Implantar um Firewall do Azure com vários endereços IP públicos usando o Azure PowerShell
Este recurso habilita os seguintes cenários:
- DNAT: várias instâncias de porta padrão podem ser traduzidas em seus servidores de back-end. Por exemplo, se você tem dois endereços IP públicos, pode traduzir a porta TCP 3389 (RDP) para os dois endereços IP.
- SNAT: as portas adicionais estão disponíveis para conexões SNAT de saída, reduzindo a possibilidade de esgotamento da porta SNAT. O Firewall do Azure seleciona aleatoriamente o endereço IP público de origem a ser usado para uma conexão. Se você tiver qualquer filtragem downstream em sua rede, precisará permitir todos os endereços IP públicos associados com seu firewall. Considere usar um prefixo de endereço IP público para simplificar essa configuração.
O Firewall do Azure com vários endereços IP públicos está disponível por meio do portal do Azure, do Azure PowerShell, da CLI do Azure, do REST e de modelos.
É possível implantar um Firewall do Azure com até 250 endereços IP públicos, no entanto, as regras de destino do DNAT também contarão para o máximo de 250.
IPs públicos e regra de destino do DNAT = 250 no máximo.
Os exemplos do Azure PowerShell a seguir mostram como você pode configurar, adicionar e remover endereços IP públicos para o Firewall do Azure.
Observação
Não é possível remover a primeira ipConfiguration da página de configuração do endereço IP público do Firewall do Azure. Se você quiser modificar o endereço IP, você poderá usar o Azure PowerShell.
Criar um firewall com dois ou mais endereços IP públicos
Este exemplo cria um firewall anexado à vnet da rede virtual com dois endereços IP públicos.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Adicionar um endereço IP público a um firewall existente
Neste exemplo, o endereço IP público azFwPublicIp1 é anexado ao firewall.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Remover um endereço IP público de um firewall existente
Neste exemplo, o endereço IP público azFwPublicIp1 é desanexado do firewall.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall