Microsoft.Network firewallPolicies 2023-09-01
Bicep-Ressourcendefinition
Der Ressourcentyp firewallPolicies kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Bereitstellungsbefehle für Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie der Vorlage den folgenden Bicep hinzu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-09-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Eigenschaftswerte
firewallPolicies
Name | BESCHREIBUNG | Wert |
---|---|---|
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
location | Ressourcenspeicherort | Zeichenfolge |
tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen. |
Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity |
properties | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ „SystemAssigned, UserAssigned“ umfasst sowohl eine implizit erstellte Identität als auch einen Satz von Benutzern zugewiesener Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | "Keine" "SystemAssigned" 'SystemAssigned, UserAssigned' "UserAssigned" |
userAssignedIdentities | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Verweise auf das Benutzeridentitätswörterbuch sind ARM-Ressourcen-IDs im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Name | BESCHREIBUNG | Wert |
---|---|---|
{angepasste Eigenschaft} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
FirewallPolicyPropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
basePolicy | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | Subresource |
dnsSettings | Definition von DNS-Proxyeinstellungen. | DnsSettings |
explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy |
insights | Einblicke in die Firewallrichtlinie. | FirewallPolicyInsights |
IntrusionDetection | Die Konfiguration für die Erkennung von Eindringversuchen. | FirewallPolicyIntrusionDetection |
sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku |
Snat | Die privaten IP-Adressen/IP-Bereiche, für die der Datenverkehr nicht SNAT ist. | FirewallPolicySnat |
sql | Definition der SQL-Einstellungen. | FirewallPolicySQL |
threatIntelMode | Der Betriebsmodus für Threat Intelligence. | "Warnung" "Verweigern" "Aus" |
threatIntelWhitelist | ThreatIntel-Zulassungsliste für Die Firewallrichtlinie. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-Konfigurationsdefinition. | FirewallPolicyTransportSecurity |
Subresource
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
DnsSettings
Name | BESCHREIBUNG | Wert |
---|---|---|
enableProxy | Aktivieren Sie DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | bool |
requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf TRUE festgelegt sind. | bool |
servers | Liste der benutzerdefinierten DNS-Server. | string[] |
ExplicitProxy
Name | BESCHREIBUNG | Wert |
---|---|---|
enableExplicitProxy | Wenn auf TRUE festgelegt ist, ist der explizite Proxymodus aktiviert. | bool |
enablePacFile | Wenn sie auf true festgelegt ist, müssen der Pac-Dateiport und die URL angegeben werden. | bool |
httpPort | Portnummer für explizites Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | INT Einschränkungen: Min-Wert = 0 Maximaler Wert = 64000 |
httpsPort | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | INT Einschränkungen: Min-Wert = 0 Maximaler Wert = 64000 |
pacFile | SAS-URL für die PAC-Datei. | Zeichenfolge |
pacFilePort | Portnummer für die Firewall zur Bereitstellung der PAC-Datei. | INT Einschränkungen: Min-Wert = 0 Maximaler Wert = 64000 |
FirewallPolicyInsights
Name | BESCHREIBUNG | Wert |
---|---|---|
isEnabled | Ein Flag, das angibt, ob die Erkenntnisse für die Richtlinie aktiviert sind. | bool |
logAnalyticsResources | Arbeitsbereiche, die zum Konfigurieren der Firewall policy Insights erforderlich sind. | FirewallPolicyLogAnalyticsResources |
retentionDays | Anzahl der Tage, an denen die Erkenntnisse für die Richtlinie aktiviert werden sollen. | INT |
FirewallPolicyLogAnalyticsResources
Name | BESCHREIBUNG | Wert |
---|---|---|
defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewall Policy Insights. | Subresource |
workspaces | Liste der Arbeitsbereiche für Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | BESCHREIBUNG | Wert |
---|---|---|
region | Region zum Konfigurieren des Arbeitsbereichs. | Zeichenfolge |
workspaceId | Die Arbeitsbereichs-ID für Firewall Policy Insights. | Subresource |
FirewallPolicyIntrusionDetection
Name | BESCHREIBUNG | Wert |
---|---|---|
Konfiguration | Konfigurationseigenschaften für die Angriffserkennung. | FirewallPolicyIntrusionDetectionConfiguration |
Modus | Allgemeiner Status der Angriffserkennung. Wenn er an eine übergeordnete Richtlinie angefügt wird, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Verweigern" "Aus" |
Profil | IDPS-Profilname. Wenn es an eine übergeordnete Richtlinie angefügt wird, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | "Erweitert" "Basic" "Erweitert" "Standard" |
FirewallPolicyIntrusionDetectionConfiguration
Name | BESCHREIBUNG | Wert |
---|---|---|
bypassTrafficSettings | Liste der Regeln für den zu umgehenden Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Private IP-Adressbereiche von IDPS werden verwendet, um die Richtung des Datenverkehrs zu identifizieren (z. B. eingehender Datenverkehr, ausgehender Datenverkehr usw.). Standardmäßig werden nur die durch IANA RFC 1918 definierten Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an. | string[] |
signatureOverrides | Liste der spezifischen Signaturzustände. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Name | BESCHREIBUNG | Wert |
---|---|---|
description | Beschreibung der Datenverkehrsumgehungsregel. | Zeichenfolge |
destinationAddresses | Liste der Ziel-IP-Adressen oder -Bereiche für diese Regel. | string[] |
destinationIpGroups | Liste der IpGroup-Zielgruppen für diese Regel. | string[] |
destinationPorts | Liste der Zielports oder -bereiche. | string[] |
name | Name der Datenverkehrsumgehungsregel. | Zeichenfolge |
Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Liste der Quell-IP-Adressen oder -Bereiche für diese Regel. | string[] |
sourceIpGroups | Liste der IpGroup-Quellgruppen für diese Regel. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Signatur-ID. | Zeichenfolge |
Modus | Der Signaturzustand. | "Warnung" "Verweigern" "Aus" |
FirewallPolicySku
Name | BESCHREIBUNG | Wert |
---|---|---|
Ebene | Ebene der Firewallrichtlinie. | "Basic" "Premium" "Standard" |
FirewallPolicySnat
Name | BESCHREIBUNG | Wert |
---|---|---|
autoLearnPrivateRanges | Der Vorgangsmodus für das automatische Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | string[] |
FirewallPolicySQL
Name | BESCHREIBUNG | Wert |
---|---|---|
allowSqlRedirect | Ein Flag, das angibt, ob die Filterung von SQL-Umleitungsdatenverkehr aktiviert ist. Zum Aktivieren des Flags ist keine Regel über Port 11000-11999 erforderlich. | bool |
FirewallPolicyThreatIntelWhitelist
Name | BESCHREIBUNG | Wert |
---|---|---|
Fqdns | Liste der FQDNs für die ThreatIntel-Zulassungsliste. | string[] |
ipAddresses | Liste der IP-Adressen für die ThreatIntel-Zulassungsliste. | string[] |
FirewallPolicyTransportSecurity
Name | BESCHREIBUNG | Wert |
---|---|---|
certificateAuthority | Die für die Generierung der zwischengeschalteten Zertifizierungsstelle verwendete Zertifizierungsstelle. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Name | BESCHREIBUNG | Wert |
---|---|---|
keyVaultSecretId | Geheimnis-ID des (base-64-codierten unverschlüsselten pfx)-Objekts "Secret" oder "Certificate"-Objekt, das in KeyVault gespeichert ist. | Zeichenfolge |
name | Name des Zertifizierungsstellenzertifikats. | Zeichenfolge |
Schnellstartvorlagen
In den folgenden Schnellstartvorlagen wird dieser Ressourcentyp bereitgestellt.
Vorlage | BESCHREIBUNG |
---|---|
Verwenden von Azure Firewall als DNS-Proxy in einer Hub & Spoke-Topologie |
In diesem Beispiel wird gezeigt, wie Sie mithilfe der Azure Firewall eine Hub-Spoke-Topologie in Azure bereitstellen. Das virtuelle Hubnetzwerk fungiert als zentraler Verbindungspunkt mit virtuellen Netzwerken mit vielen Spokes, die über Peering virtueller Netzwerke mit dem virtuellen Hubnetzwerk verbunden sind. |
Erstellen einer Firewall und Firewallrichtlinie mit Regeln und IP-Gruppen |
Diese Vorlage stellt eine Azure Firewall mit Firewallrichtlinie (einschließlich mehrerer Anwendungs- und Netzwerkregeln) bereit, die auf IP-Gruppen in Anwendungs- und Netzwerkregeln verweist. |
Create einer Firewall, FirewallPolicy mit explizitem Proxy |
Diese Vorlage erstellt eine Azure Firewall FirewalllPolicy mit explizitem Proxy und Netzwerkregeln mit IpGroups. Enthält auch ein Linux Jumpbox-VM-Setup. |
Create einer Firewall mit FirewallPolicy und IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält auch ein Linux Jumpbox-VM-Setup. |
Testumgebung für Azure Firewall Premium |
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung. |
Create eines Sandbox-Setups mit firewall policy |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP-Adresse, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und eine Azure Firewall mit mindestens 1 öffentlichen IP-Adressen. Erstellt außerdem eine Firewallrichtlinie mit einer Beispielanwendungsregel, einer Beispielnetzwerkregel und privaten Standardbereichen. |
Geschützte virtuelle Hubs |
Mit dieser Vorlage wird ein geschützter virtueller Hub erstellt, der Azure Firewall verwendet, um Ihren Cloudnetzwerkdatenverkehr für das Internet zu schützen. |
Azure Virtual WAN Routingabsicht und -Richtlinien |
Diese Vorlage stellt eine Azure-Virtual WAN mit zwei Hubs mit aktiviertem Feature Routingabsicht und -richtlinien zur Bereitstellung. |
Ressourcendefinition mit einer ARM-Vorlage
Der Ressourcentyp firewallPolicies kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Bereitstellungsbefehle für Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-09-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Eigenschaftswerte
firewallPolicies
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Ressourcentyp | "Microsoft.Network/firewallPolicies" |
apiVersion | Die Version der Ressourcen-API | '2023-09-01' |
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
location | Ressourcenspeicherort | Zeichenfolge |
tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. Weitere Informationen finden Sie unter Tags in Vorlagen. |
Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity |
properties | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ „SystemAssigned, UserAssigned“ umfasst sowohl eine implizit erstellte Identität als auch einen Satz von Benutzern zugewiesener Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | "Keine" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Bei den Referenzdaten des Benutzeridentitätswörterbuchs handelt es sich um ARM-Ressourcen-IDs in der Form : "/subscriptions/{subscriptionId}/resourceGroupGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Name | BESCHREIBUNG | Wert |
---|---|---|
{angepasste Eigenschaft} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
FirewallPolicyPropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
basePolicy | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | Subresource |
dnsSettings | Definition von DNS-Proxyeinstellungen. | DnsSettings |
explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy |
insights | Erkenntnisse zur Firewallrichtlinie. | FirewallPolicyInsights |
intrusionDetection | Die Konfiguration für die Intrusionserkennung. | FirewallPolicyIntrusionDetection |
sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku |
Snat | Die privaten IP-Adressen/IP-Bereiche, für die der Datenverkehr nicht SNAT ist. | FirewallPolicySnat |
sql | Definition der SQL-Einstellungen. | FirewallPolicySQL |
threatIntelMode | Der Betriebsmodus für Threat Intelligence. | "Warnung" "Verweigern" "Aus" |
threatIntelWhitelist | ThreatIntel-Zulassungsliste für Die Firewallrichtlinie. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-Konfigurationsdefinition. | FirewallPolicyTransportSecurity |
Subresource
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
DnsSettings
Name | BESCHREIBUNG | Wert |
---|---|---|
enableProxy | Aktivieren Sie DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | bool |
requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf TRUE festgelegt sind. | bool |
servers | Liste der benutzerdefinierten DNS-Server. | string[] |
ExplicitProxy
Name | BESCHREIBUNG | Wert |
---|---|---|
enableExplicitProxy | Wenn auf TRUE festgelegt ist, ist der explizite Proxymodus aktiviert. | bool |
enablePacFile | Wenn sie auf true festgelegt ist, müssen der Pac-Dateiport und die URL angegeben werden. | bool |
httpPort | Portnummer für explizites Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | INT Einschränkungen: Minimaler Wert = 0 Maximaler Wert = 64000 |
httpsPort | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | INT Einschränkungen: Minimaler Wert = 0 Maximaler Wert = 64000 |
pacFile | SAS-URL für PAC-Datei. | Zeichenfolge |
pacFilePort | Portnummer für die Firewall zur Bereitstellung der PAC-Datei. | INT Einschränkungen: Minimaler Wert = 0 Maximaler Wert = 64000 |
FirewallPolicyInsights
Name | BESCHREIBUNG | Wert |
---|---|---|
isEnabled | Ein Flag, das angibt, ob die Erkenntnisse für die Richtlinie aktiviert sind. | bool |
logAnalyticsResources | Arbeitsbereiche, die zum Konfigurieren von Firewall Policy Insights erforderlich sind. | FirewallPolicyLogAnalyticsResources |
retentionDays | Anzahl der Tage, an denen die Erkenntnisse für die Richtlinie aktiviert werden sollen. | INT |
FirewallPolicyLogAnalyticsResources
Name | BESCHREIBUNG | Wert |
---|---|---|
defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewall Policy Insights. | Subresource |
workspaces | Liste der Arbeitsbereiche für Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | BESCHREIBUNG | Wert |
---|---|---|
region | Region zum Konfigurieren des Arbeitsbereichs. | Zeichenfolge |
workspaceId | Die Arbeitsbereichs-ID für Firewall Policy Insights. | Subresource |
FirewallPolicyIntrusionDetection
Name | BESCHREIBUNG | Wert |
---|---|---|
Konfiguration | Konfigurationseigenschaften für die Angriffserkennung. | FirewallPolicyIntrusionDetectionConfiguration |
Modus | Allgemeiner Status der Angriffserkennung. Wenn er an eine übergeordnete Richtlinie angefügt wird, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Verweigern" "Aus" |
Profil | IDPS-Profilname. Wenn es an eine übergeordnete Richtlinie angefügt wird, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | "Erweitert" "Basic" "Erweitert" "Standard" |
FirewallPolicyIntrusionDetectionConfiguration
Name | BESCHREIBUNG | Wert |
---|---|---|
bypassTrafficSettings | Liste der Regeln für den zu umgehenden Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Private IP-Adressbereiche von IDPS werden verwendet, um die Richtung des Datenverkehrs zu identifizieren (z. B. eingehender Datenverkehr, ausgehender Datenverkehr usw.). Standardmäßig werden nur die durch IANA RFC 1918 definierten Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an. | string[] |
signatureOverrides | Liste der spezifischen Signaturzustände. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Name | BESCHREIBUNG | Wert |
---|---|---|
description | Beschreibung der Datenverkehrsumgehungsregel. | Zeichenfolge |
destinationAddresses | Liste der Ziel-IP-Adressen oder -Bereiche für diese Regel. | string[] |
destinationIpGroups | Liste der IpGroup-Zielgruppen für diese Regel. | string[] |
destinationPorts | Liste der Zielports oder -bereiche. | string[] |
name | Name der Umgehungsverkehrsregel. | Zeichenfolge |
Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Liste der Quell-IP-Adressen oder -Bereiche für diese Regel. | string[] |
sourceIpGroups | Liste der IpGroup-Quellgruppen für diese Regel. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Signatur-ID. | Zeichenfolge |
Modus | Der Signaturstatus. | "Warnung" "Verweigern" "Aus" |
FirewallPolicySku
Name | BESCHREIBUNG | Wert |
---|---|---|
Ebene | Ebene der Firewallrichtlinie. | "Basic" "Premium" "Standard" |
FirewallPolicySnat
Name | BESCHREIBUNG | Wert |
---|---|---|
autoLearnPrivateRanges | Der Betriebsmodus für das automatische Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | string[] |
FirewallPolicySQL
Name | BESCHREIBUNG | Wert |
---|---|---|
allowSqlRedirect | Ein Flag, das angibt, ob die Sql-Umleitungs-Datenverkehrsfilterung aktiviert ist. Zum Aktivieren des Flags ist keine Regel über Port 11000-11999 erforderlich. | bool |
FirewallPolicyThreatIntelWhitelist
Name | BESCHREIBUNG | Wert |
---|---|---|
Fqdns | Liste der FQDNs für die ThreatIntel-Zulassungsliste. | string[] |
ipAddresses | Liste der IP-Adressen für die ThreatIntel-Zulassungsliste. | string[] |
FirewallPolicyTransportSecurity
Name | BESCHREIBUNG | Wert |
---|---|---|
certificateAuthority | Die zertifizierungsstelle, die für die zwischengeschaltete CA-Generierung verwendet wird. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Name | BESCHREIBUNG | Wert |
---|---|---|
keyVaultSecretId | Geheime ID des in KeyVault gespeicherten Objekts "Secret" oder "Certificate" (base-64-codiertes unverschlüsseltes pfx-Objekt). | Zeichenfolge |
name | Name des Zertifizierungsstellenzertifikats. | Zeichenfolge |
Schnellstartvorlagen
Diesen Ressourcentyp werden in den folgenden Schnellstartvorlagen bereitgestellt.
Vorlage | BESCHREIBUNG |
---|---|
Verwenden von Azure Firewall als DNS-Proxy in einer Hub & Spoke-Topologie |
In diesem Beispiel wird gezeigt, wie Eine Hub-Spoke-Topologie in Azure mithilfe der Azure Firewall bereitgestellt wird. Das virtuelle Hubnetzwerk fungiert als zentraler Verbindungspunkt für viele virtuelle Spoke-Netzwerke, die über das Peering virtueller Netzwerke mit dem virtuellen Hubnetzwerk verbunden sind. |
Erstellen einer Firewall und Firewallrichtlinie mit Regeln und IP-Gruppen |
Diese Vorlage stellt eine Azure Firewall mit Firewallrichtlinie (einschließlich mehrerer Anwendungs- und Netzwerkregeln) bereit, die auf IP-Gruppen in Anwendungs- und Netzwerkregeln verweist. |
Create einer Firewall, FirewallPolicy mit explizitem Proxy |
Diese Vorlage erstellt eine Azure Firewall, FirewalllPolicy mit explizitem Proxy und Netzwerkregeln mit IpGroups. Enthält auch ein Linux Jumpbox-VM-Setup |
Create einer Firewall mit FirewallPolicy und IpGroups |
Diese Vorlage erstellt eine Azure Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält auch ein Linux Jumpbox-VM-Setup. |
Testumgebung für Azure Firewall Premium |
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung. |
Create eines Sandbox-Setups mit firewall policy |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Serversubnetz, Jumpbox-Subet und AzureFirewall-Subnetz), eine Jumpbox-VM mit öffentlicher IP-Adresse, eine Server-VM, eine UDR-Route, die auf Azure Firewall für das Serversubnetz verweist, und eine Azure Firewall mit mindestens 1 öffentlichen IP-Adressen. Erstellt außerdem eine Firewallrichtlinie mit einer Beispielanwendungsregel, einer Beispielnetzwerkregel und privaten Standardbereichen. |
Geschützte virtuelle Hubs |
Mit dieser Vorlage wird ein geschützter virtueller Hub erstellt, der Azure Firewall verwendet, um Ihren Cloudnetzwerkdatenverkehr für das Internet zu schützen. |
Azure Virtual WAN Routingabsicht und -Richtlinien |
Diese Vorlage stellt eine Azure-Virtual WAN mit zwei Hubs mit aktiviertem Feature Routingabsicht und -richtlinien zur Bereitstellung. |
Terraform-Ressourcendefinition (AzAPI-Anbieter)
Der Ressourcentyp firewallPolicies kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie im Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie Der Vorlage die folgende Terraform-Ressource hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-09-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Eigenschaftswerte
firewallPolicies
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Ressourcentyp | "Microsoft.Network/firewallPolicies@2023-09-01" |
name | Der Ressourcenname | Zeichenfolge (erforderlich) Zeichenlimit: 1-80 Gültige Zeichen: Alphanumerische Zeichen, Unterstriche, Punkte und Bindestriche. Beginnen Sie mit einem alphanumerischen Zeichen. Enden Sie mit einem alphanumerischen Zeichen oder einem Unterstrich. |
location | Ressourcenspeicherort | Zeichenfolge |
parent_id | Verwenden Sie zum Bereitstellen in einer Ressourcengruppe die ID dieser Ressourcengruppe. | Zeichenfolge (erforderlich) |
tags | Ressourcentags. | Wörterbuch der Tagnamen und -werte. |
Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity |
properties | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Name | BESCHREIBUNG | Wert |
---|---|---|
type | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ „SystemAssigned, UserAssigned“ umfasst sowohl eine implizit erstellte Identität als auch einen Satz von Benutzern zugewiesener Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
identity_ids | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Verweise auf das Benutzeridentitätswörterbuch sind ARM-Ressourcen-IDs im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | Array von Benutzeridentitäts-IDs. |
ManagedServiceIdentityUserAssignedIdentities
Name | BESCHREIBUNG | Wert |
---|---|---|
{angepasste Eigenschaft} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Dieses Objekt enthält keine Eigenschaften, die während der Bereitstellung festgelegt werden sollen. Alle Eigenschaften sind ReadOnly.
FirewallPolicyPropertiesFormat
Name | BESCHREIBUNG | Wert |
---|---|---|
basePolicy | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | Subresource |
dnsSettings | Definition von DNS-Proxyeinstellungen. | DnsSettings |
explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy |
insights | Einblicke in die Firewallrichtlinie. | FirewallPolicyInsights |
IntrusionDetection | Die Konfiguration für die Erkennung von Eindringversuchen. | FirewallPolicyIntrusionDetection |
sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku |
Snat | Die privaten IP-Adressen/IP-Bereiche, für die der Datenverkehr nicht SNAT ist. | FirewallPolicySnat |
sql | Definition der SQL-Einstellungen. | FirewallPolicySQL |
threatIntelMode | Der Betriebsmodus für Threat Intelligence. | "Warnung" "Verweigern" "Aus" |
threatIntelWhitelist | ThreatIntel-Zulassungsliste für Die Firewallrichtlinie. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-Konfigurationsdefinition. | FirewallPolicyTransportSecurity |
Subresource
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Ressourcen-ID | Zeichenfolge |
DnsSettings
Name | BESCHREIBUNG | Wert |
---|---|---|
enableProxy | Aktivieren Sie DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | bool |
requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf TRUE festgelegt sind. | bool |
servers | Liste der benutzerdefinierten DNS-Server. | string[] |
ExplicitProxy
Name | BESCHREIBUNG | Wert |
---|---|---|
enableExplicitProxy | Wenn auf TRUE festgelegt ist, ist der explizite Proxymodus aktiviert. | bool |
enablePacFile | Wenn sie auf true festgelegt ist, müssen der Pac-Dateiport und die URL angegeben werden. | bool |
httpPort | Portnummer für explizites Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | INT Einschränkungen: Min-Wert = 0 Maximaler Wert = 64000 |
httpsPort | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | INT Einschränkungen: Min-Wert = 0 Maximaler Wert = 64000 |
pacFile | SAS-URL für die PAC-Datei. | Zeichenfolge |
pacFilePort | Portnummer für die Firewall zur Bereitstellung der PAC-Datei. | INT Einschränkungen: Min-Wert = 0 Maximaler Wert = 64000 |
FirewallPolicyInsights
Name | BESCHREIBUNG | Wert |
---|---|---|
isEnabled | Ein Flag, das angibt, ob die Erkenntnisse für die Richtlinie aktiviert sind. | bool |
logAnalyticsResources | Arbeitsbereiche, die zum Konfigurieren der Firewall policy Insights erforderlich sind. | FirewallPolicyLogAnalyticsResources |
retentionDays | Anzahl der Tage, an denen die Erkenntnisse für die Richtlinie aktiviert werden sollen. | INT |
FirewallPolicyLogAnalyticsResources
Name | BESCHREIBUNG | Wert |
---|---|---|
defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewall Policy Insights. | Subresource |
workspaces | Liste der Arbeitsbereiche für Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | BESCHREIBUNG | Wert |
---|---|---|
region | Region zum Konfigurieren des Arbeitsbereichs. | Zeichenfolge |
workspaceId | Die Arbeitsbereichs-ID für Firewall Policy Insights. | Subresource |
FirewallPolicyIntrusionDetection
Name | BESCHREIBUNG | Wert |
---|---|---|
Konfiguration | Konfigurationseigenschaften für die Angriffserkennung. | FirewallPolicyIntrusionDetectionConfiguration |
Modus | Allgemeiner Status der Angriffserkennung. Wenn er an eine übergeordnete Richtlinie angefügt wird, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Verweigern" "Aus" |
Profil | IDPS-Profilname. Wenn es an eine übergeordnete Richtlinie angefügt wird, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | „Erweitert“ „Basic“ "Erweitert" „Standard“ |
FirewallPolicyIntrusionDetectionConfiguration
Name | BESCHREIBUNG | Wert |
---|---|---|
bypassTrafficSettings | Liste der Regeln für den zu umgehenden Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Private IP-Adressbereiche von IDPS werden verwendet, um die Richtung des Datenverkehrs zu identifizieren (z. B. eingehender Datenverkehr, ausgehender Datenverkehr usw.). Standardmäßig werden nur die durch IANA RFC 1918 definierten Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an. | string[] |
signatureOverrides | Liste der spezifischen Signaturzustände. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Name | BESCHREIBUNG | Wert |
---|---|---|
description | Beschreibung der Datenverkehrsumgehungsregel. | Zeichenfolge |
destinationAddresses | Liste der Ziel-IP-Adressen oder -Bereiche für diese Regel. | string[] |
destinationIpGroups | Liste der IpGroup-Zielgruppen für diese Regel. | string[] |
destinationPorts | Liste der Zielports oder -bereiche. | string[] |
name | Name der Datenverkehrsumgehungsregel. | Zeichenfolge |
Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Liste der Quell-IP-Adressen oder -Bereiche für diese Regel. | string[] |
sourceIpGroups | Liste der IpGroup-Quellgruppen für diese Regel. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Name | BESCHREIBUNG | Wert |
---|---|---|
id | Signatur-ID. | Zeichenfolge |
Modus | Der Signaturzustand. | "Warnung" "Verweigern" "Aus" |
FirewallPolicySku
Name | BESCHREIBUNG | Wert |
---|---|---|
Ebene | Ebene der Firewallrichtlinie. | „Basic“ "Premium" „Standard“ |
FirewallPolicySnat
Name | BESCHREIBUNG | Wert |
---|---|---|
autoLearnPrivateRanges | Der Vorgangsmodus für das automatische Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | string[] |
FirewallPolicySQL
Name | BESCHREIBUNG | Wert |
---|---|---|
allowSqlRedirect | Ein Flag, das angibt, ob die Filterung von SQL-Umleitungsdatenverkehr aktiviert ist. Zum Aktivieren des Flags ist keine Regel über Port 11000-11999 erforderlich. | bool |
FirewallPolicyThreatIntelWhitelist
Name | BESCHREIBUNG | Wert |
---|---|---|
Fqdns | Liste der FQDNs für die ThreatIntel-Zulassungsliste. | string[] |
ipAddresses | Liste der IP-Adressen für die ThreatIntel-Zulassungsliste. | string[] |
FirewallPolicyTransportSecurity
Name | BESCHREIBUNG | Wert |
---|---|---|
certificateAuthority | Die für die Generierung der zwischengeschalteten Zertifizierungsstelle verwendete Zertifizierungsstelle. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Name | BESCHREIBUNG | Wert |
---|---|---|
keyVaultSecretId | Geheimnis-ID des (base-64-codierten unverschlüsselten pfx)-Objekts "Secret" oder "Certificate"-Objekt, das in KeyVault gespeichert ist. | Zeichenfolge |
name | Name des Zertifizierungsstellenzertifikats. | Zeichenfolge |