Gestire un indirizzo IP pubblico usando Firewall di Azure

Questo articolo illustra come gestire gli indirizzi IP pubblici per Firewall di Azure usando il portale di Azure. Si apprenderà come creare un Firewall di Azure usando un indirizzo IP pubblico esistente nella sottoscrizione, modificare la configurazione IP e infine aggiungere una configurazione IP al firewall.

Firewall di Azure è un servizio di sicurezza di rete basato sul cloud che consente di proteggere le risorse della rete virtuale di Azure. Firewall di Azure richiede la configurazione di almeno un indirizzo IP statico pubblico. Questo indirizzo IP o set di indirizzi IP è il punto di connessione esterno al firewall.

Firewall di Azure supporta gli indirizzi IP pubblici SKU standard. Gli indirizzi IP pubblici e i prefissi IP pubblici SKU di base non sono supportati.

Prerequisiti

Creare un firewall di Azure con un indirizzo IP pubblico esistente

In questa sezione viene creato un firewall di Azure. Usare il primo indirizzo IP creato nei prerequisiti come indirizzo IP pubblico per il firewall.

  1. Nel portale di Azure cercare e selezionare Firewall.

  2. Nella pagina Firewall selezionare Crea.

  3. In Crea firewall immettere o selezionare le informazioni seguenti.

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Creare un nuovo gruppo di risorse denominato myResourceGroupFW.
    Dettagli istanza
    Nome Immettere myFirewall.
    Paese Selezionare Stati Uniti occidentali 2.
    Zona di disponibilità Lasciare l'impostazione predefinita Nessuno.
    SKU firewall Selezionare Standard.
    Gestione del firewall Lasciare l'impostazione predefinita di Usa un criterio firewall per gestire questo firewall.
    Criterio firewall Creare un nuovo criterio firewall denominato myFirewallPolicy in Stati Uniti occidentali 2e impostare il livello del criterio su Standard.
    Scegliere una rete virtuale Lasciare l'impostazione predefinita di Crea nuovo.
    Nome della rete virtuale Immetti myVNet.
    Spazio indirizzi Immettere 10.0.0.0/16.
    Spazio indirizzi subnet Immettere 10.0.0.0/26.
    Indirizzo IP pubblico Selezionare myStandardPublicIP-1 o l'indirizzo IP pubblico.
    Tunneling forzato Lasciare l'impostazione predefinita Disabilitato.
  4. Selezionare Rivedi e crea.

  5. Seleziona Crea.

L'immagine seguente mostra la pagina Crea firewall con le informazioni di esempio.

Screenshot che mostra la pagina Crea firewall con le informazioni di esempio.

Modificare l'indirizzo IP pubblico per un firewall

In questa sezione viene modificato l'indirizzo IP pubblico associato al firewall. Un firewall deve avere almeno un indirizzo IP pubblico associato alla configurazione. Non è possibile aggiornare l'indirizzo IP se all'indirizzo IP esistente del firewall sono associate regole DNAT (Network Address Translation) di destinazione.

  1. Nel portale di Azure cercare e selezionare Firewall.

  2. Nella pagina Firewall selezionare myFirewall.

  3. Nella pagina myFirewall passare a Impostazioni e quindi selezionare Configurazione IP pubblico.

  4. In Configurazione IP pubblicoselezionare myStandardPublicIP-1.

  5. Selezionare l'elenco a discesa Indirizzo IP pubblico e quindi selezionare myStandardPublicIP-2.

    Screenshot che mostra il riquadro di configurazione Aggiungi IP pubblico ed evidenzia il campo Indirizzo IP pubblico.

  6. Seleziona Salva.

Aggiungere una configurazione IP pubblico a un firewall

In questa sezione viene aggiunta una configurazione IP pubblico a Firewall di Azure. Per altre informazioni sugli IP multipli, vedere Indirizzi IP pubblici multipli.

  1. Nel portale di Azure cercare e selezionare Firewall.

  2. Nella pagina Firewall selezionare myFirewall.

  3. Nella pagina myFirewall passare a Impostazioni e quindi selezionare Configurazione IP pubblico.

  4. Selezionare Aggiungi una configurazione IP pubblico.

  5. In Nome immettere myNewPublicIPconfig.

  6. In Indirizzo IP pubblico selezionare myStandardPublicIP-3.

    Screenshot che mostra il riquadro di configurazione Aggiungi IP pubblico ed evidenzia i campi Nome e Indirizzo IP pubblico.

  7. Selezionare Aggiungi.

Configurazione avanzata

Questo esempio è una semplice distribuzione di Firewall di Azure. Per la configurazione e la configurazione avanzata, vedere Esercitazione: Distribuire e configurare Firewall di Azure e criteri usando il portale di Azure. È possibile associare un firewall di Azure a un gateway NAT (Network Address Translation) per ampliare l'estensibilità di SNAT (Source Network Address Translation). È possibile usare un gateway NAT per fornire connettività in uscita associata al firewall. Con questa configurazione, tutto il traffico in uscita usa l'indirizzo IP pubblico o gli indirizzi del gateway NAT. Per altre informazioni, vedere Ridimensionare le porte SNAT con NAT di rete virtuale di Azure.

Nota

Firewall di Azure seleziona in modo casuale uno degli indirizzi IP pubblici associati per la connettività in uscita e usa l'indirizzo IP pubblico successivo disponibile solo dopo che non potranno più essere effettuate connessioni dall'indirizzo IP pubblico corrente a causa dell'esaurimento della porta SNAT. È consigliabile usare invece il gateway NAT per offrire scalabilità dinamica della connettività in uscita. I protocolli diversi da TCP (Transmission Control Protocol) e UDP (User Datagram Protocol) nelle regole di filtro di rete non sono supportati per SNAT all'indirizzo IP pubblico del firewall. È possibile integrare un firewall di Azure con il servizio di bilanciamento del carico dello SKU Standard per proteggere le risorse del pool back-end. Se si associa il firewall a un servizio di bilanciamento del carico pubblico, configurare il traffico in ingresso in modo che venga indirizzato all'indirizzo IP pubblico del firewall. Configurare l'uscita tramite una route definita dall'utente all'indirizzo IP pubblico del firewall. Per altre informazioni e istruzioni di configurazione, vedere Integrare Firewall di Azure con Azure Load Balancer Standard.

Passaggi successivi

In questo articolo è stato illustrato come creare un firewall di Azure e usare un indirizzo IP pubblico esistente. È stato modificato l'indirizzo IP pubblico della configurazione IP predefinita. Infine, è stata aggiunta una configurazione IP pubblico al firewall.