Implementar uma Firewall do Azure com vários endereços IP públicos através do Azure PowerShell

Esta funcionalidade permite os seguintes cenários:

  • DNAT - Pode traduzir várias instâncias de porta padrão para os seus servidores backend. Por exemplo, se tiver dois endereços IP públicos, poderá converter a porta TCP 3389 (RDP) para ambos os endereços IP.
  • SNAT - Estão disponíveis portas adicionais para ligações SNAT de saída, reduzindo o potencial de exaustão portuária SNAT. Neste momento, Azure Firewall seleciona aleatoriamente o endereço IP público de origem para utilizar para uma ligação. Se tiver alguma filtragem a jusante na rede, terá de permitir todos os endereços IP públicos associados à firewall. Considere utilizar um prefixo de endereço IP público para simplificar esta configuração.

O Azure Firewall com vários endereços IP públicos está disponível através do portal do Azure, do Azure PowerShell, da CLI do Azure, do REST e dos modelos. Pode implementar um Azure Firewall com um máximo de 250 endereços IP públicos.

Os exemplos Azure PowerShell seguintes mostram como pode configurar, adicionar e remover endereços IP públicos para Azure Firewall.

Nota

Não é possível remover a primeira configuração ipConfiguration da página de configuração de endereço IP Azure Firewall. Se quiser modificar o endereço IP, pode utilizar Azure PowerShell.

Criar uma firewall com dois ou mais endereços IP públicos

Este exemplo cria uma firewall anexada à rede virtual vnet com dois endereços IP públicos.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Adicione um endereço IP público a uma firewall existente

Neste exemplo, o endereço IP público azFwPublicIp1 está ligado à firewall.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Remova um endereço IP público de uma firewall existente

Neste exemplo, o endereço IP público azFwPublicIp1 é separado da firewall.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Passos seguintes