Управление общедоступным IP-адресом с помощью Брандмауэр Azure

В этой статье вы узнаете, как управлять общедоступными IP-адресами для Брандмауэр Azure с помощью портал Azure. Вы узнаете, как создать Брандмауэр Azure с помощью существующего общедоступного IP-адреса в подписке, изменить конфигурацию IP-адресов и, наконец, добавить IP-конфигурацию в брандмауэр.

Брандмауэр Azure — это облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Для настройки Брандмауэра Azure необходимо настроить хотя бы один общедоступный статический IP-адрес. Этот IP-адрес или набор IP-адресов является внешней точкой подключения к брандмауэру.

Брандмауэр Azure поддерживает общедоступные IP-адреса SKU уровня "Стандартный". Общедоступный IP-адрес номера SKU "Базовый" и префикс общедоступного IP-адреса не поддерживаются.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте ее бесплатно.
• Три общедоступных IP-адреса SKU уровня "Стандартный", которые не связаны с ресурсами. Дополнительные сведения о создании общедоступного IP-адреса SKU уровня "Стандартный" см. в кратком руководстве по созданию общедоступного IP-адреса с помощью портал Azure.
  • В целях примеров в этой статье создайте три новых общедоступных IP-адреса: myStandardPublicIP-1, myStandardPublicIP-2 и myStandardPublicIP-3.

Создание брандмауэра Azure с существующим общедоступным IP-адресом

В этом разделе описано, как создать брандмауэр Azure. Используйте первый IP-адрес, созданный в предварительных требованиях, в качестве общедоступного IP-адреса для брандмауэра.

1. В портал Azure найдите и выберите брандмауэры.

2. На странице "Брандмауэры" нажмите кнопку "Создать".

3. В поле Create firewall (Создать брандмауэр) введите или выберите следующие сведения.

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Создайте новую группу ресурсов с именем myResourceGroupFW.
   Сведения об экземпляре
   Имя.	Введите myFirewall.
   Область/регион	Выберите Западная часть США 2.
   Availability zone	Оставьте значение по умолчанию Нет.
   Номер SKU брандмауэра	Выберите Стандартное.
   Управление брандмауэром	Оставьте значение по умолчанию Use a Firewall Policy to manage this firewall (Использование политики брандмауэра для управления им).
   Политика брандмауэра	Создайте новую политику брандмауэра с именем myFirewallPolicy в западной части США 2 и задайте для уровня "Стандартный".
   Выберите виртуальную сеть	Оставьте значение по умолчанию create new.
   имя виртуальной сети;	Введите myVNet.
   Пространство адресов	Введите 10.0.0.0/16.
   Адресное пространство подсети	Введите 10.0.0.0/26.
   Общедоступный IP-адрес	Выберите myStandardPublicIP-1 или общедоступный IP-адрес.
   Принудительное туннелирование	Оставьте значение по умолчанию Отключено.

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

На следующем рисунке показана страница создания брандмауэра с примерами сведений.

Изменение общедоступного IP-адреса брандмауэра

В этом разделе вы измените общедоступный IP-адрес, связанный с брандмауэром. Брандмауэр должен иметь по крайней мере один общедоступный IP-адрес, связанный с его конфигурацией. Невозможно обновить IP-адрес, если существующий IP-адрес брандмауэра имеет правила преобразования сетевых адресов назначения (DNAT).

1. На портале Azure найдите и выберите Брандмауэры.

2. На странице "Брандмауэры" выберите myFirewall.

3. На странице myFirewall перейдите к параметрам и выберите конфигурацию общедоступного IP-адреса.

4. В конфигурации общедоступного IP-адреса выберите myStandardPublicIP-1.

5. Выберите раскрывающийся список общедоступных IP-адресов и выберите myStandardPublicIP-2.

   

6. Выберите Сохранить.

Добавление конфигурации общедоступного IP-адреса в брандмауэр

В этом разделе описана настройка общедоступного IP-адреса для Брандмауэр Azure. Дополнительные сведения о нескольких IP-адресах см. в разделе "Несколько общедоступных IP-адресов".

1. На портале Azure найдите и выберите Брандмауэры.

2. На странице "Брандмауэры" выберите myFirewall.

3. На странице myFirewall перейдите к параметрам и выберите конфигурацию общедоступного IP-адреса.

4. Выберите " Добавить общедоступную IP-конфигурацию".

5. В поле "Имя" введите myNewPublicIPconfig.

6. В общедоступном IP-адресе выберите myStandardPublicIP-3.

   

7. Выберите Добавить.

Расширенная конфигурация

В этом примере выполняется простое развертывание Брандмауэр Azure. Дополнительные сведения о настройке и настройке см. в руководстве по развертыванию и настройке Брандмауэр Azure и политике с помощью портал Azure. При сопоставлении с несколькими общедоступными IP-адресами Брандмауэр Azure случайным образом выбирает первый исходный общедоступный IP-адрес для исходящего подключения и использует только следующий доступный общедоступный IP-адрес после отсутствия дополнительных подключений из текущего общедоступного IP-адреса из-за нехватки портов SNAT. Шлюз преобразования сетевых адресов (NAT) можно связать с подсетью брандмауэра, чтобы расширить масштабируемость преобразования сетевых адресов источника (SNAT). В этой конфигурации весь исходящий трафик использует общедоступный IP-адрес или адреса шлюза NAT. Дополнительные сведения см. в статье Масштабирование портов SNAT с помощью NAT виртуальных сетей Azure.

Примечание.

. Вместо этого рекомендуется использовать [шлюз NAT] для обеспечения динамической масштабируемости исходящего подключения. Протоколы, отличные от протокола TCP и протокола пользовательской диаграммы данных (UDP) в правилах сетевого фильтра, не поддерживаются для SNAT на общедоступный IP-адрес брандмауэра. Брандмауэр Azure можно интегрировать с подсистемой балансировки нагрузки SKU уровня "Стандартный" для защиты ресурсов внутреннего пула. Если брандмауэр связывается с общедоступной подсистемой балансировки нагрузки, настройте передачу входящего трафика на общедоступный IP-адрес брандмауэра. Настройка исходящего трафика через пользовательский маршрут к общедоступному IP-адресу брандмауэра. Дополнительные сведения и инструкции по установке см. в статье Интеграция брандмауэра Azure с Azure Load Balancer (цен. категория "Стандартный").

Следующие шаги

Из этой статьи вы узнали, как создать брандмауэр Azure и использовать существующий общедоступный IP-адрес. Вы изменили общедоступный IP-адрес IP-конфигурации по умолчанию. Наконец, вы добавили общедоступную IP-конфигурацию в брандмауэр.

• Дополнительные сведения об общедоступных IP-адресах в Azure см. в статье Общедоступные IP-адреса.
• Дополнительные сведения о Брандмауэр Azure см. в статье "Что такое Брандмауэр Azure?"