Implementación de una instancia de Azure Firewall con varias direcciones IP públicas mediante Azure PowerShell

Artículo
04/12/2024

Esta característica permite los siguientes escenarios:

DNAT: puede traducir varias instancias de puerto estándar para los servidores back-end. Por ejemplo, si tiene dos direcciones IP públicas, puede traducir el puerto TCP 3389 (RDP) para ambas direcciones IP.
SNAT: hay disponibles puertos adicionales para las conexiones SNAT salientes, lo que reduce la posibilidad de que se agoten los puertos SNAT. Azure Firewall selecciona aleatoriamente la primera dirección IP pública de origen que se usará para una conexión y selecciona otra dirección IP pública después de que se hayan agotado los puertos de la primera dirección IP. Si dispone de algún filtro de nivel inferior de la red, deberá permitir todas las direcciones IP públicas asociadas con el firewall. Considere la posibilidad de usar un prefijo de dirección IP pública para simplificar esta configuración.

Azure Firewall con varias direcciones IP públicas está disponible mediante Azure Portal, Azure PowerShell, la CLI de Azure, REST y plantillas.
Puede implementar una instancia de Azure Firewall con hasta 250 direcciones IP públicas, pero las reglas de destino DNAT también contarán hacia el máximo de 250. Direcciones IP públicas + regla de destino DNAT = 250 máx.

Nota

En escenarios con un gran volumen de tráfico y rendimiento, se recomienda usar una NAT Gateway para proporcionar conectividad saliente. Los puertos SNAT se asignan dinámicamente en todas las direcciones IP públicas asociadas a NAT Gateway. Para más información, vea integración de NAT Gateway con Azure Firewall.

En los siguientes ejemplos de Azure PowerShell se muestra cómo puede configurar, agregar y quitar direcciones IP públicas para Azure Firewall.

Importante

No se puede quitar la primera ipConfiguration de la página de configuración de direcciones IP públicas de Azure Firewall. Si quiere modificar la dirección IP, puede usar Azure PowerShell.

Creación de un firewall con dos o más direcciones IP públicas

Este ejemplo crea un firewall asociado a una red virtual vnet con dos direcciones IP públicas.

Azure PowerShell

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Incorporación de una dirección IP pública en un firewall existente

En este ejemplo, la dirección IP pública azFwPublicIp1 se asocia al firewall.

Azure PowerShell

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Eliminación de una dirección IP pública de un firewall existente

En este ejemplo, la dirección IP pública azFwPublicIp1 se desasocia del firewall.

Azure PowerShell

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Pasos siguientes

Inicio rápido: Creación de una instancia de Azure Firewall con varias direcciones IP públicas: plantilla de Resource Manager

Recursos adicionales

Documentación

Intervalos de direcciones IP privadas de SNAT de Azure Firewall

Se pueden configurar los intervalos de direcciones IP para SNAT.
Problemas y limitaciones conocidos de Azure Firewall

Obtenga información sobre los problemas y limitaciones conocidos de Azure Firewall.
Administrar una dirección IP pública mediante Azure Firewall - Azure Virtual Network

Conozca las formas en que se usa una dirección IP pública con Azure Firewall y cómo cambiar la configuración.
Filtrado del tráfico entrante de Internet o intranet con DNAT de Azure Firewall mediante el portal

En este artículo, aprenderá a implementar y configurar la DNAT de Azure Firewall mediante Azure Portal.
Tutorial: Integración de NAT Gateway con Azure Firewall en una red en estrella tipo hub-and-spoke - Azure NAT Gateway

Aprenda a integrar una instancia de NAT Gateway y Azure Firewall en una red en estrella tipo hub-and-spoke.
Tunelización forzada de Azure Firewall

Puede configurar la tunelización forzada para dirigir el tráfico con destino a Internet a otro firewall o aplicación virtual de red para su posterior procesamiento.
Escalado de puertos SNAT con Azure NAT Gateway

Azure Firewall se puede integrar con una puerta de enlace NAT para aumentar los puertos SNAT.

Cursos

Módulo

Introducción a Azure Firewall - Training

Se describe cómo Azure Firewall protege los recursos de Azure Virtual Network, incluidas las características de Azure Firewall, las reglas, las opciones de implementación y la administración con Azure Firewall Manager.

Certificación

Microsoft Certified: Azure Network Engineer Associate - Certifications

Muestre el diseño, la implementación y el mantenimiento de la infraestructura de red de Azure, el tráfico de equilibrio de carga, el enrutamiento de red, etc.

Compartir a través de

Implementación de una instancia de Azure Firewall con varias direcciones IP públicas mediante Azure PowerShell

Creación de un firewall con dos o más direcciones IP públicas

Incorporación de una dirección IP pública en un firewall existente

Eliminación de una dirección IP pública de un firewall existente

Pasos siguientes

Comentarios

Recursos adicionales