Настройка брандмауэра Hyper-V
Начиная с Windows 11 версии 22H2 брандмауэр Hyper-V — это решение сетевого брандмауэра, которое позволяет фильтровать входящий и исходящий трафик в контейнеры, размещенные в Windows, включая подсистема Windows для Linux (WSL).
В этой статье описывается настройка правил и параметров брандмауэра Hyper-V с помощью PowerShell или поставщика служб конфигурации (CSP).
Важно.
Конфигурация брандмауэра Hyper-V недоступна через групповую политику (GPO). Если параметры брандмауэра Windows настраиваются с помощью объекта групповой политики, а параметры брандмауэра Hyper-V не настраиваются через CSP, применимые правила и параметры автоматически отражаются из конфигурации объекта групповой политики.
Настройка брандмауэра Hyper-V с помощью PowerShell
В этом разделе описаны действия по управлению брандмауэром Hyper-V с помощью PowerShell.
Получение идентификатора GUID WSL
Правила брандмауэра Hyper-V включены для каждого VMCreatorId. Чтобы получить VMCreatorId, используйте командлет :
Get-NetFirewallHyperVVMCreator
Выходные данные содержат тип объекта VmCreator с уникальным идентификатором VMCreatorId и friendly name свойствами. Например, в следующих выходных данных показаны свойства WSL:
PS C:\> Get-NetFirewallHyperVVMCreator
VMCreatorId : {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}
FriendlyName : WSL
Примечание.
WSL VMCreatorId имеет значение {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}.
Проверка параметров брандмауэра Hyper-V
Брандмауэр Hyper-V имеет параметры, которые обычно применяются к VMCreatorId. Используйте командлет Get-NetFirewallHyperVVMSetting для проверка параметров. Например, можно получить политики, применяемые к WSL, с помощью команды :
Get-NetFirewallHyperVVMSetting -PolicyStore ActiveStore -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Примечание.
-PolicyStore ActiveStore возвращает примененные параметры.
Выходные данные содержат следующие значения:
| Значение | Описание |
|---|---|
Enabled (True/False) |
Значение true, если брандмауэр Hyper-V включен для виртуальных машин WSL. |
DefaultInboundAction, DefaultOutboundAction |
Это политики правил по умолчанию, применяемые к пакетам, входящим или выходящим из контейнера WSL. Политики правил можно изменить, как описано в этой статье. |
LoopbackEnabled |
Отслеживает, разрешен ли трафик замыкания на себя между узлом и контейнером, не требуя каких-либо правил брандмауэра Hyper-V. WSL включает его по умолчанию, чтобы узел Windows взаимодействовал с WSL, а WSL — взаимодействовать с узлом Windows. |
AllowHostPolicyMerge |
Определяет взаимодействие корпоративных параметров брандмауэра узла Windows, корпоративных параметров брандмауэра Hyper-V , корпоративных параметров брандмауэра Windows (CSP), локальных параметров брандмауэра Hyper-V и локальных параметров брандмауэра узла. Этот параметр подробно описан с помощью командлета Set-NetFirewallHyperVVMSetting . |
Настройка параметров брандмауэра Hyper-V
Чтобы настроить брандмауэр Hyper-V, используйте команду Set-NetFirewallHyperVVMSetting . Например, следующая команда задает для входящего подключения по умолчанию значение Разрешить:
Set-NetFirewallHyperVVMSetting -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -DefaultInboundAction Allow
Правила брандмауэра
Правила брандмауэра Hyper-V можно перечислить и создать с помощью PowerShell. Для просмотра правил используйте командлет Get-NetFirewallHyperVRule . Например, чтобы просмотреть правила брандмауэра, относящиеся только к WSL, используйте следующую команду:
Get-NetFirewallHyperVRule -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Чтобы настроить определенные правила, используйте командлет Set-NetFirewallHyperVRule .
Например, чтобы создать правило для входящего трафика, разрешающего трафик TCP в WSL через порт 80, используйте следующую команду:
New-NetFirewallHyperVRule -Name MyWebServer -DisplayName "My Web Server" -Direction Inbound -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -Protocol TCP -LocalPorts 80
Назначение правил и параметров брандмауэра Hyper-V для определенных профилей
Правила и параметры брандмауэра Hyper-V могут быть предназначены для профилей брандмауэра, которые зависят от типа сети, к которой подключено устройство:
- Общедоступный профиль
- Частный профиль
- Профиль домена
Параметры политики похожи на описанные выше, но применяются к определенным профилям для подключенного сетевого адаптера узла Windows.
Чтобы просмотреть параметры для профиля, используйте следующую команду:
Get-NetFirewallHyperVProfile -PolicyStore ActiveStore
Примечание.
-PolicyStore ActiveStore возвращает примененные параметры.
Выходные данные содержат дополнительное значение по сравнению с теми, которые описаны в предыдущем разделе:
| Значение | Описание |
|---|---|
AllowLocalFirewallRules (True/False) |
Этот параметр определяет, как корпоративные правила брандмауэра Hyper-V (CSP или GPO) взаимодействуют с локально определенными правилами брандмауэра Hyper-V: — если значение равно True, применяются как корпоративные правила брандмауэра Hyper-V, так и локально определенные правила. — если значение равно False, локально определенные правила брандмауэра Hyper-V не применяются, и применяются только корпоративные правила. |
Примечание.
Чтобы настроить эти параметры для профиля, используйте командлет Set-NetFirewallHyperVProfile .
Настройка этих правил для профиля с помощью командлета Set-NetFirewallHyperVRule с параметром -Profile .
Настройка брандмауэра Hyper-V с CSP
Брандмауэр Hyper-V можно настроить с помощью брандмауэра CSP, например с помощью решения MDM, например Microsoft Intune.
Чтобы узнать больше о параметрах CSP, перейдите по следующим ссылкам:
- Настройка параметров брандмауэра Hyper-V: настройка параметров брандмауэра Hyper-V
- Настройка правил брандмауэра Hyper-V: настройка списка правил, управляющих трафиком через брандмауэр Hyper-V.
Сведения о настройке брандмауэра с Microsoft Intune см. в статье Политика брандмауэра для безопасности конечных точек.
Предоставление отзывов
Чтобы предоставить отзыв о брандмауэре Hyper-V, откройте Центр отзывов и используйте категорию Безопасность и конфиденциальность > Microsoft Defender Брандмауэр и защита сети.