Microsoft.Network firewallPolicies 2023-09-01
- nejnovější
- 11. 11. 2023
- 2023-09-01
-
2023-06-01 - 2023-05-01
-
2023-04-04 - 2023-02-01
- 11. 11. 2022
- 2022-09-01
-
2022-07-07 - 05. 5. 2022
- 1. 1. 2022
-
2021-08-01 -
2021-05-05 - 2021-03-01
-
2021-021 -
11.11.2020
Definice prostředku Bicep
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-09-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Hodnoty vlastností
firewallPolicies
| Jméno | Popis | Hodnota |
|---|---|---|
| Jméno | Název prostředku | string (povinné) Limit znaků: 1-80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a pomlčky Začněte alfanumerickými znaky. Ukončete alfanumerické znaky nebo podtržítko. |
| umístění | Umístění prostředku | řetězec |
| visačky | Značky prostředků | Slovník názvů a hodnot značek Viz Značky v šablonách |
| identita | Identita zásad brány firewall. | |
| vlastnosti | Vlastnosti zásad brány firewall | firewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Jméno | Popis | Hodnota |
|---|---|---|
| typ | Typ identity používané pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere všechny identity z virtuálního počítače. | None (Žádný) SystemAssigned SystemAssigned, UserAssigned UserAssigned |
| userAssignedIdentities | Seznam identit uživatelů přidružených k prostředku. Odkazy na klíč slovníku identit uživatele budou ID prostředků ARM ve formátu: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Jméno | Popis | Hodnota |
|---|---|---|
| {přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které se mají nastavit během nasazení. Všechny vlastnosti jsou Jen pro čtení.
FirewallPolicyPropertiesFormat
| Jméno | Popis | Hodnota |
|---|---|---|
| basePolicy | Nadřazené zásady brány firewall, ze kterých se dědí pravidla. | subresource |
| dnsSettings | Definice nastavení proxy serveru DNS | dnsSettings |
| explicitProxy | Definice explicitního nastavení proxy serveru | ExplicitProxy |
| vhledy | Přehledy o zásadách brány firewall | firewallPolicyInsights |
| vniknutíDetection | Konfigurace detekce neoprávněných vniknutí. | firewallPolicyIntrusionDetection |
| sku | Skladová položka zásad brány firewall. | firewallPolicySku |
| snat | Privátní IP adresy nebo rozsahy IP adres, do kterých nebude provoz SNAT. | firewallPolicySnat |
| sql | Definice nastavení SQL | firewallPolicySQL |
| threatIntelMode | Režim operace analýzy hrozeb. | Výstraha "Odepřít" "Vypnuto" |
| threatIntelWhitelist | Seznampovolených | firewallPolicyThreatIntelWhitelist |
| transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Podsourc
| Jméno | Popis | Hodnota |
|---|---|---|
| id | ID prostředku. | řetězec |
DnsSettings
| Jméno | Popis | Hodnota |
|---|---|---|
| enableProxy | Povolte proxy server DNS na bránách firewall připojených k zásadám brány firewall. | Bool |
| requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, když je nastavená hodnota true. | Bool |
| servery | Seznam vlastních serverů DNS | string[] |
ExplicitProxy
| Jméno | Popis | Hodnota |
|---|---|---|
| enableExplicitProxy | Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. | Bool |
| enablePacFile | Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. | Bool |
| httpPort | Číslo portu pro explicitní protokol HTTP proxy nemůže být větší než 64000. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| httpsPort | Číslo portu pro explicitní protokol HTTPS proxy nemůže být větší než 64000. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
| pacFilePort | Číslo portu pro bránu firewall pro obsluhu souboru PAC. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
| Jméno | Popis | Hodnota |
|---|---|---|
| isEnabled | Příznak označující, jestli jsou v zásadách povolené přehledy. | Bool |
| LogAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall | brány firewallPolicyLogAnalyticsResources |
| retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy | Int |
FirewallPolicyLogAnalyticsResources
| Jméno | Popis | Hodnota |
|---|---|---|
| defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. | subresource |
| pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | firewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Jméno | Popis | Hodnota |
|---|---|---|
| oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
| workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | subresource |
FirewallPolicyIntrusionDetection
| Jméno | Popis | Hodnota |
|---|---|---|
| konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | firewallPolicyIntrusionDetectionConfiguration |
| režim | Obecný stav detekce neoprávněných vniknutí Při připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou. | Výstraha "Odepřít" "Vypnuto" |
| profil | Název profilu IDPS. Při připojení k nadřazené zásadě je efektivní profil brány firewall názvem nadřazené zásady. | Upřesnit "Základní" "Rozšířeno" "Standardní" |
FirewallPolicyIntrusionDetectionConfiguration
| Jméno | Popis | Hodnota |
|---|---|---|
| bypassTrafficSettings | Seznam pravidel pro obejití provozu | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozí, odchozí atd.). Ve výchozím nastavení se za privátní IP adresy považují pouze rozsahy definované IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres s touto vlastností. | string[] |
| signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Jméno | Popis | Hodnota |
|---|---|---|
| popis | Popis pravidla obejití provozu | řetězec |
| destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
| destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
| destinationPorts | Seznam cílových portů nebo rozsahů | string[] |
| Jméno | Název pravidla obejití provozu | řetězec |
| protokol | Protokol obejití pravidla. | ANY ICMP TCP UDP |
| sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
| sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Jméno | Popis | Hodnota |
|---|---|---|
| id | ID podpisu. | řetězec |
| režim | Stav podpisu. | Výstraha "Odepřít" "Vypnuto" |
FirewallPolicySku
| Jméno | Popis | Hodnota |
|---|---|---|
| úroveň | Úroveň zásad brány firewall | "Základní" Premium "Standardní" |
FirewallPolicySnat
| Jméno | Popis | Hodnota |
|---|---|---|
| autoLearnPrivateRanges | Režim provozu pro automatické učení privátních rozsahů, které nejsou SNAT | Zakázáno Povoleno |
| privateRanges | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. | string[] |
FirewallPolicySQL
| Jméno | Popis | Hodnota |
|---|---|---|
| allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu PŘESMĚROVÁNÍ SQL. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Jméno | Popis | Hodnota |
|---|---|---|
| Plně kvalifikované názvy domén | Seznam plně kvalifikovanýchnázvůch | string[] |
| ipAddresses | SeznamIPch | string[] |
FirewallPolicyTransportSecurity
| Jméno | Popis | Hodnota |
|---|---|---|
| certificateAuthority | Certifikační autorita použitá pro generování zprostředkující certifikační autority. | firewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Jméno | Popis | Hodnota |
|---|---|---|
| keyVaultSecretId | ID tajného kódu objektu (s kódováním base-64 bez šifrování pfx) Secret nebo Certificate uloženého ve službě KeyVault. | řetězec |
| Jméno | Název certifikátu certifikační autority. | řetězec |
Šablony pro rychlý start
Následující šablony pro rychlý start nasazují tento typ prostředku.
| Šablona | Popis |
|---|---|
|
předplatné SharePointu / 2019 / 2016 plně nakonfigurované nasazení  |
Vytvořte řadič domény, SQL Server 2022 a od 1 do 5 serverů, které hostují farmu předplatného SharePointu / 2019 / 2016 s rozsáhlou konfigurací, včetně důvěryhodného ověřování, profilů uživatelů s osobními weby, důvěryhodnosti OAuth (pomocí certifikátu), vyhrazeného webu IIS pro hostování doplňků s vysokou důvěryhodností atd... Nainstaluje se nejnovější verze klíčových softwaru (včetně Fiddler, vscode, np++, 7zip, ULS Viewer). Počítače SharePointu mají další vyladění, aby je bylo možné okamžitě použít (nástroje pro vzdálenou správu, vlastní zásady pro Edge a Chrome, klávesové zkratky atd.). |
|
použití služby Azure Firewall jako proxy serveru DNS v topologii hvězdicové & hvězdicové nasazení |
Tato ukázka ukazuje, jak nasadit hvězdicovou topologii v Azure pomocí služby Azure Firewall. Virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím připojeným k virtuální síti rozbočovače prostřednictvím partnerského vztahu virtuálních sítí. |
|
vytvoření brány firewall a brány firewall pomocí pravidel a Ipgroups nasazení |
Tato šablona nasadí bránu Azure Firewall se zásadami brány firewall (včetně více pravidel aplikace a sítě) odkazující na skupiny IP adres v pravidlech aplikace a sítě. |
|
vytvoření brány firewall, zásady firewallu s explicitním proxy nasazení |
Tato šablona vytvoří azure firewall, firewalllPolicy s explicitním proxy serverem a síťovými pravidly s IpGroups. Zahrnuje také nastavení virtuálního počítače jumpboxu s Linuxem. |
|
vytvoření brány firewall s FirewallPolicy a IpGroups nasazení |
Tato šablona vytvoří bránu Azure Firewall s firewalllPolicy odkazujícími na pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače jumpboxu s Linuxem. |
|
Testovací prostředí pro službu Azure Firewall Premium nasazení |
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
|
Vytvoření nastavení sandboxu pomocí zásad brány firewall nasazení |
Tato šablona vytvoří virtuální síť se 3 podsítěmi (podsíť serveru, podsíť jumpboxu a podsítí AzureFirewall), virtuálním počítačem jumpboxu s veřejnou IP adresou, virtuálním počítačem serveru A serverem, trasou definovanou uživatelem, která odkazuje na Bránu Azure Firewall pro podsíť serveru a bránu Azure Firewall s 1 nebo více veřejnými IP adresami. Vytvoří také zásadu brány firewall s 1 ukázkovým pravidlem aplikace, 1 ukázkovým pravidlem sítě a výchozími privátními rozsahy. |
| nasazení |
Tato šablona vytvoří zabezpečené virtuální centrum pomocí služby Azure Firewall k zabezpečení cloudového síťového provozu určeného k internetu. |
Definice prostředku šablony ARM
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující KÓD JSON.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-09-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Hodnoty vlastností
firewallPolicies
| Jméno | Popis | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.Network/firewallPolicies |
| apiVersion | Verze rozhraní API prostředku | '2023-09-01' |
| Jméno | Název prostředku | string (povinné) Limit znaků: 1-80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a pomlčky Začněte alfanumerickými znaky. Ukončete alfanumerické znaky nebo podtržítko. |
| umístění | Umístění prostředku | řetězec |
| visačky | Značky prostředků | Slovník názvů a hodnot značek Viz Značky v šablonách |
| identita | Identita zásad brány firewall. | |
| vlastnosti | Vlastnosti zásad brány firewall | firewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Jméno | Popis | Hodnota |
|---|---|---|
| typ | Typ identity používané pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere všechny identity z virtuálního počítače. | None (Žádný) SystemAssigned SystemAssigned, UserAssigned UserAssigned |
| userAssignedIdentities | Seznam identit uživatelů přidružených k prostředku. Odkazy na klíč slovníku identit uživatele budou ID prostředků ARM ve formátu: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Jméno | Popis | Hodnota |
|---|---|---|
| {přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které se mají nastavit během nasazení. Všechny vlastnosti jsou Jen pro čtení.
FirewallPolicyPropertiesFormat
| Jméno | Popis | Hodnota |
|---|---|---|
| basePolicy | Nadřazené zásady brány firewall, ze kterých se dědí pravidla. | subresource |
| dnsSettings | Definice nastavení proxy serveru DNS | dnsSettings |
| explicitProxy | Definice explicitního nastavení proxy serveru | ExplicitProxy |
| vhledy | Přehledy o zásadách brány firewall | firewallPolicyInsights |
| vniknutíDetection | Konfigurace detekce neoprávněných vniknutí. | firewallPolicyIntrusionDetection |
| sku | Skladová položka zásad brány firewall. | firewallPolicySku |
| snat | Privátní IP adresy nebo rozsahy IP adres, do kterých nebude provoz SNAT. | firewallPolicySnat |
| sql | Definice nastavení SQL | firewallPolicySQL |
| threatIntelMode | Režim operace analýzy hrozeb. | Výstraha "Odepřít" "Vypnuto" |
| threatIntelWhitelist | Seznampovolených | firewallPolicyThreatIntelWhitelist |
| transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Podsourc
| Jméno | Popis | Hodnota |
|---|---|---|
| id | ID prostředku. | řetězec |
DnsSettings
| Jméno | Popis | Hodnota |
|---|---|---|
| enableProxy | Povolte proxy server DNS na bránách firewall připojených k zásadám brány firewall. | Bool |
| requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, když je nastavená hodnota true. | Bool |
| servery | Seznam vlastních serverů DNS | string[] |
ExplicitProxy
| Jméno | Popis | Hodnota |
|---|---|---|
| enableExplicitProxy | Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. | Bool |
| enablePacFile | Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. | Bool |
| httpPort | Číslo portu pro explicitní protokol HTTP proxy nemůže být větší než 64000. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| httpsPort | Číslo portu pro explicitní protokol HTTPS proxy nemůže být větší než 64000. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
| pacFilePort | Číslo portu pro bránu firewall pro obsluhu souboru PAC. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
| Jméno | Popis | Hodnota |
|---|---|---|
| isEnabled | Příznak označující, jestli jsou v zásadách povolené přehledy. | Bool |
| LogAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall | brány firewallPolicyLogAnalyticsResources |
| retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy | Int |
FirewallPolicyLogAnalyticsResources
| Jméno | Popis | Hodnota |
|---|---|---|
| defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. | subresource |
| pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | firewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Jméno | Popis | Hodnota |
|---|---|---|
| oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
| workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | subresource |
FirewallPolicyIntrusionDetection
| Jméno | Popis | Hodnota |
|---|---|---|
| konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | firewallPolicyIntrusionDetectionConfiguration |
| režim | Obecný stav detekce neoprávněných vniknutí Při připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou. | Výstraha "Odepřít" "Vypnuto" |
| profil | Název profilu IDPS. Při připojení k nadřazené zásadě je efektivní profil brány firewall názvem nadřazené zásady. | Upřesnit "Základní" "Rozšířeno" "Standardní" |
FirewallPolicyIntrusionDetectionConfiguration
| Jméno | Popis | Hodnota |
|---|---|---|
| bypassTrafficSettings | Seznam pravidel pro obejití provozu | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozí, odchozí atd.). Ve výchozím nastavení se za privátní IP adresy považují pouze rozsahy definované IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres s touto vlastností. | string[] |
| signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Jméno | Popis | Hodnota |
|---|---|---|
| popis | Popis pravidla obejití provozu | řetězec |
| destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
| destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
| destinationPorts | Seznam cílových portů nebo rozsahů | string[] |
| Jméno | Název pravidla obejití provozu | řetězec |
| protokol | Protokol obejití pravidla. | ANY ICMP TCP UDP |
| sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
| sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Jméno | Popis | Hodnota |
|---|---|---|
| id | ID podpisu. | řetězec |
| režim | Stav podpisu. | Výstraha "Odepřít" "Vypnuto" |
FirewallPolicySku
| Jméno | Popis | Hodnota |
|---|---|---|
| úroveň | Úroveň zásad brány firewall | "Základní" Premium "Standardní" |
FirewallPolicySnat
| Jméno | Popis | Hodnota |
|---|---|---|
| autoLearnPrivateRanges | Režim provozu pro automatické učení privátních rozsahů, které nejsou SNAT | Zakázáno Povoleno |
| privateRanges | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. | string[] |
FirewallPolicySQL
| Jméno | Popis | Hodnota |
|---|---|---|
| allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu PŘESMĚROVÁNÍ SQL. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Jméno | Popis | Hodnota |
|---|---|---|
| Plně kvalifikované názvy domén | Seznam plně kvalifikovanýchnázvůch | string[] |
| ipAddresses | SeznamIPch | string[] |
FirewallPolicyTransportSecurity
| Jméno | Popis | Hodnota |
|---|---|---|
| certificateAuthority | Certifikační autorita použitá pro generování zprostředkující certifikační autority. | firewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Jméno | Popis | Hodnota |
|---|---|---|
| keyVaultSecretId | ID tajného kódu objektu (s kódováním base-64 bez šifrování pfx) Secret nebo Certificate uloženého ve službě KeyVault. | řetězec |
| Jméno | Název certifikátu certifikační autority. | řetězec |
Šablony pro rychlý start
Následující šablony pro rychlý start nasazují tento typ prostředku.
| Šablona | Popis |
|---|---|
|
předplatné SharePointu / 2019 / 2016 plně nakonfigurované nasazení |
Vytvořte řadič domény, SQL Server 2022 a od 1 do 5 serverů, které hostují farmu předplatného SharePointu / 2019 / 2016 s rozsáhlou konfigurací, včetně důvěryhodného ověřování, profilů uživatelů s osobními weby, důvěryhodnosti OAuth (pomocí certifikátu), vyhrazeného webu IIS pro hostování doplňků s vysokou důvěryhodností atd... Nainstaluje se nejnovější verze klíčových softwaru (včetně Fiddler, vscode, np++, 7zip, ULS Viewer). Počítače SharePointu mají další vyladění, aby je bylo možné okamžitě použít (nástroje pro vzdálenou správu, vlastní zásady pro Edge a Chrome, klávesové zkratky atd.). |
|
použití služby Azure Firewall jako proxy serveru DNS v topologii hvězdicové & hvězdicové nasazení |
Tato ukázka ukazuje, jak nasadit hvězdicovou topologii v Azure pomocí služby Azure Firewall. Virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím připojeným k virtuální síti rozbočovače prostřednictvím partnerského vztahu virtuálních sítí. |
|
vytvoření brány firewall a brány firewall pomocí pravidel a Ipgroups nasazení |
Tato šablona nasadí bránu Azure Firewall se zásadami brány firewall (včetně více pravidel aplikace a sítě) odkazující na skupiny IP adres v pravidlech aplikace a sítě. |
|
vytvoření brány firewall, zásady firewallu s explicitním proxy nasazení |
Tato šablona vytvoří azure firewall, firewalllPolicy s explicitním proxy serverem a síťovými pravidly s IpGroups. Zahrnuje také nastavení virtuálního počítače jumpboxu s Linuxem. |
|
vytvoření brány firewall s FirewallPolicy a IpGroups nasazení |
Tato šablona vytvoří bránu Azure Firewall s firewalllPolicy odkazujícími na pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače jumpboxu s Linuxem. |
|
Testovací prostředí pro službu Azure Firewall Premium nasazení |
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
|
Vytvoření nastavení sandboxu pomocí zásad brány firewall nasazení |
Tato šablona vytvoří virtuální síť se 3 podsítěmi (podsíť serveru, podsíť jumpboxu a podsítí AzureFirewall), virtuálním počítačem jumpboxu s veřejnou IP adresou, virtuálním počítačem serveru A serverem, trasou definovanou uživatelem, která odkazuje na Bránu Azure Firewall pro podsíť serveru a bránu Azure Firewall s 1 nebo více veřejnými IP adresami. Vytvoří také zásadu brány firewall s 1 ukázkovým pravidlem aplikace, 1 ukázkovým pravidlem sítě a výchozími privátními rozsahy. |
| nasazení |
Tato šablona vytvoří zabezpečené virtuální centrum pomocí služby Azure Firewall k zabezpečení cloudového síťového provozu určeného k internetu. |
Definice prostředku Terraformu (poskytovatel AzAPI)
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí:
- skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-09-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Hodnoty vlastností
firewallPolicies
| Jméno | Popis | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.Network/firewallPolicies@2023-09-01 |
| Jméno | Název prostředku | string (povinné) Limit znaků: 1-80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a pomlčky Začněte alfanumerickými znaky. Ukončete alfanumerické znaky nebo podtržítko. |
| umístění | Umístění prostředku | řetězec |
| parent_id | K nasazení do skupiny prostředků použijte ID této skupiny prostředků. | string (povinné) |
| visačky | Značky prostředků | Slovník názvů a hodnot značek |
| identita | Identita zásad brány firewall. | |
| vlastnosti | Vlastnosti zásad brány firewall | firewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Jméno | Popis | Hodnota |
|---|---|---|
| typ | Typ identity používané pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere všechny identity z virtuálního počítače. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| identity_ids | Seznam identit uživatelů přidružených k prostředku. Odkazy na klíč slovníku identit uživatele budou ID prostředků ARM ve formátu: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | Pole ID identit uživatele |
ManagedServiceIdentityUserAssignedIdentities
| Jméno | Popis | Hodnota |
|---|---|---|
| {přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které se mají nastavit během nasazení. Všechny vlastnosti jsou Jen pro čtení.
FirewallPolicyPropertiesFormat
| Jméno | Popis | Hodnota |
|---|---|---|
| basePolicy | Nadřazené zásady brány firewall, ze kterých se dědí pravidla. | subresource |
| dnsSettings | Definice nastavení proxy serveru DNS | dnsSettings |
| explicitProxy | Definice explicitního nastavení proxy serveru | ExplicitProxy |
| vhledy | Přehledy o zásadách brány firewall | firewallPolicyInsights |
| vniknutíDetection | Konfigurace detekce neoprávněných vniknutí. | firewallPolicyIntrusionDetection |
| sku | Skladová položka zásad brány firewall. | firewallPolicySku |
| snat | Privátní IP adresy nebo rozsahy IP adres, do kterých nebude provoz SNAT. | firewallPolicySnat |
| sql | Definice nastavení SQL | firewallPolicySQL |
| threatIntelMode | Režim operace analýzy hrozeb. | "Výstraha" "Odepřít" "Vypnuto" |
| threatIntelWhitelist | Seznampovolených | firewallPolicyThreatIntelWhitelist |
| transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Podsourc
| Jméno | Popis | Hodnota |
|---|---|---|
| id | ID prostředku. | řetězec |
DnsSettings
| Jméno | Popis | Hodnota |
|---|---|---|
| enableProxy | Povolte proxy server DNS na bránách firewall připojených k zásadám brány firewall. | Bool |
| requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, když je nastavená hodnota true. | Bool |
| servery | Seznam vlastních serverů DNS | string[] |
ExplicitProxy
| Jméno | Popis | Hodnota |
|---|---|---|
| enableExplicitProxy | Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. | Bool |
| enablePacFile | Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. | Bool |
| httpPort | Číslo portu pro explicitní protokol HTTP proxy nemůže být větší než 64000. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| httpsPort | Číslo portu pro explicitní protokol HTTPS proxy nemůže být větší než 64000. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
| pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
| pacFilePort | Číslo portu pro bránu firewall pro obsluhu souboru PAC. | Int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
| Jméno | Popis | Hodnota |
|---|---|---|
| isEnabled | Příznak označující, jestli jsou v zásadách povolené přehledy. | Bool |
| LogAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall | brány firewallPolicyLogAnalyticsResources |
| retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy | Int |
FirewallPolicyLogAnalyticsResources
| Jméno | Popis | Hodnota |
|---|---|---|
| defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. | subresource |
| pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | firewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Jméno | Popis | Hodnota |
|---|---|---|
| oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
| workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | subresource |
FirewallPolicyIntrusionDetection
| Jméno | Popis | Hodnota |
|---|---|---|
| konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | firewallPolicyIntrusionDetectionConfiguration |
| režim | Obecný stav detekce neoprávněných vniknutí Při připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou. | "Výstraha" "Odepřít" "Vypnuto" |
| profil | Název profilu IDPS. Při připojení k nadřazené zásadě je efektivní profil brány firewall názvem nadřazené zásady. | "Upřesnit" "Základní" "Rozšířeno" "Standardní" |
FirewallPolicyIntrusionDetectionConfiguration
| Jméno | Popis | Hodnota |
|---|---|---|
| bypassTrafficSettings | Seznam pravidel pro obejití provozu | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozí, odchozí atd.). Ve výchozím nastavení se za privátní IP adresy považují pouze rozsahy definované IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres s touto vlastností. | string[] |
| signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Jméno | Popis | Hodnota |
|---|---|---|
| popis | Popis pravidla obejití provozu | řetězec |
| destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
| destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
| destinationPorts | Seznam cílových portů nebo rozsahů | string[] |
| Jméno | Název pravidla obejití provozu | řetězec |
| protokol | Protokol obejití pravidla. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
| sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Jméno | Popis | Hodnota |
|---|---|---|
| id | ID podpisu. | řetězec |
| režim | Stav podpisu. | "Výstraha" "Odepřít" "Vypnuto" |
FirewallPolicySku
| Jméno | Popis | Hodnota |
|---|---|---|
| úroveň | Úroveň zásad brány firewall | "Základní" "Premium" "Standardní" |
FirewallPolicySnat
| Jméno | Popis | Hodnota |
|---|---|---|
| autoLearnPrivateRanges | Režim provozu pro automatické učení privátních rozsahů, které nejsou SNAT | "Zakázáno" "Povoleno" |
| privateRanges | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. | string[] |
FirewallPolicySQL
| Jméno | Popis | Hodnota |
|---|---|---|
| allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu PŘESMĚROVÁNÍ SQL. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Jméno | Popis | Hodnota |
|---|---|---|
| Plně kvalifikované názvy domén | Seznam plně kvalifikovanýchnázvůch | string[] |
| ipAddresses | SeznamIPch | string[] |
FirewallPolicyTransportSecurity
| Jméno | Popis | Hodnota |
|---|---|---|
| certificateAuthority | Certifikační autorita použitá pro generování zprostředkující certifikační autority. | firewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Jméno | Popis | Hodnota |
|---|---|---|
| keyVaultSecretId | ID tajného kódu objektu (s kódováním base-64 bez šifrování pfx) Secret nebo Certificate uloženého ve službě KeyVault. | řetězec |
| Jméno | Název certifikátu certifikační autority. | řetězec |