首先我們來看下什麽是終結點訪問控制列表ACL？

終結點訪問控制列表 (ACL) 是可用於 Azure 部署的安全增強。 利用 ACL，可以選擇允許還是拒絕虛擬機終結點的流量。 此數據包篩選功能額外提供了一層安全性。 只能為終結點指定網絡 ACL， 無法為虛擬網絡或虛擬網絡中包含的特定子網指定 ACL。 建議盡可能使用網絡安全組 (NSG)，而不要使用 ACL。

使用網絡 ACL 可以實現以下目的：

• 根據遠程子網 IPv4 地址範圍選擇允許還是拒絕傳入流量流向虛擬機輸入終結點。

• 方塊列表 IP 地址

• 為每個虛擬機終結點創建多個規則

• 使用規則排序可確保將一組正確的規則應用於給定的虛擬機終結點（最低到最高）

• 為特定遠程子網 IPv4 地址指定 ACL。

可以使用 PowerShell 或 Azure 門戶配置 ACL。

ACL 的工作原理

ACL 是包含規則列表的對象。 創建 ACL 並將其應用於虛擬機終結點時，數據包篩選會在 VM 的主機節點上發生。 這意味著，來自遠程 IP 地址的流量將通過主機節點篩選以匹配 ACL 規則，而不是在 VM 上進行篩選。 這可以防止 VM 將寶貴的 CPU 周期耗費在數據包篩選上。

創建虛擬機時，會設置一個默認 ACL 來阻止所有傳入流量。 但是，如果創建了一個終結點（針對端口 3389），則會修改默認 ACL 以允許該終結點的所有入站流量。 隨後，將允許來自任何遠程子網的傳入流量流向該終結點，而且不需要配置防火墻。 除非為這些端口創建了終結點，否則將阻止所有其他端口的傳入流量。 默認情況下允許出站流量。

默認 ACL 表示例

允許和拒絕

可以通過創建指定“允許”或“拒絕”的規則來選擇允許還是拒絕虛擬機輸入終結點的網絡流量。請務必註意，默認情況下，創建一個終結點後，將允許所有流量流向該終結點。 因此，如果希望精確地控制選擇允許訪問虛擬機終結點的網絡流量，則必須了解如何創建允許/拒絕規則並為其安排正確的優先順序。

考慮的要點：

1. 無 ACL - 默認情況下，在創建一個終結點後，我們將允許終結點的所有流量。

2. 允許 - 默認情況，在添加一個或多個“允許”範圍後，將拒絕所有其他範圍。 只有來自允許的 IP 範圍的數據包才能與虛擬機終結點進行通信。

3. 拒絕 - 默認情況，在添加一個或多個“拒絕”範圍後，將允許所有其他範圍的流量。

4. 允許和拒絕的組合 -要指定允許或拒絕的特定 IP 範圍時，可結合使用“允許”和“拒絕”。

規則和規則優先順序

可對特定虛擬機終結點設置網絡 ACL。 例如，可為在虛擬機上創建的 RDP 終結點指定一個網絡 ACL，它將鎖定對某些 IP 地址的訪問。ACL采用越小越優先的規則順序。

多個規則

如果希望僅允許兩個公共 IPv4 地址範圍（65.0.0.0/8 和 159.0.0.0/8）內的 IP 訪問 RDP 終結點，則可以通過指定兩個“允許”規則來實現。 在這種情況下，由於默認為虛擬機創建 RDP，因此，你需要鎖定對基於遠程子網的 RDP 端口的訪問。 由於可為特定虛擬機終結點設置網絡 ACL 訪問且在默認情況下訪問會被拒絕，因此這種方法很有用。

通過Azure 門戶創建終結點ACL

登錄到Azure門戶中，點擊虛擬機，點擊需要創建ACL的虛擬機，然後點擊終結點，如下圖所示

在終結點列表中，找到你所需要添加訪問控制列表的終結點

在訪問控制列表中，填入順序、名稱、選擇操作，子網等等

可以輸入多條規則

Azure終結點訪問控制列表ACL