Condividi tramite


Distribuire un Firewall di Azure con più indirizzi IP pubblici usando Azure PowerShell

Questa funzionalità abilita gli scenari seguenti:

  • DNAT - È possibile convertire più istanze di porta standard per i server back-end. Se ad esempio si dispone di due indirizzi IP pubblici, è possibile convertire la porta TCP 3389 (RDP) per entrambi gli indirizzi IP.
  • SNAT - Sono disponibili porte aggiuntive per le connessioni SNAT in uscita, riducendo il rischio di esaurimento delle porte SNAT. Firewall di Azure seleziona in modo casuale il primo indirizzo IP pubblico di origine da usare per una connessione e seleziona un altro indirizzo IP pubblico dopo che le porte del primo IP sono state esaurite. Se sono presenti filtri downstream nella rete, è necessario consentire tutti gli indirizzi IP pubblici associati al firewall. Per semplificare questa configurazione, provare a usare un prefisso di indirizzo IP pubblico.

Il servizio Firewall di Azure con più indirizzi IP pubblici è disponibile tramite il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure, REST e i modelli.
È possibile distribuire un Firewall di Azure con un massimo di 250 indirizzi IP pubblici, ma le regole di destinazione DNAT verranno conteggiati anche per il massimo 250. Ip pubblici + regola di destinazione DNAT = 250 max.

Nota

Negli scenari con volume di traffico elevato e velocità effettiva, è consigliabile usare un gateway NAT per fornire connettività in uscita. Le porte SNAT vengono allocate in modo dinamico in tutti gli indirizzi IP pubblici associati al gateway NAT. Per altre informazioni, vedere Integrare il gateway NAT con Firewall di Azure.

Gli esempi di Azure PowerShell seguenti illustrano come configurare, aggiungere e rimuovere indirizzi IP pubblici per Firewall di Azure.

Importante

Non è possibile rimuovere il primo ipConfiguration dalla pagina di configurazione dell'indirizzo IP pubblico Firewall di Azure. Se si vuole modificare l'indirizzo IP, è possibile usare Azure PowerShell.

Creare un firewall con due o più indirizzi IP pubblici

Questo esempio crea un firewall collegato alla rete virtuale di rete virtuale con due indirizzi IP pubblici.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Aggiungere un indirizzo IP pubblico a un firewall esistente

In questo esempio l'indirizzo IP pubblico azFwPublicIp1 viene collegato al firewall.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Rimuovere un indirizzo IP pubblico da un firewall esistente

In questo esempio l'indirizzo IP pubblico azFwPublicIp1 viene scollegato dal firewall.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Passaggi successivi