Microsoft.Network firewallPolicies
Definice prostředku Bicep
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy pro nasazení skupin prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-11-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Hodnoty vlastností
zásady brány firewall
Název | Description | Hodnota |
---|---|---|
name | Název prostředku | string (povinné) Omezení počtu znaků: 1–80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a spojovníky Začněte alfanumerickými znaky. Konec alfanumerických znaků nebo podtržítka. |
location | Umístění prostředku. | řetězec |
tags | Značky prostředků. | Slovník názvů a hodnot značek. Zobrazit značky v šablonách |
identity | Identita zásad brány firewall. | Identita spravované služby |
properties | Vlastnosti zásad brány firewall. | FirewallPolicyPropertiesFormat |
Identita spravované služby
Název | Description | Hodnota |
---|---|---|
typ | Typ identity použitý pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere z virtuálního počítače všechny identity. | 'Žádný' 'SystemAssigned' SystemAssigned, UserAssigned UserAssigned |
userAssignedIdentity | Seznam identit uživatelů přidružených k prostředku. Odkazy na klíče slovníku identit uživatelů budou ID prostředků ARM ve formátu//subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentity |
ManagedServiceIdentityUserAssignedIdentity
Název | Description | Hodnota |
---|---|---|
{přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které by se nastavily během nasazování. Všechny vlastnosti jsou jen pro čtení.
FirewallPolicyPropertiesFormat
Název | Description | Hodnota |
---|---|---|
zásady basePolicy | Nadřazená zásada brány firewall, ze které se dědí pravidla. | Dílčí zdroj |
nastavení dns | Definice nastavení proxy serveru DNS. | Nastavení Dns |
explicitProxy | Definice explicitního nastavení proxy serveru | ExplicitNíxy |
insights | Přehledy o zásadách brány firewall | FirewallPolicyInsights |
intrusionDetection | Konfigurace pro detekci neoprávněných vniknutí. | FirewallPolicyIntrusionDetection |
Sku | Skladová položka zásady brány firewall. | FirewallPolicySku |
snat | Privátní IP adresy nebo rozsahy IP adres, na které provoz nebude SNAT. | FirewallPolicySnat |
sql | Definice nastavení SQL. | FirewallPolicySQL |
threatIntelMode | Provozní režim analýzy hrozeb. | 'Výstraha' "Odepřít" Vypnuto |
threatIntelWhitelist | Seznam povolených hrozeb pro zásady brány firewall. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Dílčí zdroj
Název | Description | Hodnota |
---|---|---|
id | ID prostředku. | řetězec |
DnsSettings
Název | Description | Hodnota |
---|---|---|
enableProxy | Povolte proxy dns na branách firewall připojených k zásadám brány firewall. | bool |
requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, pokud je nastavená hodnota true. | bool |
Servery | Seznam vlastních serverů DNS | string[] |
ExplicitProxy
Název | Description | Hodnota |
---|---|---|
enableExplicitProxy | Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. | bool |
enablePacFile | Pokud je nastavená hodnota true, musí být zadaný port souboru PAC a adresa URL. | bool |
httpPort | Číslo portu pro explicitní proxy protokol HTTP nesmí být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
httpsPort | Číslo portu pro explicitní proxy protokol https nesmí být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
pacFilePort | Číslo portu pro bránu firewall pro obsluhu souboru PAC. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
Název | Description | Hodnota |
---|---|---|
Isenabled | Příznak označující, jestli jsou v zásadách povolené přehledy. | bool |
logAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall. | FirewallPolicyLogAnalyticsResources |
retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy. | int |
FirewallPolicyLogAnalyticsResources
Název | Description | Hodnota |
---|---|---|
defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall | Dílčí zdroj |
pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Název | Description | Hodnota |
---|---|---|
oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
FirewallPolicyIntrusionDetection
Název | Description | Hodnota |
---|---|---|
konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | FirewallPolicyIntrusionDetectionConfiguration |
režim | Obecný stav detekce neoprávněných vniknutí. Po připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou zásad. | 'Výstraha' 'Odepřít' Vypnuto |
profil | Název profilu IDPS. Po připojení k nadřazené zásadě je efektivním profilem brány firewall název profilu nadřazené zásady. | 'Upřesnit' 'Základní' 'Rozšířené' 'Standardní' |
FirewallPolicyIntrusionDetectionConfiguration
Název | Description | Hodnota |
---|---|---|
bypassTrafficSettings | Seznam pravidel pro provoz, který se má obejít. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privátní rozsahy | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozího, odchozího atd.). Ve výchozím nastavení jsou za privátní IP adresy považovány pouze rozsahy definované aplikací IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres pomocí této vlastnosti. | string[] |
signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Název | Description | Hodnota |
---|---|---|
description | Popis pravidla obejití provozu. | řetězec |
destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
cílové porty | Seznam cílových portů nebo rozsahů | string[] |
name | Název pravidla obejití provozu | řetězec |
Protokol | Protokol obejití pravidla. | 'ANY' ICMP 'TCP' UDP |
sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Název | Description | Hodnota |
---|---|---|
id | ID podpisu. | řetězec |
režim | Stav podpisu. | 'Výstraha' 'Odepřít' Vypnuto |
FirewallPolicySku
Název | Description | Hodnota |
---|---|---|
tier | Úroveň zásad brány firewall. | 'Základní' Premium 'Standardní' |
FirewallPolicySnat
Název | Description | Hodnota |
---|---|---|
autoLearnPrivateRanges | Provozní režim pro automatické učení soukromých rozsahů, které nemají být SNAT | Zakázáno Povoleno |
privátní rozsahy | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. | string[] |
FirewallPolicySQL
Název | Description | Hodnota |
---|---|---|
allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu SQL Redirect. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | bool |
FirewallPolicyThreatIntelWhitelist
Název | Description | Hodnota |
---|---|---|
Fqdn | Seznam plně kvalifikovaných názvů domén pro seznam povolených hodnot ThreatIntel. | string[] |
ipAddresses | Seznam IP adres pro seznam povolených hrozeb | string[] |
FirewallPolicyTransportSecurity
Název | Description | Hodnota |
---|---|---|
certificateAuthority | Certifikační autorita použitá pro generování zprostředkující certifikační autority. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Název | Description | Hodnota |
---|---|---|
keyVaultSecretId | ID tajného kódu objektu (nešifrovaný kód pfx s kódováním base-64) secret nebo certificate uloženého ve službě KeyVault. | řetězec |
name | Název certifikátu certifikační autority. | řetězec |
Šablony pro rychlý start
Následující šablony rychlého startu nasadí tento typ prostředku.
Template (Šablona) | Description |
---|---|
Použití Azure Firewall jako proxy serveru DNS v topologii hubu & Paprsky |
Tato ukázka ukazuje, jak nasadit hvězdicovou topologii v Azure pomocí Azure Firewall. Virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím, které jsou připojené k virtuální síti rozbočovače prostřednictvím partnerského vztahu virtuálních sítí. |
Create brány firewall a zásady brány firewall s pravidly a skupinami IP adres |
Tato šablona nasadí Azure Firewall se zásadami brány firewall (včetně několika pravidel aplikace a sítě), která odkazuje na Skupiny IP v pravidlech aplikací a sítí. |
Create brány firewall, firewallPolicy s explicitním proxy serverem |
Tato šablona vytvoří Azure Firewall FirewalllPolicy s explicitním proxy serverem a pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače Jumpbox s Linuxem. |
Create brány firewall s firewallpolicy a skupinami IpGroup |
Tato šablona vytvoří Azure Firewall s firewalllPolicy odkazující na pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače Jumpbox s Linuxem. |
Testovací prostředí pro Azure Firewall Premium |
Tato šablona vytvoří Azure Firewall Premium a zásady brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
Create nastavení sandboxu pomocí zásad brány firewall |
Tato šablona vytvoří virtuální síť se 3 podsítěmi (podsíť serveru, podsíť jumpboxu a podsíť AzureFirewall), virtuální počítač jumpbox s veřejnou IP adresou, virtuální počítač serveru A, trasu trasy definovanou uživatelem směřující na Azure Firewall pro podsíť serveru a Azure Firewall s 1 nebo více veřejnými IP adresami. Vytvoří také zásadu brány firewall s 1 ukázkovým pravidlem aplikace, 1 ukázkovým pravidlem sítě a výchozími privátními rozsahy. |
Zabezpečená virtuální centra |
Tato šablona vytvoří zabezpečené virtuální centrum pomocí Azure Firewall k zabezpečení provozu cloudové sítě směřujícího do internetu. |
Záměr a zásady směrování Azure Virtual WAN |
Tato šablona zřídí Virtual WAN Azure se dvěma rozbočovači s povolenou funkcí Záměr směrování a Zásady. |
Definice prostředku šablony ARM
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy nasazení skupiny prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující kód JSON.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-11-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Hodnoty vlastností
firewallPolicies
Název | Description | Hodnota |
---|---|---|
typ | Typ prostředku | Microsoft.Network/firewallPolicies |
apiVersion | Verze rozhraní API prostředků | '2023-11-01' |
name | Název prostředku | string (povinné) Limit počtu znaků: 1–80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a spojovníky. Začněte alfanumerickým kódem. Ukončit alfanumerické nebo podtržítko. |
location | Umístění prostředku. | řetězec |
tags | Značky prostředků. | Slovník názvů značek a hodnot. Viz Značky v šablonách |
identity | Identita zásad brány firewall. | ManagedServiceIdentity |
properties | Vlastnosti zásad brány firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Název | Description | Hodnota |
---|---|---|
typ | Typ identity použité pro prostředek Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere z virtuálního počítače všechny identity. | 'Žádný' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentity | Seznam identit uživatelů přidružených k prostředku Odkazy na klíče slovníku identit uživatelů budou ID prostředků ARM ve formátu :/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentity |
ManagedServiceIdentityUserAssignedIdentity
Název | Description | Hodnota |
---|---|---|
{přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které by se nastavily během nasazování. Všechny vlastnosti jsou Jen pro čtení.
FirewallPolicyPropertiesFormat
Název | Description | Hodnota |
---|---|---|
basePolicy | Nadřazená zásada brány firewall, ze které se pravidla dědí. | Dílčí zdroj |
dnsSettings | Definice nastavení proxy serveru DNS. | DnsSettings |
explicitProxy | Definice explicitního nastavení proxy serveru. | ExplicitProxy |
insights | Přehledy o zásadách brány firewall | FirewallPolicyInsights |
intrusionDetection | Konfigurace pro detekci neoprávněných vniknutí. | FirewallPolicyIntrusionDetection |
Sku | Skladová položka zásady brány firewall. | FirewallPolicySku |
snat | Privátní IP adresy nebo rozsahy IP adres, na které provoz nebude SNAT. | FirewallPolicySnat |
sql | Definice nastavení SQL. | FirewallPolicySQL |
threatIntelMode | Provozní režim analýzy hrozeb. | 'Výstraha' "Odepřít" Vypnuto |
threatIntelWhitelist | Seznam povolených hrozeb pro zásady brány firewall. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Dílčí zdroj
Název | Description | Hodnota |
---|---|---|
id | ID prostředku. | řetězec |
DnsSettings
Název | Description | Hodnota |
---|---|---|
enableProxy | Povolte proxy dns na branách firewall připojených k zásadám brány firewall. | bool |
requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, pokud je nastavená hodnota true. | bool |
Servery | Seznam vlastních serverů DNS | string[] |
ExplicitProxy
Název | Description | Hodnota |
---|---|---|
enableExplicitProxy | Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. | bool |
enablePacFile | Pokud je nastavená hodnota true, musí být zadaný port souboru PAC a adresa URL. | bool |
httpPort | Číslo portu pro explicitní proxy protokol HTTP nesmí být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
httpsPort | Číslo portu pro explicitní proxy protokol HTTPS nemůže být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
soubor pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
pacFilePort | Číslo portu pro bránu firewall, která bude obsluhovat soubor PAC. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
Název | Description | Hodnota |
---|---|---|
Isenabled | Příznak, který označuje, jestli jsou v zásadách povolené přehledy. | bool |
logAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall | FirewallPolicyLogAnalyticsResources |
retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy | int |
FirewallPolicyLogAnalyticsResources
Název | Description | Hodnota |
---|---|---|
defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Název | Description | Hodnota |
---|---|---|
oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
FirewallPolicyIntrusionDetection
Název | Description | Hodnota |
---|---|---|
konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | FirewallPolicyIntrusionDetectionConfiguration |
režim | Obecný stav detekce neoprávněných vniknutí. Po připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou zásad. | 'Výstraha' 'Odepřít' Vypnuto |
profil | Název profilu IDPS. Po připojení k nadřazené zásadě je efektivním profilem brány firewall název profilu nadřazené zásady. | 'Upřesnit' 'Základní' 'Rozšířené' 'Standardní' |
FirewallPolicyIntrusionDetectionConfiguration
Název | Description | Hodnota |
---|---|---|
bypassTrafficSettings | Seznam pravidel pro provoz, který se má obejít. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privátní rozsahy | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozího, odchozího atd.). Ve výchozím nastavení jsou za privátní IP adresy považovány pouze rozsahy definované aplikací IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres pomocí této vlastnosti. | string[] |
signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Název | Description | Hodnota |
---|---|---|
description | Popis pravidla obejití provozu. | řetězec |
destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
cílové porty | Seznam cílových portů nebo rozsahů | string[] |
name | Název pravidla obejití provozu | řetězec |
Protokol | Protokol obejití pravidla. | 'ANY' ICMP 'TCP' UDP |
sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Název | Description | Hodnota |
---|---|---|
id | ID podpisu. | řetězec |
režim | Stav podpisu. | 'Výstraha' 'Odepřít' Vypnuto |
FirewallPolicySku
Název | Description | Hodnota |
---|---|---|
tier | Úroveň zásad brány firewall. | 'Základní' Premium 'Standardní' |
FirewallPolicySnat
Název | Description | Hodnota |
---|---|---|
autoLearnPrivateRanges | Provozní režim pro automatické učení soukromých rozsahů, které nemají být SNAT | Zakázáno Povoleno |
privátní rozsahy | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. | string[] |
FirewallPolicySQL
Název | Description | Hodnota |
---|---|---|
allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu přes přesměrování SQL. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | bool |
FirewallPolicyThreatIntelWhitelist
Název | Description | Hodnota |
---|---|---|
Fqdn | Seznam plně kvalifikovaných názvů domén pro seznam povolených pro ThreatIntel. | string[] |
ipAddresses | Seznam IP adres pro seznam povolených pro ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Název | Description | Hodnota |
---|---|---|
certificateAuthority | Certifikační autorita používaná pro generování zprostředkující certifikační autority. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Název | Description | Hodnota |
---|---|---|
keyVaultSecretId | ID tajného kódu (nešifrovaný kód pfx s kódováním Base-64) tajného klíče nebo objektu Certificate uloženého ve službě KeyVault. | řetězec |
name | Název certifikátu certifikační autority. | řetězec |
Šablony pro rychlý start
Následující šablony pro rychlý start nasadí tento typ prostředku.
Template (Šablona) | Description |
---|---|
Použití Azure Firewall jako proxy serveru DNS v topologii Hub & Spoke |
Tato ukázka ukazuje, jak nasadit hvězdicovou topologii v Azure pomocí Azure Firewall. Virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím, které jsou připojené k virtuální síti rozbočovače prostřednictvím partnerského vztahu virtuálních sítí. |
Create brány firewall a zásady brány firewall s pravidly a skupinami IP adres |
Tato šablona nasadí Azure Firewall se zásadami firewallu (včetně několika pravidel aplikace a sítě), které odkazují na Skupiny IP v pravidlech aplikace a sítě. |
Create brány firewall, firewallPolicy s explicitním proxy serverem |
Tato šablona vytvoří Azure Firewall FirewalllPolicy s explicitním proxy serverem a pravidla sítě se skupinami IpGroup. Zahrnuje také nastavení virtuálního počítače Jumpboxu s Linuxem. |
Create brány firewall s firewallpolicy a skupinami IpGroup |
Tato šablona vytvoří Azure Firewall s firewalllPolicy odkazujícími na pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače Jumpboxu s Linuxem. |
Testovací prostředí pro Azure Firewall Premium |
Tato šablona vytvoří Azure Firewall Premium a zásady brány firewall s prémiovými funkcemi, jako je detekce kontroly vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu. |
Create nastavení sandboxu pomocí zásad brány firewall |
Tato šablona vytvoří virtuální síť se 3 podsítěmi (podsíť serveru, podsíť jumpbox a podsíť AzureFirewall), virtuální počítač jumpboxu s veřejnou IP adresou, virtuální počítač serveru, trasa definovaná uživatelem směřující do Azure Firewall pro podsíť serveru a Azure Firewall s 1 nebo více veřejnými IP adresami. Vytvoří také zásadu brány firewall s 1 ukázkovým pravidlem aplikace, 1 ukázkovým pravidlem sítě a výchozími privátními rozsahy. |
Zabezpečená virtuální centra |
Tato šablona vytvoří zabezpečené virtuální centrum pomocí Azure Firewall k zabezpečení cloudového síťového provozu směřujícího do internetu. |
Záměr a zásady směrování Azure Virtual WAN |
Tato šablona zřídí Virtual WAN Azure se dvěma centry s povolenou funkcí Záměr směrování a Zásady. |
Definice prostředku Terraform (poskytovatel AzAPI)
Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-11-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Hodnoty vlastností
zásady brány firewall
Název | Description | Hodnota |
---|---|---|
typ | Typ prostředku | "Microsoft.Network/firewallPolicies@2023-11-01" |
name | Název prostředku | string (povinné) Omezení počtu znaků: 1–80 Platné znaky: Alfanumerické znaky, podtržítka, tečky a spojovníky Začněte alfanumerickými znaky. Konec alfanumerických znaků nebo podtržítka. |
location | Umístění prostředku. | řetězec |
parent_id | K nasazení do skupiny prostředků použijte ID této skupiny prostředků. | string (povinné) |
tags | Značky prostředků. | Slovník názvů a hodnot značek. |
identity | Identita zásad brány firewall. | Identita spravované služby |
properties | Vlastnosti zásad brány firewall. | FirewallPolicyPropertiesFormat |
Identita spravované služby
Název | Description | Hodnota |
---|---|---|
typ | Typ identity použitý pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere z virtuálního počítače všechny identity. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
identity_ids | Seznam identit uživatelů přidružených k prostředku. Odkazy na klíče slovníku identit uživatelů budou ID prostředků ARM ve formátu//subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | Pole ID identit uživatelů |
ManagedServiceIdentityUserAssignedIdentity
Název | Description | Hodnota |
---|---|---|
{přizpůsobená vlastnost} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Tento objekt neobsahuje žádné vlastnosti, které by se nastavily během nasazování. Všechny vlastnosti jsou jen pro čtení.
FirewallPolicyPropertiesFormat
Název | Description | Hodnota |
---|---|---|
zásady basePolicy | Nadřazená zásada brány firewall, ze které se dědí pravidla. | Dílčí zdroj |
nastavení dns | Definice nastavení proxy serveru DNS. | Nastavení Dns |
explicitProxy | Definice explicitního nastavení proxy serveru | ExplicitNíxy |
insights | Přehledy o zásadách brány firewall | FirewallPolicyInsights |
intrusionDetection | Konfigurace pro detekci neoprávněných vniknutí. | FirewallPolicyIntrusionDetection |
Sku | Skladová položka zásady brány firewall. | FirewallPolicySku |
snat | Privátní IP adresy nebo rozsahy IP adres, na které provoz nebude SNAT. | FirewallPolicySnat |
sql | Definice nastavení SQL. | FirewallPolicySQL |
threatIntelMode | Režim operace pro analýzu hrozeb. | "Výstraha" "Odepřít" "Vypnuto" |
threatIntelWhitelist | Seznam povolených hrozeb pro zásady brány firewall. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definice konfigurace protokolu TLS. | FirewallPolicyTransportSecurity |
Dílčí zdroj
Název | Description | Hodnota |
---|---|---|
id | ID prostředku. | řetězec |
Nastavení Dns
Název | Description | Hodnota |
---|---|---|
enableProxy | Povolte proxy DNS na branách firewall připojených k zásadám firewallu. | bool |
requireProxyForNetworkRules | Plně kvalifikované názvy domén v pravidlech sítě se podporují, pokud je nastavená hodnota true. | bool |
Servery | Seznam vlastních serverů DNS | string[] |
ExplicitNíxy
Název | Description | Hodnota |
---|---|---|
enableExplicitProxy | Pokud je nastavená hodnota true, je povolený režim explicitního proxy serveru. | bool |
enablePacFile | Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. | bool |
httpPort | Číslo portu pro explicitní proxy protokol HTTP nesmí být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
httpsPort | Číslo portu pro explicitní proxy protokol HTTPS nemůže být větší než 64000. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
soubor pacFile | Adresa URL SAS pro soubor PAC. | řetězec |
pacFilePort | Číslo portu pro bránu firewall, která bude obsluhovat soubor PAC. | int Omezení: Minimální hodnota = 0 Maximální hodnota = 64000 |
FirewallPolicyInsights
Název | Description | Hodnota |
---|---|---|
Isenabled | Příznak, který označuje, jestli jsou v zásadách povolené přehledy. | bool |
logAnalyticsResources | Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall | FirewallPolicyLogAnalyticsResources |
retentionDays | Počet dnů, po které by měly být v zásadách povolené přehledy | int |
FirewallPolicyLogAnalyticsResources
Název | Description | Hodnota |
---|---|---|
defaultWorkspaceId | Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
pracovní prostory | Seznam pracovních prostorů pro přehledy zásad brány firewall | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Název | Description | Hodnota |
---|---|---|
oblast | Oblast pro konfiguraci pracovního prostoru | řetězec |
workspaceId | ID pracovního prostoru pro přehledy zásad brány firewall. | Dílčí zdroj |
FirewallPolicyIntrusionDetection
Název | Description | Hodnota |
---|---|---|
konfigurace | Vlastnosti konfigurace detekce neoprávněných vniknutí. | FirewallPolicyIntrusionDetectionConfiguration |
režim | Obecný stav detekce neoprávněných vniknutí. Po připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou zásad. | "Výstraha" "Odepřít" "Vypnuto" |
profil | Název profilu IDPS. Po připojení k nadřazené zásadě je efektivním profilem brány firewall název profilu nadřazené zásady. | "Upřesnit" "Základní" "Rozšířené" "Standardní" |
FirewallPolicyIntrusionDetectionConfiguration
Název | Description | Hodnota |
---|---|---|
bypassTrafficSettings | Seznam pravidel pro provoz, který se má obejít. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privátní rozsahy | Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozího, odchozího atd.). Ve výchozím nastavení jsou za privátní IP adresy považovány pouze rozsahy definované aplikací IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres pomocí této vlastnosti. | string[] |
signatureOverrides | Seznam konkrétních stavů podpisů | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Název | Description | Hodnota |
---|---|---|
description | Popis pravidla obejití provozu. | řetězec |
destinationAddresses | Seznam cílových IP adres nebo rozsahů pro toto pravidlo | string[] |
destinationIpGroups | Seznam cílových skupin IpGroup pro toto pravidlo | string[] |
cílové porty | Seznam cílových portů nebo rozsahů | string[] |
name | Název pravidla obejití provozu | řetězec |
Protokol | Protokol obejití pravidla. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo | string[] |
sourceIpGroups | Seznam zdrojových skupin IpGroup pro toto pravidlo | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Název | Description | Hodnota |
---|---|---|
id | ID podpisu. | řetězec |
režim | Stav podpisu. | "Výstraha" "Odepřít" "Vypnuto" |
FirewallPolicySku
Název | Description | Hodnota |
---|---|---|
tier | Úroveň zásad brány firewall. | "Základní" "Premium" "Standardní" |
FirewallPolicySnat
Název | Description | Hodnota |
---|---|---|
autoLearnPrivateRanges | Provozní režim pro automatické učení soukromých rozsahů, které nemají být SNAT | "Zakázáno" "Povoleno" |
privátní rozsahy | Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. | string[] |
FirewallPolicySQL
Název | Description | Hodnota |
---|---|---|
allowSqlRedirect | Příznak označující, jestli je povolené filtrování provozu SQL Redirect. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. | bool |
FirewallPolicyThreatIntelWhitelist
Název | Description | Hodnota |
---|---|---|
Fqdn | Seznam plně kvalifikovaných názvů domén pro seznam povolených hodnot ThreatIntel. | string[] |
ipAddresses | Seznam IP adres pro seznam povolených hrozeb | string[] |
FirewallPolicyTransportSecurity
Název | Description | Hodnota |
---|---|---|
certificateAuthority | Certifikační autorita použitá pro generování zprostředkující certifikační autority. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Název | Description | Hodnota |
---|---|---|
keyVaultSecretId | ID tajného kódu objektu (nešifrovaný kód pfx s kódováním base-64) secret nebo certificate uloženého ve službě KeyVault. | řetězec |
name | Název certifikátu certifikační autority. | řetězec |