Поделиться через


Использование политик сетевого доступа по умолчанию на виртуальных машинах в локальной среде Azure версии 23H2

Область применения: Локальная версия Azure, версия 23H2

Область применения: Windows Server 2025

В этой статье описывается, как включить политики сетевого доступа по умолчанию и назначить их виртуальным машинам.

Политики сети по умолчанию можно использовать для защиты виртуальных машин, работающих от внешних несанкционированных атак. Эти политики блокируют весь входящий доступ к виртуальным машинам (за исключением указанных портов управления, которые вы хотите включить) и разрешают весь исходящий доступ. Используйте эти политики, чтобы гарантировать, что виртуальные машины рабочей нагрузки имеют доступ только к необходимым ресурсам, что затрудняет распространение угроз в дальнейшем.

Примечание.

В этом выпуске можно включить и назначить политики сети по умолчанию через Центр администрирования Windows.

Необходимые компоненты

Выполните следующие предварительные требования для использования политик сетевого доступа:

Назначение политик сети по умолчанию виртуальной машине

Политики по умолчанию можно подключить к виртуальной машине двумя способами:

  • Во время создания виртуальной машины. Необходимо подключить виртуальную машину к логической сети (традиционной сети виртуальной локальной сети) или виртуальной сети SDN.
  • После создания виртуальной машины.

Создание и подключение сетей

В зависимости от типа сети, к которой требуется подключить виртуальную машину, действия могут отличаться.

  • Подключите виртуальные машины к физической сети: создайте одну или несколько логических сетей для представления этих физических сетей. Логическая сеть — это просто представление одной или нескольких физических сетей, доступных для локальной сети Azure. Дополнительные сведения см. в статье "Создание логической сети".

  • Подключите виртуальные машины к виртуальной сети SDN: создайте виртуальную сеть перед созданием виртуальной машины. Дополнительные сведения см. в статье о создании виртуальной сети.

Подключение виртуальной машины к логической сети

После создания логической сети в Windows Admin Center можно создать виртуальную машину в Windows Admin Center и подключить ее к логической сети. В рамках создания виртуальной машины выберите режим изоляции в качестве логической сети, выберите соответствующую логическую подсеть в логической сети и укажите IP-адрес виртуальной машины.

Примечание.

В отличие от локальной версии Azure версии 22H2, вы больше не можете подключить виртуальную машину непосредственно к виртуальной локальной сети с помощью Центра администрирования Windows. Вместо этого необходимо создать логическую сеть, представляющую виртуальную локальную сеть, создать логическую подсеть сети с виртуальной локальной сетью, а затем подключить виртуальную машину к логической подсети сети.

Примечание.

Необходимо создать логическую сеть, представляющую виртуальную локальную сеть, создать логическую подсеть сети с виртуальной локальной сетью, а затем подключить виртуальную машину к подсети логической сети.

Ниже приведен пример, в котором объясняется, как подключить виртуальную машину непосредственно к виртуальной локальной сети при установке сетевого контроллера. В этом примере показано, как подключить виртуальную машину к VLAN 5:

  1. Создайте логическую сеть с любым именем. Убедитесь, что виртуализация сети отключена.

  2. Добавьте логическую подсеть с любым именем. Укажите идентификатор виртуальной локальной сети (5) при создании подсети.

  3. Примените изменения.

  4. При создании виртуальной машины подключите ее к логической сети и подсети логической сети, созданной ранее. Дополнительные сведения см. в статье "Создание логической сети".

    Снимок экрана: подключение виртуальной машины непосредственно к виртуальной локальной сети.

Применение политик сети по умолчанию

При создании виртуальной машины с помощью Центра администрирования Windows вы увидите параметр уровня безопасности.

Снимок экрана: три параметра уровня безопасности для виртуальных машин в Windows Admin Center.

Доступно три варианта на выбор:

  • Нет защиты . Выберите этот параметр, если вы не хотите применять политики сетевого доступа к виртуальной машине. При выборе этого параметра все порты на виртуальной машине подвергаются внешним сетям, которые представляют угрозу безопасности. Этот параметр использовать не рекомендуется.

    Снимок экрана: параметр

  • Откройте некоторые порты . Выберите этот параметр, чтобы перейти к политикам по умолчанию. Политики по умолчанию блокируют весь входящий доступ и разрешают весь исходящий доступ. При необходимости можно включить входящий доступ к одному или нескольким хорошо определенным портам, например HTTP, HTTPS, SSH или RDP в соответствии с вашими требованиями.

    Снимок экрана: порты, которые можно открыть на виртуальных машинах, указанных во время создания виртуальной машины в Windows Admin Center.

  • Используйте существующую группу безопасности сети . Выберите этот параметр, чтобы применить пользовательские политики. Вы указываете группу безопасности сети (NSG), которую вы уже создали.

    Снимок экрана: существующая группа безопасности сети, выбранная во время создания виртуальной машины в Windows Admin Center.

Виртуальные машины, созданные за пределами Центра администрирования Windows

При создании виртуальных машин за пределами Центра администрирования Windows могут возникнуть проблемы, и вы включили политики сетевого доступа по умолчанию. Например, вы включили политики сетевого доступа по умолчанию и создали виртуальные машины с помощью пользовательского интерфейса Hyper-V или командлета New-VM PowerShell.

  • Виртуальные машины могут не иметь сетевого подключения. Так как виртуальная машина управляется расширением коммутатора Hyper-V под названием Virtual Filtering Platform (VFP) и по умолчанию порт Hyper-V, подключенный к виртуальной машине, находится в заблокированном состоянии.

    Чтобы разблокировать порт, выполните следующие команды из сеанса PowerShell на узле Hyper-V, где находится виртуальная машина:

    1. Запустите PowerShell с правами администратора.

    2. Скачайте и установите модуль SdnDiagnostics . Выполните следующую команду:

      Install-Module -Name SdnDiagnostics
      

      Кроме того, если он уже установлен, используйте следующую команду:

      Update-Module -Name SdnDiagnostics
      

      Примите все запросы на установку из коллекция PowerShell.

    3. Убедитесь, что к виртуальной машине применяется порт VFP

      Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>
      

      Убедитесь, что для адаптера возвращаются сведения о профиле порта VFP. Если нет, перейдите к связыванию профиля порта.

    4. Укажите порты, которые необходимо разблокировать на виртуальной машине.

      Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2
      
  • У виртуальной машины нет политик сети по умолчанию. Так как эта виртуальная машина была создана за пределами Центра администрирования Windows, политики по умолчанию для виртуальной машины не применяются, а параметры сети для виртуальной машины не отображаются правильно. Чтобы устранить эту проблему, выполните следующие действия.

    В Windows Admin Center создайте логическую сеть. Создайте подсеть в логической сети и не укажите идентификатор виртуальной локальной сети или префикс подсети. Затем подключите виртуальную машину к логической сети, выполнив следующие действия.

    1. В разделе "Инструменты" прокрутите вниз до области "Сеть " и выберите "Виртуальные машины"

    2. Перейдите на вкладку "Инвентаризация" , выберите виртуальную машину и выберите "Параметры".

    3. На странице "Параметры" выберите "Сети".

    4. В режиме изоляции выберите логическую сеть.

    5. Выберите созданную ранее логическую сеть и логическую подсеть .

      1. Для уровня безопасности у вас есть два варианта:

        1. Нет защиты. Выберите это, если вы не хотите использовать политики доступа к сети для виртуальных машин.
        2. Используйте существующую группу безопасности сети. Выберите это, если вы хотите применить политики доступа к сети для виртуальных машин. Вы можете создать группу безопасности сети и подключить ее к виртуальной машине или подключить любую существующую группу безопасности сети к виртуальной машине.

    Снимок экрана: включение сети по умолчанию в VLAN.

  • У виртуальной машины нет политик сети по умолчанию. Так как эта виртуальная машина была создана за пределами Центра администрирования Windows, политики по умолчанию для виртуальной машины не применяются, а параметры сети для виртуальной машины не отображаются правильно. Чтобы устранить эту проблему, выполните следующие действия.

    В Windows Admin Center создайте логическую сеть. Создайте подсеть в логической сети и не укажите идентификатор виртуальной локальной сети или префикс подсети. Затем подключите виртуальную машину к логической сети, выполнив следующие действия.

    1. В разделе "Инструменты" прокрутите вниз до области "Сеть " и выберите "Виртуальные машины"

    2. Перейдите на вкладку "Инвентаризация" , выберите виртуальную машину и выберите "Параметры".

    3. На странице "Параметры" выберите "Сети".

    4. В режиме изоляции выберите логическую сеть.

    5. Выберите созданную ранее логическую сеть и логическую подсеть .

      1. Для уровня безопасности у вас есть два варианта:

        1. Нет защиты. Выберите это, если вы не хотите использовать политики доступа к сети для виртуальных машин.
        2. Используйте существующую группу безопасности сети. Выберите это, если вы хотите применить политики доступа к сети для виртуальных машин. Вы можете создать группу безопасности сети и подключить ее к виртуальной машине или подключить любую существующую группу безопасности сети к виртуальной машине.

    Снимок экрана: включение сети по умолчанию в VLAN.

Следующие шаги

Дополнительные сведения: