Déployer un pare-feu Azure avec plusieurs adresses IP publiques à l’aide d’Azure PowerShell
Cette fonctionnalité donne accès aux scénarios suivants :
- DNAT -Vous pouvez traduire plusieurs instances de ports standard vers vos serveurs principaux. Par exemple, si vous avez deux adresses IP publiques, vous pouvez traduire le port TCP 3389 (RDP) pour ces deux adresses IP.
- SNAT - Des ports supplémentaires sont disponibles pour les connexions SNAT sortantes, réduisant ainsi le risque de pénurie de ports SNAT. Pare-feu Azure sélectionne aléatoirement l’adresse IP publique source à utiliser pour une connexion. Si votre réseau est doté d’un filtrage en aval, vous devez autoriser toutes les adresses IP publiques associées à votre pare-feu. Envisagez d’utiliser un préfixe d’adresse IP publique pour simplifier cette configuration.
Le Pare-feu Azure avec plusieurs adresses IP publiques est disponible par le biais du portail Azure, d’Azure PowerShell, d’Azure CLI, de REST et des modèles.
Vous pouvez déployer un pare-feu Azure avec un maximum de 250 adresses IP publiques, mais les règles de destination DNAT sont également incluses dans les 250.
IP publiques + règle de destination DNAT = 250 max.
Les exemples de Azure PowerShell suivants montrent comment vous pouvez configurer, ajouter et supprimer des adresses IP publiques pour le Pare-feu Azure.
Notes
Vous ne pouvez pas supprimer la configuration IP de la page de configuration de l’adresse IP publique du Pare-feu Azure. Si vous souhaitez modifier l’adresse IP, vous pouvez utiliser Azure PowerShell.
Créer un pare-feu avec deux ou plusieurs adresses IP publiques
Cet exemple crée un pare-feu associé au réseau virtuel vnet avec deux adresses IP publiques.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Ajouter une adresse IP publique à un pare-feu existant
Dans cet exemple, l’adresse IP publique azFwPublicIp1 est associée au pare-feu.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Supprimer une adresse IP publique d’un pare-feu existant
Dans cet exemple, l’adresse IP publique azFwPublicIp1 est dissociée du pare-feu.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall