在 Azure 本機 23H2 版的虛擬機上使用預設網路存取原則

適用於：Azure Local 2311.2 和更新版本

適用於：Windows Server 2025

本文說明如何啟用預設網路存取原則，並將其指派給虛擬機（VM）。

默認網路原則可用來保護執行不受外部未經授權攻擊的虛擬機。 這些原則會封鎖虛擬機的所有輸入存取（除了您想要啟用的指定管理埠除外），同時允許所有輸出存取。 使用這些原則可確保您的工作負載 VM 只能存取所需的資產，使得威脅難以橫向傳播。

注意

在此版本中，您可以透過 Windows Admin Center 啟用和指派預設網路原則。

必要條件

完成下列必要條件以使用網路存取原則：

• 您的系統上已安裝 Azure Stack HCI 作業系統 23H2 版或更新版本。 如需詳細資訊，請參閱如何 安裝 Azure Stack HCI 操作系統 23H2 版。

• 您已安裝網路控制站。 網路控制站會強制執行預設網路原則。 如需詳細資訊，請參閱如何 安裝網路控制站。

• 您有要使用的邏輯網路或虛擬網路。 如需詳細資訊，請參閱如何 建立邏輯網路 或 建立虛擬網路。

• 您有要套用原則的 VM。 如需詳細資訊，請參閱如何使用 Windows Admin Center 管理 VM。

• 您具有系統管理員許可權，或相當於系統節點和網路控制站。

• 您有 Windows Server 2025 或更新版本。 如需詳細資訊，請參閱 開始使用 Windows Server。

• 您已安裝網路控制站。 網路控制站會強制執行預設網路原則。 如需詳細資訊，請參閱如何 安裝網路控制站。

• 您有要使用的邏輯網路或虛擬網路。 如需詳細資訊，請參閱如何 建立邏輯網路 或 建立虛擬網路。

• 您有要套用原則的 VM。 如需詳細資訊，請參閱如何使用 Windows Admin Center 管理 VM。

• 您具有系統管理員許可權，或相當於系統節點和網路控制站。

將預設網路原則指派給 VM

您可以透過兩種方式將預設原則連結至 VM：

• 在 VM 建立期間。 您必須將 VM 連結至邏輯網路（傳統 VLAN 網路）或 SDN 虛擬網路。
• 建立 VM 後。

建立和連結網路

根據您想要將 VM 連結至的網路類型，步驟可能會不同。

• 將 VM 連結至實體網路：建立一或多個邏輯網路來代表這些實體網路。 邏輯網路只是 Azure 本機可用的一或多個實體網路的表示法。 如需詳細資訊，請參閱如何 建立邏輯網路。

• 將 VM 連結至 SDN 虛擬網路：建立虛擬網路，再建立 VM。 如需詳細資訊，請參閱如何 建立虛擬網路。

將 VM 連結至邏輯網路

在 Windows Admin Center 中建立邏輯網路之後，您可以在 Windows Admin Center 中建立 VM，並將其連結至邏輯網路。 在建立 VM 時，選取 [ 隔離模式 ] 作為 邏輯網路，選取邏輯網络底下的適當 邏輯子網 ，併為 VM 提供 IP 位址。

注意

不同於 Azure 本機 22H2 版，您無法再使用 Windows Admin Center 將 VM 直接連線到 VLAN。 相反地，您必須建立代表 VLAN 的邏輯網路、使用 VLAN 建立邏輯網路子網，然後將 VM 連結至邏輯網路子網。

注意

您必須建立代表 VLAN 的邏輯網路、使用 VLAN 建立邏輯網路子網，然後將 VM 連結至邏輯網路子網。

以下範例說明如何在安裝網路控制站時，將 VM 直接連結至 VLAN。 在此範例中，我們會示範如何將 VM 連線到 VLAN 5：

1. 建立具有任何名稱的邏輯網路。 確定已停用網路虛擬化。

2. 新增具有任何名稱的邏輯子網。 建立子網時提供 VLAN 識別碼 （5）。

3. 套用變更。

4. 建立 VM 時，請將它連結至稍早建立的邏輯網路和邏輯網路子網。 如需詳細資訊，請參閱如何 建立邏輯網路。

   

套用預設網路原則

當您透過 Windows Admin Center 建立 VM 時，您會看到 安全性層級 設定。

您有三個選項：

• 無保護 - 如果您不想對 VM 強制執行任何網路存取原則，請選擇此選項。 選取此選項時，VM 上的所有埠都會公開給有安全性風險的外部網路。 不建議使用此選項。

  

• 開啟一些埠 - 選擇此選項以使用預設原則。 默認原則會封鎖所有輸入存取，並允許所有輸出存取。 您可以視需求選擇性地啟用一或多個定義完善的埠的輸入存取，例如 HTTP、HTTPS、SSH 或 RDP。

  

• 使用現有的 NSG - 選擇此選項以套用自訂原則。 您可以指定您已建立的網路安全組 （NSG）。

  

在 Windows Admin Center 外部建立的 VM

當您在 Windows Admin Center 外部建立 VM 並啟用預設網路存取原則時，可能會遇到問題。 例如，您已啟用預設網路存取原則，並使用 Hyper-V UI 或 New-VM PowerShell Cmdlet 建立 VM。

• VM 可能沒有網路連線能力。 由於 VM 是由稱為虛擬篩選平臺 （VFP） 的 Hyper-V 交換器擴充功能所管理，因此連線到 VM 的 Hyper-V 埠處於封鎖狀態。

  若要解除封鎖埠，請在 VM 所在的 Hyper-V 主機上，從 PowerShell 會話執行下列命令：

  1. 以系統管理員身分執行 PowerShell。

  2. 下載並安裝 SdnDiagnostics 模組。 執行以下命令：

     Install-Module -Name SdnDiagnostics
     

     或者，如果已安裝，請使用下列命令：

     Update-Module -Name SdnDiagnostics
     

     接受從 PowerShell 資源庫 安裝的所有提示。

  3. 確認 VFP 連接埠是否已套用至 VM

     Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>
     

     請確定已針對配接器傳回 VFP 連接埠設定檔資訊。 如果沒有，請繼續建立埠配置文件的關聯。

  4. 指定要在 VM 上解除封鎖的埠。

     Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2
     

• VM 未套用預設網路原則。 由於此 VM 是在 Windows Admin Center 外部建立，因此不會套用 VM 的默認原則，且 VM 的網路設定 無法正確顯示。 若要修正此問題，請遵循下列步驟：

  在 Windows Admin Center 中， 建立邏輯網路。 在邏輯網路下建立子網，並提供沒有 VLAN 識別碼或子網前綴。 然後，使用下列步驟將 VM 連結至邏輯網路：

  1. 在 [工具] 底下，向下捲動至 [網络] 區域，然後選取 [虛擬機]

  2. 選取 [清查] 索引卷標，選取 VM，然後選取 [設定]。

  3. 在 [ 設定] 頁面上，選取 [ 網络]。

  4. 針對 [隔離模式]，選取 [ 邏輯網络]。

  5. 選取您稍早建立的 邏輯網路 和 邏輯子網 。

     1. 針對 安全性層級，您有兩個選項：

        1. 無保護：如果您不想要 VM 的任何網路存取原則，請選擇此選項。
        2. 使用現有的 NSG：如果您想要為 VM 套用網路存取原則，請選擇此選項。 您可以建立新的NSG並將其連結至 VM，也可以將任何現有的 NSG 連結至 VM。

  

• VM 未套用預設網路原則。 由於此 VM 是在 Windows Admin Center 外部建立，因此不會套用 VM 的默認原則，且 VM 的網路設定 無法正確顯示。 若要修正此問題，請遵循下列步驟：

  在 Windows Admin Center 中， 建立邏輯網路。 在邏輯網路下建立子網，並提供沒有 VLAN 識別碼或子網前綴。 然後，使用下列步驟將 VM 連結至邏輯網路：

  1. 在 [工具] 底下，向下捲動至 [網络] 區域，然後選取 [虛擬機]

  2. 選取 [清查] 索引卷標，選取 VM，然後選取 [設定]。

  3. 在 [ 設定] 頁面上，選取 [ 網络]。

  4. 針對 [隔離模式]，選取 [ 邏輯網络]。

  5. 選取您稍早建立的 邏輯網路 和 邏輯子網 。

     1. 針對 安全性層級，您有兩個選項：

        1. 無保護：如果您不想要 VM 的任何網路存取原則，請選擇此選項。
        2. 使用現有的 NSG：如果您想要為 VM 套用網路存取原則，請選擇此選項。 您可以建立新的NSG並將其連結至 VM，也可以將任何現有的 NSG 連結至 VM。

  

下一步

深入了解：

• 使用標籤設定網路安全組

• 使用標籤設定網路安全組