Distribuera en Azure Firewall med flera offentliga IP-adresser med hjälp av Azure PowerShell
Den här funktionen aktiverar följande scenarier:
- DNAT – Du kan översätta flera standardportinstanser till dina serverdelsservrar. Om du till exempel har två offentliga IP-adresser kan du översätta TCP-port 3389 (RDP) för båda IP-adresserna.
- SNAT – Ytterligare portar är tillgängliga för utgående SNAT-anslutningar, vilket minskar risken för SNAT-portöverbelastning. Azure Firewall väljer slumpmässigt den första offentliga KÄLL-IP-adressen som ska användas för en anslutning och väljer en annan offentlig IP-adress efter att portarna från den första IP-adressen har förbrukats. Om du har filtrering nedströms i nätverket måste du tillåta alla offentliga IP-adresser som är associerade med brandväggen. Överväg att använda ett offentligt IP-adressprefix för att förenkla den här konfigurationen.
Azure Firewall med flera offentliga IP-adresser är tillgängligt via Azure-portalen, Azure PowerShell, Azure CLI, REST och mallar.
Du kan distribuera en Azure Firewall med upp till 250 offentliga IP-adresser, men DNAT-målregler räknas också mot maxgränsen på 250.
Offentliga IP-adresser + DNAT-målregel = max 250.
Kommentar
I scenarier med hög trafikvolym och dataflöde rekommenderar vi att du använder en NAT Gateway för att tillhandahålla utgående anslutning. SNAT-portar allokeras dynamiskt över alla offentliga IP-adresser som är associerade med NAT Gateway. Mer information finns i integrera NAT Gateway med Azure Firewall.
Följande Azure PowerShell-exempel visar hur du kan konfigurera, lägga till och ta bort offentliga IP-adresser för Azure Firewall.
Viktigt!
Du kan inte ta bort den första ipConfigurationen från konfigurationssidan för offentliga IP-adresser i Azure Firewall. Om du vill ändra IP-adressen kan du använda Azure PowerShell.
Skapa en brandvägg med två eller flera offentliga IP-adresser
I det här exemplet skapas en brandvägg som är kopplad till det virtuella nätverkets virtuella nätverk med två offentliga IP-adresser.
$rgName = "resourceGroupName"
$vnet = Get-AzVirtualNetwork `
-Name "vnet" `
-ResourceGroupName $rgName
$pip1 = New-AzPublicIpAddress `
-Name "AzFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$pip2 = New-AzPublicIpAddress `
-Name "AzFwPublicIp2" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
New-AzFirewall `
-Name "azFw" `
-ResourceGroupName $rgName `
-Location centralus `
-VirtualNetwork $vnet `
-PublicIpAddress @($pip1, $pip2)
Lägga till en offentlig IP-adress i en befintlig brandvägg
I det här exemplet är den offentliga IP-adressen azFwPublicIp1 kopplad till brandväggen.
$pip = New-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg" `
-Sku "Standard" `
-Location "centralus" `
-AllocationMethod Static
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.AddPublicIpAddress($pip)
$azFw | Set-AzFirewall
Ta bort en offentlig IP-adress från en befintlig brandvägg
I det här exemplet kopplas den offentliga IP-adressen azFwPublicIp1 från brandväggen.
$pip = Get-AzPublicIpAddress `
-Name "azFwPublicIp1" `
-ResourceGroupName "rg"
$azFw = Get-AzFirewall `
-Name "AzureFirewall" `
-ResourceGroupName "rg"
$azFw.RemovePublicIpAddress($pip)
$azFw | Set-AzFirewall