Der Kunde hat unterstützung für öffentliche IP-Adressen in gesicherten Hubs bereitgestellt

Azure Firewall in virtual WAN-gesicherten Hubs unterstützt jetzt die Verwendung von vom Kunden bereitgestellten öffentlichen IP-Adressen. Mit dieser Funktion können Organisationen ihre eigenen öffentlichen IP-Adressen bei der Bereitstellung von Azure Firewall in einem gesicherten virtuellen WAN-Hub bereitstellen und mehr Flexibilität und Kontrolle über die Netzwerkinfrastruktur bieten.

Mit diesem Feature können Sie anstelle von von Azure verwalteten öffentlichen IP-Adressen Ihre eigenen öffentlichen IP-Adressen angeben, die bereits in Ihrem Azure-Abonnement zugeordnet sind. Dies ist besonders nützlich für Organisationen, die konsistente IP-Adressen für Compliance, Sicherheitsrichtlinien oder Integration in Drittanbietersysteme erfordern.

Sie können dieses Feature entweder über das Azure-Portal oder Azure PowerShell konfigurieren.

Vorteile

Die Verwendung von vom Kunden bereitgestellten öffentlichen IP-Adressen mit gesicherten Azure Firewalls bietet mehrere Vorteile:

• VERWALTUNG des IP-Lebenszyklus: Sie besitzen und steuern den vollständigen Lebenszyklus der öffentlichen IP-Adressen der Azure Firewall, einschließlich Erstellung, Konfiguration und Löschung.

• Erweiterter DDoS-Schutz: Gesicherte Hubfirewalls können erweiterte DDoS-Entschärfungsfeatures aktivieren, um sich gegen DDoS-Angriffe zu schützen, wenn sie öffentliche Ip-Adressen von Kunden verwenden.

• IP-Präfixzuordnung: Sie können öffentliche IP-Adressen von Azure Firewall aus einem IP-Adresspräfixpool zuordnen und eine bessere IP-Adressverwaltung und vereinfachte Routingkonfigurationen ermöglichen.

• Compliance und Konsistenz: Halten Sie einheitliche öffentliche IP-Adressen für alle Bereitstellungen bereit, um behördliche Anforderungen zu erfüllen oder in vorhandene Netzwerksicherheitsrichtlinien zu integrieren.

Voraussetzungen

Bevor Sie vom Kunden bereitgestellte öffentliche IP-Adressen mit gesicherten Azure Firewalls verwenden können, stellen Sie sicher, dass Sie über die folgenden Ressourcenberechtigungen verfügen:

• Azure-Abonnement: Ein aktives Azure-Abonnement mit entsprechenden Berechtigungen zum Erstellen und Verwalten von Azure Firewall-Ressourcen.

• Virtuelles WAN und Hub: Eine virtuelle WAN-Instanz mit einem virtuellen Hub, in dem Sie die gesicherte Hubfirewall bereitstellen möchten.

• Öffentliche IP-Adressen: Mindestens eine öffentliche IP-Adresse, die bereits in Ihrem Azure-Abonnement erstellt wurde. Diese öffentlichen IP-Adressen müssen:

  • Befinden Sie sich in derselben Region wie Ihr virtueller Hub
  • Eine Standard-SKU haben
  • Verwenden der statischen Zuordnungsmethode
  • Nicht mit anderen Azure-Ressourcen verbunden sein

• Ressourcengruppe: Eine Ressourcengruppe, die Ihre Azure-Firewall und zugehörige Ressourcen enthält.

• Berechtigungen: Geeignete Azure RBAC-Berechtigungen für:

  • Erstellen und Konfigurieren von Azure Firewall-Ressourcen
  • Verwalten öffentlicher IP-Adressen
  • Ändern von Konfigurationen für virtuelle WAN-Hubs

• IP-Präfix (empfohlen): Für eine bessere Verwaltung weisen Sie Ihre öffentlichen IP-Adressen aus einem öffentlichen IP-Adresspräfix-Pool zu. In der Beschreibung zu Unterstützung von bereitzustellenden öffentlichen IP-Adressen in gesicherten Hubs: Erfahren Sie, wie Sie kundenseitig bereitgestellte öffentliche IP-Adressen mit Azure Firewall in gesicherten virtuellen WAN-Hubs verwenden, um die Kontrolle und den DDoS-Schutz zu verbessern.

Die Funktion steht sowohl für neue als auch für vorhandene Bereitstellungen gesicherter Hubfirewalls zur Verfügung.

Konfigurieren einer neuen Azure-Firewall für einmaliges Anmelden mit öffentlicher IP-Adresse des Kundenmandanten

Sie können dieses Feature entweder über das Azure-Portal oder Azure PowerShell konfigurieren.

    $publicip = Get-AzPublicIpAddress -ResourceGroupName $rgName -Name $PIPName
    $virtualhub = get-azvirtualhub -ResourceGroupName $rgName -name $vwanhub
    New-AzFirewall -Name $azfwname -ResourceGroupName $rgName -Location westcentralus -SkuName AZFW_Hub -SkuTier $Tier -PublicIpAddress $publicip -VirtualHubId $virtualhub.Id

Neukonfigurieren einer vorhandenen Azure-Firewall für sicheren Hub mit öffentlicher IP-Adresse des Kundenmandanten

Führen Sie die folgenden Schritte aus, um eine Azure-Firewall mit einer öffentlichen IP-Adresse neu zu konfigurieren:

1. Abrufen der vorhandenen Firewall
   Verwenden Sie das Get-AzFirewall Cmdlet, um die aktuelle Azure Firewall-Konfiguration abzurufen:

   $Azfw = Get-AzFirewall -ResourceGroupName rgName -Name azFw
   

2. Festlegen der aktuellen Anzahl von öffentlichen Firewall-IPs auf 0
   Erstellen Sie eine neue öffentliche IP-Konfiguration mit der Anzahl 0, und aktualisieren Sie die Hub-IP-Adressen der Firewall:

   $hubIp = New-AzFirewallHubPublicIpAddress -Count 0
   $AzFWHubIPs = New-AzFirewallHubIpAddress -PublicIP $hubIp
   $Azfw.HubIpAddresses = $AzFWHubIPs
   Set-AzFirewall -AzureFirewall $AzFw
   

3. Die Firewall deallozieren
   Verlagern Sie die Firewall, um sie für die Neukonfiguration vorzubereiten:

   $AzFw.Deallocate()
   Set-AzFirewall -AzureFirewall $AzFw
   

4. Zuordnen der Firewall mit der öffentlichen IP
   Rufen Sie die öffentliche IP-Adresse und den virtuellen Hub ab, und weisen Sie dann die Firewall mit der neuen Konfiguration zu:

   $publicip = Get-AzPublicIpAddress -ResourceGroupName rgName -Name PIPWC2
   $virtualhub = Get-AzVirtualHub -ResourceGroupName rgName -Name "LegacyHUB"
   $AzFw.Allocate($virtualhub.Id, $publicip)
   
   Set-AzFirewall -AzureFirewall $AzFw
   

Nächste Schritte

• Tutorial: Schützen Ihres virtuellen Hubs mit Azure Firewall Manager