Compartir a través de

Uso de directivas de acceso de red predeterminadas en máquinas virtuales en Azure Local, versión 23H2

  • Artículo

Se aplica a: Azure Local, versión 23H2

Se aplica a: Windows Server 2025

En este artículo se describe cómo habilitar las directivas de acceso de red predeterminadas y asignarlas a máquinas virtuales (VM).

Las directivas de red predeterminadas se pueden usar para proteger las máquinas virtuales que se ejecutan frente a ataques externos no autorizados. Estas directivas bloquean todo el acceso entrante a las máquinas virtuales (excepto los puertos de administración especificados que desea habilitar) al tiempo que permiten todo el acceso saliente. Use estas directivas para asegurarse de que las máquinas virtuales de carga de trabajo solo tienen acceso a los recursos necesarios, lo que dificulta la propagación lateral de las amenazas.

Nota:

En esta versión, puedes habilitar y asignar directivas de red predeterminadas a través de Windows Admin Center.

Requisitos previos

Complete los siguientes requisitos previos para usar directivas de acceso a la red:

  • Tiene el sistema operativo Azure Stack HCI, versión 23H2 o posterior instalado en el sistema. Para más información, consulte Instalación del sistema operativo Azure Stack HCI, versión 23H2.

  • Tiene instalada la controladora de red. Controladora de red aplica las directivas de red predeterminadas. Para obtener más información, consulte cómo instalar controladora de red.

  • Tiene una red lógica o una red virtual que se va a usar. Para obtener más información, consulte Creación de una red lógica o Creación de una red virtual.

  • Tiene una máquina virtual a la que aplicar directivas. Para obtener más información, consulte Administración de máquinas virtuales con Windows Admin Center.

  • Tiene permisos de administrador o equivalentes a los nodos del sistema y la controladora de red.

  • Tiene Windows Server 2025 o posterior. Para obtener más información, consulte Introducción a Windows Server.

  • Tiene instalada la controladora de red. Controladora de red aplica las directivas de red predeterminadas. Para obtener más información, consulte cómo instalar controladora de red.

  • Tiene una red lógica o una red virtual que se va a usar. Para obtener más información, consulte Creación de una red lógica o Creación de una red virtual.

  • Tiene una máquina virtual a la que aplicar directivas. Para obtener más información, consulte Administración de máquinas virtuales con Windows Admin Center.

  • Tiene permisos de administrador o equivalentes a los nodos del sistema y la controladora de red.

Asignación de directivas de red predeterminadas a una máquina virtual

Puede asociar directivas predeterminadas a una máquina virtual de dos maneras:

  • Durante la creación de la máquina virtual. Debe conectar la máquina virtual a una red lógica (red VLAN tradicional) o a una red virtual de SDN.
  • Después de la creación de la máquina virtual.

Creación y conexión de redes

En función del tipo de red a la que desea asociar la máquina virtual, los pasos pueden ser diferentes.

  • Conexión de máquinas virtuales a una red física: cree una o varias redes lógicas para representar esas redes físicas. Una red lógica es solo una representación de una o varias redes físicas disponibles para Azure Local. Para obtener más información, consulte Creación de una red lógica.

  • Conexión de máquinas virtuales a una red virtual de SDN: cree una red virtual antes de crear la máquina virtual. Para obtener más información, consulte Creación de una red virtual.

Conexión de una máquina virtual a una red lógica

Después de crear una red lógica en Windows Admin Center, puede crear una máquina virtual en Windows Admin Center y asociarla a la red lógica. Como parte de la creación de máquinas virtuales, seleccione el modo de aislamiento como red lógica, seleccione la subred lógica adecuada en la red lógica y proporcione una dirección IP para la máquina virtual.

Nota:

A diferencia de Azure Local, versión 22H2, ya no puede conectar una máquina virtual directamente a una VLAN mediante Windows Admin Center. En su lugar, debe crear una red lógica que represente la VLAN, crear una subred de red lógica con la VLAN y, a continuación, conectar la máquina virtual a la subred de red lógica.

Nota:

Debe crear una red lógica que represente la VLAN, crear una subred de red lógica con la VLAN y, a continuación, conectar la máquina virtual a la subred de red lógica.

Este es un ejemplo que explica cómo puede conectar la máquina virtual directamente a una VLAN cuando se instala la controladora de red. En este ejemplo, se muestra cómo conectar la máquina virtual a VLAN 5:

  1. Cree una red lógica con cualquier nombre. Asegúrese de que la virtualización de red está deshabilitada.

  2. Agregue una subred lógica con cualquier nombre. Proporcione el identificador de VLAN (5) al crear la subred.

  3. Aplique los cambios.

  4. Al crear una máquina virtual, adjunte a la red lógica y a la subred de red lógica creada anteriormente. Para obtener más información, consulte Creación de una red lógica.

    Captura de pantalla que muestra cómo conectar la máquina virtual directamente a VLAN.

Aplicación de directivas de red predeterminadas

Al crear una máquina virtual a través de Windows Admin Center, verá una configuración de nivel de seguridad .

Captura de pantalla que muestra las tres opciones de nivel de seguridad para las máquinas virtuales en Windows Admin Center.

Tiene tres opciones:

  • Sin protección : elija esta opción si no desea aplicar ninguna directiva de acceso de red a la máquina virtual. Cuando se selecciona esta opción, todos los puertos de la máquina virtual se exponen a redes externas que presentan un riesgo de seguridad. No se recomienda esta opción.

    Captura de pantalla que muestra la opción Sin protección seleccionada para las máquinas virtuales en Windows Admin Center.

  • Abrir algunos puertos : elija esta opción para ir con directivas predeterminadas. Las directivas predeterminadas bloquean todo el acceso entrante y permiten todo el acceso saliente. Opcionalmente, puede habilitar el acceso entrante a uno o varios puertos bien definidos, por ejemplo, HTTP, HTTPS, SSH o RDP según sus requisitos.

    Captura de pantalla que muestra los puertos que se pueden abrir en máquinas virtuales especificadas durante la creación de máquinas virtuales en Windows Admin Center.

  • Usar NSG existente: elija esta opción para aplicar directivas personalizadas. Especifique un grupo de seguridad de red (NSG) que ya haya creado.

    Captura de pantalla que muestra el grupo de seguridad de red existente seleccionado durante la creación de la máquina virtual en Windows Admin Center.

Máquinas virtuales creadas fuera de Windows Admin Center

Es posible que encuentre problemas al crear máquinas virtuales fuera de Windows Admin Center y haya habilitado las directivas de acceso de red predeterminadas. Por ejemplo, ha habilitado las directivas de acceso de red predeterminadas y ha creado máquinas virtuales mediante la interfaz de usuario de Hyper-V o el cmdlet de PowerShell New-VM.

  • Es posible que las máquinas virtuales no tengan conectividad de red. Dado que la máquina virtual está siendo administrada por una extensión de conmutador de Hyper-V denominada Plataforma de filtrado virtual (VFP) y, de forma predeterminada, el puerto de Hyper-V conectado a la máquina virtual está en estado bloqueado.

    Para desbloquear el puerto, ejecute los siguientes comandos desde una sesión de PowerShell en un host de Hyper-V donde se encuentra la máquina virtual:

    1. Ejecute PowerShell como administrador.

    2. Descargue e instale el módulo SdnDiagnostics . Ejecute el siguiente comando:

      Install-Module -Name SdnDiagnostics

      Como alternativa, si ya está instalado, use el siguiente comando:

      Update-Module -Name SdnDiagnostics

      Acepte todas las indicaciones para instalar desde Galería de PowerShell.

    3. Confirme si el puerto VFP se aplica a la máquina virtual.

      Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>

      Asegúrese de que se devuelve la información del perfil de puerto VFP para el adaptador. Si no es así, continúe con la asociación de un perfil de puerto.

    4. Especifique los puertos que se van a desbloquear en la máquina virtual.

      Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2

  • La máquina virtual no tiene aplicadas directivas de red predeterminadas. Dado que esta máquina virtual se creó fuera de Windows Admin Center, no se aplican las directivas predeterminadas para la máquina virtual y la configuración de red de la máquina virtual no se muestra correctamente. Para corregir este problema, siga estos pasos:

    En Windows Admin Center, cree una red lógica. Cree una subred en la red lógica y no proporcione ningún identificador de VLAN ni prefijo de subred. A continuación, conecte una máquina virtual a la red lógica mediante los pasos siguientes:

    1. En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Máquinas virtuales.

    2. Seleccione la pestaña Inventario , seleccione la máquina virtual y, a continuación, seleccione Configuración.

    3. En la página Configuración, seleccione Redes.

    4. En Modo de aislamiento, seleccione Red lógica.

    5. Seleccione la red lógica y la subred lógica que creó anteriormente.

      1. En Nivel de seguridad, tiene dos opciones:

        1. Sin protección: elija esto si no desea ninguna directiva de acceso de red para las máquinas virtuales.
        2. Use el grupo de seguridad de red existente: elija esto si desea aplicar directivas de acceso de red para las máquinas virtuales. Puede crear un nuevo grupo de seguridad de red y asociarlo a la máquina virtual o puede asociar cualquier NSG existente a la máquina virtual.

    Captura de pantalla que muestra cómo habilitar la red predeterminada en VLAN.

  • La máquina virtual no tiene aplicadas directivas de red predeterminadas. Dado que esta máquina virtual se creó fuera de Windows Admin Center, no se aplican las directivas predeterminadas para la máquina virtual y la configuración de red de la máquina virtual no se muestra correctamente. Para corregir este problema, siga estos pasos:

    En Windows Admin Center, cree una red lógica. Cree una subred en la red lógica y no proporcione ningún identificador de VLAN ni prefijo de subred. A continuación, conecte una máquina virtual a la red lógica mediante los pasos siguientes:

    1. En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Máquinas virtuales.

    2. Seleccione la pestaña Inventario , seleccione la máquina virtual y, a continuación, seleccione Configuración.

    3. En la página Configuración, seleccione Redes.

    4. En Modo de aislamiento, seleccione Red lógica.

    5. Seleccione la red lógica y la subred lógica que creó anteriormente.

      1. En Nivel de seguridad, tiene dos opciones:

        1. Sin protección: elija esto si no desea ninguna directiva de acceso de red para las máquinas virtuales.
        2. Use el grupo de seguridad de red existente: elija esto si desea aplicar directivas de acceso de red para las máquinas virtuales. Puede crear un nuevo grupo de seguridad de red y asociarlo a la máquina virtual o puede asociar cualquier NSG existente a la máquina virtual.

    Captura de pantalla que muestra cómo habilitar la red predeterminada en VLAN.

Pasos siguientes

Más información sobre: