Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
- più recenti
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 01-01-2022
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Definizione di risorsa Bicep
Il tipo di risorsa firewallPolicies può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.Network/firewallPolicies, aggiungere il bicep seguente al modello.
resource symbolicname 'Microsoft.Network/firewallPolicies@2024-01-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Valori delle proprietà
Microsoft.Network/firewallPolicies
| Nome | Descrizione | Valore |
|---|---|---|
| identità | Identità dei criteri firewall. | ManagedServiceIdentity |
| ubicazione | Percorso della risorsa. | corda |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà dei criteri del firewall. | FirewallPolicyPropertiesFormat |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. Vedere tag nei modelli |
Componenti1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nome | Descrizione | Valore |
|---|
Impostazioni DNS
| Nome | Descrizione | Valore |
|---|---|---|
| enableProxy | Abilitare il proxy DNS nei firewall collegati ai criteri firewall. | Bool |
| requireProxyForNetworkRules | I nomi di dominio completi nelle regole di rete sono supportati quando è impostato su true. | Bool |
| Server | Elenco di server DNS personalizzati. | stringa[] |
ExplicitProxy
| Nome | Descrizione | Valore |
|---|---|---|
| enableExplicitProxy | Se impostato su true, la modalità proxy esplicita è abilitata. | Bool |
| enablePacFile | Se impostato su true, è necessario specificare la porta e l'URL del file PAC. | Bool |
| Porta http | Il numero di porta per il protocollo HTTP proxy esplicito non può essere maggiore di 64000. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| Porta https | Il numero di porta per il protocollo https proxy esplicito non può essere maggiore di 64000. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| pacFile | URL di firma di accesso condiviso per il file PAC. | corda |
| pacFilePort | Numero di porta per il firewall per la gestione del file PAC. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
FirewallPolicyCertificateAuthority
| Nome | Descrizione | Valore |
|---|---|---|
| keyVaultSecretId | ID segreto di (pfx con codifica base 64) 'Secret' o 'Certificate' oggetto archiviato in KeyVault. | corda |
| nome | Nome del certificato della CA. | corda |
FirewallPolicyInsights
| Nome | Descrizione | Valore |
|---|---|---|
| èAbilitato | Flag per indicare se le informazioni dettagliate sono abilitate nei criteri. | Bool |
| logAnalyticsRisorse | Aree di lavoro necessarie per configurare Informazioni dettagliate sui criteri del firewall. | FirewallPolicyLogAnalyticsResources |
| giorni di ritenzione | Numero di giorni in cui le informazioni dettagliate devono essere abilitate nei criteri. | Int |
FirewallPolicyIntrusionDetection
| Nome | Descrizione | Valore |
|---|---|---|
| configurazione | Proprietà di configurazione del rilevamento delle intrusioni. | FirewallPolicyIntrusionDetectionConfiguration |
| modo | Stato generale di rilevamento delle intrusioni. Se collegato a un criterio padre, la modalità IDPS effettiva del firewall è la modalità più restrittiva dei due. | 'Allerta' 'Negare' 'Spento' |
| profilo | Nome del profilo IDPS. Se associato a un criterio padre, il profilo effettivo del firewall è il nome del profilo dei criteri padre. | 'Avanzate' 'Di base' 'Esteso' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nome | Descrizione | Valore |
|---|---|---|
| descrizione | Descrizione della regola di bypass del traffico. | corda |
| indirizzi di destinazione | Elenco di indirizzi IP o intervalli di destinazione per questa regola. | stringa[] |
| destinationIpGroups | Elenco di IpGroup di destinazione per questa regola. | stringa[] |
| destinationPorts | Elenco di porte o intervalli di destinazione. | stringa[] |
| nome | Nome della regola di bypass del traffico. | corda |
| protocollo | Protocollo di bypass della regola. | 'QUALSIASI' «ICMP» 'TCP' 'UDP' |
| indirizzi di origine | Elenco di indirizzi IP o intervalli di origine per questa regola. | stringa[] |
| sourceIpGroups | Elenco di ipgroup di origine per questa regola. | stringa[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrizione | Valore |
|---|---|---|
| bypassTrafficSettings | Elenco di regole per il bypass del traffico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Gli intervalli di indirizzi IP privati IDPS vengono usati per identificare la direzione del traffico, ad esempio in ingresso, in uscita e così via. Per impostazione predefinita, solo gli intervalli definiti da IANA RFC 1918 sono considerati indirizzi IP privati. Per modificare gli intervalli predefiniti, specificare gli intervalli di indirizzi IP privati con questa proprietà | stringa[] |
| Sostituzione della firma | Elenco di stati di firme specifiche. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID firma. | corda |
| modo | Stato della firma. | 'Allerta' 'Negare' 'Spento' |
FirewallPolicyLogAnalyticsResources
| Nome | Descrizione | Valore |
|---|---|---|
| defaultWorkspaceId | ID dell'area di lavoro predefinito per Informazioni dettagliate sui criteri firewall. | SubResource |
| aree di lavoro | Elenco di aree di lavoro per Informazioni dettagliate sui criteri firewall. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrizione | Valore |
|---|---|---|
| regione | Area per configurare l'area di lavoro. | corda |
| ID dello spazio di lavoro | ID dell'area di lavoro per Informazioni dettagliate sui criteri firewall. | SubResource |
FirewallPolicyPropertiesFormat
| Nome | Descrizione | Valore |
|---|---|---|
| Politica di base | Criteri del firewall padre da cui vengono ereditate le regole. | SubResource |
| Impostazioni dns | Definizione delle impostazioni proxy DNS. | Impostazioni DNS |
| explicitProxy | Definizione esplicita delle impostazioni proxy. | explicitProxy |
| Intuizioni | Informazioni dettagliate sui criteri firewall. | FirewallPolicyInsights |
| intrusionDetection | Configurazione per il rilevamento delle intrusioni. | FirewallPolicyIntrusionDetection |
| Sku | SKU dei criteri del firewall. | FirewallPolicySku |
| rullante | Gli indirizzi IP privati/intervalli IP a cui il traffico non sarà SNAT. | FirewallPolicySnat |
| SQL | Definizione delle impostazioni SQL. | FirewallPolicySQL |
| minacciaIntelMode | Modalità operativa per Intelligence per le minacce. | 'Allerta' 'Negare' 'Spento' |
| minacciaIntelWhitelist | ThreatIntel Whitelist per i criteri firewall. | FirewallPolicyThreatIntelWhitelist |
| da trasportoSicurezza | Definizione di configurazione TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nome | Descrizione | Valore |
|---|---|---|
| livello | Livello dei criteri firewall. | 'Di base' 'Premium' 'Standard' |
FirewallPolicySnat
| Nome | Descrizione | Valore |
|---|---|---|
| autoLearnPrivateRanges | Modalità operativa per l'apprendimento automatico di intervalli privati che non siano SNAT | 'Disabilitato' 'Abilitato' |
| privateRanges | Elenco di indirizzi IP privati/intervalli di indirizzi IP che non devono essere SNAT. | stringa[] |
FirewallPolicySQL
| Nome | Descrizione | Valore |
|---|---|---|
| allowSqlReindirizzamento | Flag per indicare se il filtro del traffico di reindirizzamento SQL è abilitato. L'attivazione del flag non richiede alcuna regola usando la porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrizione | Valore |
|---|---|---|
| FQDNS | Elenco di nomi di dominio completi per l'elenco elementi consentiti ThreatIntel. | stringa[] |
| Indirizzi ip | Elenco di indirizzi IP per l'elenco elementi consentiti threatIntel. | stringa[] |
FirewallPolicyTransportSecurity
| Nome | Descrizione | Valore |
|---|---|---|
| certificateAuthority | Ca usata per la generazione intermedia della CA. | FirewallPolicyCertificateAuthority |
Identità dei Servizi Gestiti
| Nome | Descrizione | Valore |
|---|---|---|
| digitare | Tipo di identità usata per la risorsa. Il tipo 'SystemAssigned, UserAssigned' include sia un'identità creata in modo implicito che un set di identità assegnate dall'utente. Il tipo 'None' rimuoverà le identità dalla macchina virtuale. | 'Nessuno' 'Assegnato dal sistema' 'SystemAssigned, UserAssigned' 'Assegnato dall'utente' |
| userAssignedIdentities | Elenco delle identità utente associate alla risorsa. I riferimenti alla chiave del dizionario delle identità utente saranno id risorsa ARM nel formato :'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nome | Descrizione | Valore |
|---|
Etichette delle risorse
| Nome | Descrizione | Valore |
|---|
Sottorisorsa
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID risorsa. | corda |
Esempi di utilizzo
Moduli verificati di Azure
Per distribuire questo tipo di risorsa, è possibile usare moduli verificati di Azure.
| Modulo | Descrizione |
|---|---|
| criteri firewall | Modulo di risorse AVM per i criteri del firewall |
Esempi di avvio rapido di Azure
I modelli di avvio rapido di Azure seguenti contengono esempi Bicep per la distribuzione di questo tipo di risorsa.
| File bicipite | Descrizione |
|---|---|
| Creare un firewall e un firewallpolicy con regole e ipgroup | Questo modello distribuisce un firewall di Azure con criteri firewall (incluse più applicazioni e regole di rete) che fanno riferimento a gruppi IP nelle regole di applicazione e di rete. |
| hub virtuali protetti | Questo modello crea un hub virtuale protetto usando Firewall di Azure per proteggere il traffico di rete cloud destinato a Internet. |
| ambiente di test di per i Premium di Firewall di Azure | Questo modello crea criteri firewall e premium di Firewall di Azure con funzionalità premium, ad esempio il rilevamento delle intrusioni (IDPS), l'ispezione TLS e il filtro delle categorie Web |
| Usare Firewall di Azure come proxy DNS in una topologia hub & spoke | Questo esempio illustra come distribuire una topologia hub-spoke in Azure usando Firewall di Azure. La rete virtuale hub funge da punto centrale di connettività a molte reti virtuali spoke connesse alla rete virtuale hub tramite peering di rete virtuale. |
Definizione di risorsa del modello di Resource Manager
Il tipo di risorsa firewallPolicies può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.Network/firewallPolicies, aggiungere il codice JSON seguente al modello.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2024-01-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Valori delle proprietà
Microsoft.Network/firewallPolicies
| Nome | Descrizione | Valore |
|---|---|---|
| versione dell'API | Versione dell'API | '2024-01-01' |
| identità | Identità dei criteri firewall. | ManagedServiceIdentity |
| ubicazione | Percorso della risorsa. | corda |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà dei criteri del firewall. | FirewallPolicyPropertiesFormat |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. Vedere tag nei modelli |
| digitare | Tipo di risorsa | 'Microsoft.Network/firewallPolicies' |
Componenti1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nome | Descrizione | Valore |
|---|
Impostazioni DNS
| Nome | Descrizione | Valore |
|---|---|---|
| enableProxy | Abilitare il proxy DNS nei firewall collegati ai criteri firewall. | Bool |
| requireProxyForNetworkRules | I nomi di dominio completi nelle regole di rete sono supportati quando è impostato su true. | Bool |
| Server | Elenco di server DNS personalizzati. | stringa[] |
ExplicitProxy
| Nome | Descrizione | Valore |
|---|---|---|
| enableExplicitProxy | Se impostato su true, la modalità proxy esplicita è abilitata. | Bool |
| enablePacFile | Se impostato su true, è necessario specificare la porta e l'URL del file PAC. | Bool |
| Porta http | Il numero di porta per il protocollo HTTP proxy esplicito non può essere maggiore di 64000. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| Porta https | Il numero di porta per il protocollo https proxy esplicito non può essere maggiore di 64000. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| pacFile | URL di firma di accesso condiviso per il file PAC. | corda |
| pacFilePort | Numero di porta per il firewall per la gestione del file PAC. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
FirewallPolicyCertificateAuthority
| Nome | Descrizione | Valore |
|---|---|---|
| keyVaultSecretId | ID segreto di (pfx con codifica base 64) 'Secret' o 'Certificate' oggetto archiviato in KeyVault. | corda |
| nome | Nome del certificato della CA. | corda |
FirewallPolicyInsights
| Nome | Descrizione | Valore |
|---|---|---|
| èAbilitato | Flag per indicare se le informazioni dettagliate sono abilitate nei criteri. | Bool |
| logAnalyticsRisorse | Aree di lavoro necessarie per configurare Informazioni dettagliate sui criteri del firewall. | FirewallPolicyLogAnalyticsResources |
| giorni di ritenzione | Numero di giorni in cui le informazioni dettagliate devono essere abilitate nei criteri. | Int |
FirewallPolicyIntrusionDetection
| Nome | Descrizione | Valore |
|---|---|---|
| configurazione | Proprietà di configurazione del rilevamento delle intrusioni. | FirewallPolicyIntrusionDetectionConfiguration |
| modo | Stato generale di rilevamento delle intrusioni. Se collegato a un criterio padre, la modalità IDPS effettiva del firewall è la modalità più restrittiva dei due. | 'Allerta' 'Negare' 'Spento' |
| profilo | Nome del profilo IDPS. Se associato a un criterio padre, il profilo effettivo del firewall è il nome del profilo dei criteri padre. | 'Avanzate' 'Di base' 'Esteso' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nome | Descrizione | Valore |
|---|---|---|
| descrizione | Descrizione della regola di bypass del traffico. | corda |
| indirizzi di destinazione | Elenco di indirizzi IP o intervalli di destinazione per questa regola. | stringa[] |
| destinationIpGroups | Elenco di IpGroup di destinazione per questa regola. | stringa[] |
| destinationPorts | Elenco di porte o intervalli di destinazione. | stringa[] |
| nome | Nome della regola di bypass del traffico. | corda |
| protocollo | Protocollo di bypass della regola. | 'QUALSIASI' «ICMP» 'TCP' 'UDP' |
| indirizzi di origine | Elenco di indirizzi IP o intervalli di origine per questa regola. | stringa[] |
| sourceIpGroups | Elenco di ipgroup di origine per questa regola. | stringa[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrizione | Valore |
|---|---|---|
| bypassTrafficSettings | Elenco di regole per il bypass del traffico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Gli intervalli di indirizzi IP privati IDPS vengono usati per identificare la direzione del traffico, ad esempio in ingresso, in uscita e così via. Per impostazione predefinita, solo gli intervalli definiti da IANA RFC 1918 sono considerati indirizzi IP privati. Per modificare gli intervalli predefiniti, specificare gli intervalli di indirizzi IP privati con questa proprietà | stringa[] |
| Sostituzione della firma | Elenco di stati di firme specifiche. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID firma. | corda |
| modo | Stato della firma. | 'Allerta' 'Negare' 'Spento' |
FirewallPolicyLogAnalyticsResources
| Nome | Descrizione | Valore |
|---|---|---|
| defaultWorkspaceId | ID dell'area di lavoro predefinito per Informazioni dettagliate sui criteri firewall. | SubResource |
| aree di lavoro | Elenco di aree di lavoro per Informazioni dettagliate sui criteri firewall. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrizione | Valore |
|---|---|---|
| regione | Area per configurare l'area di lavoro. | corda |
| ID dello spazio di lavoro | ID dell'area di lavoro per Informazioni dettagliate sui criteri firewall. | SubResource |
FirewallPolicyPropertiesFormat
| Nome | Descrizione | Valore |
|---|---|---|
| Politica di base | Criteri del firewall padre da cui vengono ereditate le regole. | SubResource |
| Impostazioni dns | Definizione delle impostazioni proxy DNS. | Impostazioni DNS |
| explicitProxy | Definizione esplicita delle impostazioni proxy. | explicitProxy |
| Intuizioni | Informazioni dettagliate sui criteri firewall. | FirewallPolicyInsights |
| intrusionDetection | Configurazione per il rilevamento delle intrusioni. | FirewallPolicyIntrusionDetection |
| Sku | SKU dei criteri del firewall. | FirewallPolicySku |
| rullante | Gli indirizzi IP privati/intervalli IP a cui il traffico non sarà SNAT. | FirewallPolicySnat |
| SQL | Definizione delle impostazioni SQL. | FirewallPolicySQL |
| minacciaIntelMode | Modalità operativa per Intelligence per le minacce. | 'Allerta' 'Negare' 'Spento' |
| minacciaIntelWhitelist | ThreatIntel Whitelist per i criteri firewall. | FirewallPolicyThreatIntelWhitelist |
| da trasportoSicurezza | Definizione di configurazione TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nome | Descrizione | Valore |
|---|---|---|
| livello | Livello dei criteri firewall. | 'Di base' 'Premium' 'Standard' |
FirewallPolicySnat
| Nome | Descrizione | Valore |
|---|---|---|
| autoLearnPrivateRanges | Modalità operativa per l'apprendimento automatico di intervalli privati che non siano SNAT | 'Disabilitato' 'Abilitato' |
| privateRanges | Elenco di indirizzi IP privati/intervalli di indirizzi IP che non devono essere SNAT. | stringa[] |
FirewallPolicySQL
| Nome | Descrizione | Valore |
|---|---|---|
| allowSqlReindirizzamento | Flag per indicare se il filtro del traffico di reindirizzamento SQL è abilitato. L'attivazione del flag non richiede alcuna regola usando la porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrizione | Valore |
|---|---|---|
| FQDNS | Elenco di nomi di dominio completi per l'elenco elementi consentiti ThreatIntel. | stringa[] |
| Indirizzi ip | Elenco di indirizzi IP per l'elenco elementi consentiti threatIntel. | stringa[] |
FirewallPolicyTransportSecurity
| Nome | Descrizione | Valore |
|---|---|---|
| certificateAuthority | Ca usata per la generazione intermedia della CA. | FirewallPolicyCertificateAuthority |
Identità dei Servizi Gestiti
| Nome | Descrizione | Valore |
|---|---|---|
| digitare | Tipo di identità usata per la risorsa. Il tipo 'SystemAssigned, UserAssigned' include sia un'identità creata in modo implicito che un set di identità assegnate dall'utente. Il tipo 'None' rimuoverà le identità dalla macchina virtuale. | 'Nessuno' 'Assegnato dal sistema' 'SystemAssigned, UserAssigned' 'Assegnato dall'utente' |
| userAssignedIdentities | Elenco delle identità utente associate alla risorsa. I riferimenti alla chiave del dizionario delle identità utente saranno id risorsa ARM nel formato :'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nome | Descrizione | Valore |
|---|
Etichette delle risorse
| Nome | Descrizione | Valore |
|---|
Sottorisorsa
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID risorsa. | corda |
Esempi di utilizzo
Modelli di avvio rapido di Azure
I modelli di avvio rapido di Azure seguenti distribuire questo tipo di risorsa.
| Sagoma | Descrizione |
|---|---|
Creare un firewall e un firewallpolicy con regole e ipgroup
|
Questo modello distribuisce un firewall di Azure con criteri firewall (incluse più applicazioni e regole di rete) che fanno riferimento a gruppi IP nelle regole di applicazione e di rete. |
|
Creare un firewall con FirewallPolicy e IpGroups
|
Questo modello crea un firewall di Azure con FirewalllPolicy che fa riferimento alle regole di rete con IpGroups. Include anche la configurazione di una macchina virtuale Jumpbox Linux |
|
Creare un firewall, FirewallPolicy con proxy esplicito
|
Questo modello crea un firewall di Azure, FirewalllPolicy con proxy esplicito e regole di rete con IpGroups. Include anche la configurazione di una macchina virtuale Jumpbox Linux |
|
Creare una configurazione sandbox con i criteri firewall
|
Questo modello crea una rete virtuale con 3 subnet (subnet del server, jumpbox subet e subnet AzureFirewall), una macchina virtuale jumpbox con indirizzo IP pubblico, una macchina virtuale del server, una route UDR per puntare a Firewall di Azure per la subnet del server e un firewall di Azure con 1 o più indirizzi IP pubblici. Crea anche un criterio firewall con 1 regola dell'applicazione di esempio, 1 regola di rete di esempio e intervalli privati predefiniti |
|
hub virtuali protetti
|
Questo modello crea un hub virtuale protetto usando Firewall di Azure per proteggere il traffico di rete cloud destinato a Internet. |
| ambiente di test di per i Premium di Firewall di Azure
|
Questo modello crea criteri firewall e premium di Firewall di Azure con funzionalità premium, ad esempio il rilevamento delle intrusioni (IDPS), l'ispezione TLS e il filtro delle categorie Web |
|
Usare Firewall di Azure come proxy DNS in una topologia hub & spoke
|
Questo esempio illustra come distribuire una topologia hub-spoke in Azure usando Firewall di Azure. La rete virtuale hub funge da punto centrale di connettività a molte reti virtuali spoke connesse alla rete virtuale hub tramite peering di rete virtuale. |
Definizione di risorsa Terraform (provider AzAPI)
Il tipo di risorsa firewallPolicies può essere distribuito con operazioni destinate a:
- gruppi di risorse
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato risorsa
Per creare una risorsa Microsoft.Network/firewallPolicies, aggiungere il comando Terraform seguente al modello.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2024-01-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
Valori delle proprietà
Microsoft.Network/firewallPolicies
| Nome | Descrizione | Valore |
|---|---|---|
| identità | Identità dei criteri firewall. | ManagedServiceIdentity |
| ubicazione | Percorso della risorsa. | corda |
| nome | Nome della risorsa | stringa (obbligatorio) |
| proprietà | Proprietà dei criteri del firewall. | FirewallPolicyPropertiesFormat |
| Tag | Tag delle risorse | Dizionario di nomi e valori di tag. |
| digitare | Tipo di risorsa | "Microsoft.Network/firewallPolicies@2024-01-01" |
Componenti1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nome | Descrizione | Valore |
|---|
Impostazioni DNS
| Nome | Descrizione | Valore |
|---|---|---|
| enableProxy | Abilitare il proxy DNS nei firewall collegati ai criteri firewall. | Bool |
| requireProxyForNetworkRules | I nomi di dominio completi nelle regole di rete sono supportati quando è impostato su true. | Bool |
| Server | Elenco di server DNS personalizzati. | stringa[] |
ExplicitProxy
| Nome | Descrizione | Valore |
|---|---|---|
| enableExplicitProxy | Se impostato su true, la modalità proxy esplicita è abilitata. | Bool |
| enablePacFile | Se impostato su true, è necessario specificare la porta e l'URL del file PAC. | Bool |
| Porta http | Il numero di porta per il protocollo HTTP proxy esplicito non può essere maggiore di 64000. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| Porta https | Il numero di porta per il protocollo https proxy esplicito non può essere maggiore di 64000. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| pacFile | URL di firma di accesso condiviso per il file PAC. | corda |
| pacFilePort | Numero di porta per il firewall per la gestione del file PAC. | Int Vincoli: Valore minimo = 0 Valore massimo = 64000 |
FirewallPolicyCertificateAuthority
| Nome | Descrizione | Valore |
|---|---|---|
| keyVaultSecretId | ID segreto di (pfx con codifica base 64) 'Secret' o 'Certificate' oggetto archiviato in KeyVault. | corda |
| nome | Nome del certificato della CA. | corda |
FirewallPolicyInsights
| Nome | Descrizione | Valore |
|---|---|---|
| èAbilitato | Flag per indicare se le informazioni dettagliate sono abilitate nei criteri. | Bool |
| logAnalyticsRisorse | Aree di lavoro necessarie per configurare Informazioni dettagliate sui criteri del firewall. | FirewallPolicyLogAnalyticsResources |
| giorni di ritenzione | Numero di giorni in cui le informazioni dettagliate devono essere abilitate nei criteri. | Int |
FirewallPolicyIntrusionDetection
| Nome | Descrizione | Valore |
|---|---|---|
| configurazione | Proprietà di configurazione del rilevamento delle intrusioni. | FirewallPolicyIntrusionDetectionConfiguration |
| modo | Stato generale di rilevamento delle intrusioni. Se collegato a un criterio padre, la modalità IDPS effettiva del firewall è la modalità più restrittiva dei due. | 'Allerta' 'Negare' 'Spento' |
| profilo | Nome del profilo IDPS. Se associato a un criterio padre, il profilo effettivo del firewall è il nome del profilo dei criteri padre. | 'Avanzate' 'Di base' 'Esteso' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nome | Descrizione | Valore |
|---|---|---|
| descrizione | Descrizione della regola di bypass del traffico. | corda |
| indirizzi di destinazione | Elenco di indirizzi IP o intervalli di destinazione per questa regola. | stringa[] |
| destinationIpGroups | Elenco di IpGroup di destinazione per questa regola. | stringa[] |
| destinationPorts | Elenco di porte o intervalli di destinazione. | stringa[] |
| nome | Nome della regola di bypass del traffico. | corda |
| protocollo | Protocollo di bypass della regola. | 'QUALSIASI' «ICMP» 'TCP' 'UDP' |
| indirizzi di origine | Elenco di indirizzi IP o intervalli di origine per questa regola. | stringa[] |
| sourceIpGroups | Elenco di ipgroup di origine per questa regola. | stringa[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrizione | Valore |
|---|---|---|
| bypassTrafficSettings | Elenco di regole per il bypass del traffico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Gli intervalli di indirizzi IP privati IDPS vengono usati per identificare la direzione del traffico, ad esempio in ingresso, in uscita e così via. Per impostazione predefinita, solo gli intervalli definiti da IANA RFC 1918 sono considerati indirizzi IP privati. Per modificare gli intervalli predefiniti, specificare gli intervalli di indirizzi IP privati con questa proprietà | stringa[] |
| Sostituzione della firma | Elenco di stati di firme specifiche. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID firma. | corda |
| modo | Stato della firma. | 'Allerta' 'Negare' 'Spento' |
FirewallPolicyLogAnalyticsResources
| Nome | Descrizione | Valore |
|---|---|---|
| defaultWorkspaceId | ID dell'area di lavoro predefinito per Informazioni dettagliate sui criteri firewall. | SubResource |
| aree di lavoro | Elenco di aree di lavoro per Informazioni dettagliate sui criteri firewall. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrizione | Valore |
|---|---|---|
| regione | Area per configurare l'area di lavoro. | corda |
| ID dello spazio di lavoro | ID dell'area di lavoro per Informazioni dettagliate sui criteri firewall. | SubResource |
FirewallPolicyPropertiesFormat
| Nome | Descrizione | Valore |
|---|---|---|
| Politica di base | Criteri del firewall padre da cui vengono ereditate le regole. | SubResource |
| Impostazioni dns | Definizione delle impostazioni proxy DNS. | Impostazioni DNS |
| explicitProxy | Definizione esplicita delle impostazioni proxy. | explicitProxy |
| Intuizioni | Informazioni dettagliate sui criteri firewall. | FirewallPolicyInsights |
| intrusionDetection | Configurazione per il rilevamento delle intrusioni. | FirewallPolicyIntrusionDetection |
| Sku | SKU dei criteri del firewall. | FirewallPolicySku |
| rullante | Gli indirizzi IP privati/intervalli IP a cui il traffico non sarà SNAT. | FirewallPolicySnat |
| SQL | Definizione delle impostazioni SQL. | FirewallPolicySQL |
| minacciaIntelMode | Modalità operativa per Intelligence per le minacce. | 'Allerta' 'Negare' 'Spento' |
| minacciaIntelWhitelist | ThreatIntel Whitelist per i criteri firewall. | FirewallPolicyThreatIntelWhitelist |
| da trasportoSicurezza | Definizione di configurazione TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nome | Descrizione | Valore |
|---|---|---|
| livello | Livello dei criteri firewall. | 'Di base' 'Premium' 'Standard' |
FirewallPolicySnat
| Nome | Descrizione | Valore |
|---|---|---|
| autoLearnPrivateRanges | Modalità operativa per l'apprendimento automatico di intervalli privati che non siano SNAT | 'Disabilitato' 'Abilitato' |
| privateRanges | Elenco di indirizzi IP privati/intervalli di indirizzi IP che non devono essere SNAT. | stringa[] |
FirewallPolicySQL
| Nome | Descrizione | Valore |
|---|---|---|
| allowSqlReindirizzamento | Flag per indicare se il filtro del traffico di reindirizzamento SQL è abilitato. L'attivazione del flag non richiede alcuna regola usando la porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrizione | Valore |
|---|---|---|
| FQDNS | Elenco di nomi di dominio completi per l'elenco elementi consentiti ThreatIntel. | stringa[] |
| Indirizzi ip | Elenco di indirizzi IP per l'elenco elementi consentiti threatIntel. | stringa[] |
FirewallPolicyTransportSecurity
| Nome | Descrizione | Valore |
|---|---|---|
| certificateAuthority | Ca usata per la generazione intermedia della CA. | FirewallPolicyCertificateAuthority |
Identità dei Servizi Gestiti
| Nome | Descrizione | Valore |
|---|---|---|
| digitare | Tipo di identità usata per la risorsa. Il tipo 'SystemAssigned, UserAssigned' include sia un'identità creata in modo implicito che un set di identità assegnate dall'utente. Il tipo 'None' rimuoverà le identità dalla macchina virtuale. | 'Nessuno' 'Assegnato dal sistema' 'SystemAssigned, UserAssigned' 'Assegnato dall'utente' |
| userAssignedIdentities | Elenco delle identità utente associate alla risorsa. I riferimenti alla chiave del dizionario delle identità utente saranno id risorsa ARM nel formato :'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nome | Descrizione | Valore |
|---|
Etichette delle risorse
| Nome | Descrizione | Valore |
|---|
Sottorisorsa
| Nome | Descrizione | Valore |
|---|---|---|
| Id | ID risorsa. | corda |
Esempi di utilizzo
Moduli verificati di Azure
Per distribuire questo tipo di risorsa, è possibile usare moduli verificati di Azure.
| Modulo | Descrizione |
|---|---|
| criteri di Firewall di Azure | Modulo di risorse AVM per Criteri firewall di Azure |