Obsługa publicznego adresu IP przez klienta w zabezpieczonych centrach

Usługa Azure Firewall w koncentratorach zabezpieczonych w wirtualnej sieci WAN obsługuje teraz korzystanie z publicznych adresów IP udostępnianych przez klienta. Ta funkcja umożliwia organizacjom korzystanie z własnych publicznych adresów IP podczas wdrażania usługi Azure Firewall w zabezpieczonym koncentratorze usługi Virtual WAN, co zapewnia większą elastyczność i kontrolę nad infrastrukturą sieciową.

Dzięki tej funkcji zamiast polegać na publicznych adresach IP zarządzanych przez platformę Azure możesz określić własne publiczne adresy IP, które są już przydzielone w ramach subskrypcji platformy Azure. Jest to szczególnie przydatne w przypadku organizacji, które wymagają spójnych adresów IP pod kątem zgodności, zasad zabezpieczeń lub integracji z systemami innych firm.

Tę funkcję można skonfigurować przy użyciu witryny Azure Portal lub programu Azure PowerShell.

Korzyści

Korzystanie z publicznych adresów IP dostarczanych przez klienta z zabezpieczoną zaporą Azure oferuje kilka zalet:

• Zarządzanie cyklem życia adresów IP: Jesteś właścicielem i kontrolujesz pełny cykl życia publicznych adresów IP usługi Azure Firewall, w tym tworzenie, konfigurowanie i usuwanie.

• Rozszerzona ochrona przed atakami DDoS: Zapory koncentratora zabezpieczonego mogą umożliwiać ulepszone funkcje ograniczania ryzyka ataków DDoS w przypadku korzystania z publicznych adresów IP udostępnianych przez klienta.

• Alokacja prefiksu IP: publiczne adresy IP usługi Azure Firewall można przydzielić z puli prefiksów adresów IP, umożliwiając lepsze zarządzanie adresami IP i uproszczone konfiguracje routingu.

• Zgodność i spójność: zachowaj spójne publiczne adresy IP we wdrożeniach, aby spełnić wymagania prawne lub zintegrować je z istniejącymi zasadami zabezpieczeń sieci.

Wymagania wstępne

Przed użyciem publicznych adresów IP dostarczonych przez klienta z zabezpieczonymi zaporami Azure Firewall w centrum sieci, upewnij się, że masz następujące uprawnienia do zasobów:

• Subskrypcja platformy Azure: aktywna subskrypcja platformy Azure z odpowiednimi uprawnieniami do tworzenia zasobów usługi Azure Firewall i zarządzania nimi.

• Wirtualna sieć WAN i koncentrator: wystąpienie usługi Virtual WAN z koncentratorem wirtualnym, w którym planujesz wdrożyć zabezpieczoną zaporę koncentratora.

• Publiczne adresy IP: co najmniej jeden publiczny adres IP utworzony już w ramach subskrypcji platformy Azure. Te publiczne adresy IP muszą:

  • Znajdować się w tym samym regionie co wirtualny hub
  • Mieć SKU Standard
  • Używanie metody alokacji statycznej
  • Nie należy skojarzyć z żadnymi innymi zasobami platformy Azure

• Grupa zasobów: grupa zasobów zawierająca usługę Azure Firewall i powiązane zasoby.

• Uprawnienia: Odpowiednie uprawnienia RBAC platformy Azure do:

  • Tworzenie i konfigurowanie zasobów usługi Azure Firewall
  • Zarządzanie publicznymi adresami IP
  • Modyfikowanie konfiguracji koncentratora usługi Virtual WAN

• Prefiks IP (zalecane): Aby lepiej zarządzać, przydziel publiczne adresy IP z puli prefiksów publicznych adresów IP.ided obsługa publicznych adresów IP w zabezpieczonych centrach opis: Dowiedz się, jak używać publicznych adresów IP udostępnianych przez klienta za pomocą usługi Azure Firewall w zabezpieczonych koncentratorach wirtualnej sieci WAN w celu zapewnienia rozszerzonej kontroli i ochrony przed atakami DDoS.

Ta funkcja jest dostępna zarówno dla nowych, jak i istniejących wdrożeń zapór sieciowych zabezpieczonego koncentratora.

Konfigurowanie nowej usługi Azure Firewall w usłudze Secure Hub przy użyciu publicznego adresu IP dzierżawy klienta

Tę funkcję można skonfigurować przy użyciu witryny Azure Portal lub programu Azure PowerShell.

    $publicip = Get-AzPublicIpAddress -ResourceGroupName $rgName -Name $PIPName
    $virtualhub = get-azvirtualhub -ResourceGroupName $rgName -name $vwanhub
    New-AzFirewall -Name $azfwname -ResourceGroupName $rgName -Location westcentralus -SkuName AZFW_Hub -SkuTier $Tier -PublicIpAddress $publicip -VirtualHubId $virtualhub.Id

Ponowne konfigurowanie istniejącej usługi Azure Firewall w usłudze Secure Hub przy użyciu publicznego adresu IP dzierżawy klienta

Aby ponownie skonfigurować usługę Azure Firewall przy użyciu publicznego adresu IP, wykonaj następujące kroki:

1. Pobieranie istniejącej zapory
   Get-AzFirewall Użyj polecenia cmdlet , aby pobrać bieżącą konfigurację usługi Azure Firewall:

   $Azfw = Get-AzFirewall -ResourceGroupName rgName -Name azFw
   

2. Ustaw bieżącą liczbę publicznych adresów IP zapory na 0
   Utwórz nową konfigurację publicznego adresu IP z liczbą 0 i zaktualizuj adresy IP koncentratora zapory:

   $hubIp = New-AzFirewallHubPublicIpAddress -Count 0
   $AzFWHubIPs = New-AzFirewallHubIpAddress -PublicIP $hubIp
   $Azfw.HubIpAddresses = $AzFWHubIPs
   Set-AzFirewall -AzureFirewall $AzFw
   

3. Cofanie przydziału zapory
   Cofnij przydział zapory, aby przygotować ją do ponownej konfiguracji:

   $AzFw.Deallocate()
   Set-AzFirewall -AzureFirewall $AzFw
   

4. Przydzielanie zapory za pomocą publicznego adresu IP
   Pobierz publiczny adres IP i koncentrator wirtualny, a następnie przydziel zaporę przy użyciu nowej konfiguracji:

   $publicip = Get-AzPublicIpAddress -ResourceGroupName rgName -Name PIPWC2
   $virtualhub = Get-AzVirtualHub -ResourceGroupName rgName -Name "LegacyHUB"
   $AzFw.Allocate($virtualhub.Id, $publicip)
   
   Set-AzFirewall -AzureFirewall $AzFw
   

Dalsze kroki

• Samouczek: zabezpieczanie koncentratora wirtualnego przy użyciu usługi Azure Firewall Manager