IP-csoportok az Azure tűzfalban

Az IP-csoportok lehetővé teszik az Azure Firewall-szabályok IP-címeinek csoportosítását és kezelését az alábbi módokon:

• Forráscímként a DNAT-szabályokban
• Forrás- vagy célcímként a hálózati szabályokban
• Forráscímként az alkalmazásszabályokban

Egy IP-csoport egyetlen IP-címmel, több IP-címmel, egy vagy több IP-címtartománysal vagy címmel és tartománysal rendelkezhet.

Az IP-csoportok újra felhasználhatók az Azure Firewall DNST-, hálózati és alkalmazásszabályaiban több különböző régióban és előfizetésben található tűzfalhoz az Azure-ban. A csoportneveknek egyedinek kell lenniük. Az IP-csoportokat az Azure Portalon, az Azure CLI-ben vagy a REST API-ban konfigurálhatja. A rendszer egy mintasablont biztosít az első lépésekhez.

Minták formátuma

Az alábbi IPv4-címformátum-példák érvényesek az IP-csoportokban való használatra:

• Egyetlen cím: 10.0.0.0
• CIDR-jelölés: 10.1.0.0/32
• Címtartomány: 10.2.0.0-10.2.0.31

IP-csoport létrehozása

Az IP-csoport az Azure Portal, az Azure CLI vagy a REST API használatával hozható létre. További információ: IP-csoport létrehozása.

Ip-csoportok tallózása

1. Az Azure Portal keresősávjában írja be az IP-csoportokat , és válassza ki. Megtekintheti az IP-csoportok listáját, vagy választhatja a Hozzáadás lehetőséget egy új IP-csoport létrehozásához.

2. Válasszon ki egy IP-csoportot az áttekintési lap megnyitásához. Szerkesztheti, hozzáadhatja vagy törölheti az IP-címeket vagy IP-csoportokat.

   

IP-csoport kezelése

Az IP-csoportban lévő összes IP-cím, valamint a hozzá társított szabályok vagy erőforrások láthatók. Ip-csoport törléséhez először el kell bontania az IP-csoportot az azt használó erőforrástól.

1. Az IP-címek megtekintéséhez vagy szerkesztéséhez válassza ki az IP-címeket a bal oldali panel Gépház alatt.
2. Egy vagy több IP-cím hozzáadásához válassza az IP-címek hozzáadása lehetőséget. Ekkor megnyílik a Feltöltés húzása vagy tallózás lapja, vagy manuálisan is megadhatja a címet.
3. Az IP-címek szerkesztéséhez vagy törléséhez kattintson a jobb oldalon található három pontra (...). Több IP-cím szerkesztéséhez vagy törléséhez jelölje ki a mezőket, és válassza a Felül található Szerkesztés vagy Törlés lehetőséget.
4. Végül exportálhatja a fájlt CSV fájlformátumban.

Megjegyzés:

Ha egy IP-csoportban az összes IP-címet törli, amíg az még használatban van egy szabályban, a szabály kimarad.

IP-csoport használata

Most már kiválaszthatja az IP-csoportot forrástípusként vagy céltípusként az IP-cím(ek)hez az Azure Firewall DNST-, alkalmazás- vagy hálózati szabályainak létrehozásakor.

Párhuzamos IP-csoportfrissítések (előzetes verzió)

Mostantól egyszerre több IP-csoportot is frissíthet párhuzamosan. Ez különösen hasznos azoknak a rendszergazdáknak, akik gyorsabban és nagy léptékben szeretnék elvégezni a konfigurációs módosításokat, különösen akkor, ha a módosításokat fejlesztői műveleti megközelítéssel (sablonok, ARM, CLI és Azure PowerShell) hajtják végre.

Ezzel a támogatással most a következőt teheti:

• 20 IP-csoport frissítése egyszerre
• A tűzfal- és tűzfalszabályzat frissítése az IP-csoport frissítése során
• Ugyanazt az IP-csoportot használja a szülő- és gyermekszabályzatban
• Egyszerre több, tűzfalszabályzat vagy klasszikus tűzfal által hivatkozott IP-csoport frissítése
• Új és továbbfejlesztett hibaüzenetek fogadása

  • Sikertelen és sikeres állapotok

    Ha például egy IP-csoport frissítése 20 párhuzamos frissítésből egy hibát jelez, a többi frissítés folytatódik, és a hibás IP-csoport meghiúsul. Ha az IP-csoport frissítése sikertelen, és a tűzfal továbbra is kifogástalan állapotban van, a tűzfal sikeres állapotban marad. Annak ellenőrzéséhez, hogy az IP-csoport frissítése sikertelen vagy sikeres volt-e, megtekintheti az IP-csoport erőforrásának állapotát.

A párhuzamos IP-csoport támogatásának aktiválásához regisztrálhatja a funkciót az Azure PowerShell vagy az Azure Portal használatával.

Azure PowerShell

Használja a következő Azure PowerShell-parancsokat:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

A hatás érvénybe lépése több percet is igénybe vehet. Miután a szolgáltatás teljesen regisztrálva lett, fontolja meg egy frissítés végrehajtását az Azure Firewallon, hogy a módosítás azonnal érvénybe lépjen.

Azure Portal

1. Navigáljon az Előzetes verziójú funkciókhoz az Azure Portalon.
2. Az AzureFirewallParallelIPGroupUpdate keresése és regisztrálása.
3. Győződjön meg arról, hogy a funkció engedélyezve van.

Region availability

Az IP-csoportok minden nyilvános felhőrégióban elérhetők.

IP-címkorlátok

Az IP-csoport korlátait az Azure-előfizetések és -szolgáltatások korlátai, kvótái és korlátozásai című témakörben talál .

Kapcsolódó Azure PowerShell-parancsmagok

Az IP-csoportok létrehozásához és kezeléséhez az alábbi Azure PowerShell-parancsmagok használhatók:

• New-AzIpGroup
• Remove-AzIPGroup
• Get-AzIpGroup
• Set-AzIpGroup
• New-AzFirewallNetworkRule
• New-AzFirewallApplicationRule
• New-AzFirewallNatRule

További lépések

• Megtudhatja, hogyan helyezhet üzembe és konfigurálhat Azure Firewallt.