共用方式為


使用 Azure 防火牆管理公用 IP 位址

在本文中,您將瞭解如何使用 Azure 入口網站來管理 Azure 防火牆的公用 IP 位址。 您將瞭解如何在訂用帳戶中使用現有的公用 IP 建立 Azure 防火牆、變更 IP 設定,最後將 IP 設定新增至防火牆。

Azure 防火牆是一項雲端式網路安全服務,可以保護您的 Azure 虛擬網路資源。 Azure 防火牆需至少設定一個公用靜態 IP 位址。 此 IP 或 IP 集合是防火牆的外部連接點。

Azure 防火牆支援標準 SKU 公用 IP 位址。 不支援基本 SKU 公用 IP 位址和公用 IP 首碼。

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。 免費建立一個
  • 三個未與任何資源相關聯的標準 SKU 公用 IP 位址。 如需建立標準 SKU 公用 IP 位址的詳細資訊,請參閱快速入門:使用 Azure 入口網站建立公用 IP 位址
    • 為配合本文中的範例,請建立三個新的公用 IP 位址:myStandardPublicIP-1, myStandardPublicIP-2myStandardPublicIP-3

建立具有現有公用 IP 的 Azure 防火牆

在本節中,您會建立 Azure 防火牆。 使用您在必要條件中建立的第一個 IP 位址作為防火牆的公用 IP。

  1. Azure 入口網站中,搜尋並選取 [防火牆]

  2. 在 [防火牆] 頁面上,選取 [建立]

  3. 在 [建立防火牆] 中,輸入或選取下列資訊。

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 建立名為 myResourceGroupFW 的新資源群組。
    [執行個體詳細資料]
    名稱 輸入 myFirewall
    區域 選取 [美國西部 2]
    可用性區域 保留預設值 [無]
    防火牆 SKU 選取 [標準]。
    防火牆管理 保留預設值 [使用防火牆原則來管理此防火牆]
    防火牆原則 美國西部 2 中建立名為 myFirewallPolicy 的新防火牆原則,並將原則層設定為標準
    選擇虛擬網路 保留預設值 [建立新的]
    虛擬網路名稱 輸入 [myVNet]
    位址空間 輸入 10.0.0.0/16
    子網路位址空間 輸入 10.0.0.0/26
    公用 IP 位址 選取 [myStandardPublicIP-1] 或您的公用 IP。
    已強制進行通道作業 保留預設值 [停用]
  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

下圖顯示使用範例資訊建立防火牆頁面。

顯示 [建立防火牆] 頁面的螢幕擷取畫面,其中包含範例資訊。

變更防火牆的公用 IP 位址

在本節中,您會變更與防火牆相關聯的公用 IP 位址。 防火牆至少必須有一個與其設定相關聯的公用 IP 位址。 如果防火牆的現有 IP 具有與其相關聯的任何目的地網路位址轉換 (DNAT) 規則,則無法更新 IP 位址。

  1. 在 Azure 入口網站中,搜尋並選取 [防火牆]

  2. 在 [防火牆] 頁面上,選取 [myFirewall]

  3. 在 [myFirewall] 頁面上,移至 [設定],然後選取 [公用 IP 設定]

  4. 在 [公用 IP 設定] 中,選取 [myStandardPublicIP-1]

  5. 在 [ 編輯公用IP組態 ] 視窗中,選取 [ 公用IP 位址 ] 下拉式清單,然後選取 [myStandardPublicIP-2]。

  6. 選取儲存

將公用 IP 設定新增至防火牆

在本節中,您會將公用 IP 設定新增至 Azure 防火牆。 如需多重 IP 的詳細資訊,請參閱多重公用 IP 位址

  1. 在 Azure 入口網站中,搜尋並選取 [防火牆]

  2. 在 [防火牆] 頁面上,選取 [myFirewall]

  3. 在 [myFirewall] 頁面上,移至 [設定],然後選取 [公用 IP 設定]

  4. 選取 [新增公用 IP 設定]

  5. 在 [ 新增公用 IP 組態 ] 視窗中,輸入下列資訊:

    設定
    名稱 輸入 myNewPublicIPconfig
    公用 IP 位址 選取 myStandardPublicIP-3
  6. 選取 [新增]。

進階設定

此範例是 Azure 防火牆的簡單部署。 如需瞭解進階設定和設定,請參閱教學課程:使用 Azure 入口網站部署和設定 Azure 防火牆與原則。 當與多個公用IP相關聯時,Azure 防火牆 隨機選取第一個來源公用IP進行輸出連線,而且只會使用下一個可用的公用IP,因為 SNAT 連接埠耗盡而無法再從目前的公用IP建立連線。 您可以將網路位址轉換 (NAT) 閘道與防火牆子網產生關聯,以擴充來源網路位址轉換 (SNAT) 的延展性。 若使用此設定,所有輸出流量都會使用公用 IP 位址或 NAT 閘道的位址。 如需詳細資訊,請參閱使用 Azure 虛擬網路 NAT 調整 SNAT 連接埠的規模

注意

建議改用 NAT 閘道 來提供輸出連線的動態延展性。 網路篩選規則中的傳輸控制通訊協定 (TCP) 和使用者資料包通訊協定 (UDP) 以外的通訊協定不支援 SNAT 到防火牆的公用 IP。 您可以將 Azure 防火牆與標準 SKU 負載平衡器整合,以保護後端集區資源。 如果您將防火牆與公用負載平衡器建立關聯,請將輸入流量設定為導向至防火牆公用 IP 位址。 設定將輸出流量透過使用者定義的路由傳送至防火牆公用 IP 位址。 如需詳細資訊和安裝指示,請參閱整合 Azure 防火牆與 Azure Standard Load Balancer

下一步

在本文中,您已瞭解如何建立 Azure 防火牆和使用現有的公用 IP。 您變更了預設 IP 設定的公用 IP。 最後,您為防火牆新增了公用 IP 設定。