Verwalten einer öffentlichen IP-Adresse mithilfe von Azure Firewall

In diesem Artikel erfahren Sie, wie Sie öffentliche IP-Adressen für Azure Firewall mithilfe des Azure-Portals verwalten. Sie erfahren, wie Sie eine Azure Firewall-Instanz erstellen, indem Sie eine vorhandene öffentliche IP-Adresse in Ihrem Abonnement verwenden, die IP-Konfiguration ändern und schließlich der Firewall eine IP-Konfiguration hinzufügen.

Azure Firewall ist ein cloudbasierter Netzwerksicherheitsdienst zum Schutz Ihrer Azure Virtual Network-Ressourcen. Für Azure Firewall muss mindestens eine öffentliche statische IP-Adresse konfiguriert werden. Diese IP-Adresse oder Gruppe von IP-Adressen ist der externe Verbindungspunkt für die Firewall.

Azure Firewall unterstützt öffentliche IP-Adressen der Standard-SKU. Öffentliche IP-Adressen und Präfixe für öffentliche IP-Adressen der Basic-SKU werden nicht unterstützt.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie ein kostenloses Konto.
• Drei öffentliche IP-Adressen der Standard-SKU, die keinen Ressourcen zugeordnet sind. Weitere Informationen zum Erstellen einer öffentlichen IP-Adresse der Standard-SKU finden Sie unter Schnellstart: Erstellen einer öffentlichen IP-Adresse im Azure-Portal.
  • Erstellen Sie für die Beispiele in diesem Artikel die neuen öffentlichen IP-Adressen: myStandardPublicIP-1, myStandardPublicIP-2 und myStandardPublicIP-3.

Erstellen einer Azure Firewall-Instanz mit einer vorhandenen öffentlichen IP-Adresse

In diesem Abschnitt erstellen Sie eine Azure Firewall-Instanz. Verwenden Sie die erste in den Voraussetzungen erstellte IP-Adresse als öffentliche IP-Adresse für die Firewall.

1. Suchen Sie im Azure-Portal nach Firewalls, und wählen Sie diese Option aus.

2. Wählen Sie auf der Seite Firewalls die Option Erstellen aus.

3. Geben Sie unter Firewall erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Projektdetails
   Subscription	Wählen Sie Ihr Abonnement aus.
   Resource group	Erstellen Sie eine neue Ressourcengruppe mit dem Namen myResourceGroupFW.
   Instanzendetails
   Name	Geben Sie myFirewall ein.
   Region	Wählen Sie USA, Westen 2 aus.
   Verfügbarkeitszone	Übernehmen Sie den Standardwert Keine.
   Firewall-SKU	Wählen Sie Standard aus.
   Firewallverwaltung	Behalten Sie den Standard Firewallrichtlinie zum Verwalten dieser Firewall verwenden bei.
   Firewallrichtlinie	Erstellen Sie in USA, Westen 2 eine neue Firewallrichtlinie mit dem Namen myFirewallPolicy, und legen Sie die Richtlinienebene auf Standard fest.
   Virtuelles Netzwerk auswählen	Übernehmen Sie die Standardeinstellung Neu erstellen.
   Name des virtuellen Netzwerks	Geben Sie myVNet ein.
   Adressraum	Geben Sie 10.0.0.0/16 ein.
   Subnetzadressraum	Geben Sie 10.0.0.0/26 ein.
   Öffentliche IP-Adresse	Wählen Sie myStandardPublicIP-1 oder Ihre öffentliche IP-Adresse aus.
   Tunnelerzwingung	Übernehmen Sie den Standardwert Deaktiviert.

4. Klicken Sie auf Überprüfen und erstellen.

5. Klicken Sie auf Erstellen.

Die folgende Abbildung zeigt die Seite Firewall erstellen mit den Beispielinformationen.

Ändern der öffentlichen IP-Adresse für eine Firewall

In diesem Abschnitt ändern Sie die öffentliche IP-Adresse, die der Firewall zugeordnet ist. Einer Firewall muss in der Konfiguration mindestens eine öffentliche IP-Adresse zugeordnet werden. Sie können die IP-Adresse nicht aktualisieren, wenn der vorhandenen IP-Adresse der Firewall Regeln zur Ziel-Netzwerkadressenübersetzung (DNAT) zugeordnet sind.

1. Suchen Sie im Azure-Portal nach Firewalls, und wählen Sie diese Option aus.

2. Wählen Sie auf der Seite Firewalls die Option myFirewall aus.

3. Wechseln Sie auf der Seite myFirewall zu Einstellungen, und wählen Sie dann Konfiguration der öffentlichen IP-Adresse aus.

4. Wählen Sie unter Konfiguration der öffentlichen IP-Adresse die Option myStandardPublicIP-1 aus.

5. Wählen Sie die Dropdownliste Öffentliche IP-Adresse und dann myStandardPublicIP-2 aus.

   

6. Wählen Sie Speichern aus.

Hinzufügen einer Konfiguration einer öffentlichen IP-Adresse zu einer Firewall

In diesem Abschnitt fügen Sie Azure Firewall die Konfiguration einer öffentlichen IP-Adresse hinzu. Weitere Informationen zu mehreren IP-Adressen finden Sie unter Mehrere öffentliche IP-Adressen.

1. Suchen Sie im Azure-Portal nach Firewalls, und wählen Sie diese Option aus.

2. Wählen Sie auf der Seite Firewalls die Option myFirewall aus.

3. Wechseln Sie auf der Seite myFirewall zu Einstellungen, und wählen Sie dann Konfiguration der öffentlichen IP-Adresse aus.

4. Wählen Sie Konfiguration einer öffentlichen IP-Adresse hinzufügen aus.

5. Geben Sie unter Name den Namen myNewPublicIPconfig ein.

6. Wählen Sie unter Öffentliche IP-Adresse die Option myStandardPublicIP-3 aus.

   

7. Wählen Sie Hinzufügen.

Erweiterte Konfiguration

Dieses Beispiel ist eine einfache Bereitstellung von Azure Firewall. Informationen zur erweiterten Konfiguration und Einrichtung finden Sie unter Tutorial: Bereitstellen und Konfigurieren von Azure Firewall und einer Richtlinie über das Azure-Portal. Sie können eine Azure Firewall-Instanz auch einem NAT-Gateway (Netzwerkadressenübersetzung) zuordnen, um die Erweiterbarkeit der Quell-Netzwerkadressenübersetzung (SNAT) zu erweitern. Ein NAT-Gateway kann verwendet werden, um ausgehende Konnektivität bereitzustellen, die der Firewall zugeordnet ist. Bei dieser Konfiguration verwendet der gesamte ausgehende Datenverkehr die öffentliche IP-Adresse oder die Adressen des NAT-Gateways. Weitere Informationen finden Sie unter Skalieren von SNAT-Ports mit Azure Virtual Network NAT.

Hinweis

Azure Firewall wählt zufällig eine der zugeordneten öffentlichen IP-Adressen für ausgehende Konnektivität aus und verwendet nur die nächste verfügbare öffentliche IP-Adresse, nachdem keine weiteren Verbindungen von der aktuellen öffentlichen IP-Adresse aufgrund der SNAT-Portauslastung hergestellt werden können. Es wird empfohlen, stattdessen NAT Gateway zu verwenden, um eine dynamische Skalierbarkeit Ihrer ausgehenden Konnektivität bereitzustellen. Andere Protokolle als TCP (Transmission Control-Protokoll) und UDP (User Datagram-Protokoll) in Netzwerkfilterregeln werden für die öffentliche IP-Adresse der Firewall für SNAT nicht unterstützt. Sie können eine Azure Firewall-Instanz in den Lastenausgleich der Standard-SKU integrieren, um Back-End-Poolressourcen zu schützen. Wenn Sie die Firewall einem öffentlichen Lastenausgleich zuordnen, konfigurieren Sie den eingehenden Datenverkehr so, dass er an die öffentliche IP-Adresse der Firewall geleitet wird. Konfigurieren Sie den ausgehenden Datenverkehr über eine benutzerdefinierte Route zur öffentlichen IP-Adresse der Firewall. Weitere Informationen und Anleitungen zur Einrichtung finden Sie unter Integrieren von Azure Firewall mit Azure Load Balancer Standard.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie Sie eine Azure Firewall-Instanz erstellen und eine vorhandene öffentliche IP-Adresse verwenden. Sie haben die öffentliche IP-Adresse der Standard-IP-Konfiguration geändert. Schließlich haben Sie der Firewall eine öffentliche IP-Konfiguration hinzugefügt.

• Weitere Informationen zu öffentlichen IP-Adressen in Azure finden Sie unter Öffentliche IP-Adressen.
• Weitere Informationen zu Azure Firewall finden Sie unter Was ist Azure Firewall?