Bereitstellen einer Azure Firewall mit mehreren öffentlichen IP-Adressen mithilfe von Azure PowerShell
Diese Funktion ermöglicht die folgenden Szenarios:
- DNAT: Sie können mehrere Standardportinstanzen auf Ihre Back-End-Server übersetzen. Wenn Sie beispielsweise über zwei öffentliche IP-Adressen verfügen, können Sie den TCP-Port 3389 (RDP) für beide IP-Adressen übersetzen.
- SNAT: Für ausgehende SNAT-Verbindungen stehen zusätzliche Ports zur Verfügung, was die Gefahr einer Überlastung des SNAT-Ports verringert. Azure Firewall wählt zufällig die erste öffentliche IP-Adresse der Quelle aus, die für eine Verbindung verwendet werden soll, und wählt eine andere öffentliche IP aus, nachdem die Ports aus der ersten IP erschöpft wurden. Wenn Sie in Ihrem Netzwerk über eine nachgeschaltete Filterung verfügen, müssen Sie alle öffentlichen IP-Adressen zulassen, die mit Ihrer Firewall verbunden sind. Verwenden Sie ggf. ein Präfix für öffentliche IP-Adressen, um diese Konfiguration zu vereinfachen.
Azure Firewall mit mehreren öffentlichen IP-Adressen ist über das Azure-Portal, Azure PowerShell, die Azure CLI, REST und Vorlagen verfügbar.
Sie können eine Azure Firewall mit bis zu 250 öffentlichen IP-Adressen bereitstellen. DNAT-Zielregeln werden jedoch auch auf das Maximum von 250 angerechnet.
Öffentliche IPs + DNAT-Zielregel = 250 max.
Hinweis
In Szenarien mit hohem Datenverkehrsvolumen und -durchsatz wird empfohlen, NAT Gateway für die Bereitstellung ausgehender Verbindungen zu verwenden. SNAT-Ports werden dynamisch allen öffentlichen IP-Adressen zugeordnet, die mit NAT Gateway verbunden sind. Weitere Informationen finden Sie unter Integrieren von NAT Gateway in Azure Firewall.
Die folgenden Azure PowerShell-Beispiele zeigen, wie Sie öffentliche IP-Adressen für Azure Firewall konfigurieren, hinzufügen und entfernen können.
Wichtig
Die erste ipConfiguration kann nicht von der Seite für die Konfiguration der öffentlichen IP-Adressen in Azure Firewall entfernt werden. Wenn Sie die IP-Adresse ändern möchten, können Sie Azure PowerShell verwenden.
Erstellen einer Firewall mit mindestens zwei öffentlichen IP-Adressen
In diesem Beispiel wird eine Firewall erstellt, die an das virtuelle Netzwerk vnet mit zwei öffentlichen IP-Adressen angefügt ist.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Hinzufügen einer öffentlichen IP-Adresse zu einer vorhandenen Firewall
In diesem Beispiel ist die öffentliche IP-Adresse azFwPublicIp1 an die Firewall angefügt.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Entfernen einer öffentlichen IP-Adresse aus einer vorhandenen Firewall
In diesem Beispiel ist die öffentliche IP-Adresse azFwPublicIp1 von der Firewall getrennt.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall