通过

在 Azure 本地虚拟机上使用默认网络访问策略

适用于:Azure Local 2311.2 及更高版本

适用于:Windows Server 2025

本文介绍如何启用默认网络访问策略并将其分配给虚拟机 (VM)。

默认网络策略可用于保护虚拟机运行免受外部未经授权的攻击。 这些策略会阻止对虚拟机的所有入站访问(你想要启用的指定管理端口除外),同时允许所有出站访问。 使用这些策略可确保你的工作负荷 VM 只能访问所需的资产,从而使威胁难以横向传播。

注意

在此版本中,可以通过 Windows Admin Center 启用和分配默认网络策略。

先决条件

完成以下先决条件以使用网络访问策略:

  • 你拥有 Windows Server 2025 或更高版本。 有关详细信息,请参阅 Windows Server 入门

  • 你已安装网络控制器。 网络控制器强制执行默认网络策略。 有关详细信息,请参阅如何 安装网络控制器

  • 你有一个逻辑网络或虚拟网络可供使用。 有关详细信息,请参阅如何 创建逻辑网络创建虚拟网络

  • 已存在需要应用策略的 VM。 有关详细信息,请参阅如何使用 Windows Admin Center 管理 VM

  • 你对系统节点和网络控制器具有管理员权限或同等权限。

将默认网络策略分配到 VM

可以通过两种方式将默认策略附加到 VM:

  • 在 VM 创建过程中。 你需要将 VM 连接到逻辑网络(传统 VLAN 网络)或 SDN 虚拟网络。
  • 在创建 VM 后。

创建并附加网络

根据你要将 VM 连接到的网络类型,步骤可能会有所不同。

  • 将 VM 附加到物理网络:创建一个或多个逻辑网络用于表示这些物理网络。 逻辑网络只是 Azure Local 可用的一个或多个物理网络的表示形式。 有关详细信息,请参阅如何 创建逻辑网络

  • 将 VM 附加到 SDN 虚拟网络:在创建 VM 之前创建一个虚拟网络。 有关详细信息,请参阅如何 创建虚拟网络

将 VM 附加到逻辑网络

在 Windows Admin Center 中创建逻辑网络后,可以在 Windows Admin Center 中创建 VM 并将其附加到该逻辑网络。 在创建 VM 过程中,请选择“逻辑网络”作为“隔离模式”,选择“逻辑网络”下的适当“逻辑子网”,并为 VM 提供 IP 地址。

注意

与 Azure Local 版本 22H2 不同,你无法再使用 Windows Admin Center 将 VM 直接连接到 VLAN。 取而代之的是,必须创建一个表示 VLAN 的逻辑网络,创建包含该 VLAN 的逻辑网络子网,然后将 VM 附加到该逻辑网络子网。

注意

你必须创建一个代表 VLAN 的逻辑网络,创建一个具有 VLAN 的逻辑网络子网,然后将 VM 附加到该逻辑网络子网。

以下示例解释了如何在安装网络控制器后将 VM 直接连接到 VLAN。 此示例演示如何将 VM 连接到 VLAN 5:

  1. 使用任意名称创建一个逻辑网络。 确保禁用网络虚拟化。

  2. 使用任意名称添加一个逻辑子网。 创建子网时提供 VLAN ID (5)。

  3. 应用更改。

  4. 创建 VM 时,请将其附加到前面创建的逻辑网络和逻辑网络子网。 有关详细信息,请参阅如何 创建逻辑网络

    显示如何将 VM 直接附加到 VLAN 的屏幕截图。

应用默认网络策略

通过 Windows Admin Center 创建 VM 时,会看到 安全级别 设置。

显示 Windows Admin Center 中 VM 的三个安全级别选项的屏幕截图。

有三个选项:

  • 无保护 - 如果你不想对 VM 强制实施任何网络访问策略,请选择此选项。 选择此选项后,VM 上的所有端口都会公开给外部网络,从而带来安全风险。 不建议使用此选项。

    显示 Windows Admin Center 中为 VM 选择的“无保护”选项的屏幕截图。

  • 打开某些端口 - 选择此选项可以应用默认策略。 默认策略会阻止所有入站访问,并允许所有出站访问。 可以根据需要启用对一个或多个妥善定义的端口(例如 HTTP、HTTPS、SSH 或 RDP)的入站访问。

    显示可在 Windows Admin Center 中创建 VM 期间指定的 VM 上打开的端口的屏幕截图。

  • 使用现有 NSG - 选择此选项可以应用自定义策略。 可以指定已创建的网络安全组 (NSG)。

    显示 Windows Admin Center 中创建 VM 期间选择的现有网络安全组的屏幕截图。

在 Windows Admin Center 外部创建的 VM

在 Windows Admin Center 之外创建 VM 并启用了默认网络访问策略后,你可能会遇到问题。 例如,你已启用默认网络访问策略并使用 Hyper-V UI 或 New-VM PowerShell cmdlet 创建了 VM。

  • VM 可能没有网络连接。 由于 VM 由名为虚拟筛选平台 (VFP) 的 Hyper-V 交换机扩展进行管理,因此默认情况下,连接到 VM 的 Hyper-V 端口处于被阻止状态。

    若要取消阻止该端口,请从 VM 所在的 Hyper-V 主机上的 PowerShell 会话运行以下命令:

    1. 以管理员身份运行 PowerShell。

    2. 下载并安装 SdnDiagnostics 模块。 运行以下命令:

      Install-Module -Name SdnDiagnostics

      或者,如果已经安装,则使用以下命令:

      Update-Module -Name SdnDiagnostics

      接受从 PowerShell Gallery 安装的所有提示。

    3. 确认 VFP 端口是否应用于 VM

      Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>

      确保为适配器返回 VFP 端口配置文件信息。 否则,请继续关联端口配置文件。

    4. 指定要在 VM 上取消阻止的端口。

      Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2

  • VM 未应用默认网络策略。 由于此 VM 是在 Windows Admin Center 外部创建的,因此不会应用默认策略,并且 VM 的“网络设置”不会正确显示。 若要纠正此问题,请执行以下步骤:

    在 Windows Admin Center 中, 创建逻辑网络。 在该逻辑网络下创建一个子网,但不要提供 VLAN ID 或子网前缀。 然后,使用以下步骤将 VM 附加到该逻辑网络:

    1. 在“工具”下,向下滚动到“网络”区域,然后选择“虚拟机”

    2. 选择“清单”选项卡,选择该 VM,然后选择“设置”。

    3. 在“设置”页上,选择“网络”。

    4. 对于“隔离模式”,请选择“逻辑网络”。

    5. 选择前面创建的逻辑网络和逻辑子网。

      1. 对于“安全级别”,有两个选项:

        1. 无保护:如果你不想对 VM 应用任何网络访问策略,请选择此选项。
        2. 使用现有 NSG:如果要对 VM 应用网络访问策略,请选择此选项。 可以创建新的 NSG 并将其附加到 VM,也可以将任何现有 NSG 附加到 VM。

    屏幕截图显示如何启用默认网络到 VLAN。

  • VM 未应用默认网络策略。 由于此 VM 是在 Windows Admin Center 外部创建的,因此不会应用默认策略,并且 VM 的“网络设置”不会正确显示。 若要纠正此问题,请执行以下步骤:

    在 Windows Admin Center 中, 创建逻辑网络。 在该逻辑网络下创建一个子网,但不要提供 VLAN ID 或子网前缀。 然后,使用以下步骤将 VM 附加到该逻辑网络:

    1. 在“工具”下,向下滚动到“网络”区域,然后选择“虚拟机”

    2. 选择“清单”选项卡,选择该 VM,然后选择“设置”。

    3. 在“设置”页上,选择“网络”。

    4. 对于“隔离模式”,请选择“逻辑网络”。

    5. 选择前面创建的逻辑网络和逻辑子网。

      1. 对于“安全级别”,有两个选项:

        1. 无保护:如果你不想对 VM 应用任何网络访问策略,请选择此选项。
        2. 使用现有 NSG:如果要对 VM 应用网络访问策略,请选择此选项。 可以创建新的 NSG 并将其附加到 VM,也可以将任何现有 NSG 附加到 VM。

    屏幕截图显示如何启用默认网络到 VLAN。

后续步骤

了解有关以下方面的详细信息: