Firewall de Microsoft.NetworkPolicies 2023-06-01
Definición de recursos de Bicep
El tipo de recurso firewallPolicies se puede implementar con operaciones destinadas a:
- Grupos de recursos: consulte los comandos de implementación del grupo de recursos.
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Network/firewallPolicies, agregue el siguiente bicep a la plantilla.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-06-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Valores de propiedad
firewallPolicies
Nombre | Descripción | Value |
---|---|---|
name | El nombre del recurso | string (obligatorio) Límite de caracteres: 1-80 Caracteres válidos: Caracteres alfanuméricos, de subrayado, puntos y guiones. Comience con un carácter alfanumérico. Termine con un carácter alfanumérico o de subrayado. |
ubicación | Ubicación del recurso | string |
etiquetas | Etiquetas del recurso. | Diccionario de nombres y valores de etiqueta. Consulte Etiquetas en plantillas. |
identidad | Identidad de la directiva de firewall. | ManagedServiceIdentity |
properties | Propiedades de la directiva de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nombre | Descripción | Value |
---|---|---|
type | Tipo de identidad que se usa para el recurso. El tipo "SystemAssigned, UserAssigned" incluye una identidad creada implícitamente y un conjunto de identidades asignadas por el usuario. El tipo "None" quitará las identidades de la máquina virtual. | 'Ninguno' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | Lista de identidades de usuario asociadas al recurso. Las referencias de clave de diccionario de identidad de usuario serán identificadores de recursos de ARM con el formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nombre | Descripción | Valor |
---|---|---|
{propiedad personalizada} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Este objeto no contiene ninguna propiedad que se establezca durante la implementación. Todas las propiedades son ReadOnly.
FirewallPolicyPropertiesFormat
Nombre | Descripción | Valor |
---|---|---|
basePolicy | Directiva de firewall primaria de la que se heredan las reglas. | SubResource |
dnsSettings | Definición de configuración del proxy DNS. | DnsSettings |
explicitProxy | Definición de configuración de proxy explícita. | ExplicitProxy |
insights | Información sobre la directiva de firewall. | FirewallPolicyInsights |
intrusionDetection | Configuración de detección de intrusiones. | FirewallPolicyIntrusionDetection |
sku | SKU de directiva de firewall. | FirewallPolicySku |
Snat | Las direcciones IP privadas o los intervalos IP a los que el tráfico no será SNAT. | FirewallPolicySnat |
sql | Definición de configuración de SQL. | FirewallPolicySQL |
threatIntelMode | Modo de operación para inteligencia sobre amenazas. | "Alerta" 'Denegar' 'Desactivado' |
threatIntelWhitelist | Lista de permitidos de ThreatIntel para la directiva de firewall. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definición de configuración de TLS. | FirewallPolicyTransportSecurity |
SubResource
Nombre | Descripción | Value |
---|---|---|
id | Identificador del recurso. | string |
DnsSettings
Nombre | Descripción | Valor |
---|---|---|
enableProxy | Habilite el proxy DNS en firewalls conectados a la directiva de firewall. | bool |
requireProxyForNetworkRules | Se admiten FQDN en reglas de red cuando se establece en true. | bool |
servers | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nombre | Descripción | Valor |
---|---|---|
enableExplicitProxy | Cuando se establece en true, se habilita el modo proxy explícito. | bool |
enablePacFile | Cuando se establece en true, es necesario proporcionar el puerto de archivo de pac y la dirección URL. | bool |
httpPort | El número de puerto para el protocolo HTTP de proxy explícito no puede ser mayor que 64000. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | El número de puerto para el protocolo https de proxy explícito no puede ser mayor que 64000. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | DIRECCIÓN URL de SAS para el archivo PAC. | string |
pacFilePort | Número de puerto para que el firewall sirva el archivo PAC. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyInsights
Nombre | Descripción | Valor |
---|---|---|
isEnabled | Marca para indicar si la información está habilitada en la directiva. | bool |
logAnalyticsResources | Áreas de trabajo necesarias para configurar Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
retentionDays | Número de días en que se debe habilitar la información en la directiva. | int |
FirewallPolicyLogAnalyticsResources
Nombre | Descripción | Valor |
---|---|---|
defaultWorkspaceId | Identificador de área de trabajo predeterminado para Firewall Policy Insights. | SubResource |
workspaces | Lista de áreas de trabajo para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nombre | Descripción | Valor |
---|---|---|
region | Región para configurar el área de trabajo. | string |
workspaceId | Identificador del área de trabajo para Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
Nombre | Descripción | Valor |
---|---|---|
configuración | Propiedades de configuración de detección de intrusiones. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Estado general de detección de intrusiones. Cuando se adjunta a una directiva primaria, el modo IDPS efectivo del firewall es el modo más estricto de los dos. | "Alerta" 'Denegar' 'Desactivado' |
perfile | Nombre del perfil de IDPS. Cuando se adjunta a una directiva primaria, el perfil efectivo del firewall es el nombre del perfil de la directiva primaria. | "Avanzado" 'Básico' 'Extendido' 'Estándar' |
FirewallPolicyIntrusionDetectionConfiguration
Nombre | Descripción | Valor |
---|---|---|
bypassTrafficSettings | Lista de reglas para que se omita el tráfico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Los intervalos de direcciones IP privadas de IDPS se usan para identificar la dirección del tráfico (es decir, entrante, saliente, etc.). De manera predeterminada, solo los intervalos definidos por IANA RFC 1918 se consideran direcciones IP privadas. Para modificar los intervalos predeterminados, especifique los intervalos de direcciones IP privadas con esta propiedad. | string[] |
signatureOverrides | Lista de estados de firmas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nombre | Descripción | Valor |
---|---|---|
description | Descripción de la regla de tráfico de omisión. | string |
destinationAddresses | Lista de direcciones IP o intervalos de destino para esta regla. | string[] |
destinationIpGroups | Lista de ipgroups de destino para esta regla. | string[] |
destinationPorts | Lista de puertos o intervalos de destino. | string[] |
name | Nombre de la regla de tráfico de omisión. | string |
protocol | Protocolo de omisión de reglas. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de direcciones IP o intervalos de origen para esta regla. | string[] |
sourceIpGroups | Lista de ipGroups de origen para esta regla. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nombre | Descripción | Value |
---|---|---|
id | Id. de firma. | string |
mode | Estado de la firma. | "Alerta" 'Denegar' 'Desactivado' |
FirewallPolicySku
Nombre | Descripción | Valor |
---|---|---|
Nivel: | Nivel de directiva de firewall. | 'Básico' 'Premium' 'Estándar' |
FirewallPolicySnat
Nombre | Descripción | Valor |
---|---|---|
autoLearnPrivateRanges | Modo de operación para que los intervalos privados de aprendizaje automático no sean SNAT. | 'Deshabilitado' 'Habilitado' |
privateRanges | Lista de direcciones IP privadas o intervalos de direcciones IP que no deben ser SNAT. | string[] |
FirewallPolicySQL
Nombre | Descripción | Valor |
---|---|---|
allowSqlRedirect | Marca que indica si está habilitado el filtrado de tráfico de redirección de SQL. Activar la marca no requiere ninguna regla mediante el puerto 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nombre | Descripción | Valor |
---|---|---|
Fqdn | Lista de FQDN para la lista de permitidos threatIntel. | string[] |
ipAddresses | Lista de direcciones IP de la lista de permitidos threatIntel. | string[] |
FirewallPolicyTransportSecurity
Nombre | Descripción | Valor |
---|---|---|
certificateAuthority | La ENTIDAD de certificación usada para la generación de CA intermedia. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nombre | Descripción | Valor |
---|---|---|
keyVaultSecretId | Identificador de secreto del objeto "Secret" o "Certificate" codificado en base 64 almacenado en KeyVault. | string |
name | Nombre del certificado de entidad de certificación. | string |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
Plantilla | Descripción |
---|---|
Uso de Azure Firewall como proxy DNS en una topología de radio de & concentrador |
En este ejemplo se muestra cómo implementar una topología en estrella tipo hub-and-spoke en Azure mediante el Azure Firewall. La red virtual del concentrador actúa como punto central de conectividad a muchas redes virtuales de radio que están conectadas a la red virtual de concentrador a través del emparejamiento de redes virtuales. |
Creación de Firewall y FirewallPolicy con Rules e Ipgroups |
Esta plantilla implementa una Azure Firewall con la directiva de firewall (incluidas varias reglas de aplicación y de red) que hace referencia a ip Grupos en las reglas de aplicación y red. |
Create un firewall, FirewallPolicy con proxy explícito |
Esta plantilla crea una Azure Firewall, FirewalllPolicy con proxy explícito y reglas de red con IpGroups. Además, incluye una configuración de máquina virtual de Jumpbox linux. |
Create un firewall con FirewallPolicy e IpGroups |
Esta plantilla crea una Azure Firewall con FirewalllPolicy que hace referencia a reglas de red con IpGroups. Además, incluye una configuración de máquina virtual de Jumpbox linux. |
Entorno de prueba para Azure Firewall Premium |
Esta plantilla crea una directiva de firewall y Premium Azure Firewall con características premium, como detección de inspección de intrusiones (IDPS), inspección de TLS y filtrado de categorías web. |
Create una configuración de espacio aislado con la directiva de firewall |
Esta plantilla crea una red virtual con 3 subredes (subred de servidor, subet jumpbox y subred AzureFirewall), una máquina virtual jumpbox con ip pública, una máquina virtual de servidor, una ruta UDR para que apunte a Azure Firewall para la subred del servidor y una Azure Firewall con 1 o más direcciones IP públicas. También crea una directiva de firewall con una regla de aplicación de ejemplo, una regla de red de ejemplo y intervalos privados predeterminados. |
Centros virtuales protegidos |
Esta plantilla crea un centro virtual protegido mediante Azure Firewall para proteger el tráfico de red en la nube destinado a Internet. |
Intención y directivas de enrutamiento de Azure Virtual WAN |
Esta plantilla aprovisiona una Virtual WAN de Azure con dos centros con la característica De intención y directivas de enrutamiento habilitada. |
Definición de recursos de plantilla de ARM
El tipo de recurso firewallPolicies se puede implementar con operaciones destinadas a:
- Grupos de recursos: consulte los comandos de implementación del grupo de recursos.
Para obtener una lista de las propiedades modificadas en cada versión de api, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Network/firewallPolicies, agregue el siguiente json a la plantilla.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-06-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Valores de propiedad
firewallPolicies
Nombre | Descripción | Value |
---|---|---|
type | Tipo de recurso | "Microsoft.Network/firewallPolicies" |
apiVersion | La versión de la API de recursos | '2023-06-01' |
name | El nombre del recurso | string (obligatorio) Límite de caracteres: 1-80 Caracteres válidos: Caracteres alfanuméricos, de subrayado, puntos y guiones. Comience con un carácter alfanumérico. Termine con un carácter alfanumérico o de subrayado. |
ubicación | Ubicación del recurso | string |
etiquetas | Etiquetas del recurso. | Diccionario de nombres y valores de etiqueta. Consulte Etiquetas en plantillas. |
identidad | Identidad de la directiva de firewall. | ManagedServiceIdentity |
properties | Propiedades de la directiva de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nombre | Descripción | Value |
---|---|---|
type | Tipo de identidad que se usa para el recurso. El tipo "SystemAssigned, UserAssigned" incluye una identidad creada implícitamente y un conjunto de identidades asignadas por el usuario. El tipo "None" quitará las identidades de la máquina virtual. | 'Ninguno' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | Lista de identidades de usuario asociadas al recurso. Las referencias de clave de diccionario de identidad de usuario serán identificadores de recursos de ARM con el formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nombre | Descripción | Valor |
---|---|---|
{propiedad personalizada} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Este objeto no contiene ninguna propiedad que se establezca durante la implementación. Todas las propiedades son ReadOnly.
FirewallPolicyPropertiesFormat
Nombre | Descripción | Valor |
---|---|---|
basePolicy | Directiva de firewall primaria de la que se heredan las reglas. | SubResource |
dnsSettings | Definición de configuración del proxy DNS. | DnsSettings |
explicitProxy | Definición de configuración de proxy explícita. | ExplicitProxy |
insights | Información sobre la directiva de firewall. | FirewallPolicyInsights |
intrusionDetection | Configuración de detección de intrusiones. | FirewallPolicyIntrusionDetection |
sku | SKU de directiva de firewall. | FirewallPolicySku |
Snat | Las direcciones IP privadas o los intervalos IP a los que el tráfico no será SNAT. | FirewallPolicySnat |
sql | Definición de configuración de SQL. | FirewallPolicySQL |
threatIntelMode | Modo de operación para inteligencia sobre amenazas. | "Alerta" 'Denegar' 'Desactivado' |
threatIntelWhitelist | Lista de permitidos de ThreatIntel para la directiva de firewall. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definición de configuración de TLS. | FirewallPolicyTransportSecurity |
SubResource
Nombre | Descripción | Value |
---|---|---|
id | Identificador del recurso. | string |
DnsSettings
Nombre | Descripción | Valor |
---|---|---|
enableProxy | Habilite el proxy DNS en firewalls conectados a la directiva de firewall. | bool |
requireProxyForNetworkRules | Se admiten FQDN en reglas de red cuando se establece en true. | bool |
servers | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nombre | Descripción | Valor |
---|---|---|
enableExplicitProxy | Cuando se establece en true, se habilita el modo proxy explícito. | bool |
enablePacFile | Cuando se establece en true, es necesario proporcionar el puerto de archivo de pac y la dirección URL. | bool |
httpPort | El número de puerto para el protocolo HTTP de proxy explícito no puede ser mayor que 64000. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | El número de puerto para el protocolo https de proxy explícito no puede ser mayor que 64000. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | DIRECCIÓN URL de SAS para el archivo PAC. | string |
pacFilePort | Número de puerto para que el firewall sirva el archivo PAC. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyInsights
Nombre | Descripción | Valor |
---|---|---|
isEnabled | Marca para indicar si la información está habilitada en la directiva. | bool |
logAnalyticsResources | Áreas de trabajo necesarias para configurar Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
retentionDays | Número de días en que se debe habilitar la información en la directiva. | int |
FirewallPolicyLogAnalyticsResources
Nombre | Descripción | Valor |
---|---|---|
defaultWorkspaceId | Identificador de área de trabajo predeterminado para Firewall Policy Insights. | SubResource |
workspaces | Lista de áreas de trabajo para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nombre | Descripción | Valor |
---|---|---|
region | Región para configurar el área de trabajo. | string |
workspaceId | Identificador del área de trabajo para Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
Nombre | Descripción | Valor |
---|---|---|
configuración | Propiedades de configuración de detección de intrusiones. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Estado general de detección de intrusiones. Cuando se adjunta a una directiva primaria, el modo IDPS efectivo del firewall es el modo más estricto de los dos. | "Alerta" 'Denegar' 'Desactivado' |
perfile | Nombre del perfil de IDPS. Cuando se adjunta a una directiva primaria, el perfil efectivo del firewall es el nombre del perfil de la directiva primaria. | "Avanzado" 'Básico' 'Extendido' 'Estándar' |
FirewallPolicyIntrusionDetectionConfiguration
Nombre | Descripción | Valor |
---|---|---|
bypassTrafficSettings | Lista de reglas para que se omita el tráfico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Los intervalos de direcciones IP privadas de IDPS se usan para identificar la dirección del tráfico (es decir, entrante, saliente, etc.). De manera predeterminada, solo los intervalos definidos por IANA RFC 1918 se consideran direcciones IP privadas. Para modificar los intervalos predeterminados, especifique los intervalos de direcciones IP privadas con esta propiedad. | string[] |
signatureOverrides | Lista de estados de firmas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nombre | Descripción | Valor |
---|---|---|
description | Descripción de la regla de tráfico de omisión. | string |
destinationAddresses | Lista de direcciones IP o intervalos de destino para esta regla. | string[] |
destinationIpGroups | Lista de ipgroups de destino para esta regla. | string[] |
destinationPorts | Lista de puertos o intervalos de destino. | string[] |
name | Nombre de la regla de tráfico de omisión. | string |
protocol | Protocolo de omisión de reglas. | "ANY" 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de direcciones IP de origen o intervalos para esta regla. | string[] |
sourceIpGroups | Lista de ipGroups de origen para esta regla. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nombre | Descripción | Value |
---|---|---|
id | Id. de firma. | string |
mode | Estado de la firma. | 'Alerta' 'Denegar' 'Desactivado' |
FirewallPolicySku
Nombre | Descripción | Valor |
---|---|---|
Nivel: | Nivel de directiva de firewall. | "Básico" "Premium" 'Estándar' |
FirewallPolicySnat
Nombre | Descripción | Valor |
---|---|---|
autoLearnPrivateRanges | Modo de operación para el aprendizaje automático de intervalos privados que no sean SNAT | 'Deshabilitado' 'Habilitado' |
privateRanges | Lista de direcciones IP privadas o intervalos de direcciones IP que no deben ser SNAT. | string[] |
FirewallPolicySQL
Nombre | Descripción | Valor |
---|---|---|
allowSqlRedirect | Marca que indica si está habilitado el filtrado de tráfico de redirección de SQL. Activar la marca no requiere ninguna regla mediante el puerto 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nombre | Descripción | Valor |
---|---|---|
Fqdn | Lista de FQDN para la lista de permitidos threatIntel. | string[] |
ipAddresses | Lista de direcciones IP de la lista de permitidos threatIntel. | string[] |
FirewallPolicyTransportSecurity
Nombre | Descripción | Valor |
---|---|---|
certificateAuthority | La ENTIDAD de certificación usada para la generación de CA intermedia. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nombre | Descripción | Valor |
---|---|---|
keyVaultSecretId | Identificador de secreto del objeto "Secret" o "Certificate" codificado en base 64 almacenado en KeyVault. | string |
name | Nombre del certificado de entidad de certificación. | string |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
Plantilla | Descripción |
---|---|
Uso de Azure Firewall como proxy DNS en una topología de radio de & concentrador |
En este ejemplo se muestra cómo implementar una topología en estrella tipo hub-and-spoke en Azure mediante el Azure Firewall. La red virtual del concentrador actúa como punto central de conectividad a muchas redes virtuales de radio que están conectadas a la red virtual de concentrador a través del emparejamiento de redes virtuales. |
Creación de Firewall y FirewallPolicy con Rules e Ipgroups |
Esta plantilla implementa una Azure Firewall con la directiva de firewall (incluidas varias reglas de aplicación y de red) que hace referencia a ip Grupos en las reglas de aplicación y red. |
Create un firewall, FirewallPolicy con proxy explícito |
Esta plantilla crea una Azure Firewall, FirewalllPolicy con proxy explícito y reglas de red con IpGroups. Además, incluye una configuración de máquina virtual de Jumpbox linux. |
Create un firewall con FirewallPolicy e IpGroups |
Esta plantilla crea un Azure Firewall con FirewalllPolicy que hace referencia a reglas de red con IpGroups. Además, incluye una configuración de máquina virtual de Jumpbox linux. |
Entorno de prueba para Azure Firewall Premium |
Esta plantilla crea una directiva de firewall y premium de Azure Firewall con características premium, como detección de inspección de intrusiones (IDPS), inspección de TLS y filtrado de categorías web |
Create una configuración de espacio aislado con la directiva de firewall |
Esta plantilla crea una red virtual con tres subredes (subred de servidor, subet jumpbox y subred AzureFirewall), una máquina virtual de jumpbox con ip pública, una máquina virtual de servidor, una ruta UDR para que apunte a Azure Firewall para la subred del servidor y una Azure Firewall con 1 o más direcciones IP públicas. También crea una directiva de firewall con una regla de aplicación de ejemplo, una regla de red de ejemplo y intervalos privados predeterminados. |
Centros virtuales protegidos |
Esta plantilla crea un centro virtual protegido mediante Azure Firewall para proteger el tráfico de red en la nube destinado a Internet. |
Intención y directivas de enrutamiento de Azure Virtual WAN |
Esta plantilla aprovisiona una Virtual WAN de Azure con dos centros de conectividad con la característica Intención de enrutamiento y directivas habilitadas. |
Definición de recursos de Terraform (proveedor AzAPI)
El tipo de recurso firewallPolicies se puede implementar con operaciones destinadas a:
- Grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Network/firewallPolicies, agregue el siguiente terraform a la plantilla.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-06-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Valores de propiedad
firewallPolicies
Nombre | Descripción | Value |
---|---|---|
type | Tipo de recurso | "Microsoft.Network/firewallPolicies@2023-06-01" |
name | El nombre del recurso | string (obligatorio) Límite de caracteres: 1-80 Caracteres válidos: Caracteres alfanuméricos, de subrayado, puntos y guiones. Comience con un carácter alfanumérico. Termine con un carácter alfanumérico o de subrayado. |
ubicación | Ubicación del recurso | string |
parent_id | Para realizar la implementación en un grupo de recursos, use el identificador de ese grupo de recursos. | string (obligatorio) |
etiquetas | Etiquetas del recurso. | Diccionario de nombres y valores de etiqueta. |
identidad | Identidad de la directiva de firewall. | ManagedServiceIdentity |
properties | Propiedades de la directiva de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nombre | Descripción | Value |
---|---|---|
type | Tipo de identidad que se usa para el recurso. El tipo "SystemAssigned, UserAssigned" incluye una identidad creada implícitamente y un conjunto de identidades asignadas por el usuario. El tipo "None" quitará las identidades de la máquina virtual. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
identity_ids | Lista de identidades de usuario asociadas al recurso. Las referencias de clave de diccionario de identidad de usuario serán identificadores de recursos de ARM con el formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | Matriz de identificadores de identidad de usuario. |
ManagedServiceIdentityUserAssignedIdentities
Nombre | Descripción | Valor |
---|---|---|
{propiedad personalizada} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Este objeto no contiene ninguna propiedad que se establezca durante la implementación. Todas las propiedades son ReadOnly.
FirewallPolicyPropertiesFormat
Nombre | Descripción | Valor |
---|---|---|
basePolicy | Directiva de firewall primaria de la que se heredan las reglas. | SubResource |
dnsSettings | Definición de configuración del proxy DNS. | DnsSettings |
explicitProxy | Definición de configuración de proxy explícita. | ExplicitProxy |
insights | Información sobre la directiva de firewall. | FirewallPolicyInsights |
intrusionDetection | Configuración de detección de intrusiones. | FirewallPolicyIntrusionDetection |
sku | SKU de directiva de firewall. | FirewallPolicySku |
Snat | Las direcciones IP privadas o los intervalos IP a los que el tráfico no será SNAT. | FirewallPolicySnat |
sql | Definición de configuración de SQL. | FirewallPolicySQL |
threatIntelMode | Modo de operación para inteligencia sobre amenazas. | "Alerta" "Denegar" "Desactivado" |
threatIntelWhitelist | Lista de permitidos de ThreatIntel para la directiva de firewall. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definición de configuración de TLS. | FirewallPolicyTransportSecurity |
SubResource
Nombre | Descripción | Value |
---|---|---|
id | Identificador del recurso. | string |
DnsSettings
Nombre | Descripción | Valor |
---|---|---|
enableProxy | Habilite el proxy DNS en firewalls conectados a la directiva de firewall. | bool |
requireProxyForNetworkRules | Se admiten FQDN en reglas de red cuando se establece en true. | bool |
servers | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nombre | Descripción | Valor |
---|---|---|
enableExplicitProxy | Cuando se establece en true, se habilita el modo proxy explícito. | bool |
enablePacFile | Cuando se establece en true, es necesario proporcionar el puerto de archivo de pac y la dirección URL. | bool |
httpPort | El número de puerto para el protocolo HTTP de proxy explícito no puede ser mayor que 64000. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | El número de puerto para el protocolo https de proxy explícito no puede ser mayor que 64000. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | DIRECCIÓN URL de SAS para el archivo PAC. | string |
pacFilePort | Número de puerto para que el firewall sirva el archivo PAC. | int Restricciones: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyInsights
Nombre | Descripción | Valor |
---|---|---|
isEnabled | Marca para indicar si la información está habilitada en la directiva. | bool |
logAnalyticsResources | Áreas de trabajo necesarias para configurar Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
retentionDays | Número de días en que se debe habilitar la información en la directiva. | int |
FirewallPolicyLogAnalyticsResources
Nombre | Descripción | Valor |
---|---|---|
defaultWorkspaceId | Identificador de área de trabajo predeterminado para Firewall Policy Insights. | SubResource |
workspaces | Lista de áreas de trabajo para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nombre | Descripción | Valor |
---|---|---|
region | Región para configurar el área de trabajo. | string |
workspaceId | Identificador del área de trabajo para Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
Nombre | Descripción | Valor |
---|---|---|
configuración | Propiedades de configuración de detección de intrusiones. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Estado general de detección de intrusiones. Cuando se adjunta a una directiva primaria, el modo IDPS efectivo del firewall es el modo más estricto de los dos. | "Alerta" "Denegar" "Desactivado" |
perfile | Nombre del perfil de IDPS. Cuando se adjunta a una directiva primaria, el perfil efectivo del firewall es el nombre del perfil de la directiva primaria. | "Advanced" "Básica" "Extendido" "Estándar" |
FirewallPolicyIntrusionDetectionConfiguration
Nombre | Descripción | Valor |
---|---|---|
bypassTrafficSettings | Lista de reglas para que se omita el tráfico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Los intervalos de direcciones IP privadas de IDPS se usan para identificar la dirección del tráfico (es decir, entrante, saliente, etc.). De manera predeterminada, solo los intervalos definidos por IANA RFC 1918 se consideran direcciones IP privadas. Para modificar los intervalos predeterminados, especifique los intervalos de direcciones IP privadas con esta propiedad. | string[] |
signatureOverrides | Lista de estados de firmas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nombre | Descripción | Valor |
---|---|---|
description | Descripción de la regla de tráfico de omisión. | string |
destinationAddresses | Lista de direcciones IP o intervalos de destino para esta regla. | string[] |
destinationIpGroups | Lista de ipgroups de destino para esta regla. | string[] |
destinationPorts | Lista de puertos o intervalos de destino. | string[] |
name | Nombre de la regla de tráfico de omisión. | string |
protocol | Protocolo de omisión de reglas. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista de direcciones IP o intervalos de origen para esta regla. | string[] |
sourceIpGroups | Lista de ipGroups de origen para esta regla. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nombre | Descripción | Value |
---|---|---|
id | Id. de firma. | string |
mode | Estado de la firma. | "Alerta" "Denegar" "Desactivado" |
FirewallPolicySku
Nombre | Descripción | Valor |
---|---|---|
Nivel: | Nivel de directiva de firewall. | "Básica" "Premium" "Estándar" |
FirewallPolicySnat
Nombre | Descripción | Valor |
---|---|---|
autoLearnPrivateRanges | Modo de operación para que los intervalos privados de aprendizaje automático no sean SNAT. | "Deshabilitado" "Habilitado" |
privateRanges | Lista de direcciones IP privadas o intervalos de direcciones IP que no deben ser SNAT. | string[] |
FirewallPolicySQL
Nombre | Descripción | Valor |
---|---|---|
allowSqlRedirect | Marca para indicar si el filtrado de tráfico de redirección de SQL está habilitado. Activar la marca no requiere ninguna regla mediante el puerto 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nombre | Descripción | Valor |
---|---|---|
Fqdn | Lista de FQDN para threatIntel Allowlist. | string[] |
ipAddresses | Lista de direcciones IP de threatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
Nombre | Descripción | Valor |
---|---|---|
certificateAuthority | Ca usada para la generación de CA intermedia. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nombre | Descripción | Valor |
---|---|---|
keyVaultSecretId | Id. de secreto del objeto "Secret" o "Certificate" almacenado en KeyVault con codificación base 64. | string |
name | Nombre del certificado de entidad de certificación. | string |