Microsoft.Network firewallPolicies 2021-08-01
Bicep-resourcedefinitie
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor resourcegroepimplementatie
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.
resource symbolicname 'Microsoft.Network/firewallPolicies@2021-08-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxySettings: {
enableExplicitProxy: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Eigenschapswaarden
firewallBeleid
Naam | Description | Waarde |
---|---|---|
naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
location | Resourcelocatie. | tekenreeks |
tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. Tags in sjablonen bekijken |
identity | De identiteit van het firewallbeleid. | ManagedServiceIdentity |
properties | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Naam | Description | Waarde |
---|---|---|
type | Het type identiteit dat voor de resource wordt gebruikt. Het type 'SystemAssigned, UserAssigned' bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type 'Geen' worden alle identiteiten van de virtuele machine verwijderd. | 'Geen' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen naar de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedId-entiteiten |
ManagedServiceIdentityUserAssignedId-entiteiten
Naam | Description | Waarde |
---|---|---|
{aangepaste eigenschap} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn ReadOnly.
FirewallPolicyPropertiesFormat
Naam | Description | Waarde |
---|---|---|
basePolicy | Het bovenliggende firewallbeleid waarvan regels worden overgenomen. | SubResource |
dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
explicitProxySettings | Definitie van expliciete proxy-instellingen. | ExplicitProxySettings |
inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights |
intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection |
sku | De firewallbeleids-SKU. | FirewallPolicySku |
snat | De privé-IP-adressen/IP-bereiken waarvoor het verkeer geen SNAT is. | FirewallPolicySnat |
sql | Definitie van SQL-instellingen. | FirewallPolicySQL |
threatIntelMode | De bewerkingsmodus voor Bedreigingsinformatie. | 'Waarschuwing' Weigeren 'Uit' |
threatIntelWhitelist | ThreatIntel Allowlist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
transportBeveiliging | Definitie van TLS-configuratie. | FirewallPolicyTransportSecurity |
SubResource
Naam | Description | Waarde |
---|---|---|
id | Resource-id. | tekenreeks |
DnsSettings
Naam | Description | Waarde |
---|---|---|
enableProxy | Dns-proxy inschakelen voor firewalls die zijn gekoppeld aan het firewallbeleid. | booleaans |
requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze zijn ingesteld op true. | booleaans |
Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxySettings
Naam | Description | Waarde |
---|---|---|
enableExplicitProxy | Als deze optie is ingesteld op true, is de expliciete proxymodus ingeschakeld. | booleaans |
httpPort | Het poortnummer voor expliciet http-protocol voor de proxy mag niet groter zijn dan 64000. | int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
httpsPort | Het poortnummer voor expliciet proxy-HTTPS-protocol mag niet groter zijn dan 64000. | int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
pacFile | SAS-URL voor PAC-bestand. | tekenreeks |
pacFilePort | Poortnummer voor firewall voor PAC-bestand. | int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
FirewallPolicyInsights
Naam | Description | Waarde |
---|---|---|
isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | booleaans |
logAnalyticsResources | Werkruimten die nodig zijn voor het configureren van de inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsResources |
retentionDays | Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | int |
FirewallPolicyLogAnalyticsResources
Naam | Description | Waarde |
---|---|---|
defaultWorkspaceId | De standaardwerkruimte-id voor Inzichten in firewallbeleid. | SubResource |
workspaces | Lijst met werkruimten voor inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Naam | Description | Waarde |
---|---|---|
regio | Regio voor het configureren van de werkruimte. | tekenreeks |
workspaceId | De werkruimte-id voor Inzichten in firewallbeleid. | SubResource |
FirewallPolicyIntrusionDetection
Naam | Description | Waarde |
---|---|---|
configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Algemene status van inbraakdetectie. | 'Waarschuwing' 'Weigeren' 'Uit' |
FirewallPolicyIntrusionDetectionConfiguration
Naam | Description | Waarde |
---|---|---|
bypassTrafficSettings | Lijst met regels voor het omzeilen van verkeer. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Privé-IP-adresbereiken van IDPS worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken die zijn gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
signatureOverrides | Lijst met specifieke handtekeningstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Naam | Description | Waarde |
---|---|---|
beschrijving | Beschrijving van de regel voor het omzeilen van verkeer. | tekenreeks |
destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
destinationIpGroups | Lijst met ip-doelgroepen voor deze regel. | tekenreeks[] |
destinationPorts | Lijst met doelpoorten of bereiken. | tekenreeks[] |
naam | Naam van de regel voor het omzeilen van verkeer. | tekenreeks |
protocol | Het protocol voor het omzeilen van de regel. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lijst met bron-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Naam | Description | Waarde |
---|---|---|
id | Handtekening-id. | tekenreeks |
mode | De handtekeningstatus. | 'Waarschuwing' 'Weigeren' 'Uit' |
FirewallPolicySku
Naam | Description | Waarde |
---|---|---|
laag | Laag van firewallbeleid. | 'Basic' 'Premium' 'Standaard' |
FirewallPolicySnat
Naam | Description | Waarde |
---|---|---|
privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken die geen SNAT mogen zijn. | tekenreeks[] |
FirewallPolicySQL
Naam | Description | Waarde |
---|---|---|
allowSqlRedirect | Een vlag om aan te geven of verkeerfiltering voor SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist via poort 11000-11999. | booleaans |
FirewallPolicyThreatIntelWhitelist
Naam | Description | Waarde |
---|---|---|
Fqdn | Lijst met FQDN's voor de ThreatIntel Allowlist. | tekenreeks[] |
ipAddresses | Lijst met IP-adressen voor de Acceptatielijst van ThreatIntel. | tekenreeks[] |
FirewallPolicyTransportSecurity
Naam | Description | Waarde |
---|---|---|
certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Naam | Description | Waarde |
---|---|---|
keyVaultSecretId | Geheime id van (base-64 gecodeerd niet-versleuteld pfx)-object 'Geheim' of 'Certificaat' dat is opgeslagen in KeyVault. | tekenreeks |
naam | Naam van het CA-certificaat. | tekenreeks |
Snelstartsjablonen
Met de volgende snelstartsjablonen wordt dit resourcetype geïmplementeerd.
Template | Beschrijving |
---|---|
Gebruik Azure Firewall als DNS-proxy in een Hub & Spoke-topologie |
In dit voorbeeld ziet u hoe u een hub-spoke-topologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal verbindingspunt voor veel virtuele spoke-netwerken die zijn verbonden met het virtuele hubnetwerk via peering van virtuele netwerken. |
Creatie een firewall en firewallbeleid met regels en IP-groepen |
Met deze sjabloon wordt een Azure Firewall geïmplementeerd met firewallbeleid (inclusief meerdere toepassings- en netwerkregels) die verwijst naar IP-Groepen in toepassings- en netwerkregels. |
Creatie firewallbeleid met expliciete proxy |
Met deze sjabloon maakt u een Azure Firewall FirewalllPolicy met expliciete proxy en netwerkregels met IpGroups. Bevat ook de installatie van een Linux Jumpbox-VM |
een firewall Creatie met FirewallPolicy en IpGroups |
Met deze sjabloon maakt u een Azure Firewall met FirewalllPolicy die verwijst naar netwerkregels met IpGroups. Bevat ook de installatie van een Linux Jumpbox-VM |
Testomgeving voor Azure Firewall Premium |
Met deze sjabloon maakt u een Azure Firewall Premium- en firewallbeleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorieën |
een sandbox-installatie Creatie met firewallbeleid |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, een UDR-route die verwijst naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen. Maakt ook een firewallbeleid met 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
Beveiligde virtuele hubs |
Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw netwerkverkeer in de cloud te beveiligen dat is bestemd voor internet. |
Azure Virtual WAN Routing Intent and Policies (Intentie en beleid voor Azure Virtual WAN-routering) |
Met deze sjabloon wordt een Azure-Virtual WAN met twee hubs met de functie Routeringsintentie en Beleid ingeschakeld. |
Resourcedefinitie van ARM-sjabloon
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor resourcegroepimplementatie
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende JSON toe aan uw sjabloon.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2021-08-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxySettings": {
"enableExplicitProxy": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Eigenschapswaarden
firewallBeleid
Naam | Description | Waarde |
---|---|---|
type | Het resourcetype | 'Microsoft.Network/firewallPolicies' |
apiVersion | De resource-API-versie | '2021-08-01' |
naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
location | Resourcelocatie. | tekenreeks |
tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. Tags in sjablonen bekijken |
identity | De identiteit van het firewallbeleid. | ManagedServiceIdentity |
properties | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Naam | Description | Waarde |
---|---|---|
type | Het type identiteit dat voor de resource wordt gebruikt. Het type 'SystemAssigned, UserAssigned' omvat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type 'Geen' worden alle identiteiten van de virtuele machine verwijderd. | 'Geen' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen naar de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedId-entiteiten |
ManagedServiceIdentityUserAssignedId-entiteiten
Naam | Description | Waarde |
---|---|---|
{aangepaste eigenschap} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn ReadOnly.
FirewallPolicyPropertiesFormat
Naam | Description | Waarde |
---|---|---|
basePolicy | Het bovenliggende firewallbeleid waarvan regels worden overgenomen. | SubResource |
dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
explicitProxySettings | Definitie van expliciete proxy-instellingen. | ExplicitProxySettings |
inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights |
intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection |
sku | De firewallbeleids-SKU. | FirewallPolicySku |
snat | De privé-IP-adressen/IP-bereiken waarvoor het verkeer geen SNAT is. | FirewallPolicySnat |
sql | Definitie van SQL-instellingen. | FirewallPolicySQL |
threatIntelMode | De bewerkingsmodus voor Bedreigingsinformatie. | 'Waarschuwing' Weigeren 'Uit' |
threatIntelWhitelist | ThreatIntel Allowlist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
transportBeveiliging | Definitie van TLS-configuratie. | FirewallPolicyTransportSecurity |
SubResource
Naam | Description | Waarde |
---|---|---|
id | Resource-id. | tekenreeks |
DnsSettings
Naam | Description | Waarde |
---|---|---|
enableProxy | Dns-proxy inschakelen voor firewalls die zijn gekoppeld aan het firewallbeleid. | booleaans |
requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze zijn ingesteld op true. | booleaans |
Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxySettings
Naam | Description | Waarde |
---|---|---|
enableExplicitProxy | Als deze optie is ingesteld op true, is de expliciete proxymodus ingeschakeld. | booleaans |
httpPort | Het poortnummer voor expliciet http-protocol voor de proxy mag niet groter zijn dan 64000. | int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
httpsPort | Het poortnummer voor expliciet proxy-HTTPS-protocol mag niet groter zijn dan 64000. | int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
pacFile | SAS-URL voor PAC-bestand. | tekenreeks |
pacFilePort | Poortnummer voor firewall voor PAC-bestand. | int Beperkingen: Minimumwaarde = 0 Maximale waarde = 64000 |
FirewallPolicyInsights
Naam | Description | Waarde |
---|---|---|
isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | booleaans |
logAnalyticsResources | Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. | FirewallPolicyLogAnalyticsResources |
retentionDays | Aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | int |
FirewallPolicyLogAnalyticsResources
Naam | Description | Waarde |
---|---|---|
defaultWorkspaceId | De standaardwerkruimte-id voor inzichten in firewallbeleid. | Subresource |
workspaces | Lijst met werkruimten voor inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Naam | Description | Waarde |
---|---|---|
regio | Regio om de werkruimte te configureren. | tekenreeks |
workspaceId | De werkruimte-id voor inzichten in firewallbeleid. | Subresource |
FirewallPolicyIntrusionDetection
Naam | Description | Waarde |
---|---|---|
configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Algemene status van inbraakdetectie. | 'Waarschuwing' 'Weigeren' 'Uit' |
FirewallPolicyIntrusionDetectionConfiguration
Naam | Description | Waarde |
---|---|---|
bypassTrafficSettings | Lijst met regels voor het omzeilen van verkeer. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Privé-IP-adresbereiken van IDPS worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken die zijn gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
signatureOverrides | Lijst met specifieke handtekeningstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Naam | Description | Waarde |
---|---|---|
beschrijving | Beschrijving van de regel voor het omzeilen van verkeer. | tekenreeks |
destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
destinationIpGroups | Lijst met ip-doelgroepen voor deze regel. | tekenreeks[] |
destinationPorts | Lijst met doelpoorten of bereiken. | tekenreeks[] |
naam | Naam van de regel voor het omzeilen van verkeer. | tekenreeks |
protocol | Het protocol voor het omzeilen van de regel. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lijst met bron-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Naam | Description | Waarde |
---|---|---|
id | Handtekening-id. | tekenreeks |
mode | De handtekeningstatus. | 'Waarschuwing' 'Weigeren' 'Uit' |
FirewallPolicySku
Naam | Description | Waarde |
---|---|---|
laag | Laag van firewallbeleid. | 'Basic' 'Premium' 'Standaard' |
FirewallPolicySnat
Naam | Description | Waarde |
---|---|---|
privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken die geen SNAT mogen zijn. | tekenreeks[] |
FirewallPolicySQL
Naam | Description | Waarde |
---|---|---|
allowSqlRedirect | Een vlag om aan te geven of verkeerfiltering voor SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist via poort 11000-11999. | booleaans |
FirewallPolicyThreatIntelWhitelist
Naam | Description | Waarde |
---|---|---|
Fqdn | Lijst met FQDN's voor de ThreatIntel Allowlist. | tekenreeks[] |
ipAddresses | Lijst met IP-adressen voor de Acceptatielijst van ThreatIntel. | tekenreeks[] |
FirewallPolicyTransportSecurity
Naam | Description | Waarde |
---|---|---|
certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Naam | Description | Waarde |
---|---|---|
keyVaultSecretId | Geheime id van (base-64 gecodeerd niet-versleuteld pfx)-object 'Geheim' of 'Certificaat' dat is opgeslagen in KeyVault. | tekenreeks |
naam | Naam van het CA-certificaat. | tekenreeks |
Snelstartsjablonen
Met de volgende snelstartsjablonen wordt dit resourcetype geïmplementeerd.
Template | Beschrijving |
---|---|
Gebruik Azure Firewall als DNS-proxy in een Hub & Spoke-topologie |
In dit voorbeeld ziet u hoe u een hub-spoke-topologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal verbindingspunt voor veel virtuele spoke-netwerken die zijn verbonden met het virtuele hubnetwerk via peering van virtuele netwerken. |
Creatie een firewall en firewallbeleid met regels en IP-groepen |
Met deze sjabloon wordt een Azure Firewall geïmplementeerd met firewallbeleid (inclusief meerdere toepassings- en netwerkregels) die verwijst naar IP-Groepen in toepassings- en netwerkregels. |
Creatie firewallbeleid met expliciete proxy |
Met deze sjabloon maakt u een Azure Firewall FirewalllPolicy met expliciete proxy en netwerkregels met IpGroups. Bevat ook de installatie van een Linux Jumpbox-VM |
een firewall Creatie met FirewallPolicy en IpGroups |
Met deze sjabloon maakt u een Azure Firewall met FirewalllPolicy die verwijst naar netwerkregels met IpGroups. Bevat ook de installatie van een Linux Jumpbox-VM |
Testomgeving voor Azure Firewall Premium |
Met deze sjabloon maakt u een Azure Firewall Premium- en firewallbeleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorieën |
een sandbox-installatie Creatie met firewallbeleid |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, een UDR-route die verwijst naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen. Maakt ook een firewallbeleid met 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
Beveiligde virtuele hubs |
Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw netwerkverkeer in de cloud te beveiligen dat is bestemd voor internet. |
Azure Virtual WAN Routing Intent and Policies (Intentie en beleid voor Azure Virtual WAN-routering) |
Met deze sjabloon wordt een Azure-Virtual WAN met twee hubs met de functie Routeringsintentie en Beleid ingeschakeld. |
Terraform-resourcedefinitie (AzAPI-provider)
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2021-08-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxySettings = {
enableExplicitProxy = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Eigenschapswaarden
firewallBeleid
Naam | Description | Waarde |
---|---|---|
type | Het resourcetype | "Microsoft.Network/firewallPolicies@2021-08-01" |
naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
location | Resourcelocatie. | tekenreeks |
parent_id | Als u wilt implementeren in een resourcegroep, gebruikt u de id van die resourcegroep. | tekenreeks (vereist) |
tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. |
identity | De identiteit van het firewallbeleid. | ManagedServiceIdentity |
properties | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Naam | Description | Waarde |
---|---|---|
type | Het type identiteit dat voor de resource wordt gebruikt. Het type 'SystemAssigned, UserAssigned' bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type 'Geen' worden alle identiteiten van de virtuele machine verwijderd. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
identity_ids | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen naar de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | Matrix met gebruikersidentiteits-id's. |
ManagedServiceIdentityUserAssignedId-entiteiten
Naam | Description | Waarde |
---|---|---|
{aangepaste eigenschap} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Dit object bevat geen eigenschappen die tijdens de implementatie moeten worden ingesteld. Alle eigenschappen zijn ReadOnly.
FirewallPolicyPropertiesFormat
Naam | Description | Waarde |
---|---|---|
basePolicy | Het bovenliggende firewallbeleid waarvan regels worden overgenomen. | SubResource |
dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
explicitProxySettings | Definitie van expliciete proxy-instellingen. | ExplicitProxySettings |
inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights |
intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection |
sku | De firewallbeleids-SKU. | FirewallPolicySku |
snat | De privé-IP-adressen/IP-bereiken waarvoor het verkeer geen SNAT is. | FirewallPolicySnat |
sql | Definitie van SQL-instellingen. | FirewallPolicySQL |
threatIntelMode | De bewerkingsmodus voor Bedreigingsinformatie. | "Waarschuwing" "Weigeren" "Uit" |
threatIntelWhitelist | ThreatIntel Allowlist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
transportBeveiliging | Definitie van TLS-configuratie. | FirewallPolicyTransportSecurity |
SubResource
Naam | Description | Waarde |
---|---|---|
id | Resource-id. | tekenreeks |
DnsSettings
Naam | Description | Waarde |
---|---|---|
enableProxy | Dns-proxy inschakelen voor firewalls die zijn gekoppeld aan het firewallbeleid. | booleaans |
requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze is ingesteld op waar. | booleaans |
Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxySettings
Naam | Description | Waarde |
---|---|---|
enableExplicitProxy | Als dit is ingesteld op waar, is de expliciete proxymodus ingeschakeld. | booleaans |
httpPort | Het poortnummer voor expliciet http-protocol van de proxy mag niet groter zijn dan 64000. | int Beperkingen: Minimumwaarde = 0 Maximale waarde = 64000 |
httpsPort | Het poortnummer voor expliciet proxy-HTTPS-protocol mag niet groter zijn dan 64000. | int Beperkingen: Minimumwaarde = 0 Maximale waarde = 64000 |
pacFile | SAS-URL voor PAC-bestand. | tekenreeks |
pacFilePort | Poortnummer voor firewall voor pac-bestand. | int Beperkingen: Minimumwaarde = 0 Maximale waarde = 64000 |
FirewallPolicyInsights
Naam | Description | Waarde |
---|---|---|
isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | booleaans |
logAnalyticsResources | Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. | FirewallPolicyLogAnalyticsResources |
retentionDays | Aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | int |
FirewallPolicyLogAnalyticsResources
Naam | Description | Waarde |
---|---|---|
defaultWorkspaceId | De standaardwerkruimte-id voor inzichten in firewallbeleid. | Subresource |
workspaces | Lijst met werkruimten voor inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Naam | Description | Waarde |
---|---|---|
regio | Regio om de werkruimte te configureren. | tekenreeks |
workspaceId | De werkruimte-id voor inzichten in firewallbeleid. | Subresource |
FirewallPolicyIntrusionDetection
Naam | Description | Waarde |
---|---|---|
configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Algemene status van inbraakdetectie. | "Waarschuwing" "Weigeren" "Uit" |
FirewallPolicyIntrusionDetectionConfiguration
Naam | Description | Waarde |
---|---|---|
bypassTrafficSettings | Lijst met regels voor het omzeilen van verkeer. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Privé-IP-adresbereiken van IDPS worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken die zijn gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
signatureOverrides | Lijst met specifieke handtekeningstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Naam | Description | Waarde |
---|---|---|
beschrijving | Beschrijving van de regel voor het omzeilen van verkeer. | tekenreeks |
destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
destinationIpGroups | Lijst met ip-doelgroepen voor deze regel. | tekenreeks[] |
destinationPorts | Lijst met doelpoorten of bereiken. | tekenreeks[] |
naam | Naam van de regel voor het omzeilen van verkeer. | tekenreeks |
protocol | Het protocol voor het omzeilen van de regel. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lijst met bron-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Naam | Description | Waarde |
---|---|---|
id | Handtekening-id. | tekenreeks |
mode | De handtekeningstatus. | "Waarschuwing" "Weigeren" "Uit" |
FirewallPolicySku
Naam | Description | Waarde |
---|---|---|
laag | Laag van firewallbeleid. | "Basis" "Premium" "Standaard" |
FirewallPolicySnat
Naam | Description | Waarde |
---|---|---|
privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken die geen SNAT mogen zijn. | tekenreeks[] |
FirewallPolicySQL
Naam | Description | Waarde |
---|---|---|
allowSqlRedirect | Een vlag om aan te geven of verkeerfiltering voor SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist via poort 11000-11999. | booleaans |
FirewallPolicyThreatIntelWhitelist
Naam | Description | Waarde |
---|---|---|
Fqdn | Lijst met FQDN's voor de ThreatIntel Allowlist. | tekenreeks[] |
ipAddresses | Lijst met IP-adressen voor de Acceptatielijst van ThreatIntel. | tekenreeks[] |
FirewallPolicyTransportSecurity
Naam | Description | Waarde |
---|---|---|
certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Naam | Description | Waarde |
---|---|---|
keyVaultSecretId | Geheime id van (base-64 gecodeerd niet-versleuteld pfx)-object 'Geheim' of 'Certificaat' dat is opgeslagen in KeyVault. | tekenreeks |
naam | Naam van het CA-certificaat. | tekenreeks |
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor