Microsoft.Network firewallPolicies
- 최신
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep 리소스 정의
firewallPolicies 리소스 종류는 다음을 대상으로 하는 작업으로 배포할 수 있습니다.
- 리소스 그룹 - 리소스 그룹 배포 명령 참조
각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.
리소스 형식
Microsoft.Network/firewallPolicies 리소스를 만들려면 템플릿에 다음 Bicep을 추가합니다.
resource symbolicname 'Microsoft.Network/firewallPolicies@2024-03-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
속성 값
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 이름 | 묘사 | 값 |
|---|
DnsSettings
| 이름 | 묘사 | 값 |
|---|---|---|
| enableProxy | 방화벽 정책에 연결된 방화벽에서 DNS 프록시를 사용하도록 설정합니다. | bool |
| requireProxyForNetworkRules | 네트워크 규칙의 FQDN은 true로 설정하면 지원됩니다. | bool |
| 서버 | 사용자 지정 DNS 서버 목록입니다. | string[] |
ExplicitProxy
| 이름 | 묘사 | 값 |
|---|---|---|
| enableExplicitProxy | true로 설정하면 명시적 프록시 모드가 활성화됩니다. | bool |
| enablePacFile | true로 설정하면 pac 파일 포트 및 URL을 제공해야 합니다. | bool |
| httpPort | 명시적 프록시 http 프로토콜의 포트 번호는 64000보다 클 수 없습니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
| httpsPort | 명시적 프록시 https 프로토콜의 포트 번호는 64000보다 클 수 없습니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
| pacFile | PAC 파일의 SAS URL입니다. | 문자열 |
| pacFilePort | PAC 파일을 제공하는 방화벽의 포트 번호입니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
FirewallPolicyCertificateAuthority
| 이름 | 묘사 | 값 |
|---|---|---|
| keyVaultSecretId | KeyVault에 저장된 'Secret' 또는 'Certificate' 개체의 비밀 ID(base-64로 인코딩되지 않은 암호화되지 않은 pfx) | 문자열 |
| 이름 | CA 인증서의 이름입니다. | 문자열 |
FirewallPolicyInsights
| 이름 | 묘사 | 값 |
|---|---|---|
| isEnabled | 정책에서 인사이트를 사용할 수 있는지 여부를 나타내는 플래그입니다. | bool |
| logAnalyticsResources | 방화벽 정책 인사이트를 구성하는 데 필요한 작업 영역입니다. | FirewallPolicyLogAnalyticsResources |
| retentionDays | 정책에서 인사이트를 사용하도록 설정해야 하는 일 수입니다. | int |
FirewallPolicyIntrusionDetection
| 이름 | 묘사 | 값 |
|---|---|---|
| 구성 | 침입 검색 구성 속성입니다. | FirewallPolicyIntrusionDetectionConfiguration |
| 모드 | 침입 감지 일반 상태입니다. 부모 정책에 연결된 경우 방화벽의 유효 IDPS 모드는 두 모드의 더 엄격한 모드입니다. | '경고' '거부' 'Off' |
| 윤곽 | IDPS 프로필 이름입니다. 부모 정책에 연결된 경우 방화벽의 유효 프로필은 부모 정책의 프로필 이름입니다. | '고급' '기본' 'Extended' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| 이름 | 묘사 | 값 |
|---|---|---|
| 묘사 | 트래픽 우회 규칙에 대한 설명입니다. | 문자열 |
| destinationAddresses | 이 규칙의 대상 IP 주소 또는 범위 목록입니다. | string[] |
| destinationIpGroups | 이 규칙의 대상 IpGroup 목록입니다. | string[] |
| destinationPorts | 대상 포트 또는 범위 목록입니다. | string[] |
| 이름 | 바이패스 트래픽 규칙의 이름입니다. | 문자열 |
| 프로토콜 | 규칙 바이패스 프로토콜입니다. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | 이 규칙의 원본 IP 주소 또는 범위 목록입니다. | string[] |
| sourceIpGroups | 이 규칙의 원본 IpGroup 목록입니다. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| 이름 | 묘사 | 값 |
|---|---|---|
| bypassTrafficSettings | 바이패스할 트래픽에 대한 규칙 목록입니다. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 개인 IP 주소 범위는 트래픽 방향(예: 인바운드, 아웃바운드 등)을 식별하는 데 사용됩니다. 기본적으로 IANA RFC 1918에서 정의한 범위만 개인 IP 주소로 간주됩니다. 기본 범위를 수정하려면 이 속성을 사용하여 개인 IP 주소 범위를 지정합니다. | string[] |
| signatureOverrides | 특정 서명 상태 목록입니다. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 이름 | 묘사 | 값 |
|---|---|---|
| 아이디 | 서명 ID입니다. | 문자열 |
| 모드 | 서명 상태입니다. | '경고' '거부' 'Off' |
FirewallPolicyLogAnalyticsResources
| 이름 | 묘사 | 값 |
|---|---|---|
| defaultWorkspaceId | 방화벽 정책 인사이트의 기본 작업 영역 ID입니다. | SubResource |
| 작업 영역 | 방화벽 정책 인사이트에 대한 작업 영역 목록입니다. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| 이름 | 묘사 | 값 |
|---|---|---|
| 부위 | 작업 영역을 구성할 지역입니다. | 문자열 |
| workspaceId | 방화벽 정책 인사이트의 작업 영역 ID입니다. | SubResource |
FirewallPolicyPropertiesFormat
| 이름 | 묘사 | 값 |
|---|---|---|
| basePolicy | 규칙이 상속되는 부모 방화벽 정책입니다. | SubResource |
| dnsSettings | DNS 프록시 설정 정의입니다. | dnsSettings |
| explicitProxy | 명시적 프록시 설정 정의입니다. | ExplicitProxy |
| 통찰력 | 방화벽 정책에 대한 인사이트. | FirewallPolicyInsights |
| intrusionDetection | 침입 검색에 대한 구성입니다. | FirewallPolicyIntrusionDetection |
| sku | 방화벽 정책 SKU입니다. | FirewallPolicySku |
| snat | 트래픽이 SNAT가 아닌 개인 IP 주소/IP 범위입니다. | FirewallPolicySnat |
| sql | SQL 설정 정의입니다. | FirewallPolicySQL |
| threatIntelMode | 위협 인텔리전스의 작업 모드입니다. | '경고' '거부' 'Off' |
| threatIntelWhitelist | 방화벽 정책에 대한 ThreatIntel 허용 목록입니다. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS 구성 정의입니다. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| 이름 | 묘사 | 값 |
|---|---|---|
| 계층 | 방화벽 정책 계층입니다. | '기본' '프리미엄' 'Standard' |
FirewallPolicySnat
| 이름 | 묘사 | 값 |
|---|---|---|
| autoLearnPrivateRanges | SNAT가 아닌 프라이빗 범위를 자동으로 학습하기 위한 작업 모드 | '사용 안 함' 'Enabled' |
| privateRanges | SNAT가 아닌 개인 IP 주소/IP 주소 범위 목록입니다. | string[] |
FirewallPolicySQL
| 이름 | 묘사 | 값 |
|---|---|---|
| allowSqlRedirect | SQL 리디렉션 트래픽 필터링을 사용할 수 있는지 여부를 나타내는 플래그입니다. 플래그를 켜려면 포트 11000-11999를 사용하는 규칙이 필요하지 않습니다. | bool |
FirewallPolicyThreatIntelWhitelist
| 이름 | 묘사 | 값 |
|---|---|---|
| fqdns | ThreatIntel 허용 목록에 대한 FQDN 목록입니다. | string[] |
| ipAddresses | ThreatIntel 허용 목록에 대한 IP 주소 목록입니다. | string[] |
FirewallPolicyTransportSecurity
| 이름 | 묘사 | 값 |
|---|---|---|
| certificateAuthority | 중간 CA 생성에 사용되는 CA입니다. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| 이름 | 묘사 | 값 |
|---|---|---|
| 형 | 리소스에 사용되는 ID의 형식입니다. 'SystemAssigned, UserAssigned' 형식에는 암시적으로 생성된 ID와 사용자 할당 ID 집합이 모두 포함됩니다. 'None' 형식은 가상 머신에서 모든 ID를 제거합니다. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | 리소스와 연결된 사용자 ID 목록입니다. 사용자 ID 사전 키 참조는 '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' 형식의 ARM 리소스 ID입니다. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 이름 | 묘사 | 값 |
|---|
Microsoft.Network/firewallPolicies
| 이름 | 묘사 | 값 |
|---|---|---|
| 신원 | 방화벽 정책의 ID입니다. | ManagedServiceIdentity |
| 위치 | 리소스 위치입니다. | 문자열 |
| 이름 | 리소스 이름 | string(필수) |
| 속성 | 방화벽 정책의 속성입니다. | FirewallPolicyPropertiesFormat |
| 태그 | 리소스 태그 | 태그 이름 및 값의 사전입니다. 템플릿 |
ResourceTags
| 이름 | 묘사 | 값 |
|---|
SubResource
| 이름 | 묘사 | 값 |
|---|---|---|
| 아이디 | 리소스 ID입니다. | 문자열 |
빠른 시작 샘플
다음 빠른 시작 샘플은 이 리소스 유형을 배포합니다.
| Bicep 파일 | 묘사 |
|---|---|
| 규칙 및 ipgroups 사용하여 방화벽 및 FirewallPolicy 만들기 | 이 템플릿은 애플리케이션 및 네트워크 규칙의 IP 그룹을 참조하는 방화벽 정책(여러 애플리케이션 및 네트워크 규칙 포함)이 있는 Azure Firewall을 배포합니다. |
| 보안 가상 허브 |
이 템플릿은 Azure Firewall을 사용하여 보안 가상 허브를 만들어 인터넷으로 향하는 클라우드 네트워크 트래픽을 보호합니다. |
| SharePoint 구독/2019/2016 완전히 구성된 | 신뢰할 수 있는 인증, 개인 사이트의 사용자 프로필, OAuth 트러스트(인증서 사용), 높은 신뢰 추가 기능을 호스팅하기 위한 전용 IIS 사이트 등 광범위한 구성으로 SharePoint 구독/2019/2016 팜을 호스트하는 DC, SQL Server 2022 및 1~5개 서버를 만듭니다. 최신 버전의 주요 소프트웨어(Fiddler, vscode, np++, 7zip, ULS Viewer 포함)가 설치됩니다. SharePoint 머신에는 즉시 사용할 수 있도록 추가 미세 조정이 있습니다(원격 관리 도구, Edge 및 Chrome에 대한 사용자 지정 정책, 바로 가기 등). |
| Azure Firewall Premium 대한 |
이 템플릿은 IDPS(침입 검사 검색), TLS 검사 및 웹 범주 필터링과 같은 프리미엄 기능을 사용하여 Azure Firewall 프리미엄 및 방화벽 정책을 만듭니다. |
| 허브 & 스포크 토폴로지 Azure Firewall을 DNS 프록시로 사용 | 이 샘플에서는 Azure Firewall을 사용하여 Azure에서 허브-스포크 토폴로지를 배포하는 방법을 보여 줍니다. 허브 가상 네트워크는 가상 네트워크 피어링을 통해 허브 가상 네트워크에 연결된 많은 스포크 가상 네트워크에 대한 연결의 중심 지점 역할을 합니다. |
ARM 템플릿 리소스 정의
firewallPolicies 리소스 종류는 다음을 대상으로 하는 작업으로 배포할 수 있습니다.
- 리소스 그룹 - 리소스 그룹 배포 명령 참조
각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.
리소스 형식
Microsoft.Network/firewallPolicies 리소스를 만들려면 템플릿에 다음 JSON을 추가합니다.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2024-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
속성 값
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 이름 | 묘사 | 값 |
|---|
DnsSettings
| 이름 | 묘사 | 값 |
|---|---|---|
| enableProxy | 방화벽 정책에 연결된 방화벽에서 DNS 프록시를 사용하도록 설정합니다. | bool |
| requireProxyForNetworkRules | 네트워크 규칙의 FQDN은 true로 설정하면 지원됩니다. | bool |
| 서버 | 사용자 지정 DNS 서버 목록입니다. | string[] |
ExplicitProxy
| 이름 | 묘사 | 값 |
|---|---|---|
| enableExplicitProxy | true로 설정하면 명시적 프록시 모드가 활성화됩니다. | bool |
| enablePacFile | true로 설정하면 pac 파일 포트 및 URL을 제공해야 합니다. | bool |
| httpPort | 명시적 프록시 http 프로토콜의 포트 번호는 64000보다 클 수 없습니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
| httpsPort | 명시적 프록시 https 프로토콜의 포트 번호는 64000보다 클 수 없습니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
| pacFile | PAC 파일의 SAS URL입니다. | 문자열 |
| pacFilePort | PAC 파일을 제공하는 방화벽의 포트 번호입니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
FirewallPolicyCertificateAuthority
| 이름 | 묘사 | 값 |
|---|---|---|
| keyVaultSecretId | KeyVault에 저장된 'Secret' 또는 'Certificate' 개체의 비밀 ID(base-64로 인코딩되지 않은 암호화되지 않은 pfx) | 문자열 |
| 이름 | CA 인증서의 이름입니다. | 문자열 |
FirewallPolicyInsights
| 이름 | 묘사 | 값 |
|---|---|---|
| isEnabled | 정책에서 인사이트를 사용할 수 있는지 여부를 나타내는 플래그입니다. | bool |
| logAnalyticsResources | 방화벽 정책 인사이트를 구성하는 데 필요한 작업 영역입니다. | FirewallPolicyLogAnalyticsResources |
| retentionDays | 정책에서 인사이트를 사용하도록 설정해야 하는 일 수입니다. | int |
FirewallPolicyIntrusionDetection
| 이름 | 묘사 | 값 |
|---|---|---|
| 구성 | 침입 검색 구성 속성입니다. | FirewallPolicyIntrusionDetectionConfiguration |
| 모드 | 침입 감지 일반 상태입니다. 부모 정책에 연결된 경우 방화벽의 유효 IDPS 모드는 두 모드의 더 엄격한 모드입니다. | '경고' '거부' 'Off' |
| 윤곽 | IDPS 프로필 이름입니다. 부모 정책에 연결된 경우 방화벽의 유효 프로필은 부모 정책의 프로필 이름입니다. | '고급' '기본' 'Extended' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| 이름 | 묘사 | 값 |
|---|---|---|
| 묘사 | 트래픽 우회 규칙에 대한 설명입니다. | 문자열 |
| destinationAddresses | 이 규칙의 대상 IP 주소 또는 범위 목록입니다. | string[] |
| destinationIpGroups | 이 규칙의 대상 IpGroup 목록입니다. | string[] |
| destinationPorts | 대상 포트 또는 범위 목록입니다. | string[] |
| 이름 | 바이패스 트래픽 규칙의 이름입니다. | 문자열 |
| 프로토콜 | 규칙 바이패스 프로토콜입니다. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | 이 규칙의 원본 IP 주소 또는 범위 목록입니다. | string[] |
| sourceIpGroups | 이 규칙의 원본 IpGroup 목록입니다. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| 이름 | 묘사 | 값 |
|---|---|---|
| bypassTrafficSettings | 바이패스할 트래픽에 대한 규칙 목록입니다. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 개인 IP 주소 범위는 트래픽 방향(예: 인바운드, 아웃바운드 등)을 식별하는 데 사용됩니다. 기본적으로 IANA RFC 1918에서 정의한 범위만 개인 IP 주소로 간주됩니다. 기본 범위를 수정하려면 이 속성을 사용하여 개인 IP 주소 범위를 지정합니다. | string[] |
| signatureOverrides | 특정 서명 상태 목록입니다. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 이름 | 묘사 | 값 |
|---|---|---|
| 아이디 | 서명 ID입니다. | 문자열 |
| 모드 | 서명 상태입니다. | '경고' '거부' 'Off' |
FirewallPolicyLogAnalyticsResources
| 이름 | 묘사 | 값 |
|---|---|---|
| defaultWorkspaceId | 방화벽 정책 인사이트의 기본 작업 영역 ID입니다. | SubResource |
| 작업 영역 | 방화벽 정책 인사이트에 대한 작업 영역 목록입니다. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| 이름 | 묘사 | 값 |
|---|---|---|
| 부위 | 작업 영역을 구성할 지역입니다. | 문자열 |
| workspaceId | 방화벽 정책 인사이트의 작업 영역 ID입니다. | SubResource |
FirewallPolicyPropertiesFormat
| 이름 | 묘사 | 값 |
|---|---|---|
| basePolicy | 규칙이 상속되는 부모 방화벽 정책입니다. | SubResource |
| dnsSettings | DNS 프록시 설정 정의입니다. | dnsSettings |
| explicitProxy | 명시적 프록시 설정 정의입니다. | ExplicitProxy |
| 통찰력 | 방화벽 정책에 대한 인사이트. | FirewallPolicyInsights |
| intrusionDetection | 침입 검색에 대한 구성입니다. | FirewallPolicyIntrusionDetection |
| sku | 방화벽 정책 SKU입니다. | FirewallPolicySku |
| snat | 트래픽이 SNAT가 아닌 개인 IP 주소/IP 범위입니다. | FirewallPolicySnat |
| sql | SQL 설정 정의입니다. | FirewallPolicySQL |
| threatIntelMode | 위협 인텔리전스의 작업 모드입니다. | '경고' '거부' 'Off' |
| threatIntelWhitelist | 방화벽 정책에 대한 ThreatIntel 허용 목록입니다. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS 구성 정의입니다. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| 이름 | 묘사 | 값 |
|---|---|---|
| 계층 | 방화벽 정책 계층입니다. | '기본' '프리미엄' 'Standard' |
FirewallPolicySnat
| 이름 | 묘사 | 값 |
|---|---|---|
| autoLearnPrivateRanges | SNAT가 아닌 프라이빗 범위를 자동으로 학습하기 위한 작업 모드 | '사용 안 함' 'Enabled' |
| privateRanges | SNAT가 아닌 개인 IP 주소/IP 주소 범위 목록입니다. | string[] |
FirewallPolicySQL
| 이름 | 묘사 | 값 |
|---|---|---|
| allowSqlRedirect | SQL 리디렉션 트래픽 필터링을 사용할 수 있는지 여부를 나타내는 플래그입니다. 플래그를 켜려면 포트 11000-11999를 사용하는 규칙이 필요하지 않습니다. | bool |
FirewallPolicyThreatIntelWhitelist
| 이름 | 묘사 | 값 |
|---|---|---|
| fqdns | ThreatIntel 허용 목록에 대한 FQDN 목록입니다. | string[] |
| ipAddresses | ThreatIntel 허용 목록에 대한 IP 주소 목록입니다. | string[] |
FirewallPolicyTransportSecurity
| 이름 | 묘사 | 값 |
|---|---|---|
| certificateAuthority | 중간 CA 생성에 사용되는 CA입니다. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| 이름 | 묘사 | 값 |
|---|---|---|
| 형 | 리소스에 사용되는 ID의 형식입니다. 'SystemAssigned, UserAssigned' 형식에는 암시적으로 생성된 ID와 사용자 할당 ID 집합이 모두 포함됩니다. 'None' 형식은 가상 머신에서 모든 ID를 제거합니다. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | 리소스와 연결된 사용자 ID 목록입니다. 사용자 ID 사전 키 참조는 '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' 형식의 ARM 리소스 ID입니다. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 이름 | 묘사 | 값 |
|---|
Microsoft.Network/firewallPolicies
| 이름 | 묘사 | 값 |
|---|---|---|
| apiVersion | api 버전 | '2024-03-01' |
| 신원 | 방화벽 정책의 ID입니다. | ManagedServiceIdentity |
| 위치 | 리소스 위치입니다. | 문자열 |
| 이름 | 리소스 이름 | string(필수) |
| 속성 | 방화벽 정책의 속성입니다. | FirewallPolicyPropertiesFormat |
| 태그 | 리소스 태그 | 태그 이름 및 값의 사전입니다. 템플릿 |
| 형 | 리소스 종류 | 'Microsoft.Network/firewallPolicies' |
ResourceTags
| 이름 | 묘사 | 값 |
|---|
SubResource
| 이름 | 묘사 | 값 |
|---|---|---|
| 아이디 | 리소스 ID입니다. | 문자열 |
빠른 시작 템플릿
다음 빠른 시작 템플릿은 이 리소스 유형을 배포합니다.
| 템플렛 | 묘사 |
|---|---|
|
규칙 및 ipgroups 사용하여 방화벽 및 FirewallPolicy 만들기 Azure 배포 |
이 템플릿은 애플리케이션 및 네트워크 규칙의 IP 그룹을 참조하는 방화벽 정책(여러 애플리케이션 및 네트워크 규칙 포함)이 있는 Azure Firewall을 배포합니다. |
|
FirewallPolicy 및 IpGroups 사용하여 방화벽 만들기 Azure 배포 |
이 템플릿은 IpGroups를 사용하여 네트워크 규칙을 참조하는 FirewalllPolicy를 사용하여 Azure Firewall을 만듭니다. 또한 Linux Jumpbox vm 설정도 포함됩니다. |
|
명시적 프록시를 사용하여 방화벽, FirewallPolicy 만들기 Azure 배포 |
이 템플릿은 IpGroups를 사용하여 명시적 프록시 및 네트워크 규칙을 사용하여 Azure Firewall, FirewalllPolicy를 만듭니다. 또한 Linux Jumpbox vm 설정도 포함됩니다. |
|
방화벽 정책 사용하여 샌드박스 설정 만들기 Azure 배포 |
이 템플릿은 3개의 서브넷(서버 서브넷, jumpbox subet 및 AzureFirewall 서브넷), 공용 IP가 있는 jumpbox VM, 서버 서브넷에 대한 Azure Firewall을 가리키는 UDR 경로 및 1개 이상의 공용 IP 주소가 있는 Azure Firewall을 사용하여 가상 네트워크를 만듭니다. 또한 1개의 샘플 애플리케이션 규칙, 1개의 샘플 네트워크 규칙 및 기본 프라이빗 범위를 사용하여 방화벽 정책을 만듭니다. |
| 보안 가상 허브 Azure |
이 템플릿은 Azure Firewall을 사용하여 보안 가상 허브를 만들어 인터넷으로 향하는 클라우드 네트워크 트래픽을 보호합니다. |
|
SharePoint 구독/2019/2016 완전히 구성된 Azure 배포 |
신뢰할 수 있는 인증, 개인 사이트의 사용자 프로필, OAuth 트러스트(인증서 사용), 높은 신뢰 추가 기능을 호스팅하기 위한 전용 IIS 사이트 등 광범위한 구성으로 SharePoint 구독/2019/2016 팜을 호스트하는 DC, SQL Server 2022 및 1~5개 서버를 만듭니다. 최신 버전의 주요 소프트웨어(Fiddler, vscode, np++, 7zip, ULS Viewer 포함)가 설치됩니다. SharePoint 머신에는 즉시 사용할 수 있도록 추가 미세 조정이 있습니다(원격 관리 도구, Edge 및 Chrome에 대한 사용자 지정 정책, 바로 가기 등). |
| Azure Firewall Premium 대한 Azure |
이 템플릿은 IDPS(침입 검사 검색), TLS 검사 및 웹 범주 필터링과 같은 프리미엄 기능을 사용하여 Azure Firewall 프리미엄 및 방화벽 정책을 만듭니다. |
|
허브 & 스포크 토폴로지 Azure Firewall을 DNS 프록시로 사용 Azure 배포 |
이 샘플에서는 Azure Firewall을 사용하여 Azure에서 허브-스포크 토폴로지를 배포하는 방법을 보여 줍니다. 허브 가상 네트워크는 가상 네트워크 피어링을 통해 허브 가상 네트워크에 연결된 많은 스포크 가상 네트워크에 대한 연결의 중심 지점 역할을 합니다. |
Terraform(AzAPI 공급자) 리소스 정의
firewallPolicies 리소스 종류는 다음을 대상으로 하는 작업으로 배포할 수 있습니다.
- 리소스 그룹
각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.
리소스 형식
Microsoft.Network/firewallPolicies 리소스를 만들려면 템플릿에 다음 Terraform을 추가합니다.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2024-03-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
tags = {
{customized property} = "string"
}
}
속성 값
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 이름 | 묘사 | 값 |
|---|
DnsSettings
| 이름 | 묘사 | 값 |
|---|---|---|
| enableProxy | 방화벽 정책에 연결된 방화벽에서 DNS 프록시를 사용하도록 설정합니다. | bool |
| requireProxyForNetworkRules | 네트워크 규칙의 FQDN은 true로 설정하면 지원됩니다. | bool |
| 서버 | 사용자 지정 DNS 서버 목록입니다. | string[] |
ExplicitProxy
| 이름 | 묘사 | 값 |
|---|---|---|
| enableExplicitProxy | true로 설정하면 명시적 프록시 모드가 활성화됩니다. | bool |
| enablePacFile | true로 설정하면 pac 파일 포트 및 URL을 제공해야 합니다. | bool |
| httpPort | 명시적 프록시 http 프로토콜의 포트 번호는 64000보다 클 수 없습니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
| httpsPort | 명시적 프록시 https 프로토콜의 포트 번호는 64000보다 클 수 없습니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
| pacFile | PAC 파일의 SAS URL입니다. | 문자열 |
| pacFilePort | PAC 파일을 제공하는 방화벽의 포트 번호입니다. | int 제약 조건: 최소값 = 0 최대값 = 64000 |
FirewallPolicyCertificateAuthority
| 이름 | 묘사 | 값 |
|---|---|---|
| keyVaultSecretId | KeyVault에 저장된 'Secret' 또는 'Certificate' 개체의 비밀 ID(base-64로 인코딩되지 않은 암호화되지 않은 pfx) | 문자열 |
| 이름 | CA 인증서의 이름입니다. | 문자열 |
FirewallPolicyInsights
| 이름 | 묘사 | 값 |
|---|---|---|
| isEnabled | 정책에서 인사이트를 사용할 수 있는지 여부를 나타내는 플래그입니다. | bool |
| logAnalyticsResources | 방화벽 정책 인사이트를 구성하는 데 필요한 작업 영역입니다. | FirewallPolicyLogAnalyticsResources |
| retentionDays | 정책에서 인사이트를 사용하도록 설정해야 하는 일 수입니다. | int |
FirewallPolicyIntrusionDetection
| 이름 | 묘사 | 값 |
|---|---|---|
| 구성 | 침입 검색 구성 속성입니다. | FirewallPolicyIntrusionDetectionConfiguration |
| 모드 | 침입 감지 일반 상태입니다. 부모 정책에 연결된 경우 방화벽의 유효 IDPS 모드는 두 모드의 더 엄격한 모드입니다. | '경고' '거부' 'Off' |
| 윤곽 | IDPS 프로필 이름입니다. 부모 정책에 연결된 경우 방화벽의 유효 프로필은 부모 정책의 프로필 이름입니다. | '고급' '기본' 'Extended' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| 이름 | 묘사 | 값 |
|---|---|---|
| 묘사 | 트래픽 우회 규칙에 대한 설명입니다. | 문자열 |
| destinationAddresses | 이 규칙의 대상 IP 주소 또는 범위 목록입니다. | string[] |
| destinationIpGroups | 이 규칙의 대상 IpGroup 목록입니다. | string[] |
| destinationPorts | 대상 포트 또는 범위 목록입니다. | string[] |
| 이름 | 바이패스 트래픽 규칙의 이름입니다. | 문자열 |
| 프로토콜 | 규칙 바이패스 프로토콜입니다. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | 이 규칙의 원본 IP 주소 또는 범위 목록입니다. | string[] |
| sourceIpGroups | 이 규칙의 원본 IpGroup 목록입니다. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| 이름 | 묘사 | 값 |
|---|---|---|
| bypassTrafficSettings | 바이패스할 트래픽에 대한 규칙 목록입니다. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 개인 IP 주소 범위는 트래픽 방향(예: 인바운드, 아웃바운드 등)을 식별하는 데 사용됩니다. 기본적으로 IANA RFC 1918에서 정의한 범위만 개인 IP 주소로 간주됩니다. 기본 범위를 수정하려면 이 속성을 사용하여 개인 IP 주소 범위를 지정합니다. | string[] |
| signatureOverrides | 특정 서명 상태 목록입니다. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 이름 | 묘사 | 값 |
|---|---|---|
| 아이디 | 서명 ID입니다. | 문자열 |
| 모드 | 서명 상태입니다. | '경고' '거부' 'Off' |
FirewallPolicyLogAnalyticsResources
| 이름 | 묘사 | 값 |
|---|---|---|
| defaultWorkspaceId | 방화벽 정책 인사이트의 기본 작업 영역 ID입니다. | SubResource |
| 작업 영역 | 방화벽 정책 인사이트에 대한 작업 영역 목록입니다. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| 이름 | 묘사 | 값 |
|---|---|---|
| 부위 | 작업 영역을 구성할 지역입니다. | 문자열 |
| workspaceId | 방화벽 정책 인사이트의 작업 영역 ID입니다. | SubResource |
FirewallPolicyPropertiesFormat
| 이름 | 묘사 | 값 |
|---|---|---|
| basePolicy | 규칙이 상속되는 부모 방화벽 정책입니다. | SubResource |
| dnsSettings | DNS 프록시 설정 정의입니다. | dnsSettings |
| explicitProxy | 명시적 프록시 설정 정의입니다. | ExplicitProxy |
| 통찰력 | 방화벽 정책에 대한 인사이트. | FirewallPolicyInsights |
| intrusionDetection | 침입 검색에 대한 구성입니다. | FirewallPolicyIntrusionDetection |
| sku | 방화벽 정책 SKU입니다. | FirewallPolicySku |
| snat | 트래픽이 SNAT가 아닌 개인 IP 주소/IP 범위입니다. | FirewallPolicySnat |
| sql | SQL 설정 정의입니다. | FirewallPolicySQL |
| threatIntelMode | 위협 인텔리전스의 작업 모드입니다. | '경고' '거부' 'Off' |
| threatIntelWhitelist | 방화벽 정책에 대한 ThreatIntel 허용 목록입니다. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS 구성 정의입니다. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| 이름 | 묘사 | 값 |
|---|---|---|
| 계층 | 방화벽 정책 계층입니다. | '기본' '프리미엄' 'Standard' |
FirewallPolicySnat
| 이름 | 묘사 | 값 |
|---|---|---|
| autoLearnPrivateRanges | SNAT가 아닌 프라이빗 범위를 자동으로 학습하기 위한 작업 모드 | '사용 안 함' 'Enabled' |
| privateRanges | SNAT가 아닌 개인 IP 주소/IP 주소 범위 목록입니다. | string[] |
FirewallPolicySQL
| 이름 | 묘사 | 값 |
|---|---|---|
| allowSqlRedirect | SQL 리디렉션 트래픽 필터링을 사용할 수 있는지 여부를 나타내는 플래그입니다. 플래그를 켜려면 포트 11000-11999를 사용하는 규칙이 필요하지 않습니다. | bool |
FirewallPolicyThreatIntelWhitelist
| 이름 | 묘사 | 값 |
|---|---|---|
| fqdns | ThreatIntel 허용 목록에 대한 FQDN 목록입니다. | string[] |
| ipAddresses | ThreatIntel 허용 목록에 대한 IP 주소 목록입니다. | string[] |
FirewallPolicyTransportSecurity
| 이름 | 묘사 | 값 |
|---|---|---|
| certificateAuthority | 중간 CA 생성에 사용되는 CA입니다. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| 이름 | 묘사 | 값 |
|---|---|---|
| 형 | 리소스에 사용되는 ID의 형식입니다. 'SystemAssigned, UserAssigned' 형식에는 암시적으로 생성된 ID와 사용자 할당 ID 집합이 모두 포함됩니다. 'None' 형식은 가상 머신에서 모든 ID를 제거합니다. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | 리소스와 연결된 사용자 ID 목록입니다. 사용자 ID 사전 키 참조는 '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' 형식의 ARM 리소스 ID입니다. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 이름 | 묘사 | 값 |
|---|
Microsoft.Network/firewallPolicies
| 이름 | 묘사 | 값 |
|---|---|---|
| 신원 | 방화벽 정책의 ID입니다. | ManagedServiceIdentity |
| 위치 | 리소스 위치입니다. | 문자열 |
| 이름 | 리소스 이름 | string(필수) |
| 속성 | 방화벽 정책의 속성입니다. | FirewallPolicyPropertiesFormat |
| 태그 | 리소스 태그 | 태그 이름 및 값의 사전입니다. |
| 형 | 리소스 종류 | "Microsoft.Network/firewallPolicies@2024-03-01" |
ResourceTags
| 이름 | 묘사 | 값 |
|---|
SubResource
| 이름 | 묘사 | 값 |
|---|---|---|
| 아이디 | 리소스 ID입니다. | 문자열 |