IP-csoportok az Azure tűzfalban
Az IP-csoportok lehetővé teszik az Azure Firewall-szabályok IP-címeinek csoportosítását és kezelését az alábbi módokon:
- Forráscímként a DNAT-szabályokban
- Forrás- vagy célcímként a hálózati szabályokban
- Forráscímként az alkalmazásszabályokban
Egy IP-csoport egyetlen IP-címmel, több IP-címmel, egy vagy több IP-címtartománysal vagy címmel és tartománysal rendelkezhet.
Az IP-csoportok újra felhasználhatók az Azure Firewall DNST-, hálózati és alkalmazásszabályaiban több különböző régióban és előfizetésben található tűzfalhoz az Azure-ban. A csoportneveknek egyedinek kell lenniük. Az IP-csoportokat az Azure Portalon, az Azure CLI-ben vagy a REST API-ban konfigurálhatja. A rendszer egy mintasablont biztosít az első lépésekhez.
Minták formátuma
Az alábbi IPv4-címformátum-példák érvényesek az IP-csoportokban való használatra:
- Egyetlen cím: 10.0.0.0
- CIDR-jelölés: 10.1.0.0/32
- Címtartomány: 10.2.0.0-10.2.0.31
IP-csoport létrehozása
Az IP-csoport az Azure Portal, az Azure CLI vagy a REST API használatával hozható létre. További információ: IP-csoport létrehozása.
Ip-csoportok tallózása
- Az Azure Portal keresősávjában írja be az IP-csoportokat , és válassza ki. Megtekintheti az IP-csoportok listáját, vagy választhatja a Hozzáadás lehetőséget egy új IP-csoport létrehozásához.
- Válasszon ki egy IP-csoportot az áttekintési lap megnyitásához. Szerkesztheti, hozzáadhatja vagy törölheti az IP-címeket vagy IP-csoportokat.
IP-csoport kezelése
Az IP-csoportban lévő összes IP-cím, valamint a hozzá társított szabályok vagy erőforrások láthatók. Ip-csoport törléséhez először el kell bontania az IP-csoportot az azt használó erőforrástól.
- Az IP-címek megtekintéséhez vagy szerkesztéséhez válassza az IP-címeketa bal oldali panel Beállítások területén.
- Egy vagy több IP-cím hozzáadásához válassza az IP-címek hozzáadása lehetőséget. Ekkor megnyílik a Feltöltés húzása vagy tallózás lapja, vagy manuálisan is megadhatja a címet.
- Az IP-címek szerkesztéséhez vagy törléséhez kattintson a jobb oldalon található három pontra (...). Több IP-cím szerkesztéséhez vagy törléséhez jelölje ki a mezőket, és válassza a Felül található Szerkesztés vagy Törlés lehetőséget.
- Végül exportálhatja a fájlt CSV fájlformátumban.
Feljegyzés
Ha egy IP-csoportban az összes IP-címet törli, amíg az még használatban van egy szabályban, a szabály kimarad.
IP-csoport használata
Most már kiválaszthatja az IP-csoportot forrástípusként vagy céltípusként az IP-cím(ek)hez az Azure Firewall DNST-, alkalmazás- vagy hálózati szabályainak létrehozásakor.
Párhuzamos IP-csoportfrissítések (előzetes verzió)
Mostantól egyszerre több IP-csoportot is frissíthet párhuzamosan. Ez különösen hasznos azoknak a rendszergazdáknak, akik gyorsabban és nagy léptékben szeretnék elvégezni a konfigurációs módosításokat, különösen akkor, ha a módosításokat fejlesztői műveleti megközelítéssel (sablonok, ARM, CLI és Azure PowerShell) hajtják végre.
Ezzel a támogatással most a következőt teheti:
- 50 IP-csoport frissítése egyszerre
- A tűzfal- és tűzfalszabályzat frissítése az IP-csoport frissítése során
- Ugyanazt az IP-csoportot használja a szülő- és gyermekszabályzatban
- Egyszerre több, tűzfalszabályzat vagy klasszikus tűzfal által hivatkozott IP-csoport frissítése
- Új és továbbfejlesztett hibaüzenetek fogadása
Sikertelen és sikeres állapotok
Ha például egy IP-csoport frissítése 20 párhuzamos frissítésből egy hibát jelez, a többi frissítés folytatódik, és a hibás IP-csoport meghiúsul. Ha az IP-csoport frissítése sikertelen, és a tűzfal továbbra is kifogástalan állapotban van, a tűzfal sikeres állapotban marad. Annak ellenőrzéséhez, hogy az IP-csoport frissítése sikertelen vagy sikeres volt-e, megtekintheti az IP-csoport erőforrásának állapotát.
A párhuzamos IP-csoport támogatásának aktiválásához regisztrálhatja a funkciót az Azure PowerShell vagy az Azure Portal használatával.
Azure PowerShell
Használja a következő Azure PowerShell-parancsokat:
Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
A hatás érvénybe lépése több percet is igénybe vehet. Miután a szolgáltatás teljesen regisztrálva lett, fontolja meg egy frissítés végrehajtását az Azure Firewallon, hogy a módosítás azonnal érvénybe lépjen.
Azure Portal
- Navigáljon az Előzetes verziójú funkciókhoz az Azure Portalon.
- Az AzureFirewallParallelIPGroupUpdate keresése és regisztrálása.
- Győződjön meg arról, hogy a funkció engedélyezve van.
Régiónkénti elérhetőség
Az IP-csoportok minden nyilvános felhőrégióban elérhetők.
IP-címkorlátok
Az IP-csoport korlátait az Azure-előfizetések és -szolgáltatások korlátai, kvótái és korlátozásai című témakörben talál .
Kapcsolódó Azure PowerShell-parancsmagok
Az IP-csoportok létrehozásához és kezeléséhez az alábbi Azure PowerShell-parancsmagok használhatók:
- New-AzIpGroup
- Remove-AzIPGroup
- Get-AzIpGroup
- Set-AzIpGroup
- New-AzFirewallNetworkRule
- New-AzFirewallApplicationRule
- New-AzFirewallNatRule
Következő lépések
- Megtudhatja, hogyan helyezhet üzembe és konfigurálhat Azure Firewallt.