Управление общедоступным IP-адресом с помощью Брандмауэр Azure
В этой статье вы узнаете, как управлять общедоступными IP-адресами для Брандмауэр Azure с помощью портал Azure. Вы узнаете, как создать Брандмауэр Azure с помощью существующего общедоступного IP-адреса в подписке, изменить конфигурацию IP-адресов и, наконец, добавить IP-конфигурацию в брандмауэр.
Брандмауэр Azure — это облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Для настройки Брандмауэра Azure необходимо настроить хотя бы один общедоступный статический IP-адрес. Этот IP-адрес или набор IP-адресов является внешней точкой подключения к брандмауэру.
Брандмауэр Azure поддерживает общедоступные IP-адреса SKU уровня "Стандартный". Общедоступный IP-адрес номера SKU "Базовый" и префикс общедоступного IP-адреса не поддерживаются.
Необходимые компоненты
- Учетная запись Azure с активной подпиской. Создайте ее бесплатно.
- Три общедоступных IP-адреса SKU уровня "Стандартный", которые не связаны с ресурсами. Дополнительные сведения о создании общедоступного IP-адреса SKU уровня "Стандартный" см. в кратком руководстве по созданию общедоступного IP-адреса с помощью портал Azure.
- В целях примеров в этой статье создайте три новых общедоступных IP-адреса: myStandardPublicIP-1, myStandardPublicIP-2 и myStandardPublicIP-3.
Создание брандмауэра Azure с существующим общедоступным IP-адресом
В этом разделе описано, как создать брандмауэр Azure. Используйте первый IP-адрес, созданный в предварительных требованиях, в качестве общедоступного IP-адреса для брандмауэра.
В портал Azure найдите и выберите брандмауэры.
На странице "Брандмауэры" нажмите кнопку "Создать".
В поле Create firewall (Создать брандмауэр) введите или выберите следующие сведения.
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку. Группа ресурсов Создайте новую группу ресурсов с именем myResourceGroupFW. Сведения об экземпляре Имя. Введите myFirewall. Область/регион Выберите Западная часть США 2. Availability zone Оставьте значение по умолчанию Нет. Номер SKU брандмауэра Выберите Стандартное. Управление брандмауэром Оставьте значение по умолчанию Use a Firewall Policy to manage this firewall (Использование политики брандмауэра для управления им). Политика брандмауэра Создайте новую политику брандмауэра с именем myFirewallPolicy в западной части США 2 и задайте для уровня "Стандартный". Выберите виртуальную сеть Оставьте значение по умолчанию create new. имя виртуальной сети; Введите myVNet. Пространство адресов Введите 10.0.0.0/16. Адресное пространство подсети Введите 10.0.0.0/26. Общедоступный IP-адрес Выберите myStandardPublicIP-1 или общедоступный IP-адрес. Принудительное туннелирование Оставьте значение по умолчанию Отключено. Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
На следующем рисунке показана страница создания брандмауэра с примерами сведений.
Изменение общедоступного IP-адреса брандмауэра
В этом разделе вы измените общедоступный IP-адрес, связанный с брандмауэром. Брандмауэр должен иметь по крайней мере один общедоступный IP-адрес, связанный с его конфигурацией. Невозможно обновить IP-адрес, если существующий IP-адрес брандмауэра имеет правила преобразования сетевых адресов назначения (DNAT).
На портале Azure найдите и выберите Брандмауэры.
На странице "Брандмауэры" выберите myFirewall.
На странице myFirewall перейдите к параметрам и выберите конфигурацию общедоступного IP-адреса.
В конфигурации общедоступного IP-адреса выберите myStandardPublicIP-1.
Выберите раскрывающийся список общедоступных IP-адресов и выберите myStandardPublicIP-2.
Выберите Сохранить.
Добавление конфигурации общедоступного IP-адреса в брандмауэр
В этом разделе описана настройка общедоступного IP-адреса для Брандмауэр Azure. Дополнительные сведения о нескольких IP-адресах см. в разделе "Несколько общедоступных IP-адресов".
На портале Azure найдите и выберите Брандмауэры.
На странице "Брандмауэры" выберите myFirewall.
На странице myFirewall перейдите к параметрам и выберите конфигурацию общедоступного IP-адреса.
Выберите " Добавить общедоступную IP-конфигурацию".
В поле "Имя" введите myNewPublicIPconfig.
В общедоступном IP-адресе выберите myStandardPublicIP-3.
Выберите Добавить.
Расширенная конфигурация
В этом примере выполняется простое развертывание Брандмауэр Azure. Дополнительные сведения о настройке и настройке см. в руководстве по развертыванию и настройке Брандмауэр Azure и политике с помощью портал Azure. При сопоставлении с несколькими общедоступными IP-адресами Брандмауэр Azure случайным образом выбирает первый исходный общедоступный IP-адрес для исходящего подключения и использует только следующий доступный общедоступный IP-адрес после отсутствия дополнительных подключений из текущего общедоступного IP-адреса из-за нехватки портов SNAT. Шлюз преобразования сетевых адресов (NAT) можно связать с подсетью брандмауэра, чтобы расширить масштабируемость преобразования сетевых адресов источника (SNAT). В этой конфигурации весь исходящий трафик использует общедоступный IP-адрес или адреса шлюза NAT. Дополнительные сведения см. в статье Масштабирование портов SNAT с помощью NAT виртуальных сетей Azure.
Примечание.
. Вместо этого рекомендуется использовать [шлюз NAT] для обеспечения динамической масштабируемости исходящего подключения. Протоколы, отличные от протокола TCP и протокола пользовательской диаграммы данных (UDP) в правилах сетевого фильтра, не поддерживаются для SNAT на общедоступный IP-адрес брандмауэра. Брандмауэр Azure можно интегрировать с подсистемой балансировки нагрузки SKU уровня "Стандартный" для защиты ресурсов внутреннего пула. Если брандмауэр связывается с общедоступной подсистемой балансировки нагрузки, настройте передачу входящего трафика на общедоступный IP-адрес брандмауэра. Настройка исходящего трафика через пользовательский маршрут к общедоступному IP-адресу брандмауэра. Дополнительные сведения и инструкции по установке см. в статье Интеграция брандмауэра Azure с Azure Load Balancer (цен. категория "Стандартный").
Следующие шаги
Из этой статьи вы узнали, как создать брандмауэр Azure и использовать существующий общедоступный IP-адрес. Вы изменили общедоступный IP-адрес IP-конфигурации по умолчанию. Наконец, вы добавили общедоступную IP-конфигурацию в брандмауэр.
- Дополнительные сведения об общедоступных IP-адресах в Azure см. в статье Общедоступные IP-адреса.
- Дополнительные сведения о Брандмауэр Azure см. в статье "Что такое Брандмауэр Azure?"