Azure 防火牆中的 IP 群組

IP 群組允許您能用下列方式，來分組和管理 Azure 防火牆原則的 IP 位址：

• 作為 DNAT 規則中的來源位址
• 作為網路規則中的來源或目的地位址
• 作為應用程式規則中的來源位址

IP 群組可以有單一 IP 位址、多個 IP 位址、一或多個 IP 位址範圍或位址與範圍組合。

IP 群組可以針對 Azure 中跨區域和訂閱多個防火牆的 Azure 防火牆 DNAT、網路及應用程式規則來重複使用。 群組名稱不得重複。 您可以在 Azure 入口網站、Azure CLI 或 REST API 中設定 IP 群組。 已提供範例範本來協助您開始使用。

樣本格式

下列 IPv4 位址格式範例適用於 IP 群組：

• 單一位址：10.0.0.0
• CIDR 標記法：10.1.0.0/32
• 位址範圍：10.2.0.0-10.2.0.31

建立 IP 群組

IP 群組可以使用 Azure 入口網站、Azure CLI 或 REST API 來建立。 如需詳細資訊，請參閱 建立 IP 群組。

瀏覽 IP 群組

1. 在 Azure 入口網站搜尋列中，輸入 IP 群組 並加以選取。 您可以看到 IP 群組清單，或者也可以選取 [新增] 來建立新的 IP 群組。

2. 選取 IP 群組以開啟概觀頁面。 您可以編輯、新增或刪除 IP 位址或 IP 群組。

   

管理 IP 群組

您可以看到 IP 群組中的所有 IP 位址，以及與其相關聯的規則或資源。 如果要刪除 IP 群組，您必須先將 IP 群組與使用該群組的資源中斷關聯。

1. 如果要檢視或編輯 IP 位址，請選取左窗格上 [設定] 下方的 [IP 位址]。
2. 如果要新增單一或多個 IP 位址，請選取 [新增 IP 位址]。 此將開啟 [拖曳或瀏覽] 頁面以進行上傳，或者您也可以手動輸入位址。
3. 選取右側的省略符號 (...) 以編輯或刪除 IP 位址。 如果要編輯或刪除多個 IP 位址，請選取對應方塊，然後選取頂端的 [編輯] 或 [刪除]。
4. 最後，可以使用 CSV 檔案格式以匯出檔案。

注意

如果您在 IP 群組仍於規則中使用時刪除其中的所有 IP 位址，則會略過該規則。

使用 IP 群組

您現在可以在建立具有Azure 防火牆 DNAT、應用程式或網路規則的原則時，針對 IP 位址選取 [IP 群組] 作為 [來源類型] 或 [目的地類型]。

平行 IP 群組更新 (預覽)

您現在可以同時平行更新多個 IP 群組。 這很適合想要更快速且大規模地進行設定變更的系統管理員，特別是在使用開發作業方法 (範本、ARM、CLI 和 Azure PowerShell) 進行這些變更時。

透過此支援，您現在可以：

• 一次更新 50 個 IP 群組
• 在 IP 群組更新期間更新防火牆和防火牆原則
• 在父代和子系原則中使用相同的 IP 群組
• 同時更新防火牆原則或傳統防火牆所參考的多個 IP 群組
• 接收新的和改善的錯誤訊息

  • 失敗和成功狀態

    例如，如果 20 個平行更新中有一個 IP 群組更新發生錯誤，則其他更新會繼續，且發生錯誤的 IP 群組會失敗。 此外，如果 IP 群組更新失敗，且防火牆仍然狀況良好，防火牆會維持在成功狀態。 若要檢查 IP 群組更新是否失敗或成功，您可以在 IP 群組資源上檢視狀態。

若要啟用平行 IP 群組支援，您可以使用 Azure PowerShell 或 Azure 入口網站來註冊該功能。

Azure PowerShell

使用下列 Azure PowerShell 命令：

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

可能需要幾分鐘的時間，此設定才會生效。 在功能完全註冊之後，請考慮在 Azure 防火牆上執行更新，讓變更立即生效。

Azure 入口網站

1. 瀏覽至 Azure 入口網站中的 [預覽功能]。
2. 搜尋並註冊 AzureFirewallParallelIPGroupUpdate。
3. 確保已啟用該功能。

區域可用性

IP 群組適用於所有公用雲端區域。

IP 位址限制

如需 IP 群組限制的詳細資訊，請參閱 Azure 訂用帳戶和服務限制、配額與限制

相關的 Azure PowerShell Cmdlet

下列 Azure PowerShell Cmdlet 可用來建立和管理 IP 群組：

• New-AzIpGroup
• Remove-AzIPGroup
• Get-AzIpGroup
• Set-AzIpGroup
• New-AzFirewallNetworkRule
• New-AzFirewallApplicationRule
• New-AzFirewallNatRule

下一步

• 深入了解如何部署和設定 Azure 防火牆。