Compartir vía


Implementación de una instancia de Azure Firewall con varias direcciones IP públicas mediante Azure PowerShell

Esta característica permite los siguientes escenarios:

  • DNAT: puede traducir varias instancias de puerto estándar para los servidores back-end. Por ejemplo, si tiene dos direcciones IP públicas, puede traducir el puerto TCP 3389 (RDP) para ambas direcciones IP.
  • SNAT: hay disponibles puertos adicionales para las conexiones SNAT salientes, lo que reduce la posibilidad de que se agoten los puertos SNAT. Azure Firewall selecciona aleatoriamente la primera dirección IP pública de origen que se usará para una conexión y selecciona otra dirección IP pública después de que se hayan agotado los puertos de la primera dirección IP. Si dispone de algún filtro de nivel inferior de la red, deberá permitir todas las direcciones IP públicas asociadas con el firewall. Considere la posibilidad de usar un prefijo de dirección IP pública para simplificar esta configuración.

Azure Firewall con varias direcciones IP públicas está disponible mediante Azure Portal, Azure PowerShell, la CLI de Azure, REST y plantillas.
Puede implementar una instancia de Azure Firewall con hasta 250 direcciones IP públicas, pero las reglas de destino DNAT también contarán hacia el máximo de 250. Direcciones IP públicas + regla de destino DNAT = 250 máx.

Nota:

En escenarios con un gran volumen de tráfico y rendimiento, se recomienda usar una NAT Gateway para proporcionar conectividad saliente. Los puertos SNAT se asignan dinámicamente en todas las direcciones IP públicas asociadas a NAT Gateway. Para más información, vea integración de NAT Gateway con Azure Firewall.

En los siguientes ejemplos de Azure PowerShell se muestra cómo puede configurar, agregar y quitar direcciones IP públicas para Azure Firewall.

Importante

No se puede quitar la primera ipConfiguration de la página de configuración de direcciones IP públicas de Azure Firewall. Si quiere modificar la dirección IP, puede usar Azure PowerShell.

Creación de un firewall con dos o más direcciones IP públicas

Este ejemplo crea un firewall asociado a una red virtual vnet con dos direcciones IP públicas.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Incorporación de una dirección IP pública en un firewall existente

En este ejemplo, la dirección IP pública azFwPublicIp1 se asocia al firewall.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Eliminación de una dirección IP pública de un firewall existente

En este ejemplo, la dirección IP pública azFwPublicIp1 se desasocia del firewall.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Pasos siguientes