Bagikan melalui

Terapkan Azure Firewall dengan beberapa alamat IP publik menggunakan Azure PowerShell

  • Artikel

Fitur ini memungkinkan skenario berikut:

  • DNAT - Anda dapat menerjemahkan beberapa instans port standar ke server backend Anda. Misalnya, jika memiliki dua alamat IP publik, Anda dapat menerjemahkan TCP port 3389 (RDP) untuk kedua alamat IP.
  • SNAT - Port tambahan tersedia untuk koneksi SNAT keluar, sehingga mengurangi potensi kehabisan port SNAT. Azure Firewall secara acak memilih alamat IP publik sumber pertama yang akan digunakan untuk koneksi dan memilih IP publik lain setelah port dari IP pertama telah habis. Jika memiliki pemfilteran hilir di jaringan, Anda perlu mengizinkan semua alamat IP publik yang terkait dengan firewall Anda. Pertimbangkan menggunakan prefiks alamat IP publik untuk memudahkan konfigurasi ini.

Azure Firewall dengan beberapa alamat IP publik tersedia melalui portal Microsoft Azure, Azure PowerShell, Azure CLI, REST, dan templat.
Anda dapat menyebarkan Azure Firewall dengan hingga 250 alamat IP publik, namun aturan tujuan DNAT juga akan dihitung hingga maksimum 250. IP Publik + aturan tujuan DNAT = 250 maks.

Catatan

Dalam skenario dengan volume lalu lintas dan throughput yang tinggi, disarankan untuk menggunakan NAT Gateway untuk menyediakan konektivitas keluar. Port SNAT dialokasikan secara dinamis di semua IP publik yang terkait dengan NAT Gateway. Untuk mempelajari selengkapnya, lihat mengintegrasikan NAT Gateway dengan Azure Firewall.

Contoh Azure PowerShell berikut memperlihatkan bagaimana Anda dapat mengonfigurasi, menambahkan, dan menghapus alamat IP publik untuk Azure Firewall.

Penting

Anda tidak dapat menghapus ipConfiguration pertama dari halaman konfigurasi alamat IP publik Azure Firewall. Jika Anda ingin mengubah alamat IP, Anda dapat menggunakan Microsoft Azure PowerShell.

Membuat Azure Firewall dengan dua atau lebih alamat IP publik

Contoh ini membuat firewall yang dipasang ke jaringan virtual vnet dengan dua alamat IP publik.

$rgName = "resourceGroupName"

$vnet = Get-AzVirtualNetwork `
  -Name "vnet" `
  -ResourceGroupName $rgName

$pip1 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$pip2 = New-AzPublicIpAddress `
  -Name "AzFwPublicIp2" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

New-AzFirewall `
  -Name "azFw" `
  -ResourceGroupName $rgName `
  -Location centralus `
  -VirtualNetwork $vnet `
  -PublicIpAddress @($pip1, $pip2)

Menambahkan alamat IP publik ke Firewall yang ada

Dalam contoh ini, alamat IP publik azFwPublicIp1 dipasang ke firewall.

$pip = New-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg" `
  -Sku "Standard" `
  -Location "centralus" `
  -AllocationMethod Static

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.AddPublicIpAddress($pip)

$azFw | Set-AzFirewall

Menghapus alamat IP publik dari Firewall yang ada

Dalam contoh ini, alamat IP publik azFwPublicIp1 dilepaskan dari firewall.

$pip = Get-AzPublicIpAddress `
  -Name "azFwPublicIp1" `
  -ResourceGroupName "rg"

$azFw = Get-AzFirewall `
  -Name "AzureFirewall" `
  -ResourceGroupName "rg"

$azFw.RemovePublicIpAddress($pip)

$azFw | Set-AzFirewall

Langkah berikutnya