Udostępnij za pośrednictwem

Zarządzanie publicznym adresem IP przy użyciu usługi Azure Firewall

  • Artykuł

Z tego artykułu dowiesz się, jak zarządzać publicznymi adresami IP dla usługi Azure Firewall przy użyciu witryny Azure Portal. Dowiesz się, jak utworzyć usługę Azure Firewall przy użyciu istniejącego publicznego adresu IP w subskrypcji, zmienić konfigurację adresu IP, a na koniec dodać konfigurację adresu IP do zapory.

Azure Firewall to oparta na chmurze usługa zabezpieczeń sieci, która chroni zasoby usługi Azure Virtual Network. Usługa Azure Firewall wymaga skonfigurowania co najmniej jednego publicznego statycznego adresu IP. Ten adres IP lub zestaw adresów IP to zewnętrzny punkt połączenia z zaporą.

Usługa Azure Firewall obsługuje publiczne adresy IP jednostek SKU w warstwie Standardowa. Podstawowy publiczny adres IP jednostki SKU i prefiksy publicznego adresu IP nie są obsługiwane.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Utwórz je bezpłatnie.
  • Trzy publiczne adresy IP jednostek SKU w warstwie Standardowa, które nie są skojarzone z żadnymi zasobami. Aby uzyskać więcej informacji na temat tworzenia publicznego adresu IP jednostki SKU w warstwie Standardowa, zobacz Szybki start: tworzenie publicznego adresu IP przy użyciu witryny Azure Portal.
    • Na potrzeby przykładów w tym artykule utwórz trzy nowe publiczne adresy IP: myStandardPublicIP-1, myStandardPublicIP-2 i myStandardPublicIP-3.

Tworzenie zapory platformy Azure z istniejącym publicznym adresem IP

W tej sekcji utworzysz zaporę platformy Azure. Użyj pierwszego adresu IP utworzonego w wymaganiach wstępnych jako publicznego adresu IP zapory.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Zapory.

  2. Na stronie Zapory wybierz pozycję Utwórz.

  3. W obszarze Tworzenie zapory wprowadź lub wybierz następujące informacje.

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Utwórz nową grupę zasobów o nazwie myResourceGroupFW.
    Szczegóły wystąpienia
    Nazwisko Wprowadź wartość myFirewall.
    Region (Region) Wybierz pozycję Zachodnie stany USA 2.
    Availability zone Pozostaw wartość domyślną Brak.
    Jednostka SKU zapory Wybierz opcję Standardowa.
    Zarządzanie zaporą Pozostaw wartość domyślną Użyj zasad zapory do zarządzania tą zaporą.
    Zasady zapory Utwórz nowe zasady zapory o nazwie myFirewallPolicy w regionie Zachodnie stany USA 2 i ustaw warstwę Zasady na Standardowa.
    Wybieranie sieci wirtualnej Pozostaw wartość domyślną Utwórz nową.
    Nazwa sieci wirtualnej Wprowadź nazwę myVNet.
    Przestrzeń adresowa Wpisz 10.0.0.0/16.
    Przestrzeń adresowa podsieci Wprowadź wartość 10.0.0.0/26.
    Publiczny adres IP Wybierz pozycję myStandardPublicIP-1 lub publiczny adres IP.
    Wymuszone tunelowanie Pozostaw wartość domyślną Wyłączone.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

Na poniższej ilustracji przedstawiono stronę Tworzenie zapory z przykładowymi informacjami.

Zrzut ekranu przedstawiający stronę Tworzenie zapory z przykładowymi informacjami.

Zmienianie publicznego adresu IP zapory

W tej sekcji zmienisz publiczny adres IP skojarzony z zaporą. Zapora musi mieć co najmniej jeden publiczny adres IP skojarzony z jego konfiguracją. Nie można zaktualizować adresu IP, jeśli istniejący adres IP zapory ma skojarzone z nim reguły translacji adresów sieciowych (DNAT).

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Zapory.

  2. Na stronie Zapory wybierz pozycję myFirewall.

  3. Na stronie myFirewall przejdź do pozycji Ustawienia, a następnie wybierz pozycję Konfiguracja publicznego adresu IP.

  4. W obszarze Konfiguracja publicznego adresu IP wybierz pozycję myStandardPublicIP-1.

  5. W oknie Edytowanie konfiguracji publicznego adresu IP wybierz listę rozwijaną Publiczny adres IP, a następnie wybierz pozycję myStandardPublicIP-2.

  6. Wybierz pozycję Zapisz.

Dodawanie konfiguracji publicznego adresu IP do zapory

W tej sekcji dodasz konfigurację publicznego adresu IP do usługi Azure Firewall. Aby uzyskać więcej informacji na temat wielu adresów IP, zobacz Wiele publicznych adresów IP.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Zapory.

  2. Na stronie Zapory wybierz pozycję myFirewall.

  3. Na stronie myFirewall przejdź do pozycji Ustawienia, a następnie wybierz pozycję Konfiguracja publicznego adresu IP.

  4. Wybierz pozycję Dodaj konfigurację publicznego adresu IP.

  5. W oknie Dodawanie konfiguracji publicznego adresu IP wprowadź następujące informacje:

    Ustawienie Wartość
    Nazwa/nazwisko Wprowadź wartość myNewPublicIPconfig.
    Publiczny adres IP Wybierz pozycję myStandardPublicIP-3.

  6. Wybierz Dodaj.

Konfiguracja zaawansowana

Ten przykład to proste wdrożenie usługi Azure Firewall. Aby uzyskać zaawansowaną konfigurację i konfigurację, zobacz Samouczek: wdrażanie i konfigurowanie usługi Azure Firewall oraz zasad przy użyciu witryny Azure Portal. W przypadku skojarzenia z wieloma publicznymi adresami IP usługa Azure Firewall losowo wybiera pierwszy źródłowy publiczny adres IP dla łączności wychodzącej i używa tylko kolejnego dostępnego publicznego adresu IP po tym, jak nie można nawiązać więcej połączeń z bieżącego publicznego adresu IP z powodu wyczerpania portów SNAT. Bramę translatora adresów sieciowych (NAT) można skojarzyć z podsiecią Zapory, aby rozszerzyć skalowalność tłumaczenia adresów sieciowych źródła (SNAT). W przypadku tej konfiguracji cały ruch wychodzący używa publicznego adresu IP lub adresów bramy translatora adresów sieciowych. Aby uzyskać więcej informacji, zobacz Skalowanie portów SNAT przy użyciu translatora adresów sieciowych platformy Azure.

Uwaga

Zaleca się zamiast tego użycie bramy translatora adresów sieciowych w celu zapewnienia dynamicznej skalowalności łączności wychodzącej. Protokoły inne niż Transmission Control Protocol (TCP) i User Datagram Protocol (UDP) w regułach filtrowania sieci nie są obsługiwane dla protokołu SNAT do publicznego adresu IP zapory. Zaporę platformy Azure można zintegrować z modułem równoważenia obciążenia jednostki SKU w warstwie Standardowa, aby chronić zasoby puli zaplecza. Jeśli skojarzysz zaporę z publicznym modułem równoważenia obciążenia, skonfiguruj ruch przychodzący do przekierowania do publicznego adresu IP zapory. Konfigurowanie ruchu wychodzącego za pośrednictwem trasy zdefiniowanej przez użytkownika do publicznego adresu IP zapory. Aby uzyskać więcej informacji i instrukcji dotyczących konfiguracji, zobacz Integrowanie usługi Azure Firewall z usługą Azure usługa Load Balancer w warstwie Standardowa.

Następne kroki

W tym artykule przedstawiono sposób tworzenia zapory platformy Azure i używania istniejącego publicznego adresu IP. Zmieniono publiczny adres IP domyślnej konfiguracji adresu IP. Na koniec dodano konfigurację publicznego adresu IP do zapory.