Een Azure Firewall met meerdere openbare IP-adressen implementeren met behulp van Azure PowerShell

Deze functie maakt de volgende scenario's mogelijk:

• DNAT: u kunt meerdere standaard poortinstanties naar uw back-endservers doorsturen. Als u bijvoorbeeld twee openbare IP-adressen hebt, kunt u TCP-poort 3389 (RDP) voor beide IP-adressen omzetten.
• SNAT: er zijn extra poorten beschikbaar voor uitgaande SNAT-verbindingen, waardoor de kans op SNAT-poortuitputting wordt verlaagd. Azure Firewall selecteert willekeurig het eerste openbare IP-adres van de bron dat moet worden gebruikt voor een verbinding en selecteert een ander openbaar IP-adres nadat de poorten van het eerste IP-adres zijn uitgeput. Als u een downstream-filter op uw netwerk hebt, moet u alle openbare IP-adressen toestaan die zijn gekoppeld aan uw firewall. U kunt een openbaar IP-adresvoorvoegsel gebruiken om deze configuratie te vereenvoudigen.

U hebt toegang tot Azure Firewall met meerdere openbare IP-adressen via Azure Portal, Azure PowerShell, Azure CLI, REST en sjablonen. U kunt een Azure Firewall implementeren in een virtueel hubnetwerk met maximaal 250 openbare IP-adressen. DNAT-doelregels tellen echter ook mee voor het maximum van 250. De limiet voor een Azure Firewall in een VHUB-implementatie met Bring Your Own Public IP is 250 adressen en voor klassieke VHUB-implementatie zijn dit 80 openbare IP-adressen.

In de volgende Azure PowerShell-voorbeelden ziet u hoe u openbare IP-adressen voor Azure Firewall kunt configureren, toevoegen en verwijderen.

Een firewall maken met twee of meer openbare IP-adressen

In dit voorbeeld wordt een firewall gemaakt die is gekoppeld aan het virtuele netwerk myVirtualNetwork met twee openbare IP-adressen. Gebruik Get-AzVirtualNetwork om het bestaande virtuele netwerk, New-AzPublicIpAddress op te halen om elk openbaar IP-adres te maken en New-AzFirewall om de firewall met beide IP-adressen te implementeren.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "myVirtualNetwork" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName $rgName `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName $rgName `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Een openbaar IP-adres toevoegen aan een bestaande firewall

In dit voorbeeld wordt het openbare IP-adres azFwPublicIp1 gekoppeld aan de firewall. Gebruik New-AzPublicIpAddress om het nieuwe IP-adres, Get-AzFirewall te maken om het bestaande firewallobject op te halen en Set-AzFirewall om de bijgewerkte configuratie op te slaan.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Een openbaar IP-adres verwijderen uit een bestaande firewall

In dit voorbeeld wordt het openbare IP-adres azFwPublicIp1 losgekoppeld van de firewall. Gebruik Get-AzPublicIpAddress om het bestaande IP-adres, Get-AzFirewall op te halen om het firewallobject op te halen en Set-AzFirewall om de bijgewerkte configuratie op te slaan.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Volgende stappen

• Quickstart: Een Azure Firewall maken met meerdere openbare IP-adressen - Resource Manager-sjabloon