Delen via

Standaardbeleid voor netwerktoegang gebruiken op virtuele machines in Azure Local

  • Artikel

Van toepassing op: Azure Local 2311.2 en hoger

Van toepassing op: Windows Server 2025

In dit artikel wordt beschreven hoe u standaardbeleid voor netwerktoegang inschakelt en deze toewijst aan virtuele machines (VM's).

Standaard netwerkbeleid kan worden gebruikt om virtuele machines die actief zijn te beschermen tegen externe onbevoegde aanvallen. Deze beleidsregels blokkeren alle binnenkomende toegang tot virtuele machines (behalve de opgegeven beheerpoorten die u wilt inschakelen) terwijl alle uitgaande toegang is toegestaan. Gebruik dit beleid om ervoor te zorgen dat uw workload-VM's alleen toegang hebben tot vereiste assets, waardoor het lastig is om de bedreigingen lateraal te verspreiden.

Notitie

In deze release kunt u standaardnetwerkbeleid inschakelen en toewijzen via het Windows-beheercentrum.

Vereisten

Voltooi de volgende vereisten voor het gebruik van netwerktoegangsbeleid:

Standaardnetwerkbeleid toewijzen aan een VIRTUELE machine

U kunt standaardbeleid op twee manieren koppelen aan een virtuele machine:

  • Tijdens het maken van de virtuele machine. U moet de virtuele machine koppelen aan een logisch netwerk (traditioneel VLAN-netwerk) of een virtueel SDN-netwerk.
  • Na de creatie van de virtuele machine.

Netwerken maken en koppelen

Afhankelijk van het type netwerk waaraan u uw VIRTUELE machine wilt koppelen, kunnen de stappen afwijken.

  • Vm's koppelen aan een fysiek netwerk: maak een of meer logische netwerken die deze fysieke netwerken vertegenwoordigen. Een logisch netwerk is slechts een weergave van een of meer fysieke netwerken die beschikbaar zijn voor Azure Local. Zie voor meer informatie hoe u een logisch netwerk maakt.

  • Vm's koppelen aan een virtueel SDN-netwerk: maak een virtueel netwerk voordat u de virtuele machine maakt. Zie voor meer informatie hoe u een virtueel netwerk maakt.

VM koppelen aan een logisch netwerk

Nadat u een logisch netwerk hebt gemaakt in het Windows-beheercentrum, kunt u een virtuele machine maken in het Windows-beheercentrum en deze koppelen aan het logische netwerk. Als onderdeel van het maken van een virtuele machine selecteert u de isolatiemodus als logisch netwerk, selecteert u het juiste logische subnet onder het logische netwerk en geeft u een IP-adres op voor de virtuele machine.

Notitie

In tegenstelling tot in Azure Local, versie 22H2, kunt u een VIRTUELE machine niet meer rechtstreeks verbinden met een VLAN met behulp van Het Windows-beheercentrum. In plaats daarvan moet u een logisch netwerk maken dat het VLAN vertegenwoordigt, een logisch netwerksubnet maken met het VLAN en vervolgens de VM koppelen aan het subnet van het logische netwerk.

Notitie

U moet een logisch netwerk maken dat het VLAN vertegenwoordigt, een logisch netwerksubnet maken met het VLAN en de virtuele machine vervolgens koppelen aan het subnet van het logische netwerk.

Hier volgt een voorbeeld waarin wordt uitgelegd hoe u uw virtuele machine rechtstreeks aan een VLAN kunt koppelen wanneer de netwerkcontroller is geïnstalleerd. In dit voorbeeld laten we zien hoe u uw VIRTUELE machine verbindt met VLAN 5:

  1. Maak een logisch netwerk met een willekeurige naam. Zorg ervoor dat netwerkvirtualisatie is uitgeschakeld.

  2. Voeg een logisch subnet toe met een willekeurige naam. Geef de VLAN-id (5) op bij het maken van het subnet.

  3. Pas de wijzigingen toe.

  4. Wanneer u een virtuele machine maakt, koppelt u deze aan het logische netwerk en het subnet van het logische netwerk dat u eerder hebt gemaakt. Zie voor meer informatie hoe u een logisch netwerk maakt.

    Schermopname die laat zien hoe u een VIRTUELE machine rechtstreeks aan VLAN koppelt.

Standaardnetwerkbeleid toepassen

Wanneer u een virtuele machine maakt via het Windows-beheercentrum, ziet u een instelling op beveiligingsniveau .

Schermopname van de drie opties op beveiligingsniveau voor VM's in het Windows-beheercentrum.

U hebt drie opties:

  • Geen beveiliging : kies deze optie als u geen netwerktoegangsbeleid wilt afdwingen voor uw VIRTUELE machine. Wanneer deze optie is geselecteerd, worden alle poorten op uw VIRTUELE machine blootgesteld aan externe netwerken die een beveiligingsrisico vormen. Deze optie wordt niet aanbevolen.

    Schermopname van de optie Geen beveiliging geselecteerd voor VM's in het Windows-beheercentrum.

  • Open enkele poorten : kies deze optie om met standaardbeleid te gaan. Het standaardbeleid blokkeert alle binnenkomende toegang en staat alle uitgaande toegang toe. U kunt optioneel binnenkomende toegang tot een of meer goed gedefinieerde poorten inschakelen, bijvoorbeeld HTTP, HTTPS, SSH of RDP op basis van uw vereisten.

    Schermopname van de poorten die kunnen worden geopend op vm's die zijn opgegeven tijdens het maken van de VIRTUELE machine in het Windows-beheercentrum.

  • Bestaande NSG gebruiken: kies deze optie om aangepaste beleidsregels toe te passen. U geeft een netwerkbeveiligingsgroep (NSG) op die u al hebt gemaakt.

    Schermopname van de bestaande netwerkbeveiligingsgroep die is geselecteerd tijdens het maken van de VIRTUELE machine in het Windows-beheercentrum.

VM's die buiten het Windows-beheercentrum zijn gemaakt

Er kunnen problemen optreden bij het maken van VM's buiten het Windows-beheercentrum en u hebt standaardbeleid voor netwerktoegang ingeschakeld. U hebt bijvoorbeeld standaardbeleid voor netwerktoegang ingeschakeld en VM's gemaakt met behulp van de Hyper-V-gebruikersinterface of de PowerShell-cmdlet New-VM.

  • De VM's hebben mogelijk geen netwerkverbinding. Omdat de VIRTUELE machine wordt beheerd door een Hyper-V-switchextensie met de naam Virtual Filtering Platform (VFP) en standaard heeft de Hyper-V-poort die is verbonden met de virtuele machine, de status Geblokkeerd.

    Als u de poort wilt deblokkeren, voert u de volgende opdrachten uit vanuit een PowerShell-sessie op een Hyper-V-host waar de VIRTUELE machine zich bevindt:

    1. Voer PowerShell uit als beheerder.

    2. Download en installeer SdnDiagnostics-module. Voer de volgende opdracht uit:

      Install-Module -Name SdnDiagnostics

      Als deze al is geïnstalleerd, kunt u ook de volgende opdracht gebruiken:

      Update-Module -Name SdnDiagnostics

      Accepteer alle aanwijzingen om te installeren vanuit PowerShell Gallery.

    3. Controleer of de VFP-poort is toegepast op de VM

      Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>

      Zorg ervoor dat de profielgegevens van de VFP-poort worden geretourneerd voor de adapter. Zo niet, ga dan verder met het koppelen van een poortprofiel.

    4. Geef de poorten op die moeten worden gedeblokkeerd op de virtuele machine.

      Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2

  • Op de VM is geen standaardnetwerkbeleid toegepast. Omdat deze VIRTUELE machine buiten het Windows-beheercentrum is gemaakt, worden de standaardbeleidsregels voor de VIRTUELE machine niet toegepast en worden de netwerkinstellingen voor de virtuele machine niet correct weergegeven. Volg deze stappen om dit probleem op te lossen:

    Maak een logisch netwerk in het Windows-beheercentrum. Maak een subnet onder het logische netwerk en geef geen VLAN-id of subnetvoorvoegsel op. Koppel vervolgens een VIRTUELE machine aan het logische netwerk met behulp van de volgende stappen:

    1. Onder Hulpprogramma's, schuif omlaag naar het Netwerkgebied en selecteer Virtuele machines

    2. Selecteer het tabblad Inventaris , selecteer de virtuele machine en selecteer vervolgens Instellingen.

    3. Selecteer Netwerken op de pagina Instellingen.

    4. Voor isolatiemodus selecteert u Logisch netwerk.

    5. Selecteer het logische netwerk en het logische subnet dat u eerder hebt gemaakt.

      1. Voor beveiligingsniveau hebt u twee opties:

        1. Geen beveiliging: kies deze optie als u geen netwerktoegangsbeleid voor uw VM's wilt.
        2. Gebruik bestaande NSG: kies deze optie als u netwerktoegangsbeleid wilt toepassen voor uw VM's. U kunt een nieuwe NSG maken en deze koppelen aan de virtuele machine of u kunt elke bestaande NSG aan de virtuele machine koppelen.

    Schermopname van het inschakelen van het standaardnetwerk naar VLAN.

  • Op de VM is geen standaardnetwerkbeleid toegepast. Omdat deze VIRTUELE machine buiten het Windows-beheercentrum is gemaakt, worden de standaardbeleidsregels voor de VIRTUELE machine niet toegepast en worden de netwerkinstellingen voor de virtuele machine niet correct weergegeven. Volg deze stappen om dit probleem op te lossen:

    Maak een logisch netwerk in het Windows-beheercentrum. Maak een subnet onder het logische netwerk en geef geen VLAN-id of subnetvoorvoegsel op. Koppel vervolgens een VIRTUELE machine aan het logische netwerk met behulp van de volgende stappen:

    1. Schuif onder Extra omlaag naar het gebied Netwerken en selecteer Virtuele machines

    2. Selecteer het tabblad Inventaris , selecteer de virtuele machine en selecteer vervolgens Instellingen.

    3. Selecteer Netwerken op de pagina Instellingen.

    4. Voor isolatiemodus selecteert u Logisch netwerk.

    5. Selecteer het logische netwerk en het logische subnet dat u eerder hebt gemaakt.

      1. Voor beveiligingsniveau hebt u twee opties:

        1. Geen beveiliging: kies deze optie als u geen netwerktoegangsbeleid voor uw VM's wilt.
        2. Gebruik bestaande NSG: kies deze optie als u netwerktoegangsbeleid wilt toepassen voor uw VM's. U kunt een nieuwe NSG maken en deze koppelen aan de virtuele machine of u kunt elke bestaande NSG aan de virtuele machine koppelen.

    Schermopname van het inschakelen van het standaardnetwerk naar VLAN.

Volgende stappen

Meer informatie over: