IP-groepen in Azure Firewall

Met IP-groepen kunt u OP de volgende manieren IP-adressen voor Azure Firewall-regels groeperen en beheren:

• Als bronadres in DNAT-regels
• Als bron- of doeladres in netwerkregels
• Als bronadres in toepassingsregels

Een IP-groep kan één IP-adres, meerdere IP-adressen, een of meer IP-adresbereiken of -adressen en bereiken in combinatie hebben.

IP-groepen kunnen opnieuw worden gebruikt in Azure Firewall DNAT-, netwerk- en toepassingsregels voor meerdere firewalls in regio's en abonnementen in Azure. Groepsnamen moeten uniek zijn. U kunt een IP-groep configureren in Azure Portal, Azure CLI of REST API. Er is een voorbeeldsjabloon beschikbaar om u te helpen aan de slag te gaan.

Sample-indeling

De volgende voorbeelden van IPv4-adresindeling zijn geldig voor gebruik in IP-groepen:

• Eén adres: 10.0.0.0
• CIDR-notatie: 10.1.0.0/32
• Adresbereik: 10.2.0.0-10.2.0.31

Een IP-groep maken

U kunt een IP-groep maken met behulp van de Azure-portal, Azure CLI of REST API. Zie Een IP-groep maken voor meer informatie.

Door IP-groepen bladeren

1. Typ IP-groepen in de zoekbalk van Azure Portal en selecteer deze. U kunt de lijst met IP-groepen bekijken of u kunt Toevoegen selecteren om een nieuwe IP-groep te maken.

2. Selecteer een IP-groep om de overzichtspagina te openen. U kunt IP-adressen of IP-groepen bewerken, toevoegen of verwijderen.

   

Een IP-groep beheren

U ziet alle IP-adressen in de IP-groep en de regels of resources die eraan zijn gekoppeld. Als u een IP-groep wilt verwijderen, moet u eerst de IP-groep loskoppelen van de resource die deze gebruikt.

1. Als u de IP-adressen wilt weergeven of bewerken, selecteert u IP-adressen onder Instellingen in het linkerdeelvenster.
2. Als u één of meerdere IP-adressen wilt toevoegen, selecteert u IP-adressen toevoegen. Hiermee opent u de pagina Slepen of Bladeren voor een upload of kunt u het adres handmatig invoeren.
3. Als u het beletselteken (...) aan de rechterkant selecteert om IP-adressen te bewerken of te verwijderen. Als u meerdere IP-adressen wilt bewerken of verwijderen, selecteert u de vakken en selecteert u Bovenaan Bewerken of Verwijderen .
4. Ten slotte kunt u het bestand exporteren in de CSV-bestandsindeling.

Notitie

Als u alle IP-adressen in een IP-groep verwijdert terwijl deze nog in gebruik is in een regel, wordt die regel overgeslagen.

Een IP-groep gebruiken

U kunt nu IP-groep selecteren als brontype of doeltype voor de IP-adressen wanneer u Azure Firewall DNAT, toepassings- of netwerkregels maakt.

Parallelle updates voor IP-groepen (preview)

U kunt nu meerdere IP-groepen tegelijkertijd bijwerken. Dit is met name handig voor beheerders die configuratiewijzigingen sneller en op schaal willen aanbrengen, met name bij het aanbrengen van deze wijzigingen met behulp van een dev ops-benadering (sjablonen, ARM, CLI en Azure PowerShell).

Met deze ondersteuning kunt u nu:

• 20 IP-groepen tegelijk bijwerken
• De firewall- en firewallbeleid bijwerken tijdens updates van IP-groepen
• Dezelfde IP-groep gebruiken in het bovenliggende en onderliggende beleid
• Meerdere IP-groepen waarnaar wordt verwezen door firewallbeleid of klassieke firewall tegelijkertijd bijwerken
• Nieuwe en verbeterde foutberichten ontvangen

  • Statussen mislukken en slagen

    Als er bijvoorbeeld een fout optreedt bij een update van één IP-groep van 20 parallelle updates, worden de andere updates voortgezet en mislukt de fout in de IP-groep. Als de update van de IP-groep mislukt en de firewall nog steeds in orde is, blijft de firewall bovendien de status Geslaagd . Als u wilt controleren of de update van de IP-groep is mislukt of geslaagd, kunt u de status van de IP-groepresource bekijken.

Als u ondersteuning voor parallelle IP-groepen wilt activeren, kunt u de functie registreren met behulp van Azure PowerShell of Azure Portal.

Azure PowerShell

Gebruik de volgende Azure PowerShell-opdrachten:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Het kan enkele minuten duren voordat dit van kracht wordt. Zodra de functie volledig is geregistreerd, kunt u overwegen om een update uit te voeren op Azure Firewall om de wijziging onmiddellijk van kracht te laten worden.

Azure Portal

1. Navigeer naar Preview-functies in Azure Portal.
2. Zoek en registreer AzureFirewallParallelIPGroupUpdate.
3. Zorg ervoor dat de functie is ingeschakeld.

Regionale beschikbaarheid

IP-groepen zijn beschikbaar in alle openbare cloudregio's.

IP-adreslimieten

Zie Azure-abonnements- en servicelimieten, quota en beperkingen voor IP-groepen

Gerelateerde Azure PowerShell-cmdlets

De volgende Azure PowerShell-cmdlets kunnen worden gebruikt voor het maken en beheren van IP-groepen:

• New-AzIpGroup
• Remove-AzIPGroup
• Get-AzIpGroup
• Set-AzIpGroup
• New-AzFirewallNetworkRule
• New-AzFirewallApplicationRule
• New-AzFirewallNatRule

Volgende stappen

• Meer informatie over het implementeren en configureren van een Azure Firewall.