Клиент предоставил поддержку общедоступного IP-адреса в защищенных центрах

Брандмауэр Azure в защищенных центрах виртуальной глобальной сети теперь поддерживает использование общедоступных IP-адресов, предоставляемых клиентом. Эта возможность позволяет организациям предоставлять собственные общедоступные IP-адреса при развертывании брандмауэра Azure в защищенном концентраторе виртуальной глобальной сети, обеспечивая большую гибкость и контроль над сетевой инфраструктурой.

С помощью этой функции вместо использования общедоступных IP-адресов, управляемых Azure, можно указать собственные общедоступные IP-адреса, которые уже выделены в подписке Azure. Это особенно важно для организаций, требующих согласованных IP-адресов для соответствия, политик безопасности или интеграции с сторонними системами.

Эту функцию можно настроить с помощью портала Azure или Azure PowerShell.

Преимущества

Использование общедоступных IP-адресов, предоставляемых клиентом, с защищенными брандмауэрами Azure обеспечивает несколько преимуществ:

Управление жизненным циклом IP-адресов. Вы владеете и управляете полным жизненным циклом общедоступных IP-адресов брандмауэра Azure, включая создание, настройку и удаление.
Расширенная защита от атак DDoS. Защищенные брандмауэры концентратора могут включать расширенные функции защиты от атак DDoS при использовании общедоступных IP-адресов, предоставляемых клиентом.
Выделение префикса IP-адресов. Вы можете выделить общедоступные IP-адреса брандмауэра Azure из пула префиксов IP-адресов, что позволяет лучше управлять IP-адресами и упрощенной конфигурацией маршрутизации.
Соответствие и согласованность. Поддержание согласованных общедоступных IP-адресов во всех развертываниях в соответствии с нормативными требованиями или интеграция с существующими политиками безопасности сети.

Предпосылки

Прежде чем использовать общедоступные IP-адреса, предоставляемые клиентом, с защищенными брандмауэрами Azure, убедитесь, что у вас есть следующие разрешения на ресурсы:

Подписка Azure: активная подписка Azure с соответствующими разрешениями для создания ресурсов брандмауэра Azure и управления ими.
Виртуальная глобальная сеть и концентратор: экземпляр виртуальной глобальной сети с виртуальным концентратором, в котором планируется развернуть защищенный брандмауэр концентратора.
Общедоступные IP-адреса: один или несколько общедоступных IP-адресов, уже созданных в подписке Azure. Эти общедоступные IP-адреса должны:
- Находиться в том же регионе, что и виртуальный концентратор
- Стандартное SKU
- Использование метода статического выделения
- Не связываться с другими ресурсами Azure
Группа ресурсов: группа ресурсов, содержащая брандмауэр Azure и связанные ресурсы.
Разрешения: соответствующие разрешения Azure RBAC для:
- Создание и настройка ресурсов брандмауэра Azure
- Управление общедоступными IP-адресами
- Изменение конфигураций концентратора виртуальной глобальной сети
Префикс IP-адресов (рекомендуется). Для лучшего управления выделяйте публичные IP-адреса из пула префиксов публичных IP-адресов. Узнайте, как использовать предоставленные клиентом публичные IP-адреса с брандмауэром Azure в защищенных узлах виртуальной WAN для расширенного контроля и защиты от атак DDoS.

Эта возможность доступна как для новых, так и для существующих развертываний защищенных брандмауэров концентратора.

Настройка нового брандмауэра Azure Secure Hub с общедоступным IP-адресом клиента

Эту функцию можно настроить с помощью портала Azure или Azure PowerShell.

Портал
PowerShell

Вы можете связать существующий общедоступный IP-адрес с защищенным брандмауэром концентратора. Вы должны выделить общедоступные IP-адреса из пула префиксов IP, чтобы упростить списки управления доступом ниже по протоколу безопасности (ACL).
Снимок экрана: новый защищенный виртуальный концентратор.

    $publicip = Get-AzPublicIpAddress -ResourceGroupName $rgName -Name $PIPName
    $virtualhub = get-azvirtualhub -ResourceGroupName $rgName -name $vwanhub
    New-AzFirewall -Name $azfwname -ResourceGroupName $rgName -Location westcentralus -SkuName AZFW_Hub -SkuTier $Tier -PublicIpAddress $publicip -VirtualHubId $virtualhub.Id

Замечание

Для существующих защищенных концентраторов виртуальной глобальной сети необходимо удалить все общедоступные IP-адреса, назначенные Концентратору, остановить или освободить брандмауэр концентратора. и выделите брандмауэр с общедоступным IP-адресом во время запланированного обслуживания.

Перенастройка существующего брандмауэра Azure Secure Hub с общедоступным IP-адресом клиента

Чтобы перенастроить брандмауэр Azure с общедоступным IP-адресом, выполните следующие действия.

Получение существующего брандмауэра
Get-AzFirewall Используйте командлет для получения текущей конфигурации брандмауэра Azure:
```
$Azfw = Get-AzFirewall -ResourceGroupName rgName -Name azFw
```
Задайте для текущего количества общедоступных IP-адресов брандмауэра значение 0
Создайте новую конфигурацию общедоступного IP-адреса с числом 0 и обновите IP-адреса концентратора брандмауэра:
```
$hubIp = New-AzFirewallHubPublicIpAddress -Count 0
$AzFWHubIPs = New-AzFirewallHubIpAddress -PublicIP $hubIp
$Azfw.HubIpAddresses = $AzFWHubIPs
Set-AzFirewall -AzureFirewall $AzFw
```
Освобождение брандмауэра
Отмените выделение брандмауэра, чтобы подготовить его к перенастройки:
```
$AzFw.Deallocate()
Set-AzFirewall -AzureFirewall $AzFw
```
Выделение брандмауэра с общедоступным IP-адресом
Получите общедоступный IP-адрес и виртуальный концентратор, а затем выделите брандмауэр с новой конфигурацией:
```
$publicip = Get-AzPublicIpAddress -ResourceGroupName rgName -Name PIPWC2
$virtualhub = Get-AzVirtualHub -ResourceGroupName rgName -Name "LegacyHUB"
$AzFw.Allocate($virtualhub.Id, $publicip)

Set-AzFirewall -AzureFirewall $AzFw
```

Дальнейшие шаги

Руководство. Защита виртуального концентратора с помощью диспетчера брандмауэра Azure

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-10-02