Nasazení služby Azure Firewall s několika veřejnými IP adresami pomocí Azure PowerShellu

Tato funkce umožňuje následující scénáře:

• DNAT – Na back-endové servery můžete přeložit několik standardních instancí portů. Například pokud máte dvě veřejné IP adresy, můžete pro obě IP adresy překládat port TCP 3389 (RDP).
• SNAT – Pro odchozí připojení SNAT jsou k dispozici další porty, což snižuje potenciál vyčerpání portů SNAT. Azure Firewall náhodně vybere zdrojovou veřejnou IP adresu, kterou se má použít pro připojení. Pokud ve své síti využíváte následné filtrování, musíte povolit všechny veřejné IP adresy přidružené k vaší bráně firewall. Pokud chcete tuto konfiguraci zjednodušit, zvažte použití předpony veřejné IP adresy.

Služba Azure Firewall s více veřejnými IP adresami je k dispozici prostřednictvím webu Azure Portal, prostředí Azure PowerShell, rozhraní Azure CLI, REST a šablon.
Službu Azure Firewall s až 250 veřejnými IP adresami můžete nasadit, ale cílová pravidla DNAT se také započítávají do maximálního počtu 250. Veřejné IP adresy + cílové pravidlo DNAT = maximálně 250.

Následující příklady Azure PowerShellu ukazují, jak můžete nakonfigurovat, přidat a odebrat veřejné IP adresy pro Azure Firewall.

Poznámka:

První konfiguraci ipConfiguration nemůžete odebrat ze stránky konfigurace veřejné IP adresy služby Azure Firewall. Pokud chcete upravit IP adresu, můžete použít Azure PowerShell.

Vytvoření brány firewall se dvěma nebo více veřejnými IP adresami

Tento příklad vytvoří bránu firewall připojenou k virtuální síti virtuální sítě se dvěma veřejnými IP adresami.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Přidání veřejné IP adresy do existující brány firewall

V tomto příkladu je veřejná IP adresa azFwPublicIp1 připojená k bráně firewall.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Odebrání veřejné IP adresy z existující brány firewall

V tomto příkladu je veřejná IP adresa azFwPublicIp1 odpojena od brány firewall.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Další kroky

• Rychlý start: Vytvoření služby Azure Firewall s několika veřejnými IP adresami – šablona Resource Manageru