Compartir a través de

使用 Azure 防火墙管理公共 IP 地址

在本文中,你将了解如何使用 Azure 门户管理Azure 防火墙的公共 IP 地址。 你将了解如何使用订阅中的现有公共 IP 创建Azure 防火墙、更改 IP 配置,最后将 IP 配置添加到防火墙。

Azure 防火墙是基于云的网络安全服务,可保护 Azure 虚拟网络资源。 Azure 防火墙需要至少配置一个公共静态 IP 地址。 此 IP 或 IP 组就是防火墙的外部连接点。

Azure 防火墙支持标准 SKU 公共 IP 地址。 不支持基本 SKU 公共 IP 地址和公共 IP 前缀。

先决条件

  • 具有活动订阅的 Azure 帐户。 创建一个试用帐户
  • 未与任何资源关联的三个标准 SKU 公共 IP 地址。 要详细了解如何创建标准 SKU 公共 IP 地址,请参阅快速入门:使用 Azure 门户创建公共 IP 地址
    • 为了实现本文中示例的目的,请创建三个新的公共 IP 地址:myStandardPublicIP-1myStandardPublicIP-2myStandardPublicIP-3

使用现有公共 IP 创建 Azure 防火墙

在本部分中,你将创建一个 Azure 防火墙。 将在先决条件中创建的第一个 IP 地址用作防火墙的公共 IP。

  1. Azure 门户中,搜索并选择“防火墙”。

  2. 在“防火墙”页上,选择“创建”。

  3. 在“创建防火墙”中,输入或选择以下信息。

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 创建名为 myResourceGroupFW 的新资源组。
    实例详细信息
    名称 输入“myFirewall”。
    区域 选择“中国北部 2”。
    可用性区域 保留默认值“无”。
    防火墙 SKU 选择“标准”。
    防火墙管理 保留默认值“使用防火墙策略管理此防火墙”。
    防火墙策略 在“中国北部 2”中创建名为 myFirewallPolicy 的新防火墙策略,并将“策略层”设置为“标准”。
    选择虚拟网络 保留默认值“新建”。
    虚拟网络名称 输入 myVNet
    地址空间 输入 10.0.0.0/16
    子网地址空间 输入 10.0.0.0/26。
    公共 IP 地址 选择“myStandardPublicIP-1”或你的公共 IP。
    强制隧道 保留默认值“禁用”。
  4. 选择“查看 + 创建”。

  5. 选择“创建”。

下图显示了包含示例信息的“创建防火墙”页。

显示“创建防火墙”页的屏幕截图,其中包含示例信息。

更改防火墙的公共 IP 地址

在本部分中,你将更改与防火墙关联的公共 IP 地址。 防火墙必须至少有一个与其配置关联的公共 IP 地址。 如果防火墙的现有 IP 具有与之关联的任何目标网络地址转换 (DNAT) 规则,则无法更新 IP 地址。

  1. 在 Azure 门户中,搜索并选择“防火墙”。

  2. 在“防火墙”页上,选择“myFirewall”。

  3. 在“myFirewall”页上转到“设置”,然后选择“公共 IP 配置”。

  4. 在“公共 IP 配置”中,选择“myStandardPublicIP-1”。

  5. 选择“公共 IP 地址”下拉列表,然后选择“myStandardPublicIP-2”。

    显示“添加 公共 IP 配置”窗格并突出显示“公共 IP 地址”字段的屏幕截图。

  6. 选择“保存”。

将公共 IP 配置添加到防火墙

在本部分中,你将为 Azure 防火墙添加公共 IP 配置。 有关多个 IP 的详细信息,请参阅多个公共 IP 地址

  1. 在 Azure 门户中,搜索并选择“防火墙”。

  2. 在“防火墙”页上,选择“myFirewall”。

  3. 在“myFirewall”页上,转到“设置”,然后选择“公共 IP 配置”。

  4. 选择“添加公共 IP 配置”。

  5. 在“名称”中,输入 myNewPublicIPconfig。

  6. 在“公共 IP 地址”中,选择“myStandardPublicIP-3”。

    显示“添加 公共 IP 配置”窗格并突出显示“名称”和“公共 IP 地址”字段的屏幕截图。

  7. 选择“添加” 。

高级配置

此示例是一个简单的 Azure 防火墙部署。 有关高级配置和设置,请参阅教程:使用 Azure 门户部署和配置 Azure 防火墙和策略。 当与多个公共 IP 关联时,Azure 防火墙会随机选择第一个源公共 IP 进行出站连接,并且仅在由于 SNAT 端口耗尽而无法从当前公共 IP 建立更多连接后,才使用下一个可用的公共 IP。 可以将网络地址转换 (NAT) 网关关联到防火墙子网,以扩展源网络地址转换 (SNAT) 的可伸缩性。 通过此配置,所有出站流量将使用公共 IP 地址或 NAT 网关的地址。 有关详细信息,请参阅利用 Azure 虚拟网络 NAT 缩放 SNAT 端口

注意

。 建议改用 [NAT 网关] 来为出站连接实现动态可伸缩性。 网络筛选规则中除传输控制协议 (TCP) 和用户数据报协议 (UDP) 以外的协议不支持将 SNAT 用于防火墙的公共 IP。 可以将 Azure 防火墙可以与标准 SKU 负载均衡器集成,以保护后端池资源。 如果将防火墙与公共负载均衡器相关联,请将入口流量配置为定向到防火墙公共 IP 地址。 将出口流量配置为通过用户定义的路由流向防火墙公共 IP 地址。 有关详细信息和设置说明,请参阅将 Azure 防火墙与 Azure 标准负载均衡器相集成

后续步骤

在本文中,你了解了如何创建 Azure 防火墙和使用现有公共 IP。 你更改了默认 IP 配置的公共 IP。 最后,你为防火墙添加了公共 IP 配置。