Microsoft.Network firewallPolicies
- legújabb
- 2024.03.01-
- 2024.01.01-
- 2023.11.01-
- 2023.09.01-
- 2023.06.01-
- 2023.05.01-
- 2023.04.01-
- 2023.02.01-
- 2022.11.01-
- 2022.09.01-
- 2022.07.01-
- 2022.05.01-
- 2022-01-01
- 2021.08.01-
- 2021.05.01-
- 2021.03.01-
- 2021.02.01-
- 2020.11.01-
- 2020.08.01-
- 2020.07.01-
- 2020.06.01-
- 2020.05.01-
- 2020.04.01-
- 2020.03.01-
- 2019.12.01-
- 2019.11.01-
- 2019.09.01-
- 2019.08.01-
- 2019.07.01-
- 2019.06.01-
Bicep-erőforrásdefiníció
A firewallPolicies erőforrástípus üzembe helyezhető a célműveletekkel:
- Erőforráscsoportok – Lásd erőforráscsoport üzembe helyezési parancsaival
Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.
Erőforrás formátuma
Microsoft.Network/firewallPolicies erőforrás létrehozásához adja hozzá a következő Bicep-et a sablonhoz.
resource symbolicname 'Microsoft.Network/firewallPolicies@2024-03-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Tulajdonságértékek
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Név | Leírás | Érték |
---|
DnsSettings
Név | Leírás | Érték |
---|---|---|
enableProxy | Engedélyezze a DNS-proxyt a tűzfalszabályzathoz csatolt tűzfalakon. | Bool |
requireProxyForNetworkRules | A hálózati szabályok teljes tartománynevei támogatottak, ha igaz értékre vannak állítva. | Bool |
Szerverek | Egyéni DNS-kiszolgálók listája. | sztring[] |
ExplicitProxy
Név | Leírás | Érték |
---|---|---|
enableExplicitProxy | Ha igaz értékre van állítva, a explicit proxy mód engedélyezve van. | Bool |
enablePacFile | Ha igaz értékre van állítva, meg kell adni a pac fájlportot és az URL-címet. | Bool |
httpPort | Az explicit proxy http protokolljának portszáma nem lehet nagyobb 64000-nél. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
httpsPort | Az explicit proxy https protokoll portszáma nem lehet nagyobb 64000-nél. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
pacFile | A PAC-fájl SAS URL-címe. | húr |
pacFilePort | A PAC-fájl kiszolgálására szolgáló tűzfal portszáma. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
FirewallPolicyCertificateAuthority
Név | Leírás | Érték |
---|---|---|
keyVaultSecretId | A KeyVaultban tárolt "Secret" vagy "Certificate" objektum titkos azonosítója (base-64 kódolású titkosítatlan pfx). | húr |
név | A hitelesítésszolgáltatói tanúsítvány neve. | húr |
FirewallPolicyInsights
Név | Leírás | Érték |
---|---|---|
isEnabled | Egy jelző, amely jelzi, hogy az elemzések engedélyezve vannak-e a szabályzatban. | Bool |
logAnalyticsResources | A tűzfalszabályzat-elemzések konfigurálásához szükséges munkaterületek. | FirewallPolicyLogAnalyticsResources |
retentionDays | Azon napok száma, amikor az elemzéseket engedélyezni kell a szabályzatban. | Int |
FirewallPolicyIntrusionDetection
Név | Leírás | Érték |
---|---|---|
konfiguráció | Behatolásészlelés konfigurációs tulajdonságai. | FirewallPolicyIntrusionDetectionConfiguration |
üzemmód | Behatolásészlelés általános állapota. Szülőházirendhez csatolva a tűzfal tényleges IDPS-módja a kettő szigorúbb módja. | "Riasztás" "Megtagadás" "Kikapcsolva" |
profil | IDPS-profil neve. Szülőházirendhez csatolva a tűzfal érvényes profilja a szülőházirend profilneve. | "Speciális" "Alapszintű" "Kiterjesztett" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Név | Leírás | Érték |
---|---|---|
leírás | Az elkerülő forgalmi szabály leírása. | húr |
destinationAddresses | A szabály cél IP-címeinek vagy tartományainak listája. | sztring[] |
destinationIpGroups | A szabály cél ipgroupjainak listája. | sztring[] |
destinationPorts | Célportok vagy tartományok listája. | sztring[] |
név | Az elkerülő forgalmi szabály neve. | húr |
protokoll | A szabály megkerülő protokollja. | "BÁRMELY" "ICMP" "TCP" "UDP" |
sourceAddresses | A szabály forrás IP-címeinek vagy tartományainak listája. | sztring[] |
sourceIpGroups | A szabályhoz tartozó forrás IpGroupok listája. | sztring[] |
FirewallPolicyIntrusionDetectionConfiguration
Név | Leírás | Érték |
---|---|---|
bypassTrafficSettings | Megkerülendő forgalom szabályainak listája. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Az IDPS Privát IP-címtartományok a forgalom irányának azonosítására szolgálnak (például bejövő, kimenő stb.). Alapértelmezés szerint csak az IANA RFC 1918 által meghatározott tartományok minősülnek magánhálózati IP-címeknek. Az alapértelmezett tartományok módosításához adja meg a magánhálózati IP-címtartományokat ezzel a tulajdonsággal | sztring[] |
signatureOverrides | Adott aláírási állapotok listája. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Név | Leírás | Érték |
---|---|---|
azonosító | Aláírás azonosítója. | húr |
üzemmód | Az aláírás állapota. | "Riasztás" "Megtagadás" "Kikapcsolva" |
FirewallPolicyLogAnalyticsResources
Név | Leírás | Érték |
---|---|---|
defaultWorkspaceId | A Firewall Policy Insights alapértelmezett munkaterület-azonosítója. | subResource |
munkaterületek | A Firewall Policy Insights munkaterületeinek listája. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Név | Leírás | Érték |
---|---|---|
régió | Régió a munkaterület konfigurálásához. | húr |
workspaceId | A Firewall Policy Insights munkaterület-azonosítója. | subResource |
FirewallPolicyPropertiesFormat
Név | Leírás | Érték |
---|---|---|
basePolicy | A szülő tűzfalszabályzat, amelytől a szabályok öröklődnek. | subResource |
dnsSettings | DNS-proxybeállítások definíciója. | DnsSettings |
explicitProxy | Explicit proxybeállítások definíciója. | ExplicitProxy |
Betekintést | Elemzések a tűzfalszabályzatról. | FirewallPolicyInsights |
intrusionDetection | A behatolásészlelés konfigurációja. | FirewallPolicyIntrusionDetection |
Sku | A tűzfalszabályzat termékváltozata. | FirewallPolicySku |
snat | Azok a privát IP-címek/IP-tartományok, amelyek felé a forgalom nem lesz SNAT. | FirewallPolicySnat |
SQL | SQL-beállítások definíciója. | FirewallPolicySQL |
threatIntelMode | A fenyegetésintelligencia műveleti módja. | "Riasztás" "Megtagadás" "Kikapcsolva" |
threatIntelWhitelist | A ThreatIntel engedélyezési listája tűzfalszabályzathoz. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-konfiguráció definíciója. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Név | Leírás | Érték |
---|---|---|
kötő | Tűzfalszabályzat szintje. | "Alapszintű" "Prémium" "Standard" |
FirewallPolicySnat
Név | Leírás | Érték |
---|---|---|
autoLearnPrivateRanges | A privát tartományok automatikus tanulásának műveleti módja, hogy ne legyen SNAT | "Letiltva" "Engedélyezve" |
privateRanges | Azon magánhálózati IP-címek/IP-címtartományok listája, hogy ne legyen SNAT. | sztring[] |
FirewallPolicySQL
Név | Leírás | Érték |
---|---|---|
allowSqlRedirect | Egy jelző, amely jelzi, hogy engedélyezve van-e az SQL Redirect forgalomszűrése. A jelölő bekapcsolásához nincs szükség az 11000-11999-s portot használó szabályra. | Bool |
FirewallPolicyThreatIntelWhitelist
Név | Leírás | Érték |
---|---|---|
fqdns | A ThreatIntel engedélyezési listájához tartozó teljes tartománynevek listája. | sztring[] |
ipAddresses | A ThreatIntel engedélyezési listájának IP-címeinek listája. | sztring[] |
FirewallPolicyTransportSecurity
Név | Leírás | Érték |
---|---|---|
certificateAuthority | A köztes hitelesítésszolgáltató létrehozásához használt hitelesítésszolgáltató. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
Név | Leírás | Érték |
---|---|---|
típus | Az erőforráshoz használt identitás típusa. A "SystemAssigned, UserAssigned" típus egy implicit módon létrehozott identitást és egy felhasználó által hozzárendelt identitáskészletet is tartalmaz. A "Nincs" típus eltávolít minden identitást a virtuális gépről. | "Nincs" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Az erőforráshoz társított felhasználói identitások listája. A felhasználói identitás szótárkulcs-hivatkozásai arm-erőforrás-azonosítók lesznek a következő formában: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Név | Leírás | Érték |
---|
Microsoft.Network/firewallPolicies
Név | Leírás | Érték |
---|---|---|
azonosság | A tűzfalszabályzat identitása. | ManagedServiceIdentity |
hely | Erőforrás helye. | húr |
név | Az erőforrás neve | sztring (kötelező) |
kellékek | A tűzfalszabályzat tulajdonságai. | FirewallPolicyPropertiesFormat |
Címkék | Erőforráscímkék | Címkenevek és -értékek szótára. sablonok címkéinek megtekintése |
ResourceTags
Név | Leírás | Érték |
---|
Alforrás
Név | Leírás | Érték |
---|---|---|
azonosító | Erőforrás-azonosító. | húr |
Gyorsútmutató-minták
Az alábbi gyorsútmutató-minták üzembe helyezik ezt az erőforrástípust.
Bicep-fájl | Leírás |
---|---|
Tűzfal és FirewallPolicy létrehozása szabályokkal és ipcsoportokkal | Ez a sablon egy Azure Firewall-tűzfalat helyez üzembe tűzfalszabályzattal (beleértve több alkalmazás- és hálózati szabályt is), amely ip-csoportokra hivatkozik az alkalmazás- és hálózati szabályokban. |
biztonságos virtuális központok | Ez a sablon egy biztonságos virtuális központot hoz létre az Azure Firewall használatával az internetre irányuló felhőalapú hálózati forgalom védelméhez. |
SharePoint-előfizetés / 2019/2016 teljesen konfigurált | Hozzon létre egy tartományvezérlőt, egy SQL Server 2022-et és 1-től 5-ig egy SharePoint-előfizetést / 2019/2016-os farmot futtató kiszolgáló(ka)t, amely széles körű konfigurációval rendelkezik, beleértve a megbízható hitelesítést, a személyes webhelyekkel rendelkező felhasználói profilokat, az OAuth-megbízhatóságot (tanúsítvány használatával), egy dedikált IIS-webhelyet a nagy megbízhatóságú bővítmények üzemeltetéséhez stb. A legfontosabb szoftverek legújabb verziója (beleértve a Fiddlert, a vscode-ot, az np++, a 7zip-t és az ULS Viewert) telepítve van. A SharePoint-gépek további finomhangolással azonnal használhatóvá tehetik őket (távoli felügyeleti eszközök, az Edge és a Chrome egyéni szabályzatai, billentyűparancsok stb.). |
Prémium szintű Azure Firewall- tesztelési környezete | Ez a sablon prémium szintű Azure Firewall- és tűzfalszabályzatot hoz létre olyan prémium funkciókkal, mint a behatolásvizsgálat észlelése (IDPS), a TLS-vizsgálat és a webkategória-szűrés |
Az Azure Firewall használata DNS-proxyként a küllős topológiában & küllős topológiában | Ez a minta bemutatja, hogyan helyezhet üzembe küllős topológiát az Azure-ban az Azure Firewall használatával. A központi virtuális hálózat központi kapcsolódási pontként szolgál számos küllős virtuális hálózathoz, amelyek virtuális hálózatok közötti társviszony-létesítés révén csatlakoznak a központi virtuális hálózathoz. |
ARM-sablon erőforrásdefiníciója
A firewallPolicies erőforrástípus üzembe helyezhető a célműveletekkel:
- Erőforráscsoportok – Lásd erőforráscsoport üzembe helyezési parancsaival
Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.
Erőforrás formátuma
Microsoft.Network/firewallPolicies erőforrás létrehozásához adja hozzá a következő JSON-t a sablonhoz.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2024-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Tulajdonságértékek
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Név | Leírás | Érték |
---|
DnsSettings
Név | Leírás | Érték |
---|---|---|
enableProxy | Engedélyezze a DNS-proxyt a tűzfalszabályzathoz csatolt tűzfalakon. | Bool |
requireProxyForNetworkRules | A hálózati szabályok teljes tartománynevei támogatottak, ha igaz értékre vannak állítva. | Bool |
Szerverek | Egyéni DNS-kiszolgálók listája. | sztring[] |
ExplicitProxy
Név | Leírás | Érték |
---|---|---|
enableExplicitProxy | Ha igaz értékre van állítva, a explicit proxy mód engedélyezve van. | Bool |
enablePacFile | Ha igaz értékre van állítva, meg kell adni a pac fájlportot és az URL-címet. | Bool |
httpPort | Az explicit proxy http protokolljának portszáma nem lehet nagyobb 64000-nél. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
httpsPort | Az explicit proxy https protokoll portszáma nem lehet nagyobb 64000-nél. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
pacFile | A PAC-fájl SAS URL-címe. | húr |
pacFilePort | A PAC-fájl kiszolgálására szolgáló tűzfal portszáma. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
FirewallPolicyCertificateAuthority
Név | Leírás | Érték |
---|---|---|
keyVaultSecretId | A KeyVaultban tárolt "Secret" vagy "Certificate" objektum titkos azonosítója (base-64 kódolású titkosítatlan pfx). | húr |
név | A hitelesítésszolgáltatói tanúsítvány neve. | húr |
FirewallPolicyInsights
Név | Leírás | Érték |
---|---|---|
isEnabled | Egy jelző, amely jelzi, hogy az elemzések engedélyezve vannak-e a szabályzatban. | Bool |
logAnalyticsResources | A tűzfalszabályzat-elemzések konfigurálásához szükséges munkaterületek. | FirewallPolicyLogAnalyticsResources |
retentionDays | Azon napok száma, amikor az elemzéseket engedélyezni kell a szabályzatban. | Int |
FirewallPolicyIntrusionDetection
Név | Leírás | Érték |
---|---|---|
konfiguráció | Behatolásészlelés konfigurációs tulajdonságai. | FirewallPolicyIntrusionDetectionConfiguration |
üzemmód | Behatolásészlelés általános állapota. Szülőházirendhez csatolva a tűzfal tényleges IDPS-módja a kettő szigorúbb módja. | "Riasztás" "Megtagadás" "Kikapcsolva" |
profil | IDPS-profil neve. Szülőházirendhez csatolva a tűzfal érvényes profilja a szülőházirend profilneve. | "Speciális" "Alapszintű" "Kiterjesztett" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Név | Leírás | Érték |
---|---|---|
leírás | Az elkerülő forgalmi szabály leírása. | húr |
destinationAddresses | A szabály cél IP-címeinek vagy tartományainak listája. | sztring[] |
destinationIpGroups | A szabály cél ipgroupjainak listája. | sztring[] |
destinationPorts | Célportok vagy tartományok listája. | sztring[] |
név | Az elkerülő forgalmi szabály neve. | húr |
protokoll | A szabály megkerülő protokollja. | "BÁRMELY" "ICMP" "TCP" "UDP" |
sourceAddresses | A szabály forrás IP-címeinek vagy tartományainak listája. | sztring[] |
sourceIpGroups | A szabályhoz tartozó forrás IpGroupok listája. | sztring[] |
FirewallPolicyIntrusionDetectionConfiguration
Név | Leírás | Érték |
---|---|---|
bypassTrafficSettings | Megkerülendő forgalom szabályainak listája. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Az IDPS Privát IP-címtartományok a forgalom irányának azonosítására szolgálnak (például bejövő, kimenő stb.). Alapértelmezés szerint csak az IANA RFC 1918 által meghatározott tartományok minősülnek magánhálózati IP-címeknek. Az alapértelmezett tartományok módosításához adja meg a magánhálózati IP-címtartományokat ezzel a tulajdonsággal | sztring[] |
signatureOverrides | Adott aláírási állapotok listája. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Név | Leírás | Érték |
---|---|---|
azonosító | Aláírás azonosítója. | húr |
üzemmód | Az aláírás állapota. | "Riasztás" "Megtagadás" "Kikapcsolva" |
FirewallPolicyLogAnalyticsResources
Név | Leírás | Érték |
---|---|---|
defaultWorkspaceId | A Firewall Policy Insights alapértelmezett munkaterület-azonosítója. | subResource |
munkaterületek | A Firewall Policy Insights munkaterületeinek listája. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Név | Leírás | Érték |
---|---|---|
régió | Régió a munkaterület konfigurálásához. | húr |
workspaceId | A Firewall Policy Insights munkaterület-azonosítója. | subResource |
FirewallPolicyPropertiesFormat
Név | Leírás | Érték |
---|---|---|
basePolicy | A szülő tűzfalszabályzat, amelytől a szabályok öröklődnek. | subResource |
dnsSettings | DNS-proxybeállítások definíciója. | DnsSettings |
explicitProxy | Explicit proxybeállítások definíciója. | ExplicitProxy |
Betekintést | Elemzések a tűzfalszabályzatról. | FirewallPolicyInsights |
intrusionDetection | A behatolásészlelés konfigurációja. | FirewallPolicyIntrusionDetection |
Sku | A tűzfalszabályzat termékváltozata. | FirewallPolicySku |
snat | Azok a privát IP-címek/IP-tartományok, amelyek felé a forgalom nem lesz SNAT. | FirewallPolicySnat |
SQL | SQL-beállítások definíciója. | FirewallPolicySQL |
threatIntelMode | A fenyegetésintelligencia műveleti módja. | "Riasztás" "Megtagadás" "Kikapcsolva" |
threatIntelWhitelist | A ThreatIntel engedélyezési listája tűzfalszabályzathoz. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-konfiguráció definíciója. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Név | Leírás | Érték |
---|---|---|
kötő | Tűzfalszabályzat szintje. | "Alapszintű" "Prémium" "Standard" |
FirewallPolicySnat
Név | Leírás | Érték |
---|---|---|
autoLearnPrivateRanges | A privát tartományok automatikus tanulásának műveleti módja, hogy ne legyen SNAT | "Letiltva" "Engedélyezve" |
privateRanges | Azon magánhálózati IP-címek/IP-címtartományok listája, hogy ne legyen SNAT. | sztring[] |
FirewallPolicySQL
Név | Leírás | Érték |
---|---|---|
allowSqlRedirect | Egy jelző, amely jelzi, hogy engedélyezve van-e az SQL Redirect forgalomszűrése. A jelölő bekapcsolásához nincs szükség az 11000-11999-s portot használó szabályra. | Bool |
FirewallPolicyThreatIntelWhitelist
Név | Leírás | Érték |
---|---|---|
fqdns | A ThreatIntel engedélyezési listájához tartozó teljes tartománynevek listája. | sztring[] |
ipAddresses | A ThreatIntel engedélyezési listájának IP-címeinek listája. | sztring[] |
FirewallPolicyTransportSecurity
Név | Leírás | Érték |
---|---|---|
certificateAuthority | A köztes hitelesítésszolgáltató létrehozásához használt hitelesítésszolgáltató. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
Név | Leírás | Érték |
---|---|---|
típus | Az erőforráshoz használt identitás típusa. A "SystemAssigned, UserAssigned" típus egy implicit módon létrehozott identitást és egy felhasználó által hozzárendelt identitáskészletet is tartalmaz. A "Nincs" típus eltávolít minden identitást a virtuális gépről. | "Nincs" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Az erőforráshoz társított felhasználói identitások listája. A felhasználói identitás szótárkulcs-hivatkozásai arm-erőforrás-azonosítók lesznek a következő formában: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Név | Leírás | Érték |
---|
Microsoft.Network/firewallPolicies
Név | Leírás | Érték |
---|---|---|
apiVersion | Az API verziója | '2024-03-01' |
azonosság | A tűzfalszabályzat identitása. | ManagedServiceIdentity |
hely | Erőforrás helye. | húr |
név | Az erőforrás neve | sztring (kötelező) |
kellékek | A tűzfalszabályzat tulajdonságai. | FirewallPolicyPropertiesFormat |
Címkék | Erőforráscímkék | Címkenevek és -értékek szótára. sablonok címkéinek megtekintése |
típus | Az erőforrás típusa | "Microsoft.Network/firewallPolicies" |
ResourceTags
Név | Leírás | Érték |
---|
Alforrás
Név | Leírás | Érték |
---|---|---|
azonosító | Erőforrás-azonosító. | húr |
Rövid útmutatósablonok
Az alábbi rövid útmutatósablonok üzembe helyezik ezt az erőforrástípust.
Sablon | Leírás |
---|---|
Tűzfal és FirewallPolicy létrehozása szabályokkal és ipcsoportokkal |
Ez a sablon egy Azure Firewall-tűzfalat helyez üzembe tűzfalszabályzattal (beleértve több alkalmazás- és hálózati szabályt is), amely ip-csoportokra hivatkozik az alkalmazás- és hálózati szabályokban. |
Tűzfal létrehozása FirewallPolicy és IpGroups |
Ez a sablon létrehoz egy Azure Firewall-t, amelyen a FirewalllPolicy hivatkozik az IpGroups hálózati szabályaira. Emellett linuxos Jumpbox rendszerű virtuális gépek beállítását is tartalmazza |
Tűzfal, FirewallPolicy explicit proxyval |
Ez a sablon létrehoz egy Azure Firewall- és FirewalllPolicy-t explicit proxyval és hálózati szabályokkal az IpGroups használatával. Emellett linuxos Jumpbox rendszerű virtuális gépek beállítását is tartalmazza |
Tesztkörnyezet beállítása tűzfalszabályzattal |
Ez a sablon létrehoz egy virtuális hálózatot 3 alhálózattal (kiszolgálói alhálózat, jumpbox alhálózat és AzureFirewall alhálózat), egy nyilvános IP-címmel rendelkező jumpbox virtuális gépet, egy kiszolgálói virtuális gépet, egy UDR-útvonalat, amely a kiszolgáló alhálózatához tartozó Azure Firewallra mutat, és egy 1 vagy több nyilvános IP-címmel rendelkező Azure Firewallt. Emellett létrehoz egy tűzfalszabályt 1 mintaalkalmazási szabálysal, 1 minta hálózati szabállyal és alapértelmezett privát tartományokkal |
biztonságos virtuális központok |
Ez a sablon egy biztonságos virtuális központot hoz létre az Azure Firewall használatával az internetre irányuló felhőalapú hálózati forgalom védelméhez. |
SharePoint-előfizetés / 2019/2016 teljesen konfigurált |
Hozzon létre egy tartományvezérlőt, egy SQL Server 2022-et és 1-től 5-ig egy SharePoint-előfizetést / 2019/2016-os farmot futtató kiszolgáló(ka)t, amely széles körű konfigurációval rendelkezik, beleértve a megbízható hitelesítést, a személyes webhelyekkel rendelkező felhasználói profilokat, az OAuth-megbízhatóságot (tanúsítvány használatával), egy dedikált IIS-webhelyet a nagy megbízhatóságú bővítmények üzemeltetéséhez stb. A legfontosabb szoftverek legújabb verziója (beleértve a Fiddlert, a vscode-ot, az np++, a 7zip-t és az ULS Viewert) telepítve van. A SharePoint-gépek további finomhangolással azonnal használhatóvá tehetik őket (távoli felügyeleti eszközök, az Edge és a Chrome egyéni szabályzatai, billentyűparancsok stb.). |
Prémium szintű Azure Firewall- tesztelési környezete |
Ez a sablon prémium szintű Azure Firewall- és tűzfalszabályzatot hoz létre olyan prémium funkciókkal, mint a behatolásvizsgálat észlelése (IDPS), a TLS-vizsgálat és a webkategória-szűrés |
Az Azure Firewall használata DNS-proxyként a küllős topológiában & küllős topológiában |
Ez a minta bemutatja, hogyan helyezhet üzembe küllős topológiát az Azure-ban az Azure Firewall használatával. A központi virtuális hálózat központi kapcsolódási pontként szolgál számos küllős virtuális hálózathoz, amelyek virtuális hálózatok közötti társviszony-létesítés révén csatlakoznak a központi virtuális hálózathoz. |
Terraform (AzAPI-szolgáltató) erőforrásdefiníciója
A firewallPolicies erőforrástípus üzembe helyezhető a célműveletekkel:
- erőforráscsoportok
Az egyes API-verziók módosított tulajdonságainak listáját a változásnaplócímű témakörben találja.
Erőforrás formátuma
Microsoft.Network/firewallPolicies erőforrás létrehozásához adja hozzá a következő Terraformot a sablonhoz.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2024-03-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
tags = {
{customized property} = "string"
}
}
Tulajdonságértékek
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Név | Leírás | Érték |
---|
DnsSettings
Név | Leírás | Érték |
---|---|---|
enableProxy | Engedélyezze a DNS-proxyt a tűzfalszabályzathoz csatolt tűzfalakon. | Bool |
requireProxyForNetworkRules | A hálózati szabályok teljes tartománynevei támogatottak, ha igaz értékre vannak állítva. | Bool |
Szerverek | Egyéni DNS-kiszolgálók listája. | sztring[] |
ExplicitProxy
Név | Leírás | Érték |
---|---|---|
enableExplicitProxy | Ha igaz értékre van állítva, a explicit proxy mód engedélyezve van. | Bool |
enablePacFile | Ha igaz értékre van állítva, meg kell adni a pac fájlportot és az URL-címet. | Bool |
httpPort | Az explicit proxy http protokolljának portszáma nem lehet nagyobb 64000-nél. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
httpsPort | Az explicit proxy https protokoll portszáma nem lehet nagyobb 64000-nél. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
pacFile | A PAC-fájl SAS URL-címe. | húr |
pacFilePort | A PAC-fájl kiszolgálására szolgáló tűzfal portszáma. | Int Korlátok: Minimális érték = 0 Maximális érték = 64000 |
FirewallPolicyCertificateAuthority
Név | Leírás | Érték |
---|---|---|
keyVaultSecretId | A KeyVaultban tárolt "Secret" vagy "Certificate" objektum titkos azonosítója (base-64 kódolású titkosítatlan pfx). | húr |
név | A hitelesítésszolgáltatói tanúsítvány neve. | húr |
FirewallPolicyInsights
Név | Leírás | Érték |
---|---|---|
isEnabled | Egy jelző, amely jelzi, hogy az elemzések engedélyezve vannak-e a szabályzatban. | Bool |
logAnalyticsResources | A tűzfalszabályzat-elemzések konfigurálásához szükséges munkaterületek. | FirewallPolicyLogAnalyticsResources |
retentionDays | Azon napok száma, amikor az elemzéseket engedélyezni kell a szabályzatban. | Int |
FirewallPolicyIntrusionDetection
Név | Leírás | Érték |
---|---|---|
konfiguráció | Behatolásészlelés konfigurációs tulajdonságai. | FirewallPolicyIntrusionDetectionConfiguration |
üzemmód | Behatolásészlelés általános állapota. Szülőházirendhez csatolva a tűzfal tényleges IDPS-módja a kettő szigorúbb módja. | "Riasztás" "Megtagadás" "Kikapcsolva" |
profil | IDPS-profil neve. Szülőházirendhez csatolva a tűzfal érvényes profilja a szülőházirend profilneve. | "Speciális" "Alapszintű" "Kiterjesztett" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Név | Leírás | Érték |
---|---|---|
leírás | Az elkerülő forgalmi szabály leírása. | húr |
destinationAddresses | A szabály cél IP-címeinek vagy tartományainak listája. | sztring[] |
destinationIpGroups | A szabály cél ipgroupjainak listája. | sztring[] |
destinationPorts | Célportok vagy tartományok listája. | sztring[] |
név | Az elkerülő forgalmi szabály neve. | húr |
protokoll | A szabály megkerülő protokollja. | "BÁRMELY" "ICMP" "TCP" "UDP" |
sourceAddresses | A szabály forrás IP-címeinek vagy tartományainak listája. | sztring[] |
sourceIpGroups | A szabályhoz tartozó forrás IpGroupok listája. | sztring[] |
FirewallPolicyIntrusionDetectionConfiguration
Név | Leírás | Érték |
---|---|---|
bypassTrafficSettings | Megkerülendő forgalom szabályainak listája. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Az IDPS Privát IP-címtartományok a forgalom irányának azonosítására szolgálnak (például bejövő, kimenő stb.). Alapértelmezés szerint csak az IANA RFC 1918 által meghatározott tartományok minősülnek magánhálózati IP-címeknek. Az alapértelmezett tartományok módosításához adja meg a magánhálózati IP-címtartományokat ezzel a tulajdonsággal | sztring[] |
signatureOverrides | Adott aláírási állapotok listája. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Név | Leírás | Érték |
---|---|---|
azonosító | Aláírás azonosítója. | húr |
üzemmód | Az aláírás állapota. | "Riasztás" "Megtagadás" "Kikapcsolva" |
FirewallPolicyLogAnalyticsResources
Név | Leírás | Érték |
---|---|---|
defaultWorkspaceId | A Firewall Policy Insights alapértelmezett munkaterület-azonosítója. | subResource |
munkaterületek | A Firewall Policy Insights munkaterületeinek listája. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Név | Leírás | Érték |
---|---|---|
régió | Régió a munkaterület konfigurálásához. | húr |
workspaceId | A Firewall Policy Insights munkaterület-azonosítója. | subResource |
FirewallPolicyPropertiesFormat
Név | Leírás | Érték |
---|---|---|
basePolicy | A szülő tűzfalszabályzat, amelytől a szabályok öröklődnek. | subResource |
dnsSettings | DNS-proxybeállítások definíciója. | DnsSettings |
explicitProxy | Explicit proxybeállítások definíciója. | ExplicitProxy |
Betekintést | Elemzések a tűzfalszabályzatról. | FirewallPolicyInsights |
intrusionDetection | A behatolásészlelés konfigurációja. | FirewallPolicyIntrusionDetection |
Sku | A tűzfalszabályzat termékváltozata. | FirewallPolicySku |
snat | Azok a privát IP-címek/IP-tartományok, amelyek felé a forgalom nem lesz SNAT. | FirewallPolicySnat |
SQL | SQL-beállítások definíciója. | FirewallPolicySQL |
threatIntelMode | A fenyegetésintelligencia műveleti módja. | "Riasztás" "Megtagadás" "Kikapcsolva" |
threatIntelWhitelist | A ThreatIntel engedélyezési listája tűzfalszabályzathoz. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-konfiguráció definíciója. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Név | Leírás | Érték |
---|---|---|
kötő | Tűzfalszabályzat szintje. | "Alapszintű" "Prémium" "Standard" |
FirewallPolicySnat
Név | Leírás | Érték |
---|---|---|
autoLearnPrivateRanges | A privát tartományok automatikus tanulásának műveleti módja, hogy ne legyen SNAT | "Letiltva" "Engedélyezve" |
privateRanges | Azon magánhálózati IP-címek/IP-címtartományok listája, hogy ne legyen SNAT. | sztring[] |
FirewallPolicySQL
Név | Leírás | Érték |
---|---|---|
allowSqlRedirect | Egy jelző, amely jelzi, hogy engedélyezve van-e az SQL Redirect forgalomszűrése. A jelölő bekapcsolásához nincs szükség az 11000-11999-s portot használó szabályra. | Bool |
FirewallPolicyThreatIntelWhitelist
Név | Leírás | Érték |
---|---|---|
fqdns | A ThreatIntel engedélyezési listájához tartozó teljes tartománynevek listája. | sztring[] |
ipAddresses | A ThreatIntel engedélyezési listájának IP-címeinek listája. | sztring[] |
FirewallPolicyTransportSecurity
Név | Leírás | Érték |
---|---|---|
certificateAuthority | A köztes hitelesítésszolgáltató létrehozásához használt hitelesítésszolgáltató. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
Név | Leírás | Érték |
---|---|---|
típus | Az erőforráshoz használt identitás típusa. A "SystemAssigned, UserAssigned" típus egy implicit módon létrehozott identitást és egy felhasználó által hozzárendelt identitáskészletet is tartalmaz. A "Nincs" típus eltávolít minden identitást a virtuális gépről. | "Nincs" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Az erőforráshoz társított felhasználói identitások listája. A felhasználói identitás szótárkulcs-hivatkozásai arm-erőforrás-azonosítók lesznek a következő formában: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Név | Leírás | Érték |
---|
Microsoft.Network/firewallPolicies
Név | Leírás | Érték |
---|---|---|
azonosság | A tűzfalszabályzat identitása. | ManagedServiceIdentity |
hely | Erőforrás helye. | húr |
név | Az erőforrás neve | sztring (kötelező) |
kellékek | A tűzfalszabályzat tulajdonságai. | FirewallPolicyPropertiesFormat |
Címkék | Erőforráscímkék | Címkenevek és -értékek szótára. |
típus | Az erőforrás típusa | "Microsoft.Network/firewallPolicies@2024-03-01" |
ResourceTags
Név | Leírás | Érték |
---|
Alforrás
Név | Leírás | Érték |
---|---|---|
azonosító | Erőforrás-azonosító. | húr |