Implantar um Firewall do Azure com vários endereços IP públicos usando o Azure PowerShell

Este recurso habilita os seguintes cenários:

• DNAT: várias instâncias de porta padrão podem ser traduzidas em seus servidores de back-end. Por exemplo, se você tem dois endereços IP públicos, pode traduzir a porta TCP 3389 (RDP) para os dois endereços IP.
• SNAT: as portas adicionais estão disponíveis para conexões SNAT de saída, reduzindo a possibilidade de esgotamento da porta SNAT. O Firewall do Azure seleciona aleatoriamente o primeiro IP de origem a ser usado para uma conexão e seleciona outro IP depois que as portas do primeiro IP foram esgotadas. Se você tiver qualquer filtragem downstream em sua rede, precisará permitir todos os endereços IP públicos associados com seu firewall. Considere usar um prefixo de endereço IP público para simplificar essa configuração.

O Firewall do Azure com vários endereços IP públicos está disponível por meio do portal do Azure, do Azure PowerShell, da CLI do Azure, do REST e de modelos.
É possível implantar um Firewall do Azure com até 250 endereços IP públicos, no entanto, as regras de destino do DNAT também contarão para o máximo de 250. IPs públicos e regra de destino do DNAT = 250 no máximo.

Observação

Em cenários com alto volume de tráfego e taxa de transferência, é recomendável usar um Gateway da NAT para fornecer conectividade de saída. As portas SNAT são alocadas dinamicamente em todos os IPs públicos associados ao Gateway da NAT. Para saber mais, consulte integrar o Gateway da NAT com o Firewall do Azure.

Os exemplos do Azure PowerShell a seguir mostram como você pode configurar, adicionar e remover endereços IP públicos para o Firewall do Azure.

Importante

Não é possível remover a primeira ipConfiguration da página de configuração do endereço IP público do Firewall do Azure. Se você quiser modificar o endereço IP, você poderá usar o Azure PowerShell.

Criar um firewall com dois ou mais endereços IP públicos

Este exemplo cria um firewall anexado à vnet da rede virtual com dois endereços IP públicos.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Adicionar um endereço IP público a um firewall existente

Neste exemplo, o endereço IP público azFwPublicIp1 é anexado ao firewall.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Remover um endereço IP público de um firewall existente

Neste exemplo, o endereço IP público azFwPublicIp1 é desanexado do firewall.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Próximas etapas

• Início Rápido: Criar um Firewall do Azure com vários endereços IP públicos – modelo do Resource Manager