Deze browser wordt niet meer ondersteund.
Upgrade naar Microsoft Edge om te profiteren van de nieuwste functies, beveiligingsupdates en technische ondersteuning.
Notitie
Deze functie werd voorheen Geforceerde tunneling genoemd. Oorspronkelijk was een beheer-NIC alleen vereist voor geforceerde tunneling. Voor bepaalde toekomstige firewallfuncties is echter ook een beheer-NIC vereist, dus deze is losgekoppeld van geforceerde tunneling. Alle relevante documentatie is bijgewerkt om dit weer te geven.
Een NIC voor Azure Firewall Management scheidt firewallbeheerverkeer van klantverkeer. Voor bepaalde toekomstige firewallfuncties is ook een beheer-NIC vereist. Als u een van deze mogelijkheden wilt ondersteunen, moet u een Azure Firewall maken met de firewallbeheer-NIC ingeschakeld of inschakelen op een bestaande Azure Firewall om serviceonderbreking te voorkomen.
Als u een beheer-NIC inschakelt, routeert de firewall het beheerverkeer via het AzureFirewallManagementSubnet (minimale subnetgrootte /26) met het bijbehorende openbare IP-adres. U wijst dit openbare IP-adres toe voor de firewall om verkeer te beheren. Al het verkeer dat is vereist voor operationele firewalldoeleinden, wordt opgenomen in het AzureFirewallManagementSubnet.
Standaard koppelt de service een door het systeem geleverde routetabel aan het subnet Beheer. De enige route die op dit subnet is toegestaan, is een standaardroute naar internet en gatewayroutes doorgeven moet worden uitgeschakeld. Vermijd het koppelen van routetabellen van klanten aan het beheersubnet, omdat dit serviceonderbrekingen kan veroorzaken als deze onjuist zijn geconfigureerd. Als u wel een routetabel koppelt, moet u ervoor zorgen dat deze een standaardroute naar internet heeft om serviceonderbrekingen te voorkomen.
Voor Standard- en Premium-firewallversies moet de firewallbeheer-NIC handmatig worden ingeschakeld tijdens het maken, zoals eerder wordt weergegeven, maar alle basic firewallversies en alle beveiligde hubfirewalls hebben altijd een beheer-NIC ingeschakeld.
Voor een bestaande firewall moet u de firewall stoppen en vervolgens opnieuw opstarten met de firewallbeheer-NIC ingeschakeld om geforceerde tunneling te ondersteunen. Het stoppen/starten van de firewall kan worden gebruikt om de NIC voor firewallbeheer in te schakelen zonder dat u een bestaande firewall hoeft te verwijderen en een nieuwe opnieuw hoeft te implementeren. U moet de firewall altijd starten/stoppen tijdens onderhoudsuren om onderbrekingen te voorkomen, inclusief wanneer u de firewallbeheer-NIC probeert in te schakelen.
Voer de volgende stappen uit:
Maak de AzureFirewallManagementSubnet Azure-portal en gebruik het juiste IP-adresbereik voor het virtuele netwerk.
Maak het nieuwe openbare IP-adres voor beheer met dezelfde eigenschappen als het bestaande openbare IP-adres van de firewall: SKU, laag en locatie.
De firewall stoppen
Gebruik de informatie in De veelgestelde vragen over Azure Firewall om de firewall te stoppen:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
Start de firewall met het openbare IP-adres en subnet voor beheer.
Start een firewall met één openbaar IP-adres en een openbaar IP-adres voor beheer:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, $pip, $mgmtPip)
$azfw | Set-AzFirewall
Start een firewall met twee openbare IP-adressen en een openbaar BEHEER-IP-adres:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
$azfw | Set-AzFirewall
Notitie
U moet een firewall en een openbaar IP-adres opnieuw toewijzen aan de oorspronkelijke resourcegroep en het oorspronkelijke abonnement. Wanneer stoppen/starten wordt uitgevoerd, kan het privé-IP-adres van de firewall worden gewijzigd in een ander IP-adres binnen het subnet. Dit kan van invloed zijn op de connectiviteit van eerder geconfigureerde routetabellen.
Wanneer u nu de firewall in Azure Portal bekijkt, ziet u het toegewezen openbare IP-adres voor beheer:
Notitie
Als u alle andere IP-adresconfiguraties op uw firewall verwijdert, wordt de configuratie van het beheer-IP-adres ook verwijderd en wordt de toewijzing van de firewall ongedaan gemaakt. Het openbare IP-adres dat is toegewezen aan de configuratie van het beheer-IP-adres kan niet worden verwijderd, maar u kunt een ander openbaar IP-adres toewijzen.
Als u liever een nieuwe Azure Firewall implementeert in plaats van de stop-/startmethode, moet u een beheersubnet en beheer-NIC opnemen als onderdeel van uw configuratie.
Belangrijke opmerking
Vereisten
Implementatiestappen
Training
Module
Inleiding tot Azure Firewall - Training
Beschrijf hoe Azure Firewall Azure Virtual Network-resources beveiligt, waaronder de Azure Firewall-functies, regels, implementatieopties en beheer met Azure Firewall Manager.
Certificering
Microsoft Certified: Azure Network Engineer Associate - Certifications
Demonstrate the design, implementation, and maintenance of Azure networking infrastructure, load balancing traffic, network routing, and more.