IP Groups en Azure Firewall

IP Groups permite agrupar y administrar direcciones IP en reglas de Azure Firewall de las siguientes maneras:

• Como una dirección de origen en reglas de DNAT
• Como una dirección de origen o destino en reglas de red
• Como una dirección de origen en reglas de aplicación

Un grupo IP puede tener una sola dirección IP, varias direcciones IP, uno o varios intervalos de direcciones IP o una combinación de direcciones y rangos.

Los grupos de IP se puede reutilizar en reglas de DNAT, red y aplicación de Azure Firewall para varios firewalls entre regiones y suscripciones de Azure. Los nombres de grupo deben ser únicos. Puede configurar un grupo de IP en Azure Portal, la CLI de Azure o la API REST. Para ayudarle a comenzar, se proporciona una plantilla de ejemplo.

Formato de ejemplo

Los siguientes ejemplos de formato de dirección IPv4 son válidos para su uso en IP Groups:

• Dirección única: 10.0.0.0
• Notación CIDR: 10.1.0.0/32
• Intervalo de direcciones: 10.2.0.0-10.2.0.31

Creación de un grupo de IP

Un grupo de IP se puede crear mediante Azure Portal, la CLI de Azure o la API REST. Para obtener más información, consulte Creación de grupos de IP.

Acceso a IP Groups

1. En la barra de búsqueda de Azure Portal, escriba IP Groups y selecciónelo. Puede ver la lista de los grupos de IP o puede seleccionar Agregar para crear uno.

2. Seleccione un grupo de IP para abrir la página de información general. Puede editar, agregar o eliminar direcciones IP o grupos de IP.

   

Administración de un grupo de IP

Puede ver todas las direcciones IP del grupo de IP y las reglas o los recursos a él asociados. Para eliminar un grupo de IP, primero debe desasociar el grupo de IP del recurso que lo usa.

1. Para ver o editar las direcciones IP, seleccione Direcciones IP en Configuración en el panel izquierdo.
2. Para agregar una o varias direcciones IP, seleccione Agregar direcciones IP. Se abre la página Drag or Browse (Arrastrar o examinar) para que las descargue; también puede escribir las direcciones manualmente.
3. Seleccione los puntos suspensivos ( … ) de la derecha para editar o eliminar las direcciones IP. Para editar o eliminar varias direcciones IP, active las casillas y seleccione Editar o Eliminar en la parte superior.
4. Por último, puede exportar el archivo en formato CSV.

Nota:

Si elimina todas las direcciones IP de un grupo de IP mientras todavía se está usando en una regla, esa regla se omite.

Uso de un grupo de IP

Ahora puede seleccionar IP Group (Grupo de IP) como Tipo de origen o Tipo de destino para las direcciones IP al crear reglas de DNAT, aplicación o red de Azure Firewall.

Actualizaciones del grupo de IP paralelo (avance)

Ahora puede actualizar varios grupos de IP en paralelo al mismo tiempo. Esto es particularmente útil para los administradores que desean realizar cambios de configuración más rápidamente y a gran escala, especialmente cuando realizan esos cambios utilizando un enfoque dev ops (plantillas, ARM, CLI y Azure PowerShell).

Con esta compatibilidad, ahora puede:

• Actualizar 20 grupos IP a la vez
• Actualizar el firewall y la directiva de firewall durante las actualizaciones del grupo IP
• Use el mismo grupo IP en la directiva principal y en la secundaria
• Actualización simultánea de varios grupos IP referenciados por la directiva de firewall o el firewall clásico
• Recibir mensajes de error nuevos y mejorados

  • Estados de error y éxito

    Por ejemplo, si se produce un error en la actualización de un grupo de IP de un total de 20 actualizaciones paralelas, las demás actualizaciones siguen adelante y el grupo de IP con error falla. Además, si la actualización del grupo de IP falla y el firewall sigue en buen estado, el firewall permanece en estado Correcto. Para comprobar si la actualización del grupo de IP falló o tuvo éxito, puede ver el estado en el recurso del grupo de IP.

Para activar la compatibilidad con grupos ip paralelos, puede registrar la característica mediante Azure PowerShell o Azure Portal.

Azure PowerShell

Use los siguientes comandos de Azure PowerShell:

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Puede que tarde varios minutos en aplicarse. Una vez que la característica está completamente registrada, considere la posibilidad de realizar una actualización en Azure Firewall para que el cambio surta efecto inmediatamente.

Azure portal

1. Vaya a Características en versión preliminar en Azure Portal.
2. Busque y registre AzureFirewallParallelIPGroupUpdate.
3. Asegúrese de que la característica está habilitada.

Disponibilidad en regiones

Los grupos IP están disponible en todas las regiones de la nube pública.

Límites de direcciones IP

Para obtener información sobre los límites de grupos de IP, vea Límites, cuotas y restricciones de suscripción y servicios de Azure.

Cmdlets de Azure PowerShell relacionados

Se pueden usar los siguientes cmdlets de Azure PowerShell para crear y administrar grupos de IP:

• New-AzIpGroup
• Remove-AzIPGroup
• Get-AzIpGroup
• Set-AzIpGroup
• New-AzFirewallNetworkRule
• New-AzFirewallApplicationRule
• New-AzFirewallNatRule

Pasos siguientes

• Consulte el tutorial Implementación y configuración de Azure Firewall.