Implementar uma Firewall do Azure com vários endereços IP públicos através do Azure PowerShell

  • Artigo

Esse recurso permite os seguintes cenários:

  • DNAT - Você pode traduzir várias instâncias de porta padrão para seus servidores de back-end . Por exemplo, se tiver dois endereços IP públicos, poderá converter a porta TCP 3389 (RDP) para ambos os endereços IP.
  • SNAT - Portas adicionais estão disponíveis para conexões SNAT de saída, reduzindo o potencial de exaustão da porta SNAT. O Firewall do Azure seleciona aleatoriamente o primeiro endereço IP público de origem a ser usado para uma conexão e seleciona outro IP público após o esgotamento das portas do primeiro IP. Se tiver alguma filtragem a jusante na rede, terá de permitir todos os endereços IP públicos associados à firewall. Considere o uso de um prefixo de endereço IP público para simplificar essa configuração.

O Azure Firewall com vários endereços IP públicos está disponível através do portal do Azure, do Azure PowerShell, da CLI do Azure, do REST e dos modelos.
Você pode implantar um Firewall do Azure com até 250 endereços IP públicos, no entanto, as regras de destino DNAT também contarão para o máximo de 250. IPs públicos + regra de destino DNAT = máximo 250.

Nota

Em cenários com alto volume de tráfego e taxa de transferência, é recomendável usar um gateway NAT para fornecer conectividade de saída. As portas SNAT são alocadas dinamicamente em todos os IPs públicos associados ao NAT Gateway. Para saber mais, consulte Integrar o Gateway NAT com o Firewall do Azure.

Os exemplos do Azure PowerShell a seguir mostram como você pode configurar, adicionar e remover endereços IP públicos para o Firewall do Azure.

Importante

Não é possível remover o primeiro ipConfiguration da página de configuração de endereço IP público do Firewall do Azure. Se quiser modificar o endereço IP, você pode usar o Azure PowerShell.

Criar um firewall com dois ou mais endereços IP públicos

Este exemplo cria um firewall conectado à rede virtual vnet com dois endereços IP públicos.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Adicionar um endereço IP público a um firewall existente

Neste exemplo, o endereço IP público azFwPublicIp1 está conectado ao firewall.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Remover um endereço IP público de um firewall existente

Neste exemplo, o endereço IP público azFwPublicIp1 é desanexado do firewall.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Próximos passos