Share via

Zarządzanie publicznym adresem IP przy użyciu Azure Firewall

  • Artykuł

W tym artykule dowiesz się, jak zarządzać publicznymi adresami IP dla Azure Firewall przy użyciu Azure Portal. Dowiesz się, jak utworzyć Azure Firewall przy użyciu istniejącego publicznego adresu IP w subskrypcji, zmienić konfigurację adresu IP i dodać konfigurację adresu IP do zapory.

Azure Firewall to oparta na chmurze usługa zabezpieczeń sieci, która chroni zasoby usługi Azure Virtual Network. Azure Firewall wymaga skonfigurowania co najmniej jednego publicznego statycznego adresu IP. Ten adres IP lub zestaw adresów IP to zewnętrzny punkt połączenia z zaporą.

Azure Firewall obsługuje publiczne adresy IP jednostki SKU w warstwie Standardowa. Podstawowy publiczny adres IP jednostki SKU i prefiksy publicznego adresu IP nie są obsługiwane.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Utwórz go bezpłatnie.
  • Trzy publiczne adresy IP jednostki SKU w warstwie Standardowa, które nie są skojarzone z żadnymi zasobami. Aby uzyskać więcej informacji na temat tworzenia publicznego adresu IP jednostki SKU w warstwie Standardowa, zobacz Szybki start: tworzenie publicznego adresu IP przy użyciu Azure Portal.
    • Na potrzeby przykładów w tym artykule utwórz trzy nowe publiczne adresy IP: myStandardPublicIP-1, myStandardPublicIP-2 i myStandardPublicIP-3.

Tworzenie zapory platformy Azure przy użyciu istniejącego publicznego adresu IP

W tej sekcji utworzysz zaporę platformy Azure. Użyj pierwszego adresu IP utworzonego w wymaganiach wstępnych jako publicznego adresu IP zapory.

  1. W Azure Portal wyszukaj i wybierz pozycję Zapory.

  2. Na stronie Zapory wybierz pozycję Utwórz.

  3. W obszarze Utwórz zaporę wprowadź lub wybierz następujące informacje.

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Utwórz nową grupę zasobów o nazwie myResourceGroupFW.
    Szczegóły wystąpienia
    Nazwa Wprowadź wartość myFirewall.
    Region (Region) Wybierz pozycję Zachodnie stany USA 2.
    Strefa dostępności Pozostaw wartość domyślną Brak.
    Jednostka SKU zapory Wybierz pozycję Standardowa.
    Zarządzanie zaporą Pozostaw wartość domyślną Użyj zasad zapory do zarządzania tą zaporą.
    Zasady zapory Utwórz nowe zasady zapory o nazwie myFirewallPolicy w regionie Zachodnie stany USA 2 i ustaw warstwę Zasady na Standardowa.
    Wybieranie sieci wirtualnej Pozostaw wartość domyślną Utwórz nową.
    Nazwa sieci wirtualnej Wprowadź nazwę myVNet.
    Przestrzeń adresowa Wpisz 10.0.0.0/16.
    Przestrzeń adresowa podsieci Wprowadź wartość 10.0.0.0/26.
    Publiczny adres IP Wybierz pozycję myStandardPublicIP-1 lub publiczny adres IP.
    Wymuszone tunelowanie Pozostaw wartość domyślną Wyłączone.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

Na poniższej ilustracji przedstawiono stronę Tworzenie zapory z przykładowymi informacjami.

Zrzut ekranu przedstawiający stronę Tworzenie zapory z przykładowymi informacjami.

Zmienianie publicznego adresu IP zapory

W tej sekcji zmienisz publiczny adres IP skojarzony z zaporą. Zapora musi mieć co najmniej jeden publiczny adres IP skojarzony z jego konfiguracją. Nie można zaktualizować adresu IP, jeśli istniejący adres IP zapory ma skojarzone z nim reguły tłumaczenia adresów sieciowych (DNAT).

  1. W Azure Portal wyszukaj i wybierz pozycję Zapory.

  2. Na stronie Zapory wybierz pozycję myFirewall.

  3. Na stronie myFirewall przejdź do pozycji Ustawienia, a następnie wybierz pozycję Konfiguracja publicznego adresu IP.

  4. W obszarze Konfiguracja publicznego adresu IP wybierz pozycję myStandardPublicIP-1.

  5. Wybierz listę rozwijaną Publiczny adres IP , a następnie wybierz pozycję myStandardPublicIP-2.

    Zrzut ekranu przedstawiający okienko konfiguracji publicznego adresu IP Edd i wyróżnia pole Publiczny adres IP.

  6. Wybierz pozycję Zapisz.

Dodawanie konfiguracji publicznego adresu IP do zapory

W tej sekcji dodasz konfigurację publicznego adresu IP do Azure Firewall. Aby uzyskać więcej informacji na temat wielu adresów IP, zobacz Wiele publicznych adresów IP.

  1. W Azure Portal wyszukaj i wybierz pozycję Zapory.

  2. Na stronie Zapory wybierz pozycję myFirewall.

  3. Na stronie myFirewall przejdź do pozycji Ustawienia, a następnie wybierz pozycję Konfiguracja publicznego adresu IP.

  4. Wybierz pozycję Dodaj konfigurację publicznego adresu IP.

  5. W polu Nazwa wprowadź wartość myNewPublicIPconfig.

  6. W obszarze Publiczny adres IP wybierz pozycję myStandardPublicIP-3.

    Zrzut ekranu przedstawiający okienko Dodawanie konfiguracji publicznego adresu IP i wyróżnia pola Nazwa i Publiczny adres IP.

  7. Wybierz pozycję Dodaj.

Konfiguracja zaawansowana

W tym przykładzie przedstawiono proste wdrożenie Azure Firewall. Aby uzyskać zaawansowaną konfigurację i konfigurację, zobacz Samouczek: wdrażanie i konfigurowanie Azure Firewall i zasad przy użyciu Azure Portal. Zaporę platformy Azure można skojarzyć z bramą translatora adresów sieciowych (NAT), aby rozszerzyć rozszerzalność translacji adresów sieciowych źródłowych (SNAT). Brama translatora adresów sieciowych może służyć do zapewnienia łączności wychodzącej skojarzonej z zaporą. W przypadku tej konfiguracji cały ruch przychodzący używa publicznego adresu IP lub adresów bramy translatora adresów sieciowych. Ruch wychodzący za pośrednictwem publicznego adresu IP lub adresów usługi Azure Firewall. Aby uzyskać więcej informacji, zobacz Skalowanie portów SNAT za pomocą translatora adresów sieciowych platformy Azure Virtual Network.

Uwaga

Usługa Azure Firewall używa modułu równoważenia obciążenia jednostki SKU w warstwie Standardowa. Protokoły inne niż Protokół TCP (Transmission Control Protocol) i Protokół UDP (User Datagram Protocol) w regułach filtrowania sieci nie są obsługiwane dla protokołu SNAT do publicznego adresu IP zapory. Zaporę platformy Azure można zintegrować z modułem równoważenia obciążenia jednostki SKU w warstwie Standardowa, aby chronić zasoby puli zaplecza. Jeśli skojarzysz zaporę z publicznym modułem równoważenia obciążenia, skonfiguruj ruch przychodzący, który ma być kierowany do publicznego adresu IP zapory. Skonfiguruj ruch wychodzący za pośrednictwem trasy zdefiniowanej przez użytkownika do publicznego adresu IP zapory. Aby uzyskać więcej informacji i instrukcji dotyczących konfiguracji, zobacz Integrowanie Azure Firewall z usługą Azure usługa Load Balancer w warstwie Standardowa.

Następne kroki

W tym artykule przedstawiono sposób tworzenia zapory platformy Azure i używania istniejącego publicznego adresu IP. Zmieniono publiczny adres IP domyślnej konfiguracji adresu IP. Na koniec dodano konfigurację publicznego adresu IP do zapory.