:拒绝也是黑名单,添加拒绝的ACL列表的子网的话,除了被添加的拒绝子网以外的均可以访问。

所以我们为了测试需要将我的Global IP地址加入进去进行测试访问:

我们首先通过telnet server ip 80进行测试连通性

通过页面也可以访问的:

接下来我们为了测试ACL,需要查看我当前网络的Global IP:

通过网页访问ip138.com

然后我们在VM下的终结点下打开管理ACL,添加地址

我们再次添加拒绝操作,添加后的效果为除了拒绝列表中的子网外,其他子网都可以访问

管理ACL添加完成后,我们尝试访问,网页无法访问,telnet也无法访问了

telnet也不通了

接着我们说一下对第二种情况,如果是在Azure上基于Pass服务创建SQL Server或者Mysql服务的话,如何做安全控制,其实很简单,因为在Azure的SQL Server或者Mysql的安全配置中就有ACL配置选项,只需要将允许连接的Global IP地址添加到允许访问的列表中即可(默认是拒绝所有Deny),所以还是很方便的。

我们在azure上创建了一个MYSQL的数据库

单击查看该数据库的详细信息

接下来我们telnet mysql服务器

telnet发现是可以正常连接的

我们发现,虽然能telnet相关的服务端口,但是使用相关工具是无法进行连接的。

然后我们再查看MYSQL的配置中

有一个选项是允许的IP地址

系统会自动查看的用户的出网口Global IP地址,所以比较方便的,我们发现默认是可以连接的,接下来我们任意添加一个ip地址,看看是在我本地就不能正常连接了;

注:如果添加允许访问的列表的话,除了允许访问列表以外的地址都是访问不了的,默认是可以全部可以访问。让我们试试吧;

我们添加我们当前环境的客户端ip地址后,保存

保存后,我们再通过工具进行测试一下;连接正常。

时间: 2024-10-10 11:20:28

Windows Azure 之 安全控制-ACL的相关文章

Windows Azure HandBook (3) 浅谈Azure安全性

<Windows Azure Platform 系列文章目录> 2015年3月5日-6日,参加了上海的Azure University活动.作为桌长与微软合作伙伴交流了Azure相关的技术,同时通过课程案例,学习了很多的Azure相关知识. 现在就课程中的一个案例,分析一下Azure安全性方面的内容. Azure安全性一直是一个被经常问到的问题,把虚拟机.网站和数据库等都部署到Azure平台,如何保证应用程序的安全,如何保证企业级客户的数据不被泄漏,一直是客户经常询问到的问题. 总的来说,Az

Windows Azure Virtual Machine (34) 保护Azure虚拟机

<Windows Azure Platform 系列文章目录> 请注意:我们在Azure上创建的虚拟机,都是可以通过公网IP地址来访问的.(直接通过虚拟机的IP地址:PIP,或者通过负载均衡器的IP地址:VIP) 但是总会有不怀好意的黑客,会攻击这些虚拟机.所以保护Azure虚拟机是非常重要的. 如果是Linux虚拟机,笔者强烈建议使用SSH Key的方式来访问Azure Linux虚拟机,同时需要保护要Key和私钥 Windows Azure Virtual Machine (25) 使用S

连接到Windows Azure Point to Site VPN

Windows Azure支持两种模式的VPN接入: Site to Site,接入端需要有固定的公网IP地址,用于连接局域网和Windows Azure的虚拟网络. Point to Site,客户端使用Windows SSTP拨号,只支持Windows操作系统.用于开发测试和运维. 通过Point to Site VPN连接到Windows Azure,可以有效的提升系统安全——减少对外开放的端口数量,只保留应用程序的对外服务端口而关闭系统维护端口.例如:一个Web Server,只开放80

Windows Azure Web Site (14) Azure Web Site IP白名单

<Windows Azure Platform 系列文章目录> 我们知道,在Azure Cloud Service和Virtual Machine,可以通过Endpoint ACL (Access Control List)访问控制列表.来设置IP白名单规则. 具体请参考:Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限 在默认情况下,Azure Web Site是没有IP白名单的.也就是说

windows azure创建及连接azure SQL数据库服务

数据库对于一个企业来说是至关重要的,业务信息基本上都是存储在数据库中.传统的搭建数据库过程中企业需要采购硬件,数据库软件,部署配置等等操作,且数据库在实际生产环境中运行之后,后期的版本及补丁等更新都使生产环境数据库面临停机风险,使用windows azure云端数据库能够简单快速的创建一个满足需求的数据库,且对于用户来说无需担心版本更新及补丁更新等问题. Windows azure部署数据库有两种方式,一种就是在azure虚拟机上安装SQL数据库,这个数据库需要用户自己维护和配置等.第二种是wi

跨云应用部署第一步:使用IPSEC VPN连接AWS中国版和Windows Azure中国版

随着公有云的普及,越来越多的客户将关键应用迁移到云端.但是事实证明,没有哪家云服务提供商可以提供100%的SLA,无论是例行维护还是意外中断服务,对于客户的关键应用而言,都会受到不同程度的影响.此外,不同的云服务提供商,其提供的云服务也存在较大的差异化,包括云服务和产品的功能.质量.收费模式等方面.客户选择多样化的.最适合的.性价比最高的云服务和产品来满足自己的业务需求是必然的趋势.公有云应用占比越高的客户,其跨云应用部署的需求也越大——都不想把鸡蛋放在一个篮子里,或者是被某个云服务提供商绑架.

[转]Windows Azure安全概述

本文转自:http://blogs.msdn.com/b/azchina/archive/2011/03/06/windows_5f00_azure_5f00_security_5f00_overview_5f00_white_5f00_papaer.aspx 摘要 Windows Azure ,作为一个应用程序宿主平台必须提供私密性,完整性和用户数据的可用性.它也必须提供透明的可靠性来允许用户和他们的代理商通过自己和Microsoft追踪服务管理. 本文档描述了大量在Windows Azure

如何创建证书用于windows Azure 服务

向 Windows Azure 上载映像,都需要你创建证书,在创建证书后,您必须将其添加到 Windows Azure 中您的订阅. 一种方法是使用IIS管理器,然后在其中建立自我签署证书. 当您建立证书之后,需要导出该证书两次 - 一次含有私钥.pfx格式,另一次则没有.cer格式.您必须这样做两次的原因是因为您需要将不含私钥的证书上传至 Azure.含私钥的证书则需要导入至当前用户上的个人证书存储.当您在 [IIS 管理器] 中建立凭证时,它会将凭证放置本地计算机的个人存放区,这就是为什么您

Windows Azure Web Site (15) 基于Azure Web App的企业官网改造

<Windows Azure Platform 系列文章目录> 1.用户场景: C公司是全球大型跨国连锁餐厅,在世界上大约拥有3万间分店.其IT系统主要部署其海外数据中心,或者租用其他IDC托管机房.因为国内外网访问Internet的连通性问题,或者是由于IDC托管机房的互联网带宽不够.在国内的消费者访问其官方网站的速度非常不理想. 客户急需一个稳定且快速的平台,能够保证消费者快速访问其官方网站,获得该公司的最新资讯. 2.架构设计 C公司官网技术平台采用流行的开源技术.Web服务器采用是Li