Microsoft.Network firewallPolicies 2022-05-01
Definice prostředku Bicep
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy pro nasazení skupin prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.Network/firewallPolicies@2022-05-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Hodnoty vlastností
zásady brány firewall
| Název | Description | Hodnota |
|---|---|---|
| name | Název prostředku | string (povinné) Omezení počtu znaků: 1–80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a spojovníky Začněte alfanumerickými znaky. Konec alfanumerických znaků nebo podtržítka. |
| location | Umístění prostředku. | řetězec |
| tags | Značky prostředků. | Slovník názvů a hodnot značek. Zobrazit značky v šablonách |
| identity | Identita zásad brány firewall. | Identita spravované služby |
| properties | Vlastnosti zásad brány firewall. | FirewallPolicyPropertiesFormat |
Identita spravované služby
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ identity použitý pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere z virtuálního počítače všechny identity. | 'Žádný' 'SystemAssigned' SystemAssigned, UserAssigned UserAssigned |
| userAssignedIdentity | Seznam identit uživatelů přidružených k prostředku. Odkazy na klíče slovníku identit uživatelů budou ID prostředků ARM ve formátu//subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentity |
ManagedServiceIdentityUserAssignedIdentity
| Název | Description | Hodnota |
|---|---|---|
| {přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které by se nastavily během nasazování. Všechny vlastnosti jsou jen pro čtení.
FirewallPolicyPropertiesFormat
| Název | Description | Hodnota |
|---|---|---|
| zásady basePolicy | Nadřazená zásada brány firewall, ze které se dědí pravidla. | Dílčí zdroj |
| nastavení dns | Definice nastavení proxy serveru DNS. | Nastavení Dns |
| explicitProxy | Definice explicitního nastavení proxy serveru | ExplicitNíxy |
| insights | Přehledy o zásadách brány firewall | FirewallPolicyInsights |
| intrusionDetection | Konfigurace pro detekci neoprávněných vniknutí. | FirewallPolicyIntrusionDetection |
| Sku | Skladová položka zásady brány firewall. | FirewallPolicySku |
| snat | Privátní IP adresy nebo rozsahy IP adres, na které provoz nebude SNAT. | FirewallPolicySnat |
| sql | Definice nastavení SQL. | FirewallPolicySQL |
| threatIntelMode | Provozní režim analýzy hrozeb. | 'Výstraha' "Odepřít" Vypnuto |
| threatIntelWhitelist | Seznam povolených hrozeb pro zásady brány firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Dílčí zdroj
| Název | Description | Hodnota |
|---|---|---|
| id | ID prostředku. | řetězec |
DnsSettings
| Název | Description | Hodnota |
|---|---|---|
| enableProxy | Povolte proxy dns na branách firewall připojených k zásadám brány firewall. | bool |
| requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, pokud je nastavená hodnota true. | bool |
| Servery | Seznam vlastních serverů DNS | string[] |
ExplicitProxy
| Název | Description | Hodnota |
|---|---|---|
| enableExplicitProxy | Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. | bool |
| enablePacFile | Pokud je nastavená hodnota true, musí být zadaný port souboru PAC a adresa URL. | bool |
| httpPort | Číslo portu pro explicitní proxy protokol HTTP nesmí být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| httpsPort | Číslo portu pro explicitní proxy protokol https nesmí být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
| pacFilePort | Číslo portu pro bránu firewall pro obsluhu souboru PAC. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
| Název | Description | Hodnota |
|---|---|---|
| Isenabled | Příznak označující, jestli jsou v zásadách povolené přehledy. | bool |
| logAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy. | int |
FirewallPolicyLogAnalyticsResources
| Název | Description | Hodnota |
|---|---|---|
| defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall | Dílčí zdroj |
| pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Název | Description | Hodnota |
|---|---|---|
| oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
| workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
FirewallPolicyIntrusionDetection
| Název | Description | Hodnota |
|---|---|---|
| konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | FirewallPolicyIntrusionDetectionConfiguration |
| režim | Obecný stav detekce neoprávněných vniknutí. | 'Výstraha' "Odepřít" Vypnuto |
FirewallPolicyIntrusionDetectionConfiguration
| Název | Description | Hodnota |
|---|---|---|
| bypassTrafficSettings | Seznam pravidel pro vynechání provozu | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privátní rozsahy | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozí, odchozí atd.). Ve výchozím nastavení se za privátní IP adresy považují pouze rozsahy definované v dokumentu IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres s touto vlastností. | string[] |
| signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Název | Description | Hodnota |
|---|---|---|
| description | Popis pravidla obejití provozu | řetězec |
| destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
| destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
| destinationPorts | Seznam cílových portů nebo oblastí | string[] |
| name | Název pravidla obejití provozu | řetězec |
| Protokol | Protokol obejití pravidla. | "ANY" ICMP TCP UDP |
| sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
| sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Název | Description | Hodnota |
|---|---|---|
| id | ID podpisu. | řetězec |
| režim | Stav podpisu. | 'Výstraha' "Odepřít" Vypnuto |
FirewallPolicySku
| Název | Description | Hodnota |
|---|---|---|
| tier | Úroveň zásad brány firewall. | 'Základní' 'Premium' 'Standard' |
FirewallPolicySnat
| Název | Description | Hodnota |
|---|---|---|
| autoLearnPrivateRanges | Provozní režim automatického učení privátních rozsahů, které nemají být SNAT | Zakázáno 'Povoleno' |
| privátní rozsahy | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT | string[] |
FirewallPolicySQL
| Název | Description | Hodnota |
|---|---|---|
| allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu SQL Redirect. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Název | Description | Hodnota |
|---|---|---|
| Fqdn | Seznam plně kvalifikovaných názvů domén pro seznam povolených hodnot ThreatIntel. | string[] |
| ipAddresses | Seznam IP adres pro seznam povolených hrozeb | string[] |
FirewallPolicyTransportSecurity
| Název | Description | Hodnota |
|---|---|---|
| certificateAuthority | Certifikační autorita použitá pro generování zprostředkující certifikační autority. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Název | Description | Hodnota |
|---|---|---|
| keyVaultSecretId | ID tajného kódu objektu (nešifrovaný kód pfx s kódováním base-64) secret nebo certificate uloženého ve službě KeyVault. | řetězec |
| name | Název certifikátu certifikační autority. | řetězec |
Šablony pro rychlý start
Následující šablony rychlého startu nasadí tento typ prostředku.
| Template (Šablona) | Description |
|---|---|
Použití Azure Firewall jako proxy serveru DNS v topologii hubu & Paprsky |
Tato ukázka ukazuje, jak nasadit hvězdicovou topologii v Azure pomocí Azure Firewall. Virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím, které jsou připojené k virtuální síti rozbočovače prostřednictvím partnerského vztahu virtuálních sítí. |
| Create brány firewall a zásady brány firewall s pravidly a skupinami IP adres |
Tato šablona nasadí Azure Firewall se zásadami brány firewall (včetně několika pravidel aplikace a sítě), která odkazuje na Skupiny IP v pravidlech aplikací a sítí. |
| Create brány firewall, firewallPolicy s explicitním proxy serverem |
Tato šablona vytvoří Azure Firewall FirewalllPolicy s explicitním proxy serverem a pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače Jumpbox s Linuxem. |
| Create brány firewall s firewallpolicy a skupinami IpGroup |
Tato šablona vytvoří Azure Firewall s firewalllPolicy odkazující na pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače Jumpbox s Linuxem. |
| Testovací prostředí pro Azure Firewall Premium |
Tato šablona vytvoří Azure Firewall Premium a zásady brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
| Create nastavení sandboxu pomocí zásad brány firewall |
Tato šablona vytvoří virtuální síť se 3 podsítěmi (podsíť serveru, podsíť jumpboxu a podsíť AzureFirewall), virtuální počítač jumpbox s veřejnou IP adresou, virtuální počítač serveru A, trasu trasy definovanou uživatelem směřující na Azure Firewall pro podsíť serveru a Azure Firewall s 1 nebo více veřejnými IP adresami. Vytvoří také zásadu brány firewall s 1 ukázkovým pravidlem aplikace, 1 ukázkovým pravidlem sítě a výchozími privátními rozsahy. |
| Zabezpečená virtuální centra |
Tato šablona vytvoří zabezpečené virtuální centrum pomocí Azure Firewall k zabezpečení provozu cloudové sítě směřujícího do internetu. |
| Záměr a zásady směrování Azure Virtual WAN |
Tato šablona zřídí Virtual WAN Azure se dvěma rozbočovači s povolenou funkcí Záměr směrování a Zásady. |
Definice prostředku šablony ARM
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy nasazení skupiny prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující kód JSON.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2022-05-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Hodnoty vlastností
firewallPolicies
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.Network/firewallPolicies |
| apiVersion | Verze rozhraní API prostředků | '2022-05-01' |
| name | Název prostředku | string (povinné) Limit počtu znaků: 1–80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a spojovníky. Začněte alfanumerickým kódem. Ukončit alfanumerické nebo podtržítko. |
| location | Umístění prostředku. | řetězec |
| tags | Značky prostředků. | Slovník názvů značek a hodnot. Viz Značky v šablonách |
| identity | Identita zásad brány firewall. | ManagedServiceIdentity |
| properties | Vlastnosti zásad brány firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ identity použitý pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere z virtuálního počítače všechny identity. | 'Žádný' 'SystemAssigned' SystemAssigned, UserAssigned UserAssigned |
| userAssignedIdentity | Seznam identit uživatelů přidružených k prostředku. Odkazy na klíče slovníku identit uživatelů budou ID prostředků ARM ve formátu//subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentity |
ManagedServiceIdentityUserAssignedIdentity
| Název | Description | Hodnota |
|---|---|---|
| {přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které by se nastavily během nasazování. Všechny vlastnosti jsou jen pro čtení.
FirewallPolicyPropertiesFormat
| Název | Description | Hodnota |
|---|---|---|
| zásady basePolicy | Nadřazená zásada brány firewall, ze které se dědí pravidla. | Dílčí zdroj |
| nastavení dns | Definice nastavení proxy serveru DNS. | Nastavení Dns |
| explicitProxy | Definice explicitního nastavení proxy serveru | ExplicitNíxy |
| insights | Přehledy o zásadách brány firewall | FirewallPolicyInsights |
| intrusionDetection | Konfigurace pro detekci neoprávněných vniknutí. | FirewallPolicyIntrusionDetection |
| Sku | Skladová položka zásady brány firewall. | FirewallPolicySku |
| snat | Privátní IP adresy nebo rozsahy IP adres, na které provoz nebude SNAT. | FirewallPolicySnat |
| sql | Definice nastavení SQL. | FirewallPolicySQL |
| threatIntelMode | Režim operace pro analýzu hrozeb. | 'Výstraha' 'Odepřít' Vypnuto |
| threatIntelWhitelist | Seznam povolených hrozeb pro zásady brány firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Dílčí zdroj
| Název | Description | Hodnota |
|---|---|---|
| id | ID prostředku. | řetězec |
Nastavení Dns
| Název | Description | Hodnota |
|---|---|---|
| enableProxy | Povolte proxy DNS na branách firewall připojených k zásadám firewallu. | bool |
| requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, pokud je nastavená hodnota true. | bool |
| Servery | Seznam vlastních serverů DNS | string[] |
ExplicitNíxy
| Název | Description | Hodnota |
|---|---|---|
| enableExplicitProxy | Pokud je nastavená hodnota true, je povolený režim explicitního proxy serveru. | bool |
| enablePacFile | Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. | bool |
| httpPort | Číslo portu pro explicitní proxy protokol HTTP nesmí být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| httpsPort | Číslo portu pro explicitní proxy protokol HTTPS nemůže být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| soubor pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
| pacFilePort | Číslo portu pro bránu firewall, která bude obsluhovat soubor PAC. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
| Název | Description | Hodnota |
|---|---|---|
| Isenabled | Příznak, který označuje, jestli jsou v zásadách povolené přehledy. | bool |
| logAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall | FirewallPolicyLogAnalyticsResources |
| retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy | int |
FirewallPolicyLogAnalyticsResources
| Název | Description | Hodnota |
|---|---|---|
| defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
| pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Název | Description | Hodnota |
|---|---|---|
| oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
| workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
FirewallPolicyIntrusionDetection
| Název | Description | Hodnota |
|---|---|---|
| konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | FirewallPolicyIntrusionDetectionConfiguration |
| režim | Obecný stav detekce neoprávněných vniknutí. | 'Výstraha' 'Odepřít' Vypnuto |
FirewallPolicyIntrusionDetectionConfiguration
| Název | Description | Hodnota |
|---|---|---|
| bypassTrafficSettings | Seznam pravidel pro provoz, který se má obejít. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privátní rozsahy | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozího, odchozího atd.). Ve výchozím nastavení jsou za privátní IP adresy považovány pouze rozsahy definované aplikací IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres pomocí této vlastnosti. | string[] |
| signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Název | Description | Hodnota |
|---|---|---|
| description | Popis pravidla obejití provozu. | řetězec |
| destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
| destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
| cílové porty | Seznam cílových portů nebo rozsahů | string[] |
| name | Název pravidla obejití provozu | řetězec |
| Protokol | Protokol obejití pravidla. | 'ANY' ICMP 'TCP' UDP |
| sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
| sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Název | Description | Hodnota |
|---|---|---|
| id | ID podpisu. | řetězec |
| režim | Stav podpisu. | 'Výstraha' "Odepřít" Vypnuto |
FirewallPolicySku
| Název | Description | Hodnota |
|---|---|---|
| tier | Úroveň zásad brány firewall. | 'Základní' 'Premium' 'Standard' |
FirewallPolicySnat
| Název | Description | Hodnota |
|---|---|---|
| autoLearnPrivateRanges | Provozní režim automatického učení privátních rozsahů, které nemají být SNAT | Zakázáno 'Povoleno' |
| privátní rozsahy | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT | string[] |
FirewallPolicySQL
| Název | Description | Hodnota |
|---|---|---|
| allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu SQL Redirect. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Název | Description | Hodnota |
|---|---|---|
| Fqdn | Seznam plně kvalifikovaných názvů domén pro seznam povolených hodnot ThreatIntel. | string[] |
| ipAddresses | Seznam IP adres pro seznam povolených hrozeb | string[] |
FirewallPolicyTransportSecurity
| Název | Description | Hodnota |
|---|---|---|
| certificateAuthority | Certifikační autorita použitá pro generování zprostředkující certifikační autority. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Název | Description | Hodnota |
|---|---|---|
| keyVaultSecretId | ID tajného kódu objektu (nešifrovaný kód pfx s kódováním base-64) secret nebo certificate uloženého ve službě KeyVault. | řetězec |
| name | Název certifikátu certifikační autority. | řetězec |
Šablony pro rychlý start
Následující šablony rychlého startu nasadí tento typ prostředku.
| Template (Šablona) | Description |
|---|---|
| Použití Azure Firewall jako proxy serveru DNS v topologii hubu & Paprsky |
Tato ukázka ukazuje, jak nasadit hvězdicovou topologii v Azure pomocí Azure Firewall. Virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím, které jsou připojené k virtuální síti rozbočovače prostřednictvím partnerského vztahu virtuálních sítí. |
| Create brány firewall a zásady brány firewall s pravidly a skupinami IP adres |
Tato šablona nasadí Azure Firewall se zásadami brány firewall (včetně několika pravidel aplikace a sítě), která odkazuje na Skupiny IP v pravidlech aplikací a sítí. |
| Create brány firewall, firewallPolicy s explicitním proxy serverem |
Tato šablona vytvoří Azure Firewall FirewalllPolicy s explicitním proxy serverem a pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače Jumpbox s Linuxem. |
| Create brány firewall s firewallpolicy a skupinami IpGroup |
Tato šablona vytvoří Azure Firewall s firewalllPolicy odkazující na pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače Jumpbox s Linuxem. |
| Testovací prostředí pro Azure Firewall Premium |
Tato šablona vytvoří Azure Firewall Premium a zásady brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
| Create nastavení sandboxu pomocí zásad brány firewall |
Tato šablona vytvoří virtuální síť se 3 podsítěmi (podsíť serveru, podsíť jumpboxu a podsíť AzureFirewall), virtuální počítač jumpbox s veřejnou IP adresou, virtuální počítač serveru A, trasu trasy definovanou uživatelem směřující na Azure Firewall pro podsíť serveru a Azure Firewall s 1 nebo více veřejnými IP adresami. Vytvoří také zásadu brány firewall s 1 ukázkovým pravidlem aplikace, 1 ukázkovým pravidlem sítě a výchozími privátními rozsahy. |
| Zabezpečená virtuální centra |
Tato šablona vytvoří zabezpečené virtuální centrum pomocí Azure Firewall k zabezpečení provozu cloudové sítě směřujícího do internetu. |
| Záměr a zásady směrování Azure Virtual WAN |
Tato šablona zřídí Virtual WAN Azure se dvěma centry s povolenou funkcí Záměr směrování a Zásady. |
Definice prostředku Terraform (poskytovatel AzAPI)
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2022-05-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Hodnoty vlastností
zásady brány firewall
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.Network/firewallPolicies@2022-05-01 |
| name | Název prostředku | string (povinné) Omezení počtu znaků: 1–80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a spojovníky Začněte alfanumerickými znaky. Konec alfanumerických znaků nebo podtržítka. |
| location | Umístění prostředku. | řetězec |
| parent_id | K nasazení do skupiny prostředků použijte ID této skupiny prostředků. | string (povinné) |
| tags | Značky prostředků. | Slovník názvů a hodnot značek. |
| identity | Identita zásad brány firewall. | Identita spravované služby |
| properties | Vlastnosti zásad brány firewall. | FirewallPolicyPropertiesFormat |
Identita spravované služby
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ identity použitý pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere z virtuálního počítače všechny identity. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| identity_ids | Seznam identit uživatelů přidružených k prostředku. Odkazy na klíče slovníku identit uživatelů budou ID prostředků ARM ve formátu//subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | Pole ID identit uživatelů |
ManagedServiceIdentityUserAssignedIdentity
| Název | Description | Hodnota |
|---|---|---|
| {přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které by se nastavily během nasazování. Všechny vlastnosti jsou jen pro čtení.
FirewallPolicyPropertiesFormat
| Název | Description | Hodnota |
|---|---|---|
| zásady basePolicy | Nadřazená zásada brány firewall, ze které se dědí pravidla. | Dílčí zdroj |
| nastavení dns | Definice nastavení proxy serveru DNS. | Nastavení Dns |
| explicitProxy | Definice explicitního nastavení proxy serveru | ExplicitNíxy |
| insights | Přehledy o zásadách brány firewall | FirewallPolicyInsights |
| intrusionDetection | Konfigurace pro detekci neoprávněných vniknutí. | FirewallPolicyIntrusionDetection |
| Sku | Skladová položka zásady brány firewall. | FirewallPolicySku |
| snat | Privátní IP adresy nebo rozsahy IP adres, na které provoz nebude SNAT. | FirewallPolicySnat |
| sql | Definice nastavení SQL. | FirewallPolicySQL |
| threatIntelMode | Režim operace pro analýzu hrozeb. | "Výstraha" "Odepřít" "Vypnuto" |
| threatIntelWhitelist | Seznam povolených hrozeb pro zásady brány firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Dílčí zdroj
| Název | Description | Hodnota |
|---|---|---|
| id | ID prostředku. | řetězec |
Nastavení Dns
| Název | Description | Hodnota |
|---|---|---|
| enableProxy | Povolte proxy DNS na branách firewall připojených k zásadám firewallu. | bool |
| requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, pokud je nastavená hodnota true. | bool |
| Servery | Seznam vlastních serverů DNS | string[] |
ExplicitNíxy
| Název | Description | Hodnota |
|---|---|---|
| enableExplicitProxy | Pokud je nastavená hodnota true, je povolený režim explicitního proxy serveru. | bool |
| enablePacFile | Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. | bool |
| httpPort | Číslo portu pro explicitní proxy protokol HTTP nesmí být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| httpsPort | Číslo portu pro explicitní proxy protokol HTTPS nemůže být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| soubor pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
| pacFilePort | Číslo portu pro bránu firewall, která bude obsluhovat soubor PAC. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
| Název | Description | Hodnota |
|---|---|---|
| Isenabled | Příznak, který označuje, jestli jsou v zásadách povolené přehledy. | bool |
| logAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall | FirewallPolicyLogAnalyticsResources |
| retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy | int |
FirewallPolicyLogAnalyticsResources
| Název | Description | Hodnota |
|---|---|---|
| defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
| pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Název | Description | Hodnota |
|---|---|---|
| oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
| workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
FirewallPolicyIntrusionDetection
| Název | Description | Hodnota |
|---|---|---|
| konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | FirewallPolicyIntrusionDetectionConfiguration |
| režim | Obecný stav detekce neoprávněných vniknutí. | "Výstraha" "Odepřít" "Vypnuto" |
FirewallPolicyIntrusionDetectionConfiguration
| Název | Description | Hodnota |
|---|---|---|
| bypassTrafficSettings | Seznam pravidel pro provoz, který se má obejít. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privátní rozsahy | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozího, odchozího atd.). Ve výchozím nastavení jsou za privátní IP adresy považovány pouze rozsahy definované aplikací IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres pomocí této vlastnosti. | string[] |
| signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Název | Description | Hodnota |
|---|---|---|
| description | Popis pravidla obejití provozu. | řetězec |
| destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
| destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
| cílové porty | Seznam cílových portů nebo rozsahů | string[] |
| name | Název pravidla obejití provozu | řetězec |
| Protokol | Protokol obejití pravidla. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
| sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Název | Description | Hodnota |
|---|---|---|
| id | ID podpisu. | řetězec |
| režim | Stav podpisu. | "Výstraha" "Odepřít" "Vypnuto" |
FirewallPolicySku
| Název | Description | Hodnota |
|---|---|---|
| tier | Úroveň zásad brány firewall. | "Základní" "Premium" "Standardní" |
FirewallPolicySnat
| Název | Description | Hodnota |
|---|---|---|
| autoLearnPrivateRanges | Provozní režim pro automatické učení soukromých rozsahů, které nemají být SNAT | "Zakázáno" "Povoleno" |
| privátní rozsahy | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. | string[] |
FirewallPolicySQL
| Název | Description | Hodnota |
|---|---|---|
| allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu přes přesměrování SQL. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Název | Description | Hodnota |
|---|---|---|
| Fqdn | Seznam plně kvalifikovaných názvů domén pro seznam povolených pro ThreatIntel. | string[] |
| ipAddresses | Seznam IP adres pro seznam povolených pro ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Název | Description | Hodnota |
|---|---|---|
| certificateAuthority | Certifikační autorita používaná pro generování zprostředkující certifikační autority. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Název | Description | Hodnota |
|---|---|---|
| keyVaultSecretId | ID tajného kódu (nešifrovaný kód pfx s kódováním Base-64) tajného klíče nebo objektu Certificate uloženého ve službě KeyVault. | řetězec |
| name | Název certifikátu certifikační autority. | řetězec |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro