Configuración del firewall de Hyper-V
A partir de Windows 11, versión 22H2, el firewall de Hyper-V es una solución de firewall de red que permite filtrar el tráfico entrante y saliente hacia y desde contenedores hospedados por Windows, incluido el Subsistema de Windows para Linux (WSL).
En este artículo se describe cómo configurar reglas y opciones de firewall de Hyper-V mediante PowerShell o el proveedor de servicios de configuración (CSP).
Importante
La configuración del firewall de Hyper-V no está disponible a través de la directiva de grupo (GPO). Si la configuración de Firewall de Windows se configura a través de GPO y la configuración del firewall de Hyper-V no se configura a través de CSP, las reglas y la configuración aplicables se reflejan automáticamente a partir de la configuración del GPO.
Configuración del firewall de Hyper-V con PowerShell
En esta sección se describen los pasos para administrar el firewall de Hyper-V mediante PowerShell.
Obtención del GUID de WSL
Las reglas de firewall de Hyper-V están habilitadas por VMCreatorId. Para obtener vmCreatorId, use el cmdlet :
Get-NetFirewallHyperVVMCreator
La salida contiene un tipo de objeto VmCreator, que tiene identificador VMCreatorId y friendly name propiedades únicos. Por ejemplo, en la salida siguiente se muestran las propiedades de WSL:
PS C:\> Get-NetFirewallHyperVVMCreator
VMCreatorId : {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}
FriendlyName : WSL
Nota
WSL VMCreatorId es {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}.
Comprobación de la configuración del firewall de Hyper-V
El firewall de Hyper-V tiene una configuración que se aplica en general a un VMCreatorId. Use el cmdlet Get-NetFirewallHyperVVMSetting para comprobar la configuración. Por ejemplo, puede obtener las directivas aplicadas a WSL con el comando :
Get-NetFirewallHyperVVMSetting -PolicyStore ActiveStore -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Nota
-PolicyStore ActiveStore devuelve la configuración aplicada .
La salida contiene los siguientes valores:
| Valor | Descripción |
|---|---|
Enabled (True/False) |
True si el firewall de Hyper-V está habilitado para máquinas virtuales WSL. |
DefaultInboundAction, DefaultOutboundAction |
Se trata de directivas de regla predeterminadas aplicadas a los paquetes que entran o salen del contenedor WSL. Las directivas de regla se pueden modificar, como se describe en este artículo. |
LoopbackEnabled |
Realiza un seguimiento de si se permite el tráfico de bucle invertido entre el host y el contenedor, sin necesidad de ninguna regla de firewall de Hyper-V. WSL lo permite de forma predeterminada, para permitir que el host de Windows hable con WSL y WSL para comunicarse con el host de Windows. |
AllowHostPolicyMerge |
Determina cómo interactúan la configuración empresarial (GPO) del firewall de host de Windows, la configuración empresarial (CSP) del firewall de Hyper-V, la configuración de Enterprise Settings (CSP) del Firewall de Host de Windows, la configuración local del firewall de Hyper-V y la configuración local del firewall de host. Esta configuración se detalla con el cmdlet Set-NetFirewallHyperVVMSetting . |
Configuración del firewall de Hyper-V
Para configurar el firewall de Hyper-V, use el comando Set-NetFirewallHyperVVMSetting . Por ejemplo, el siguiente comando establece la conexión entrante predeterminada en Permitir:
Set-NetFirewallHyperVVMSetting -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -DefaultInboundAction Allow
Reglas de firewall
Las reglas de firewall de Hyper-V se pueden enumerar y crear desde PowerShell. Para ver las reglas, use el cmdlet Get-NetFirewallHyperVRule . Por ejemplo, para ver las reglas de firewall que solo pertenecen a WSL, use el siguiente comando:
Get-NetFirewallHyperVRule -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Para configurar reglas específicas, use el cmdlet Set-NetFirewallHyperVRule .
Por ejemplo, para crear una regla de entrada que permita el tráfico TCP a WSL en el puerto 80, use el siguiente comando:
New-NetFirewallHyperVRule -Name MyWebServer -DisplayName "My Web Server" -Direction Inbound -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -Protocol TCP -LocalPorts 80
Configuración y reglas de firewall de Hyper-V de destino a perfiles específicos
Las reglas y la configuración del firewall de Hyper-V se pueden destinar a los perfiles de firewall, que se basan en el tipo de red a la que está conectado el dispositivo:
- Perfil público
- Perfil privado
- Perfil de dominio
Las opciones de directiva son similares a las ya descritas, pero se aplican a perfiles específicos para el adaptador de red host de Windows conectado.
Para ver la configuración por perfil, use el siguiente comando:
Get-NetFirewallHyperVProfile -PolicyStore ActiveStore
Nota
-PolicyStore ActiveStore devuelve la configuración aplicada .
La salida contiene un valor adicional en comparación con los descritos en la sección anterior:
| Valor | Descripción |
|---|---|
AllowLocalFirewallRules (True/False) |
Esta configuración determina cómo interactúan las reglas de firewall de Hyper-V empresariales (CSP o GPO) con las reglas de firewall de Hyper-V definidas localmente: : si el valor es True, se aplican las reglas de firewall de Hyper-V empresariales y las reglas definidas localmente. : si el valor es False, no se aplican las reglas de firewall de Hyper-V definidas localmente y solo se aplican las reglas empresariales. |
Nota
Para configurar estas opciones por perfil, use el cmdlet Set-NetFirewallHyperVProfile .
Para configurar estas reglas por perfil mediante el cmdlet Set-NetFirewallHyperVRule con la -Profile opción .
Configuración del firewall de Hyper-V con CSP
Puede configurar el firewall de Hyper-V mediante el CSP de firewall, por ejemplo, con una solución MDM como Microsoft Intune.
Para más información sobre las opciones de CSP, siga estos vínculos:
- Configuración del firewall de Hyper-V: para configurar los valores de firewall de Hyper-V
- Configuración de reglas de firewall de Hyper-V: para configurar la lista de reglas que controlan el tráfico a través del firewall de Hyper-V
Para obtener información sobre cómo configurar el firewall con Microsoft Intune, consulte Directiva de firewall para la seguridad de los puntos de conexión.
Proporcionar comentarios
Para proporcionar comentarios sobre el firewall de Hyper-V, abra el Centro de comentarios y use la categoría Seguridad y privacidad > Microsoft Defender Firewall y protección de red.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de