نهج جدار حماية Microsoft.Network
تعريف مورد Bicep
يمكن نشر نوع مورد firewallPolicies مع العمليات التي تستهدف:
- مجموعات الموارد - راجع أوامر نشر مجموعة الموارد
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
تنسيق المورد
لإنشاء مورد Microsoft.Network/firewallPolicies، أضف Bicep التالي إلى القالب الخاص بك.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-11-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
قيم Property
نُهج جدار الحماية
الاسم | الوصف | القيمة |
---|---|---|
الاسم | اسم المورد | سلسلة (مطلوب) حد الحرف: 1-80 أحرف صالحة: الأبجدية الرقمية والتسطير السفلي النقاط والواصلات. ابدأ ”بالأبجدية الرقمية“. الانتهاء الأبجدية الرقمية أو التسطير السفلي. |
الموقع | الموقع الخاص بالمورد. | سلسلة |
العلامات | علامات الموارد. | قاموس أسماء العلامات والقيم. راجع العلامات في القوالب |
الهوية | هوية نهج جدار الحماية. | ManagedServiceIdentity |
خصائص | خصائص نهج جدار الحماية. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
الاسم | الوصف | القيمة |
---|---|---|
النوع | نوع الهوية المستخدمة للمورد. يشتمل النوع "SystemAssigned، UserAssigned" على كل من هوية تم إنشاؤها ضمنيّاً ومجموعة من الهويات المعينة من قِبل المستخدم. سيقوم النوع "بلا" بإزالة أي هويات من الجهاز الظاهري. | 'بلا' 'SystemAssigned' 'SystemAssigned, UserAssigned' "UserAssigned" |
userAssignedIdentities | قائمة هويات المستخدم المقترنة بالمورد. ستكون المراجع الرئيسية لقاموس هوية المستخدم هي معرفات موارد ARM في النموذج: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
الاسم | الوصف | القيمة |
---|---|---|
{خاصية مخصصة} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
لا يحتوي هذا الكائن على أي خصائص لتعيينها أثناء التوزيع. جميع الخصائص هي ReadOnly.
FirewallPolicyPropertiesFormat
الاسم | الوصف | القيمة |
---|---|---|
نهج الأساس | نهج جدار الحماية الأصل الذي يتم توريث القواعد منه. | مصدر فرعي |
إعدادات dns | تعريف إعدادات وكيل DNS. | إعدادات Dns |
صريحةProxy | تعريف إعدادات الوكيل الصريح. | حماية صريحة |
التحليلات | نتائج تحليلات حول نهج جدار الحماية. | FirewallPolicyInsights |
intrusionDetection | تكوين الكشف عن الاختراق. | FirewallPolicyIntrusionDetection |
sku | نهج جدار الحماية SKU. | FirewallPolicySku |
Snat | عناوين IP الخاصة/نطاقات IP التي لن تكون نسبة استخدام الشبكة إليها SNAT. | FirewallPolicySnat |
sql | تعريف إعدادات SQL. | FirewallPolicySQL |
threatIntelMode | وضع العملية ل التحليل الذكي للمخاطر. | "تنبيه" "رفض" 'إيقاف التشغيل' |
threatIntelWhitelist | قائمة السماح ThreatIntel لنهج جدار الحماية. | FirewallPolicyThreatIntelWhitelist |
أمان النقل | تعريف تكوين TLS. | FirewallPolicyTransportSecurity |
مصدر فرعي
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف المورد. | سلسلة |
إعدادات Dns
الاسم | الوصف | القيمة |
---|---|---|
enableProxy | تمكين وكيل DNS على جدران الحماية المرفقة بنهج جدار الحماية. | Bool |
requireProxyForNetworkRules | يتم دعم FQDNs في قواعد الشبكة عند تعيينها إلى true. | Bool |
الخوادم | قائمة خوادم DNS المخصصة. | سلسلة [] |
حماية صريحة
الاسم | الوصف | القيمة |
---|---|---|
enableExplicitProxy | عند التعيين إلى صحيح، يتم تمكين وضع الوكيل الصريح. | Bool |
enablePacFile | عند التعيين إلى true، يجب توفير منفذ ملف pac وعنوان url. | Bool |
httpPort | لا يمكن أن يكون رقم المنفذ لبروتوكول http الوكيل الصريح أكبر من 64000. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
httpsPort | لا يمكن أن يكون رقم المنفذ لبروتوكول https الوكيل الصريح أكبر من 64000. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
pacFile | SAS URL لملف PAC. | سلسلة |
pacFilePort | رقم المنفذ لجدار الحماية لخدمة ملف PAC. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
FirewallPolicyInsights
الاسم | الوصف | القيمة |
---|---|---|
isEnabled | علامة للإشارة إلى ما إذا كانت الرؤى ممكنة على النهج. | Bool |
logAnalyticsResources | مساحات العمل اللازمة لتكوين Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
أيام الاستبقاء | عدد الأيام التي يجب تمكين نتائج التحليلات فيها على النهج. | int |
FirewallPolicyLogAnalyticsResources
الاسم | الوصف | القيمة |
---|---|---|
defaultWorkspaceId | معرف مساحة العمل الافتراضي ل Firewall Policy Insights. | مصدر فرعي |
مساحات عمل | قائمة مساحات العمل ل Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
الاسم | الوصف | القيمة |
---|---|---|
المنطقة | المنطقة لتكوين مساحة العمل. | سلسلة |
workspaceId | معرف مساحة العمل ل Firewall Policy Insights. | مصدر فرعي |
FirewallPolicyIntrusionDetection
الاسم | الوصف | القيمة |
---|---|---|
التكوين | خصائص تكوين الكشف عن الاختراق. | FirewallPolicyIntrusionDetectionConfiguration |
الوضع | حالة الكشف عن الاختراق العامة. عند إرفاقه بنهج أصل، يكون وضع IDPS الفعال لجدار الحماية هو الوضع الأدق للاثنين. | "تنبيه" "رفض" "إيقاف التشغيل" |
ملف التعريف | اسم ملف تعريف IDPS. عند إرفاقه بنهج أصل، يكون ملف التعريف الفعال لجدار الحماية هو اسم ملف التعريف للنهج الأصل. | "متقدم" "أساسي" "موسع" 'قياسي' |
FirewallPolicyIntrusionDetectionConfiguration
الاسم | الوصف | القيمة |
---|---|---|
bypassTrafficSettings | قائمة القواعد لتجاوز نسبة استخدام الشبكة. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
المدى الخاص | تستخدم نطاقات عناوين IP الخاصة IDPS لتحديد اتجاه نسبة استخدام الشبكة (أي الواردة والصادرة وما إلى ذلك). بشكل افتراضي، تعتبر النطاقات المحددة من خلال IANA RFC 1918 فقط عناوين IP خاصة. لتعديل النطاقات الافتراضية، حدد نطاقات عناوين IP الخاصة بك باستخدام هذه الخاصية | سلسلة [] |
signatureOverrides | قائمة حالات التواقيع المحددة. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
الاسم | الوصف | القيمة |
---|---|---|
الوصف | وصف قاعدة نسبة استخدام الشبكة للتجاوز. | سلسلة |
عناوين الوجهة | قائمة عناوين IP الوجهة أو النطاقات لهذه القاعدة. | سلسلة [] |
destinationIpGroups | قائمة IpGroups الوجهة لهذه القاعدة. | سلسلة [] |
destinationPorts | قائمة المنافذ أو النطاقات الوجهة. | سلسلة [] |
الاسم | اسم قاعدة نسبة استخدام الشبكة للتجاوز. | سلسلة |
بروتوكول | بروتوكول تجاوز القاعدة. | "أي" 'ICMP' 'TCP' 'UDP' |
عناوين المصدر | قائمة عناوين IP المصدر أو النطاقات لهذه القاعدة. | سلسلة [] |
sourceIpGroups | قائمة IpGroups المصدر لهذه القاعدة. | سلسلة [] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف التوقيع. | سلسلة |
الوضع | حالة التوقيع. | "تنبيه" "رفض" "إيقاف التشغيل" |
FirewallPolicySku
الاسم | الوصف | القيمة |
---|---|---|
المستوي | مستوى نهج جدار الحماية. | "أساسي" 'Premium' 'قياسي' |
FirewallPolicySnat
الاسم | الوصف | القيمة |
---|---|---|
autoLearnPrivateRanges | وضع العملية للتعلم التلقائي لنطاقات خاصة ليكون SNAT | "معطل" "ممكن" |
المدى الخاص | قائمة عناوين IP الخاصة/نطاقات عناوين IP لتكون SNAT. | سلسلة [] |
FirewallPolicySQL
الاسم | الوصف | القيمة |
---|---|---|
allowSqlRedirect | علامة للإشارة إلى ما إذا تم تمكين تصفية نسبة استخدام الشبكة لإعادة توجيه SQL. لا يتطلب تشغيل العلامة أي قاعدة باستخدام المنفذ 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
الاسم | الوصف | القيمة |
---|---|---|
Fqdns | قائمة FQDNs لقائمة السماح ThreatIntel. | سلسلة [] |
ipAddresses | قائمة عناوين IP لقائمة السماح ThreatIntel. | سلسلة [] |
FirewallPolicyTransportSecurity
الاسم | الوصف | القيمة |
---|---|---|
شهادة المصادقة | المرجع المصدق المستخدم لتوليد المرجع المصدق الوسيط. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
الاسم | الوصف | القيمة |
---|---|---|
keyVaultSecretId | المعرف السري ل (base-64 encoded unencrypted pfx) 'Secret' أو 'Certificate' object المخزن في KeyVault. | سلسلة |
الاسم | اسم شهادة المرجع المصدق. | سلسلة |
قوالب التشغيل السريع
تنشر قوالب التشغيل السريع التالية نوع المورد هذا.
قالب | الوصف |
---|---|
استخدام Azure Firewall كوكيل DNS في مخطط Hub & Spoke |
توضح هذه العينة كيفية توزيع طوبولوجيا محورية في Azure باستخدام جدار حماية Azure. تعمل الشبكة الظاهرية المركزية كنقطة مركزية للاتصال بالعديد من الشبكات الظاهرية المحورية المتصلة بالشبكة الظاهرية المركزية عبر تناظر الشبكة الظاهرية. |
الإنشاء Firewall و FirewallPolicy مع القواعد ومجموعات Ipgroups |
ينشر هذا القالب جدار حماية Azure مع نهج جدار الحماية (بما في ذلك قواعد متعددة للتطبيق والشبكة) يشير إلى مجموعات IP في قواعد التطبيق والشبكة. |
الإنشاء جدار حماية، FirewallPolicy مع وكيل صريح |
ينشئ هذا القالب جدار حماية Azure Firewall و FirewalllPolicy مع الوكيل الصريح وقواعد الشبكة باستخدام IpGroups. يتضمن أيضا إعداد جهاز ظاهري ل Linux Jumpbox |
الإنشاء جدار حماية مع FirewallPolicy وIpGroups |
ينشئ هذا القالب جدار حماية Azure مع FirewalllPolicy يشير إلى قواعد الشبكة باستخدام IpGroups. يتضمن أيضا إعداد جهاز ظاهري ل Linux Jumpbox |
بيئة الاختبار ل Azure Firewall Premium |
ينشئ هذا القالب Azure Firewall Premium ونهج جدار الحماية مع ميزات متميزة مثل Intrusion Inspection Detection (IDPS) وفحص TLS وتصفية فئة الويب |
الإنشاء إعداد بيئة الاختبار المعزولة باستخدام نهج جدار الحماية |
ينشئ هذا القالب شبكة ظاهرية مع 3 شبكات فرعية (الشبكة الفرعية للخادم ومجموعة jumpbox الفرعية والشبكة الفرعية AzureFirewall)، وVM jumpbox مع IP عام، وخادم ظاهري، ومسار UDR للإشارة إلى جدار حماية Azure للشبكة الفرعية للخادم وجدار حماية Azure مع عنوان IP عام واحد أو أكثر. ينشئ أيضا نهج جدار حماية بقاعدة تطبيق عينة 1 وقاعدة شبكة عينة ونطاقات خاصة افتراضية |
المراكز الظاهرية المضمونة |
ينشئ هذا القالب مركزا ظاهريا آمنا باستخدام Azure Firewall لتأمين نسبة استخدام الشبكة السحابية الموجهة إلى الإنترنت. |
الهدف والنهج لتوجيه Azure Virtual WAN |
يوفر هذا القالب Azure Virtual WAN مع مركزين مع تمكين هدف التوجيه وميزة النهج. |
تعريف مورد قالب ARM
يمكن نشر نوع مورد firewallPolicies مع العمليات التي تستهدف:
- مجموعات الموارد - راجع أوامر نشر مجموعة الموارد
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
تنسيق المورد
لإنشاء مورد Microsoft.Network/firewallPolicies، أضف JSON التالي إلى القالب الخاص بك.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-11-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
قيم Property
نُهج جدار الحماية
الاسم | الوصف | القيمة |
---|---|---|
النوع | نوع المورد | 'Microsoft.Network/firewallPolicies' |
apiVersion | إصدار واجهة برمجة تطبيقات المورد | '2023-11-01' |
الاسم | اسم المورد | سلسلة (مطلوبة) حد الأحرف: 1-80 الأحرف الصالحة: الأبجدية الرقمية والتسطير السفلي النقاط والواصلات. ابدأ ”بالأبجدية الرقمية“. الانتهاء الأبجدية الرقمية أو التسطير السفلي. |
الموقع | الموقع الخاص بالمورد. | سلسلة |
العلامات | علامات الموارد. | قاموس أسماء العلامات والقيم. راجع العلامات في القوالب |
الهوية | هوية نهج جدار الحماية. | ManagedServiceIdentity |
خصائص | خصائص نهج جدار الحماية. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
الاسم | الوصف | القيمة |
---|---|---|
النوع | نوع الهوية المستخدمة للمورد. يشتمل النوع "SystemAssigned، UserAssigned" على كل من هوية تم إنشاؤها ضمنيّاً ومجموعة من الهويات المعينة من قِبل المستخدم. سيقوم النوع "بلا" بإزالة أي هويات من الجهاز الظاهري. | 'بلا' 'SystemAssigned' 'SystemAssigned, UserAssigned' "UserAssigned" |
userAssignedIdentities | قائمة هويات المستخدم المقترنة بالمورد. ستكون المراجع الرئيسية لقاموس هوية المستخدم هي معرفات موارد ARM في النموذج: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
الاسم | الوصف | القيمة |
---|---|---|
{خاصية مخصصة} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
لا يحتوي هذا الكائن على أي خصائص لتعيينها أثناء التوزيع. جميع الخصائص هي ReadOnly.
FirewallPolicyPropertiesFormat
الاسم | الوصف | القيمة |
---|---|---|
نهج الأساس | نهج جدار الحماية الأصل الذي يتم توريث القواعد منه. | مصدر فرعي |
إعدادات dns | تعريف إعدادات وكيل DNS. | إعدادات Dns |
صريحةProxy | تعريف إعدادات الوكيل الصريح. | حماية صريحة |
التحليلات | نتائج تحليلات حول نهج جدار الحماية. | FirewallPolicyInsights |
intrusionDetection | تكوين الكشف عن الاختراق. | FirewallPolicyIntrusionDetection |
sku | نهج جدار الحماية SKU. | FirewallPolicySku |
Snat | عناوين IP الخاصة/نطاقات IP التي لن تكون نسبة استخدام الشبكة إليها SNAT. | FirewallPolicySnat |
sql | تعريف إعدادات SQL. | FirewallPolicySQL |
threatIntelMode | وضع العملية ل التحليل الذكي للمخاطر. | "تنبيه" "رفض" 'إيقاف التشغيل' |
threatIntelWhitelist | قائمة السماح ThreatIntel لنهج جدار الحماية. | FirewallPolicyThreatIntelWhitelist |
أمان النقل | تعريف تكوين TLS. | FirewallPolicyTransportSecurity |
مصدر فرعي
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف المورد. | سلسلة |
إعدادات Dns
الاسم | الوصف | القيمة |
---|---|---|
enableProxy | تمكين وكيل DNS على جدران الحماية المرفقة بنهج جدار الحماية. | Bool |
requireProxyForNetworkRules | يتم دعم FQDNs في قواعد الشبكة عند تعيينها إلى true. | Bool |
الخوادم | قائمة خوادم DNS المخصصة. | سلسلة [] |
حماية صريحة
الاسم | الوصف | القيمة |
---|---|---|
enableExplicitProxy | عند التعيين إلى صحيح، يتم تمكين وضع الوكيل الصريح. | Bool |
enablePacFile | عند التعيين إلى true، يجب توفير منفذ ملف pac وعنوان url. | Bool |
httpPort | لا يمكن أن يكون رقم المنفذ لبروتوكول http الوكيل الصريح أكبر من 64000. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
httpsPort | لا يمكن أن يكون رقم المنفذ لبروتوكول https الوكيل الصريح أكبر من 64000. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
ملف pacFile | SAS URL لملف PAC. | سلسلة |
pacFilePort | رقم المنفذ لجدار الحماية لخدمة ملف PAC. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
FirewallPolicyInsights
الاسم | الوصف | القيمة |
---|---|---|
isEnabled | علامة للإشارة إلى ما إذا كانت الرؤى ممكنة على النهج. | Bool |
logAnalyticsResources | مساحات العمل اللازمة لتكوين Firewall Policy Insights. | مصادر FirewallPolicyLogAnalytics |
أيام الاستبقاء | عدد الأيام التي يجب تمكين نتائج التحليلات فيها على النهج. | int |
مصادر FirewallPolicyLogAnalytics
الاسم | الوصف | القيمة |
---|---|---|
defaultWorkspaceId | معرف مساحة العمل الافتراضي ل Firewall Policy Insights. | مصدر فرعي |
مساحات عمل | قائمة مساحات العمل ل Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
الاسم | الوصف | القيمة |
---|---|---|
المنطقة | المنطقة لتكوين مساحة العمل. | سلسلة |
workspaceId | معرف مساحة العمل ل Firewall Policy Insights. | مصدر فرعي |
FirewallPolicyIntrusionDetection
الاسم | الوصف | القيمة |
---|---|---|
التكوين | خصائص تكوين الكشف عن الاختراق. | FirewallPolicyIntrusionDetectionConfiguration |
الوضع | حالة الكشف عن الاختراق العامة. عند إرفاقه بنهج أصل، يكون وضع IDPS الفعال لجدار الحماية هو الوضع الأدق للاثنين. | "تنبيه" "رفض" "إيقاف التشغيل" |
ملف التعريف | اسم ملف تعريف IDPS. عند إرفاقه بنهج أصل، يكون ملف التعريف الفعال لجدار الحماية هو اسم ملف التعريف للنهج الأصل. | "متقدم" "أساسي" "موسع" 'قياسي' |
FirewallPolicyIntrusionDetectionConfiguration
الاسم | الوصف | القيمة |
---|---|---|
bypassTrafficSettings | قائمة القواعد لتجاوز نسبة استخدام الشبكة. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
المدى الخاص | تستخدم نطاقات عناوين IP الخاصة IDPS لتحديد اتجاه نسبة استخدام الشبكة (أي الواردة والصادرة وما إلى ذلك). بشكل افتراضي، تعتبر النطاقات المحددة من خلال IANA RFC 1918 فقط عناوين IP خاصة. لتعديل النطاقات الافتراضية، حدد نطاقات عناوين IP الخاصة بك باستخدام هذه الخاصية | سلسلة [] |
signatureOverrides | قائمة حالات التواقيع المحددة. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
الاسم | الوصف | القيمة |
---|---|---|
الوصف | وصف قاعدة نسبة استخدام الشبكة للتجاوز. | سلسلة |
عناوين الوجهة | قائمة عناوين IP الوجهة أو النطاقات لهذه القاعدة. | سلسلة [] |
destinationIpGroups | قائمة IpGroups الوجهة لهذه القاعدة. | سلسلة [] |
destinationPorts | قائمة المنافذ أو النطاقات الوجهة. | سلسلة [] |
الاسم | اسم قاعدة نسبة استخدام الشبكة للتجاوز. | سلسلة |
بروتوكول | بروتوكول تجاوز القاعدة. | "أي" 'ICMP' 'TCP' 'UDP' |
عناوين المصدر | قائمة عناوين IP المصدر أو النطاقات لهذه القاعدة. | سلسلة [] |
sourceIpGroups | قائمة IpGroups المصدر لهذه القاعدة. | سلسلة [] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف التوقيع. | سلسلة |
الوضع | حالة التوقيع. | "تنبيه" "رفض" "إيقاف التشغيل" |
FirewallPolicySku
الاسم | الوصف | القيمة |
---|---|---|
المستوي | مستوى نهج جدار الحماية. | "أساسي" 'Premium' 'قياسي' |
FirewallPolicySnat
الاسم | الوصف | القيمة |
---|---|---|
autoLearnPrivateRanges | وضع العملية للتعلم التلقائي لنطاقات خاصة ليكون SNAT | "معطل" "ممكن" |
المدى الخاص | قائمة عناوين IP الخاصة/نطاقات عناوين IP لتكون SNAT. | سلسلة [] |
FirewallPolicySQL
الاسم | الوصف | القيمة |
---|---|---|
allowSqlRedirect | علامة للإشارة إلى ما إذا تم تمكين تصفية نسبة استخدام الشبكة لإعادة توجيه SQL. لا يتطلب تشغيل العلامة أي قاعدة باستخدام المنفذ 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
الاسم | الوصف | القيمة |
---|---|---|
Fqdns | قائمة FQDNs لقائمة السماح ThreatIntel. | سلسلة [] |
ipAddresses | قائمة عناوين IP لقائمة السماح ThreatIntel. | سلسلة [] |
FirewallPolicyTransportSecurity
الاسم | الوصف | القيمة |
---|---|---|
شهادة المصادقة | المرجع المصدق المستخدم لتوليد المرجع المصدق الوسيط. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
الاسم | الوصف | القيمة |
---|---|---|
keyVaultSecretId | المعرف السري ل (base-64 encoded unencrypted pfx) 'Secret' أو 'Certificate' object المخزن في KeyVault. | سلسلة |
الاسم | اسم شهادة المرجع المصدق. | سلسلة |
قوالب التشغيل السريع
تنشر قوالب التشغيل السريع التالية نوع المورد هذا.
قالب | الوصف |
---|---|
استخدام Azure Firewall كوكيل DNS في مخطط Hub & Spoke |
توضح هذه العينة كيفية توزيع طوبولوجيا محورية في Azure باستخدام جدار حماية Azure. تعمل الشبكة الظاهرية المركزية كنقطة مركزية للاتصال بالعديد من الشبكات الظاهرية المحورية المتصلة بالشبكة الظاهرية المركزية عبر تناظر الشبكة الظاهرية. |
الإنشاء Firewall و FirewallPolicy مع القواعد ومجموعات Ipgroups |
ينشر هذا القالب جدار حماية Azure مع نهج جدار الحماية (بما في ذلك قواعد متعددة للتطبيق والشبكة) يشير إلى مجموعات IP في قواعد التطبيق والشبكة. |
الإنشاء جدار حماية، FirewallPolicy مع وكيل صريح |
ينشئ هذا القالب جدار حماية Azure Firewall و FirewalllPolicy مع الوكيل الصريح وقواعد الشبكة باستخدام IpGroups. يتضمن أيضا إعداد جهاز ظاهري ل Linux Jumpbox |
الإنشاء جدار حماية باستخدام FirewallPolicy وIpGroups |
ينشئ هذا القالب جدار حماية Azure مع FirewalllPolicy يشير إلى قواعد الشبكة باستخدام IpGroups. يتضمن أيضا إعداد جهاز Linux Jumpbox vm |
بيئة الاختبار ل Azure Firewall Premium |
ينشئ هذا القالب Azure Firewall Premium ونهج جدار الحماية مع ميزات متميزة مثل Intrusion Inspection Detection (IDPS) وفحص TLS وتصفية فئة الويب |
الإنشاء إعداد بيئة الاختبار المعزولة باستخدام نهج جدار الحماية |
ينشئ هذا القالب شبكة ظاهرية مع 3 شبكات فرعية (الشبكة الفرعية للخادم، ومجموعة jumpbox الفرعية، والشبكة الفرعية AzureFirewall)، وWwbox VM مع IP عام، وخادم ظاهري، ومسار UDR للإشارة إلى جدار حماية Azure للشبكة الفرعية للخادم وجدار حماية Azure مع عنوان IP عام واحد أو أكثر. ينشئ أيضا نهج جدار حماية مع نموذج قاعدة تطبيق، وقاعدة شبكة عينة 1 ونطاقات خاصة افتراضية |
المراكز الظاهرية المضمونة |
ينشئ هذا القالب مركزا ظاهريا آمنا باستخدام Azure Firewall لتأمين نسبة استخدام الشبكة السحابية الموجهة إلى الإنترنت. |
الهدف والنهج لتوجيه Azure Virtual WAN |
يوفر هذا القالب Azure Virtual WAN مع مركزين مع تمكين هدف التوجيه وميزة النهج. |
تعريف مورد Terraform (موفر AzAPI)
يمكن نشر نوع مورد firewallPolicies مع العمليات التي تستهدف:
- مجموعات الموارد
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
تنسيق المورد
لإنشاء مورد Microsoft.Network/firewallPolicies، أضف Terraform التالي إلى القالب الخاص بك.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-11-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
قيم Property
نُهج جدار الحماية
الاسم | الوصف | القيمة |
---|---|---|
النوع | نوع المورد | "Microsoft.Network/firewallPolicies@2023-11-01" |
الاسم | اسم المورد | سلسلة (مطلوب) حد الحرف: 1-80 أحرف صالحة: الأبجدية الرقمية والتسطير السفلي النقاط والواصلات. ابدأ ”بالأبجدية الرقمية“. الانتهاء الأبجدية الرقمية أو التسطير السفلي. |
الموقع | الموقع الخاص بالمورد. | سلسلة |
parent_id | للنشر إلى مجموعة موارد، استخدم معرف مجموعة الموارد هذه. | سلسلة (مطلوب) |
العلامات | علامات الموارد. | قاموس أسماء العلامات والقيم. |
الهوية | هوية نهج جدار الحماية. | ManagedServiceIdentity |
خصائص | خصائص نهج جدار الحماية. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
الاسم | الوصف | القيمة |
---|---|---|
النوع | نوع الهوية المستخدمة للمورد. يشتمل النوع "SystemAssigned، UserAssigned" على كل من هوية تم إنشاؤها ضمنيّاً ومجموعة من الهويات المعينة من قِبل المستخدم. سيقوم النوع "بلا" بإزالة أي هويات من الجهاز الظاهري. | "SystemAssigned" "SystemAssigned، UserAssigned" "UserAssigned" |
identity_ids | قائمة هويات المستخدم المقترنة بالمورد. ستكون المراجع الرئيسية لقاموس هوية المستخدم هي معرفات موارد ARM في النموذج: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | صفيف معرفات هوية المستخدم. |
ManagedServiceIdentityUserAssignedIdentities
الاسم | الوصف | القيمة |
---|---|---|
{خاصية مخصصة} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
لا يحتوي هذا الكائن على أي خصائص لتعيينها أثناء التوزيع. جميع الخصائص هي ReadOnly.
FirewallPolicyPropertiesFormat
الاسم | الوصف | القيمة |
---|---|---|
نهج الأساس | نهج جدار الحماية الأصل الذي يتم توريث القواعد منه. | مصدر فرعي |
إعدادات dns | تعريف إعدادات وكيل DNS. | إعدادات Dns |
صريحةProxy | تعريف إعدادات الوكيل الصريح. | حماية صريحة |
التحليلات | نتائج تحليلات حول نهج جدار الحماية. | FirewallPolicyInsights |
intrusionDetection | تكوين الكشف عن الاختراق. | FirewallPolicyIntrusionDetection |
sku | نهج جدار الحماية SKU. | FirewallPolicySku |
Snat | عناوين IP الخاصة/نطاقات IP التي لن تكون نسبة استخدام الشبكة فيها SNAT. | FirewallPolicySnat |
sql | تعريف إعدادات SQL. | FirewallPolicySQL |
threatIntelMode | وضع العملية للتحليل الذكي للمخاطر. | "تنبيه" "رفض" "إيقاف التشغيل" |
threatIntelWhitelist | قائمة السماح ThreatIntel لنهج جدار الحماية. | FirewallPolicyThreatIntelWhitelist |
أمان النقل | تعريف تكوين TLS. | FirewallPolicyTransportSecurity |
مصدر فرعي
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف المورد. | سلسلة |
إعدادات Dns
الاسم | الوصف | القيمة |
---|---|---|
تمكينProxy | تمكين وكيل DNS على جدران الحماية المرفقة بنهج جدار الحماية. | Bool |
requireProxyForNetworkRules | يتم دعم FQDNs في قواعد الشبكة عند تعيينها إلى true. | Bool |
الخوادم | قائمة خوادم DNS المخصصة. | سلسلة [] |
حماية صريحة
الاسم | الوصف | القيمة |
---|---|---|
enableExplicitProxy | عند التعيين إلى صحيح، يتم تمكين وضع الوكيل الصريح. | Bool |
enablePacFile | عند التعيين إلى true، يجب توفير منفذ ملف pac وعنوان url. | Bool |
httpPort | لا يمكن أن يكون رقم المنفذ لبروتوكول http الوكيل الصريح أكبر من 64000. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
httpsPort | لا يمكن أن يكون رقم المنفذ لبروتوكول https الوكيل الصريح أكبر من 64000. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
ملف pacFile | SAS URL لملف PAC. | سلسلة |
pacFilePort | رقم المنفذ لجدار الحماية لخدمة ملف PAC. | int القيود: الحد الأدنى للقيمة = 0 الحد الأقصى للقيمة = 64000 |
FirewallPolicyInsights
الاسم | الوصف | القيمة |
---|---|---|
isEnabled | علامة للإشارة إلى ما إذا كانت الرؤى ممكنة على النهج. | Bool |
logAnalyticsResources | مساحات العمل اللازمة لتكوين Firewall Policy Insights. | مصادر FirewallPolicyLogAnalytics |
أيام الاستبقاء | عدد الأيام التي يجب تمكين نتائج التحليلات فيها على النهج. | int |
مصادر FirewallPolicyLogAnalytics
الاسم | الوصف | القيمة |
---|---|---|
defaultWorkspaceId | معرف مساحة العمل الافتراضي ل Firewall Policy Insights. | مصدر فرعي |
مساحات عمل | قائمة مساحات العمل ل Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
الاسم | الوصف | القيمة |
---|---|---|
المنطقة | المنطقة لتكوين مساحة العمل. | سلسلة |
workspaceId | معرف مساحة العمل ل Firewall Policy Insights. | مصدر فرعي |
FirewallPolicyIntrusionDetection
الاسم | الوصف | القيمة |
---|---|---|
التكوين | خصائص تكوين الكشف عن الاختراق. | FirewallPolicyIntrusionDetectionConfiguration |
الوضع | حالة الكشف عن الاختراق العامة. عند إرفاقه بنهج أصل، يكون وضع IDPS الفعال لجدار الحماية هو الوضع الأدق للاثنين. | "تنبيه" "رفض" "إيقاف التشغيل" |
ملف التعريف | اسم ملف تعريف IDPS. عند إرفاقه بنهج أصل، يكون ملف التعريف الفعال لجدار الحماية هو اسم ملف تعريف النهج الأصل. | "متقدم" "أساسي" "موسع" "قياسي" |
FirewallPolicyIntrusionDetectionConfiguration
الاسم | الوصف | القيمة |
---|---|---|
التجاوزالإعدادات | قائمة القواعد لتجاوز نسبة استخدام الشبكة. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | تستخدم نطاقات عناوين IP الخاصة ب IDPS لتحديد اتجاه نسبة استخدام الشبكة (أي الواردة والصادرة وما إلى ذلك). بشكل افتراضي، تعتبر النطاقات المحددة من خلال IANA RFC 1918 فقط عناوين IP خاصة. لتعديل النطاقات الافتراضية، حدد نطاقات عناوين IP الخاصة بك باستخدام هذه الخاصية | سلسلة [] |
signatureOverrides | قائمة حالات التواقيع المحددة. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
الاسم | الوصف | القيمة |
---|---|---|
الوصف | وصف قاعدة نسبة استخدام الشبكة للتجاوز. | سلسلة |
عناوين الوجهة | قائمة عناوين IP الوجهة أو النطاقات لهذه القاعدة. | سلسلة [] |
destinationIpGroups | قائمة IpGroups الوجهة لهذه القاعدة. | سلسلة [] |
destinationPorts | قائمة المنافذ أو النطاقات الوجهة. | سلسلة [] |
الاسم | اسم قاعدة نسبة استخدام الشبكة للتجاوز. | سلسلة |
بروتوكول | بروتوكول تجاوز القاعدة. | "أي" "ICMP" "TCP" "UDP" |
عناوين المصدر | قائمة عناوين IP المصدر أو النطاقات لهذه القاعدة. | سلسلة [] |
sourceIpGroups | قائمة IpGroups المصدر لهذه القاعدة. | سلسلة [] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
الاسم | الوصف | القيمة |
---|---|---|
المعرف | معرف التوقيع. | سلسلة |
الوضع | حالة التوقيع. | "تنبيه" "رفض" "إيقاف التشغيل" |
FirewallPolicySku
الاسم | الوصف | القيمة |
---|---|---|
المستوي | مستوى نهج جدار الحماية. | "أساسي" "Premium" "قياسي" |
FirewallPolicySnat
الاسم | الوصف | القيمة |
---|---|---|
autoLearnPrivateRanges | وضع العملية للتعلم التلقائي لنطاقات خاصة ليكون SNAT | "معطل" "ممكن" |
privateRanges | قائمة عناوين IP الخاصة/نطاقات عناوين IP لتكون غير SNAT. | سلسلة [] |
FirewallPolicySQL
الاسم | الوصف | القيمة |
---|---|---|
allowSqlRedirect | علامة للإشارة إلى ما إذا تم تمكين تصفية نسبة استخدام الشبكة لإعادة توجيه SQL. لا يتطلب تشغيل العلامة أي قاعدة باستخدام المنفذ 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
الاسم | الوصف | القيمة |
---|---|---|
Fqdns | قائمة FQDNs لقائمة السماح ThreatIntel. | سلسلة [] |
ipAddresses | قائمة عناوين IP لقائمة السماح ThreatIntel. | سلسلة [] |
FirewallPolicyTransportSecurity
الاسم | الوصف | القيمة |
---|---|---|
شهادة المصادقة | المرجع المصدق المستخدم لجيل المرجع المصدق الوسيط. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
الاسم | الوصف | القيمة |
---|---|---|
keyVaultSecretId | المعرف السري ل (base-64 encodeed unencrypted pfx) 'Secret' أو 'Certificate' object المخزن في KeyVault. | سلسلة |
الاسم | اسم شهادة المرجع المصدق. | سلسلة |
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ