Использование политик сетевого доступа по умолчанию на виртуальных машинах в локальной среде Azure версии 23H2
Область применения: Локальная версия Azure, версия 23H2
Область применения: Windows Server 2025
В этой статье описывается, как включить политики сетевого доступа по умолчанию и назначить их виртуальным машинам.
Политики сети по умолчанию можно использовать для защиты виртуальных машин, работающих от внешних несанкционированных атак. Эти политики блокируют весь входящий доступ к виртуальным машинам (за исключением указанных портов управления, которые вы хотите включить) и разрешают весь исходящий доступ. Используйте эти политики, чтобы гарантировать, что виртуальные машины рабочей нагрузки имеют доступ только к необходимым ресурсам, что затрудняет распространение угроз в дальнейшем.
Примечание.
В этом выпуске можно включить и назначить политики сети по умолчанию через Центр администрирования Windows.
Необходимые компоненты
Выполните следующие предварительные требования для использования политик сетевого доступа:
У вас установлена операционная система Azure Stack HCI версии 23H2 или более поздней версии. Дополнительные сведения см. в статье об установке операционной системы Azure Stack HCI версии 23H2.
У вас установлен сетевой контроллер. Сетевой контроллер применяет политики сети по умолчанию. Дополнительные сведения см. в разделе "Установка сетевого контроллера".
У вас есть логическая сеть или виртуальная сеть. Дополнительные сведения см. в статье о создании логической сети или создании виртуальной сети.
У вас есть виртуальная машина для применения политик. Дополнительные сведения см. в статье "Управление виртуальными машинами с помощью Центра администрирования Windows".
У вас есть разрешения администратора или эквивалент системные узлы и сетевой контроллер.
У вас есть Windows Server 2025 или более поздней версии. Дополнительные сведения см. в статье "Начало работы с Windows Server".
У вас установлен сетевой контроллер. Сетевой контроллер применяет политики сети по умолчанию. Дополнительные сведения см. в разделе "Установка сетевого контроллера".
У вас есть логическая сеть или виртуальная сеть. Дополнительные сведения см. в статье о создании логической сети или создании виртуальной сети.
У вас есть виртуальная машина для применения политик. Дополнительные сведения см. в статье "Управление виртуальными машинами с помощью Центра администрирования Windows".
У вас есть разрешения администратора или эквивалент системные узлы и сетевой контроллер.
Назначение политик сети по умолчанию виртуальной машине
Политики по умолчанию можно подключить к виртуальной машине двумя способами:
- Во время создания виртуальной машины. Необходимо подключить виртуальную машину к логической сети (традиционной сети виртуальной локальной сети) или виртуальной сети SDN.
- После создания виртуальной машины.
Создание и подключение сетей
В зависимости от типа сети, к которой требуется подключить виртуальную машину, действия могут отличаться.
Подключите виртуальные машины к физической сети: создайте одну или несколько логических сетей для представления этих физических сетей. Логическая сеть — это просто представление одной или нескольких физических сетей, доступных для локальной сети Azure. Дополнительные сведения см. в статье "Создание логической сети".
Подключите виртуальные машины к виртуальной сети SDN: создайте виртуальную сеть перед созданием виртуальной машины. Дополнительные сведения см. в статье о создании виртуальной сети.
Подключение виртуальной машины к логической сети
После создания логической сети в Windows Admin Center можно создать виртуальную машину в Windows Admin Center и подключить ее к логической сети. В рамках создания виртуальной машины выберите режим изоляции в качестве логической сети, выберите соответствующую логическую подсеть в логической сети и укажите IP-адрес виртуальной машины.
Примечание.
В отличие от локальной версии Azure версии 22H2, вы больше не можете подключить виртуальную машину непосредственно к виртуальной локальной сети с помощью Центра администрирования Windows. Вместо этого необходимо создать логическую сеть, представляющую виртуальную локальную сеть, создать логическую подсеть сети с виртуальной локальной сетью, а затем подключить виртуальную машину к логической подсети сети.
Примечание.
Необходимо создать логическую сеть, представляющую виртуальную локальную сеть, создать логическую подсеть сети с виртуальной локальной сетью, а затем подключить виртуальную машину к подсети логической сети.
Ниже приведен пример, в котором объясняется, как подключить виртуальную машину непосредственно к виртуальной локальной сети при установке сетевого контроллера. В этом примере показано, как подключить виртуальную машину к VLAN 5:
Создайте логическую сеть с любым именем. Убедитесь, что виртуализация сети отключена.
Добавьте логическую подсеть с любым именем. Укажите идентификатор виртуальной локальной сети (5) при создании подсети.
Примените изменения.
При создании виртуальной машины подключите ее к логической сети и подсети логической сети, созданной ранее. Дополнительные сведения см. в статье "Создание логической сети".
Применение политик сети по умолчанию
При создании виртуальной машины с помощью Центра администрирования Windows вы увидите параметр уровня безопасности.
Доступно три варианта на выбор:
Нет защиты . Выберите этот параметр, если вы не хотите применять политики сетевого доступа к виртуальной машине. При выборе этого параметра все порты на виртуальной машине подвергаются внешним сетям, которые представляют угрозу безопасности. Этот параметр использовать не рекомендуется.
Откройте некоторые порты . Выберите этот параметр, чтобы перейти к политикам по умолчанию. Политики по умолчанию блокируют весь входящий доступ и разрешают весь исходящий доступ. При необходимости можно включить входящий доступ к одному или нескольким хорошо определенным портам, например HTTP, HTTPS, SSH или RDP в соответствии с вашими требованиями.
Используйте существующую группу безопасности сети . Выберите этот параметр, чтобы применить пользовательские политики. Вы указываете группу безопасности сети (NSG), которую вы уже создали.
Виртуальные машины, созданные за пределами Центра администрирования Windows
При создании виртуальных машин за пределами Центра администрирования Windows могут возникнуть проблемы, и вы включили политики сетевого доступа по умолчанию. Например, вы включили политики сетевого доступа по умолчанию и создали виртуальные машины с помощью пользовательского интерфейса Hyper-V или командлета New-VM PowerShell.
Виртуальные машины могут не иметь сетевого подключения. Так как виртуальная машина управляется расширением коммутатора Hyper-V под названием Virtual Filtering Platform (VFP) и по умолчанию порт Hyper-V, подключенный к виртуальной машине, находится в заблокированном состоянии.
Чтобы разблокировать порт, выполните следующие команды из сеанса PowerShell на узле Hyper-V, где находится виртуальная машина:
Запустите PowerShell с правами администратора.
Скачайте и установите модуль SdnDiagnostics . Выполните следующую команду:
Install-Module -Name SdnDiagnostics
Кроме того, если он уже установлен, используйте следующую команду:
Update-Module -Name SdnDiagnostics
Примите все запросы на установку из коллекция PowerShell.
Убедитесь, что к виртуальной машине применяется порт VFP
Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>
Убедитесь, что для адаптера возвращаются сведения о профиле порта VFP. Если нет, перейдите к связыванию профиля порта.
Укажите порты, которые необходимо разблокировать на виртуальной машине.
Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2
У виртуальной машины нет политик сети по умолчанию. Так как эта виртуальная машина была создана за пределами Центра администрирования Windows, политики по умолчанию для виртуальной машины не применяются, а параметры сети для виртуальной машины не отображаются правильно. Чтобы устранить эту проблему, выполните следующие действия.
В Windows Admin Center создайте логическую сеть. Создайте подсеть в логической сети и не укажите идентификатор виртуальной локальной сети или префикс подсети. Затем подключите виртуальную машину к логической сети, выполнив следующие действия.
В разделе "Инструменты" прокрутите вниз до области "Сеть " и выберите "Виртуальные машины"
Перейдите на вкладку "Инвентаризация" , выберите виртуальную машину и выберите "Параметры".
На странице "Параметры" выберите "Сети".
В режиме изоляции выберите логическую сеть.
Выберите созданную ранее логическую сеть и логическую подсеть .
Для уровня безопасности у вас есть два варианта:
- Нет защиты. Выберите это, если вы не хотите использовать политики доступа к сети для виртуальных машин.
- Используйте существующую группу безопасности сети. Выберите это, если вы хотите применить политики доступа к сети для виртуальных машин. Вы можете создать группу безопасности сети и подключить ее к виртуальной машине или подключить любую существующую группу безопасности сети к виртуальной машине.
У виртуальной машины нет политик сети по умолчанию. Так как эта виртуальная машина была создана за пределами Центра администрирования Windows, политики по умолчанию для виртуальной машины не применяются, а параметры сети для виртуальной машины не отображаются правильно. Чтобы устранить эту проблему, выполните следующие действия.
В Windows Admin Center создайте логическую сеть. Создайте подсеть в логической сети и не укажите идентификатор виртуальной локальной сети или префикс подсети. Затем подключите виртуальную машину к логической сети, выполнив следующие действия.
В разделе "Инструменты" прокрутите вниз до области "Сеть " и выберите "Виртуальные машины"
Перейдите на вкладку "Инвентаризация" , выберите виртуальную машину и выберите "Параметры".
На странице "Параметры" выберите "Сети".
В режиме изоляции выберите логическую сеть.
Выберите созданную ранее логическую сеть и логическую подсеть .
Для уровня безопасности у вас есть два варианта:
- Нет защиты. Выберите это, если вы не хотите использовать политики доступа к сети для виртуальных машин.
- Используйте существующую группу безопасности сети. Выберите это, если вы хотите применить политики доступа к сети для виртуальных машин. Вы можете создать группу безопасности сети и подключить ее к виртуальной машине или подключить любую существующую группу безопасности сети к виртуальной машине.
Следующие шаги
Дополнительные сведения: