Bereitstellen einer Azure Firewall mit mehreren öffentlichen IP-Adressen mithilfe von Azure PowerShell

  • Artikel

Diese Funktion ermöglicht die folgenden Szenarios:

  • DNAT: Sie können mehrere Standardportinstanzen auf Ihre Back-End-Server übersetzen. Wenn Sie beispielsweise über zwei öffentliche IP-Adressen verfügen, können Sie den TCP-Port 3389 (RDP) für beide IP-Adressen übersetzen.
  • SNAT: Für ausgehende SNAT-Verbindungen stehen zusätzliche Ports zur Verfügung, was die Gefahr einer Überlastung des SNAT-Ports verringert. Azure Firewall wählt die öffentliche IP-Quelladresse für eine Verbindung nach dem Zufallsprinzip aus. Wenn Sie in Ihrem Netzwerk über eine nachgeschaltete Filterung verfügen, müssen Sie alle öffentlichen IP-Adressen zulassen, die mit Ihrer Firewall verbunden sind. Verwenden Sie ggf. ein Präfix für öffentliche IP-Adressen, um diese Konfiguration zu vereinfachen.

Azure Firewall mit mehreren öffentlichen IP-Adressen ist über das Azure-Portal, Azure PowerShell, die Azure CLI, REST und Vorlagen verfügbar.
Sie können eine Azure Firewall mit bis zu 250 öffentlichen IP-Adressen bereitstellen. DNAT-Zielregeln werden jedoch auch auf das Maximum von 250 angerechnet. Öffentliche IPs + DNAT-Zielregel = 250 max.

Die folgenden Azure PowerShell-Beispiele zeigen, wie Sie öffentliche IP-Adressen für Azure Firewall konfigurieren, hinzufügen und entfernen können.

Hinweis

Die erste ipConfiguration kann nicht von der Seite für die Konfiguration der öffentlichen IP-Adressen in Azure Firewall entfernt werden. Wenn Sie die IP-Adresse ändern möchten, können Sie Azure PowerShell verwenden.

Erstellen einer Firewall mit mindestens zwei öffentlichen IP-Adressen

In diesem Beispiel wird eine Firewall erstellt, die an das virtuelle Netzwerk vnet mit zwei öffentlichen IP-Adressen angefügt ist.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Hinzufügen einer öffentlichen IP-Adresse zu einer vorhandenen Firewall

In diesem Beispiel ist die öffentliche IP-Adresse azFwPublicIp1 an die Firewall angefügt.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Entfernen einer öffentlichen IP-Adresse aus einer vorhandenen Firewall

In diesem Beispiel ist die öffentliche IP-Adresse azFwPublicIp1 von der Firewall getrennt.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Nächste Schritte