Freigeben über


Verwalten einer öffentlichen IP-Adresse mithilfe von Azure Firewall

In diesem Artikel erfahren Sie, wie Sie öffentliche IP-Adressen für Azure Firewall mithilfe des Azure-Portals verwalten. Sie erfahren, wie Sie eine Azure Firewall-Instanz erstellen, indem Sie eine vorhandene öffentliche IP-Adresse in Ihrem Abonnement verwenden, die IP-Konfiguration ändern und schließlich der Firewall eine IP-Konfiguration hinzufügen.

Azure Firewall ist ein cloudbasierter Netzwerksicherheitsdienst zum Schutz Ihrer Azure Virtual Network-Ressourcen. Für Azure Firewall muss mindestens eine öffentliche statische IP-Adresse konfiguriert werden. Diese IP-Adresse oder Gruppe von IP-Adressen ist der externe Verbindungspunkt für die Firewall.

Azure Firewall unterstützt öffentliche IP-Adressen der Standard-SKU. Öffentliche IP-Adressen und Präfixe für öffentliche IP-Adressen der Basic-SKU werden nicht unterstützt.

Voraussetzungen

Erstellen einer Azure Firewall-Instanz mit einer vorhandenen öffentlichen IP-Adresse

In diesem Abschnitt erstellen Sie eine Azure Firewall-Instanz. Verwenden Sie die erste in den Voraussetzungen erstellte IP-Adresse als öffentliche IP-Adresse für die Firewall.

  1. Suchen Sie im Azure-Portal nach Firewalls, und wählen Sie diese Option aus.

  2. Wählen Sie auf der Seite Firewalls die Option Erstellen aus.

  3. Geben Sie unter Firewall erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Erstellen Sie eine neue Ressourcengruppe mit dem Namen myResourceGroupFW.
    Instanzendetails
    Name Geben Sie myFirewall ein.
    Region Wählen Sie USA, Westen 2 aus.
    Verfügbarkeitszone Übernehmen Sie den Standardwert Keine.
    Firewall-SKU Wählen Sie Standard aus.
    Firewallverwaltung Behalten Sie den Standard Firewallrichtlinie zum Verwalten dieser Firewall verwenden bei.
    Firewallrichtlinie Erstellen Sie in USA, Westen 2 eine neue Firewallrichtlinie mit dem Namen myFirewallPolicy, und legen Sie die Richtlinienebene auf Standard fest.
    Virtuelles Netzwerk auswählen Übernehmen Sie die Standardeinstellung Neu erstellen.
    Name des virtuellen Netzwerks Geben Sie myVNet ein.
    Adressraum Geben Sie 10.0.0.0/16 ein.
    Subnetzadressraum Geben Sie 10.0.0.0/26 ein.
    Öffentliche IP-Adresse Wählen Sie myStandardPublicIP-1 oder Ihre öffentliche IP-Adresse aus.
    Tunnelerzwingung Übernehmen Sie den Standardwert Deaktiviert.
  4. Klicken Sie auf Überprüfen und erstellen.

  5. Klicken Sie auf Erstellen.

Die folgende Abbildung zeigt die Seite Firewall erstellen mit den Beispielinformationen.

Screenshot: Seite „Firewall erstellen“ mit den Beispielinformationen.

Ändern der öffentlichen IP-Adresse für eine Firewall

In diesem Abschnitt ändern Sie die öffentliche IP-Adresse, die der Firewall zugeordnet ist. Einer Firewall muss in der Konfiguration mindestens eine öffentliche IP-Adresse zugeordnet werden. Sie können die IP-Adresse nicht aktualisieren, wenn der vorhandenen IP-Adresse der Firewall Regeln zur Ziel-Netzwerkadressenübersetzung (DNAT) zugeordnet sind.

  1. Suchen Sie im Azure-Portal nach Firewalls, und wählen Sie diese Option aus.

  2. Wählen Sie auf der Seite Firewalls die Option myFirewall aus.

  3. Wechseln Sie auf der Seite myFirewall zu Einstellungen, und wählen Sie dann Konfiguration der öffentlichen IP-Adresse aus.

  4. Wählen Sie unter Konfiguration der öffentlichen IP-Adresse die Option myStandardPublicIP-1 aus.

  5. Wählen Sie die Dropdownliste Öffentliche IP-Adresse und dann myStandardPublicIP-2 aus.

    Screenshot: Bereich für das Hinzufügen der Konfiguration einer öffentlichen IP-Adresse mit hervorgehobenem Feld „Öffentliche IP-Adresse“.

  6. Wählen Sie Speichern aus.

Hinzufügen einer Konfiguration einer öffentlichen IP-Adresse zu einer Firewall

In diesem Abschnitt fügen Sie Azure Firewall die Konfiguration einer öffentlichen IP-Adresse hinzu. Weitere Informationen zu mehreren IP-Adressen finden Sie unter Mehrere öffentliche IP-Adressen.

  1. Suchen Sie im Azure-Portal nach Firewalls, und wählen Sie diese Option aus.

  2. Wählen Sie auf der Seite Firewalls die Option myFirewall aus.

  3. Wechseln Sie auf der Seite myFirewall zu Einstellungen, und wählen Sie dann Konfiguration der öffentlichen IP-Adresse aus.

  4. Wählen Sie Konfiguration einer öffentlichen IP-Adresse hinzufügen aus.

  5. Geben Sie unter Name den Namen myNewPublicIPconfig ein.

  6. Wählen Sie unter Öffentliche IP-Adresse die Option myStandardPublicIP-3 aus.

    Screenshot: Bereich für das Hinzufügen der Konfiguration einer öffentlichen IP-Adresse mit hervorgehobenen Feldern „Name“ und „Öffentliche IP-Adresse“.

  7. Wählen Sie Hinzufügen.

Erweiterte Konfiguration

Dieses Beispiel ist eine einfache Bereitstellung von Azure Firewall. Informationen zur erweiterten Konfiguration und Einrichtung finden Sie unter Tutorial: Bereitstellen und Konfigurieren von Azure Firewall und einer Richtlinie über das Azure-Portal. Sie können eine Azure Firewall-Instanz auch einem NAT-Gateway (Netzwerkadressenübersetzung) zuordnen, um die Erweiterbarkeit der Quell-Netzwerkadressenübersetzung (SNAT) zu erweitern. Ein NAT-Gateway kann verwendet werden, um ausgehende Konnektivität bereitzustellen, die der Firewall zugeordnet ist. Bei dieser Konfiguration verwendet der gesamte ausgehende Datenverkehr die öffentliche IP-Adresse oder die Adressen des NAT-Gateways. Weitere Informationen finden Sie unter Skalieren von SNAT-Ports mit Azure Virtual Network NAT.

Hinweis

Azure Firewall wählt zufällig eine der zugeordneten öffentlichen IP-Adressen für ausgehende Konnektivität aus und verwendet nur die nächste verfügbare öffentliche IP-Adresse, nachdem keine weiteren Verbindungen von der aktuellen öffentlichen IP-Adresse aufgrund der SNAT-Portauslastung hergestellt werden können. Es wird empfohlen, stattdessen NAT Gateway zu verwenden, um eine dynamische Skalierbarkeit Ihrer ausgehenden Konnektivität bereitzustellen. Andere Protokolle als TCP (Transmission Control-Protokoll) und UDP (User Datagram-Protokoll) in Netzwerkfilterregeln werden für die öffentliche IP-Adresse der Firewall für SNAT nicht unterstützt. Sie können eine Azure Firewall-Instanz in den Lastenausgleich der Standard-SKU integrieren, um Back-End-Poolressourcen zu schützen. Wenn Sie die Firewall einem öffentlichen Lastenausgleich zuordnen, konfigurieren Sie den eingehenden Datenverkehr so, dass er an die öffentliche IP-Adresse der Firewall geleitet wird. Konfigurieren Sie den ausgehenden Datenverkehr über eine benutzerdefinierte Route zur öffentlichen IP-Adresse der Firewall. Weitere Informationen und Anleitungen zur Einrichtung finden Sie unter Integrieren von Azure Firewall mit Azure Load Balancer Standard.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie Sie eine Azure Firewall-Instanz erstellen und eine vorhandene öffentliche IP-Adresse verwenden. Sie haben die öffentliche IP-Adresse der Standard-IP-Konfiguration geändert. Schließlich haben Sie der Firewall eine öffentliche IP-Konfiguration hinzugefügt.