Implementación de Azure Firewall con varias direcciones IP públicas mediante Azure PowerShell

Esta característica permite los siguientes escenarios:

• DNAT: puede traducir varias instancias de puerto estándar para los servidores back-end. Por ejemplo, si tiene dos direcciones IP públicas, puede traducir el puerto TCP 3389 (RDP) para ambas direcciones IP.
• SNAT: hay disponibles puertos adicionales para las conexiones SNAT salientes, lo que reduce la posibilidad de que se agoten los puertos SNAT. Azure Firewall selecciona aleatoriamente la primera dirección IP pública de origen que se usará para una conexión y selecciona otra dirección IP pública después de que se agoten los puertos de la primera dirección IP. Si dispone de algún filtro de nivel inferior de la red, deberá permitir todas las direcciones IP públicas asociadas con el firewall. Considere la posibilidad de usar un prefijo de dirección IP pública para simplificar esta configuración.

Puede acceder a Azure Firewall con varias direcciones IP públicas a través de Azure Portal, Azure PowerShell, la CLI de Azure, REST y las plantillas. Puede implementar una instancia de Azure Firewall en una red virtual de concentrador con hasta 250 direcciones IP públicas. Sin embargo, las reglas de destino DNAT también se contabilizan para el máximo de 250. El límite de una implementación de Azure Firewall en una implementación de VHUB con Bring Your Own Public IP es de 250 direcciones y, para la implementación clásica de VHUB, es 80 direcciones IP públicas.

En los siguientes ejemplos de Azure PowerShell se muestra cómo puede configurar, agregar y quitar direcciones IP públicas para Azure Firewall.

Creación de un firewall con dos o más direcciones IP públicas

En este ejemplo se crea un firewall conectado a la red virtual myVirtualNetwork con dos direcciones IP públicas. Use Get-AzVirtualNetwork para recuperar la red virtual existente, New-AzPublicIpAddress para crear cada dirección IP pública y New-AzFirewall para implementar el firewall con ambas direcciones IP.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "myVirtualNetwork" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName $rgName `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName $rgName `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Incorporación de una dirección IP pública en un firewall existente

En este ejemplo, la dirección IP pública azFwPublicIp1 se asocia al firewall. Use New-AzPublicIpAddress para crear la nueva dirección IP, Get-AzFirewall para recuperar el objeto de firewall existente y Set-AzFirewall para guardar la configuración actualizada.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Eliminación de una dirección IP pública de un firewall existente

En este ejemplo, la dirección IP pública azFwPublicIp1 se desasocia del firewall. Use Get-AzPublicIpAddress para recuperar la dirección IP existente, Get-AzFirewall para recuperar el objeto de firewall y Set-AzFirewall para guardar la configuración actualizada.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Pasos siguientes

• Inicio rápido: Creación de una instancia de Azure Firewall con varias direcciones IP públicas: plantilla de Resource Manager