Настройка брандмауэра Hyper-V

  • Статья
  • Применяется к:
    Windows 11

Начиная с Windows 11 версии 22H2 брандмауэр Hyper-V — это решение сетевого брандмауэра, которое позволяет фильтровать входящий и исходящий трафик в контейнеры, размещенные в Windows, включая подсистема Windows для Linux (WSL).
В этой статье описывается настройка правил и параметров брандмауэра Hyper-V с помощью PowerShell или поставщика служб конфигурации (CSP).

Важно.

Конфигурация брандмауэра Hyper-V недоступна через групповую политику (GPO). Если параметры брандмауэра Windows настраиваются с помощью объекта групповой политики, а параметры брандмауэра Hyper-V не настраиваются через CSP, применимые правила и параметры автоматически отражаются из конфигурации объекта групповой политики.

Настройка брандмауэра Hyper-V с помощью PowerShell

В этом разделе описаны действия по управлению брандмауэром Hyper-V с помощью PowerShell.

Получение идентификатора GUID WSL

Правила брандмауэра Hyper-V включены для каждого VMCreatorId. Чтобы получить VMCreatorId, используйте командлет :

Get-NetFirewallHyperVVMCreator

Выходные данные содержат тип объекта VmCreator с уникальным идентификатором VMCreatorId и friendly name свойствами. Например, в следующих выходных данных показаны свойства WSL:

PS C:\> Get-NetFirewallHyperVVMCreator
VMCreatorId : {40E0AC32-46A5-438A-A0B2-2B479E8F2E90} 
FriendlyName : WSL

Примечание.

WSL VMCreatorId имеет значение {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}.

Проверка параметров брандмауэра Hyper-V

Брандмауэр Hyper-V имеет параметры, которые обычно применяются к VMCreatorId. Используйте командлет Get-NetFirewallHyperVVMSetting для проверка параметров. Например, можно получить политики, применяемые к WSL, с помощью команды :

Get-NetFirewallHyperVVMSetting -PolicyStore ActiveStore -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'

Примечание.

-PolicyStore ActiveStore возвращает примененные параметры.

Выходные данные содержат следующие значения:

Значение Описание
Enabled (True/False) Значение true, если брандмауэр Hyper-V включен для виртуальных машин WSL.
DefaultInboundAction, DefaultOutboundAction Это политики правил по умолчанию, применяемые к пакетам, входящим или выходящим из контейнера WSL. Политики правил можно изменить, как описано в этой статье.
LoopbackEnabled Отслеживает, разрешен ли трафик замыкания на себя между узлом и контейнером, не требуя каких-либо правил брандмауэра Hyper-V. WSL включает его по умолчанию, чтобы узел Windows взаимодействовал с WSL, а WSL — взаимодействовать с узлом Windows.
AllowHostPolicyMerge Определяет взаимодействие корпоративных параметров брандмауэра узла Windows, корпоративных параметров брандмауэра Hyper-V , корпоративных параметров брандмауэра Windows (CSP), локальных параметров брандмауэра Hyper-V и локальных параметров брандмауэра узла.
Этот параметр подробно описан с помощью командлета Set-NetFirewallHyperVVMSetting .

Настройка параметров брандмауэра Hyper-V

Чтобы настроить брандмауэр Hyper-V, используйте команду Set-NetFirewallHyperVVMSetting . Например, следующая команда задает для входящего подключения по умолчанию значение Разрешить:

Set-NetFirewallHyperVVMSetting -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -DefaultInboundAction Allow

Правила брандмауэра

Правила брандмауэра Hyper-V можно перечислить и создать с помощью PowerShell. Для просмотра правил используйте командлет Get-NetFirewallHyperVRule . Например, чтобы просмотреть правила брандмауэра, относящиеся только к WSL, используйте следующую команду:

Get-NetFirewallHyperVRule -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'

Чтобы настроить определенные правила, используйте командлет Set-NetFirewallHyperVRule .

Например, чтобы создать правило для входящего трафика, разрешающего трафик TCP в WSL через порт 80, используйте следующую команду:

New-NetFirewallHyperVRule -Name MyWebServer -DisplayName "My Web Server" -Direction Inbound -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -Protocol TCP -LocalPorts 80

Назначение правил и параметров брандмауэра Hyper-V для определенных профилей

Правила и параметры брандмауэра Hyper-V могут быть предназначены для профилей брандмауэра, которые зависят от типа сети, к которой подключено устройство:

  • Общедоступный профиль
  • Частный профиль
  • Профиль домена

Параметры политики похожи на описанные выше, но применяются к определенным профилям для подключенного сетевого адаптера узла Windows.

Чтобы просмотреть параметры для профиля, используйте следующую команду:

Get-NetFirewallHyperVProfile -PolicyStore ActiveStore

Примечание.

-PolicyStore ActiveStore возвращает примененные параметры.

Выходные данные содержат дополнительное значение по сравнению с теми, которые описаны в предыдущем разделе:

Значение Описание
AllowLocalFirewallRules (True/False) Этот параметр определяет, как корпоративные правила брандмауэра Hyper-V (CSP или GPO) взаимодействуют с локально определенными правилами брандмауэра Hyper-V:
— если значение равно True, применяются как корпоративные правила брандмауэра Hyper-V, так и локально определенные правила.
— если значение равно False, локально определенные правила брандмауэра Hyper-V не применяются, и применяются только корпоративные правила.

Примечание.

Чтобы настроить эти параметры для профиля, используйте командлет Set-NetFirewallHyperVProfile .

Настройка этих правил для профиля с помощью командлета Set-NetFirewallHyperVRule с параметром -Profile .

Настройка брандмауэра Hyper-V с CSP

Брандмауэр Hyper-V можно настроить с помощью брандмауэра CSP, например с помощью решения MDM, например Microsoft Intune.

Чтобы узнать больше о параметрах CSP, перейдите по следующим ссылкам:

Сведения о настройке брандмауэра с Microsoft Intune см. в статье Политика брандмауэра для безопасности конечных точек.

Предоставление отзывов

Чтобы предоставить отзыв о брандмауэре Hyper-V, откройте Центр отзывов и используйте категорию Безопасность и конфиденциальность > Microsoft Defender Брандмауэр и защита сети.