Distribuera en Azure Firewall med flera offentliga IP-adresser med hjälp av Azure PowerShell

Den här funktionen aktiverar följande scenarier:

• DNAT – Du kan översätta flera standardportinstanser till dina serverdelsservrar. Om du till exempel har två offentliga IP-adresser kan du översätta TCP-port 3389 (RDP) för båda IP-adresserna.
• SNAT – Ytterligare portar är tillgängliga för utgående SNAT-anslutningar, vilket minskar risken för SNAT-portöverbelastning. Azure Firewall väljer slumpmässigt den offentliga käll-IP-adress som ska användas för en anslutning. Om du har filtrering nedströms i nätverket måste du tillåta alla offentliga IP-adresser som är associerade med brandväggen. Överväg att använda ett offentligt IP-adressprefix för att förenkla den här konfigurationen.

Azure Firewall med flera offentliga IP-adresser är tillgängligt via Azure-portalen, Azure PowerShell, Azure CLI, REST och mallar.
Du kan distribuera en Azure Firewall med upp till 250 offentliga IP-adresser, men DNAT-målregler räknas också mot maxgränsen på 250. Offentliga IP-adresser + DNAT-målregel = max 250.

Följande Azure PowerShell-exempel visar hur du kan konfigurera, lägga till och ta bort offentliga IP-adresser för Azure Firewall.

Kommentar

Du kan inte ta bort den första ipConfigurationen från konfigurationssidan för offentliga IP-adresser i Azure Firewall. Om du vill ändra IP-adressen kan du använda Azure PowerShell.

Skapa en brandvägg med två eller flera offentliga IP-adresser

I det här exemplet skapas en brandvägg som är kopplad till det virtuella nätverkets virtuella nätverk med två offentliga IP-adresser.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Lägga till en offentlig IP-adress i en befintlig brandvägg

I det här exemplet är den offentliga IP-adressen azFwPublicIp1 kopplad till brandväggen.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Ta bort en offentlig IP-adress från en befintlig brandvägg

I det här exemplet kopplas den offentliga IP-adressen azFwPublicIp1 från brandväggen.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Nästa steg

• Snabbstart: Skapa en Azure Firewall med flera offentliga IP-adresser – Resource Manager-mall