Azure Firewall met meerdere openbare IP-adressen implementeren met behulp van Azure PowerShell

Deze functie maakt de volgende scenario's mogelijk:

• DNAT: u kunt meerdere exemplaren van de standaardpoort naar uw back-endservers omzetten. Als u bijvoorbeeld twee openbare IP-adressen hebt, kunt u TCP-poort 3389 (RDP) voor beide IP-adressen omzetten.
• SNAT: er zijn extra poorten beschikbaar voor uitgaande SNAT-verbindingen, waardoor de kans op SNAT-poortuitputting wordt verlaagd. Azure Firewall selecteert willekeurig het eerste openbare IP-adres van de bron dat moet worden gebruikt voor een verbinding en selecteert een ander openbaar IP-adres nadat de poorten van het eerste IP-adres zijn uitgeput. Als u een downstream-filter op uw netwerk hebt, moet u alle openbare IP-adressen toestaan die zijn gekoppeld aan uw firewall. U kunt een openbaar IP-adresvoorvoegsel gebruiken om deze configuratie te vereenvoudigen.

Azure Firewall met meerdere openbare IP-adressen is beschikbaar via de Azure Portal, Azure PowerShell, Azure CLI, REST en sjablonen.
U kunt een Azure Firewall implementeren met maximaal 250 openbare IP-adressen, maar DNAT-doelregels tellen ook mee tot het maximum van 250. Openbare IP's + DNAT-doelregel = maximaal 250.

Notitie

In scenario's met veel verkeer en doorvoer wordt aanbevolen om een NAT-gateway te gebruiken om uitgaande connectiviteit te bieden. SNAT-poorten worden dynamisch toegewezen aan alle openbare IP-adressen die zijn gekoppeld aan NAT Gateway. Zie NAT Gateway integreren met Azure Firewall voor meer informatie.

In de volgende Azure PowerShell-voorbeelden ziet u hoe u openbare IP-adressen voor Azure Firewall kunt configureren, toevoegen en verwijderen.

Belangrijk

U kunt de eerste ipConfiguration niet verwijderen van de configuratiepagina van het openbare IP-adres van Azure Firewall. Als u het IP-adres wilt wijzigen, kunt u Azure PowerShell gebruiken.

Een firewall maken met twee of meer openbare IP-adressen

In dit voorbeeld wordt een firewall gemaakt die is gekoppeld aan het VNet van het virtuele netwerk met twee openbare IP-adressen.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Een openbaar IP-adres toevoegen aan een bestaande firewall

In dit voorbeeld wordt het openbare IP-adres azFwPublicIp1 gekoppeld aan de firewall.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Een openbaar IP-adres verwijderen uit een bestaande firewall

In dit voorbeeld wordt het openbare IP-adres azFwPublicIp1 losgekoppeld van de firewall.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Volgende stappen

• Quickstart: Een Azure Firewall maken met meerdere openbare IP-adressen - Resource Manager-sjabloon