Microsoft.Network firewallPolicies
Bicep-resourcedefinitie
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor resourcegroepimplementatie
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Eigenschapswaarden
firewallBeleid
| Naam | Description | Waarde |
|---|---|---|
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
| location | Resourcelocatie. | tekenreeks |
| tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. Tags in sjablonen bekijken |
| identity | De identiteit van het firewallbeleid. | ManagedServiceIdentity |
| properties | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Naam | Description | Waarde |
|---|---|---|
| type | Het type identiteit dat voor de resource wordt gebruikt. Het type 'SystemAssigned, UserAssigned' bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type 'Geen' worden alle identiteiten van de virtuele machine verwijderd. | 'Geen' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen naar de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | object |
FirewallPolicyPropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| basePolicy | Het bovenliggende firewallbeleid waarvan regels worden overgenomen. | SubResource |
| dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
| explicitProxy | Definitie van expliciete proxy-instellingen. | ExplicitProxy |
| inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights |
| intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection |
| sku | De firewallbeleids-SKU. | FirewallPolicySku |
| snat | De privé-IP-adressen/IP-bereiken waarvoor het verkeer geen SNAT is. | FirewallPolicySnat |
| sql | Definitie van SQL-instellingen. | FirewallPolicySQL |
| threatIntelMode | De bewerkingsmodus voor Bedreigingsinformatie. | 'Waarschuwing' Weigeren 'Uit' |
| threatIntelWhitelist | ThreatIntel Allowlist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
| transportBeveiliging | Definitie van TLS-configuratie. | FirewallPolicyTransportSecurity |
SubResource
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
DnsSettings
| Naam | Description | Waarde |
|---|---|---|
| enableProxy | Dns-proxy inschakelen voor firewalls die zijn gekoppeld aan het firewallbeleid. | booleaans |
| requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze zijn ingesteld op true. | booleaans |
| Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxy
| Naam | Description | Waarde |
|---|---|---|
| enableExplicitProxy | Als deze optie is ingesteld op true, is de expliciete proxymodus ingeschakeld. | booleaans |
| enablePacFile | Als deze optie is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. | booleaans |
| httpPort | Het poortnummer voor expliciet http-protocol voor de proxy mag niet groter zijn dan 64000. | int |
| httpsPort | Het poortnummer voor expliciet proxy-HTTPS-protocol mag niet groter zijn dan 64000. | int |
| pacFile | SAS-URL voor PAC-bestand. | tekenreeks |
| pacFilePort | Poortnummer voor firewall voor PAC-bestand. | int |
FirewallPolicyInsights
| Naam | Description | Waarde |
|---|---|---|
| isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | booleaans |
| logAnalyticsResources | Werkruimten die nodig zijn voor het configureren van de inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | int |
FirewallPolicyLogAnalyticsResources
| Naam | Description | Waarde |
|---|---|---|
| defaultWorkspaceId | De standaardwerkruimte-id voor Inzichten in firewallbeleid. | SubResource |
| workspaces | Lijst met werkruimten voor inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Naam | Description | Waarde |
|---|---|---|
| regio | Regio voor het configureren van de werkruimte. | tekenreeks |
| workspaceId | De werkruimte-id voor Inzichten in firewallbeleid. | SubResource |
FirewallPolicyIntrusionDetection
| Naam | Description | Waarde |
|---|---|---|
| configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Algemene status van inbraakdetectie. | 'Waarschuwing' Weigeren 'Uit' |
FirewallPolicyIntrusionDetectionConfiguration
| Naam | Description | Waarde |
|---|---|---|
| bypassTrafficSettings | Lijst met regels voor het omzeilen van verkeer. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Privé-IP-adresbereiken van IDPS worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken die zijn gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
| signatureOverrides | Lijst met specifieke handtekeningstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Naam | Description | Waarde |
|---|---|---|
| beschrijving | Beschrijving van de regel voor het omzeilen van verkeer. | tekenreeks |
| destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
| destinationIpGroups | Lijst met ip-doelgroepen voor deze regel. | tekenreeks[] |
| destinationPorts | Lijst met doelpoorten of bereiken. | tekenreeks[] |
| naam | Naam van de regel voor het omzeilen van verkeer. | tekenreeks |
| protocol | Het protocol voor het omzeilen van de regel. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Lijst met bron-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
| sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Naam | Description | Waarde |
|---|---|---|
| id | Handtekening-id. | tekenreeks |
| mode | De handtekeningstatus. | 'Waarschuwing' 'Weigeren' 'Uit' |
FirewallPolicySku
| Naam | Description | Waarde |
|---|---|---|
| laag | Laag van firewallbeleid. | 'Basic' 'Premium' 'Standaard' |
FirewallPolicySnat
| Naam | Description | Waarde |
|---|---|---|
| autoLearnPrivateRanges | De bewerkingsmodus voor het automatisch leren van privébereiken die geen SNAT zijn | 'Uitgeschakeld' Ingeschakeld |
| privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken die geen SNAT mogen zijn. | tekenreeks[] |
FirewallPolicySQL
| Naam | Description | Waarde |
|---|---|---|
| allowSqlRedirect | Een vlag om aan te geven of verkeerfiltering voor SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist via poort 11000-11999. | booleaans |
FirewallPolicyThreatIntelWhitelist
| Naam | Description | Waarde |
|---|---|---|
| Fqdn | Lijst met FQDN's voor de ThreatIntel Allowlist. | tekenreeks[] |
| ipAddresses | Lijst met IP-adressen voor de Acceptatielijst van ThreatIntel. | tekenreeks[] |
FirewallPolicyTransportSecurity
| Naam | Description | Waarde |
|---|---|---|
| certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Naam | Description | Waarde |
|---|---|---|
| keyVaultSecretId | Geheime id van (base-64 gecodeerd niet-versleuteld pfx)-object 'Geheim' of 'Certificaat' dat is opgeslagen in KeyVault. | tekenreeks |
| naam | Naam van het CA-certificaat. | tekenreeks |
Snelstartsjablonen
Met de volgende snelstartsjablonen wordt dit resourcetype geïmplementeerd.
| Template | Beschrijving |
|---|---|
Gebruik Azure Firewall als DNS-proxy in een Hub & Spoke-topologie |
In dit voorbeeld ziet u hoe u een hub-spoke-topologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal verbindingspunt voor veel virtuele spoke-netwerken die zijn verbonden met het virtuele hubnetwerk via peering van virtuele netwerken. |
| Een firewall en firewallbeleid maken met regels en IP-groepen |
Met deze sjabloon wordt een Azure Firewall geïmplementeerd met firewallbeleid (inclusief meerdere toepassings- en netwerkregels) die verwijst naar IP-groepen in toepassings- en netwerkregels. |
| Een firewall maken, firewallbeleid met expliciete proxy |
Met deze sjabloon maakt u een Azure Firewall FirewalllPolicy met expliciete proxy en netwerkregels met IpGroups. Bevat ook de installatie van een Linux Jumpbox-VM |
| Een firewall maken met FirewallPolicy en IpGroups |
Met deze sjabloon maakt u een Azure Firewall met FirewalllPolicy die verwijst naar netwerkregels met IpGroups. Bevat ook de installatie van een Linux Jumpbox-VM |
| Testomgeving voor Azure Firewall Premium |
Met deze sjabloon maakt u een Azure Firewall Premium- en firewallbeleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorieën |
| Een sandbox-installatie maken met firewallbeleid |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, een UDR-route die verwijst naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen. Maakt ook een firewallbeleid met 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
| Beveiligde virtuele hubs |
Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw netwerkverkeer in de cloud te beveiligen dat is bestemd voor internet. |
| Azure Virtual WAN Routing Intent and Policies (Intentie en beleid voor Azure Virtual WAN-routering) |
Met deze sjabloon wordt een Azure-Virtual WAN met twee hubs met de functie Routeringsintentie en Beleid ingeschakeld. |
Resourcedefinitie van ARM-sjabloon
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor resourcegroepimplementatie
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende JSON toe aan uw sjabloon.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Eigenschapswaarden
firewallBeleid
| Naam | Description | Waarde |
|---|---|---|
| type | Het resourcetype | 'Microsoft.Network/firewallPolicies' |
| apiVersion | De resource-API-versie | '2023-04-01' |
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
| location | Resourcelocatie. | tekenreeks |
| tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. Tags in sjablonen bekijken |
| identity | De identiteit van het firewallbeleid. | ManagedServiceIdentity |
| properties | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Naam | Description | Waarde |
|---|---|---|
| type | Het type identiteit dat voor de resource wordt gebruikt. Het type 'SystemAssigned, UserAssigned' omvat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type 'Geen' worden alle identiteiten van de virtuele machine verwijderd. | 'Geen' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen naar de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | object |
FirewallPolicyPropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| basePolicy | Het bovenliggende firewallbeleid waarvan regels worden overgenomen. | Subresource |
| dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
| explicitProxy | Definitie van expliciete proxyinstellingen. | ExplicitProxy |
| inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights |
| intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection |
| sku | De firewallbeleids-SKU. | FirewallPolicySku |
| snat | De privé-IP-adressen/IP-bereiken waarvoor verkeer niet SNAT is. | FirewallPolicySnat |
| sql | Definitie van SQL-instellingen. | FirewallPolicySQL |
| threatIntelMode | De bewerkingsmodus voor Bedreigingsinformatie. | 'Waarschuwing' 'Weigeren' 'Uit' |
| threatIntelWhitelist | ThreatIntel Allowlist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definitie van TLS-configuratie. | FirewallPolicyTransportSecurity |
Subresource
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
DnsSettings
| Naam | Description | Waarde |
|---|---|---|
| enableProxy | Dns-proxy inschakelen voor firewalls die zijn gekoppeld aan het firewallbeleid. | booleaans |
| requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze is ingesteld op waar. | booleaans |
| Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxy
| Naam | Description | Waarde |
|---|---|---|
| enableExplicitProxy | Als dit is ingesteld op waar, is de expliciete proxymodus ingeschakeld. | booleaans |
| enablePacFile | Als deze optie is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. | booleaans |
| httpPort | Het poortnummer voor expliciet http-protocol van de proxy mag niet groter zijn dan 64000. | int |
| httpsPort | Het poortnummer voor expliciet proxy-HTTPS-protocol mag niet groter zijn dan 64000. | int |
| pacFile | SAS-URL voor PAC-bestand. | tekenreeks |
| pacFilePort | Poortnummer voor firewall voor pac-bestand. | int |
FirewallPolicyInsights
| Naam | Description | Waarde |
|---|---|---|
| isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | booleaans |
| logAnalyticsResources | Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | int |
FirewallPolicyLogAnalyticsResources
| Naam | Description | Waarde |
|---|---|---|
| defaultWorkspaceId | De standaardwerkruimte-id voor inzichten in firewallbeleid. | Subresource |
| workspaces | Lijst met werkruimten voor inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Naam | Description | Waarde |
|---|---|---|
| regio | Regio om de werkruimte te configureren. | tekenreeks |
| workspaceId | De werkruimte-id voor Inzichten in firewallbeleid. | SubResource |
FirewallPolicyIntrusionDetection
| Naam | Description | Waarde |
|---|---|---|
| configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Algemene status van inbraakdetectie. | 'Waarschuwing' Weigeren 'Uit' |
FirewallPolicyIntrusionDetectionConfiguration
| Naam | Description | Waarde |
|---|---|---|
| bypassTrafficSettings | Lijst met regels voor het omzeilen van verkeer. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Privé-IP-adresbereiken van IDPS worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken die zijn gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
| signatureOverrides | Lijst met specifieke handtekeningstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Naam | Description | Waarde |
|---|---|---|
| beschrijving | Beschrijving van de regel voor het omzeilen van verkeer. | tekenreeks |
| destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
| destinationIpGroups | Lijst met doel-IpGroups voor deze regel. | tekenreeks[] |
| destinationPorts | Lijst met doelpoorten of -bereiken. | tekenreeks[] |
| naam | Naam van de regel voor het omzeilen van verkeer. | tekenreeks |
| protocol | Het protocol voor het omzeilen van regels. | 'ANY' ICMP 'TCP' UDP |
| sourceAddresses | Lijst met IP-bronadressen of -bereiken voor deze regel. | tekenreeks[] |
| sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Naam | Description | Waarde |
|---|---|---|
| id | Handtekening-id. | tekenreeks |
| mode | De handtekeningstatus. | 'Waarschuwing' Weigeren 'Uit' |
FirewallPolicySku
| Naam | Description | Waarde |
|---|---|---|
| laag | Laag van firewallbeleid. | 'Basic' Premium 'Standaard' |
FirewallPolicySnat
| Naam | Description | Waarde |
|---|---|---|
| autoLearnPrivateRanges | De bewerkingsmodus voor het automatisch leren van privébereiken om geen SNAT te zijn | 'Uitgeschakeld' Ingeschakeld |
| privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken die geen SNAT mogen zijn. | tekenreeks[] |
FirewallPolicySQL
| Naam | Description | Waarde |
|---|---|---|
| allowSqlRedirect | Een vlag om aan te geven of verkeerfiltering voor SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist die gebruikmaakt van poort 11000-11999. | booleaans |
FirewallPolicyThreatIntelWhitelist
| Naam | Description | Waarde |
|---|---|---|
| Fqdn | Lijst met FQDN's voor de ThreatIntel Allowlist. | tekenreeks[] |
| ipAddresses | Lijst met IP-adressen voor de ThreatIntel-acceptatielijst. | tekenreeks[] |
FirewallPolicyTransportSecurity
| Naam | Description | Waarde |
|---|---|---|
| certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Naam | Description | Waarde |
|---|---|---|
| keyVaultSecretId | Geheime id van (met base-64 gecodeerde niet-versleutelde pfx) 'Geheim' of 'Certificaat'-object dat is opgeslagen in KeyVault. | tekenreeks |
| naam | Naam van het CA-certificaat. | tekenreeks |
Snelstartsjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
| Template | Beschrijving |
|---|---|
| Azure Firewall gebruiken als EEN DNS-proxy in een Hub & Spoke-topologie |
In dit voorbeeld ziet u hoe u een hub-spoke-topologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal verbindingspunt voor veel virtuele spoke-netwerken die zijn verbonden met het virtuele netwerk van de hub via peering voor virtuele netwerken. |
| Een firewall en firewallbeleid maken met regels en IP-groepen |
Met deze sjabloon implementeert u een Azure Firewall met firewallbeleid (inclusief meerdere toepassings- en netwerkregels) die verwijzen naar IP-groepen in toepassings- en netwerkregels. |
| Een firewall maken, firewallbeleid met expliciete proxy |
Met deze sjabloon maakt u een Azure Firewall FirewalllPolicy met expliciete proxy en netwerkregels met IpGroups. Bevat ook een Installatie van een Linux Jumpbox-VM |
| Een firewall maken met FirewallPolicy en IpGroups |
Met deze sjabloon maakt u een Azure Firewall met FirewalllPolicy die verwijst naar netwerkregels met IpGroups. Bevat ook een Installatie van een Linux Jumpbox-VM |
| Testomgeving voor Azure Firewall Premium |
Met deze sjabloon maakt u een Azure Firewall Premium- en firewallbeleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie |
| Een sandbox-installatie maken met firewallbeleid |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met een openbaar IP-adres, een server-VM, een UDR-route om te verwijzen naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen. Maakt ook een firewallbeleid met 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
| Beveiligde virtuele hubs |
Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw netwerkverkeer in de cloud te beveiligen dat is bestemd voor internet. |
| Routeringsintentie en -beleid voor Azure Virtual WAN |
Met deze sjabloon wordt een Azure-Virtual WAN met twee hubs met de functie Routeringsintentie en Beleid ingeschakeld. |
Resourcedefinitie van Terraform (AzAPI-provider)
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Eigenschapswaarden
firewallBeleid
| Naam | Description | Waarde |
|---|---|---|
| type | Het resourcetype | "Microsoft.Network/firewallPolicies@2023-04-01" |
| naam | De resourcenaam | tekenreeks (vereist) Tekenlimiet: 1-80 Geldige tekens: Alfanumerieken, onderstrepingstekens, punten en afbreekstreepjes. Begin met alfanumeriek. Einde alfanumeriek of onderstrepingsteken. |
| location | Resourcelocatie. | tekenreeks |
| parent_id | Als u wilt implementeren in een resourcegroep, gebruikt u de id van die resourcegroep. | tekenreeks (vereist) |
| tags | Resourcetags. | Woordenlijst met tagnamen en -waarden. |
| identity | De identiteit van het firewallbeleid. | ManagedServiceIdentity |
| properties | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Naam | Description | Waarde |
|---|---|---|
| type | Het type identiteit dat voor de resource wordt gebruikt. Het type 'SystemAssigned, UserAssigned' bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type 'Geen' worden alle identiteiten van de virtuele machine verwijderd. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| identity_ids | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen naar de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | Matrix met gebruikersidentiteits-id's. |
FirewallPolicyPropertiesFormat
| Naam | Description | Waarde |
|---|---|---|
| basePolicy | Het bovenliggende firewallbeleid waarvan regels worden overgenomen. | SubResource |
| dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
| explicitProxy | Definitie van expliciete proxy-instellingen. | ExplicitProxy |
| inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights |
| intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection |
| sku | De firewallbeleids-SKU. | FirewallPolicySku |
| snat | De privé-IP-adressen/IP-bereiken waarvoor het verkeer geen SNAT is. | FirewallPolicySnat |
| sql | Definitie van SQL-instellingen. | FirewallPolicySQL |
| threatIntelMode | De bewerkingsmodus voor Bedreigingsinformatie. | "Waarschuwing" "Weigeren" "Uit" |
| threatIntelWhitelist | ThreatIntel Allowlist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
| transportBeveiliging | Definitie van TLS-configuratie. | FirewallPolicyTransportSecurity |
SubResource
| Naam | Description | Waarde |
|---|---|---|
| id | Resource-id. | tekenreeks |
DnsSettings
| Naam | Description | Waarde |
|---|---|---|
| enableProxy | Dns-proxy inschakelen voor firewalls die zijn gekoppeld aan het firewallbeleid. | booleaans |
| requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze zijn ingesteld op true. | booleaans |
| Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxy
| Naam | Description | Waarde |
|---|---|---|
| enableExplicitProxy | Als deze optie is ingesteld op true, is de expliciete proxymodus ingeschakeld. | booleaans |
| enablePacFile | Als deze optie is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. | booleaans |
| httpPort | Het poortnummer voor expliciet http-protocol voor de proxy mag niet groter zijn dan 64000. | int |
| httpsPort | Het poortnummer voor expliciet proxy-HTTPS-protocol mag niet groter zijn dan 64000. | int |
| pacFile | SAS-URL voor PAC-bestand. | tekenreeks |
| pacFilePort | Poortnummer voor firewall voor PAC-bestand. | int |
FirewallPolicyInsights
| Naam | Description | Waarde |
|---|---|---|
| isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | booleaans |
| logAnalyticsResources | Werkruimten die nodig zijn voor het configureren van de inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | int |
FirewallPolicyLogAnalyticsResources
| Naam | Description | Waarde |
|---|---|---|
| defaultWorkspaceId | De standaardwerkruimte-id voor Inzichten in firewallbeleid. | SubResource |
| workspaces | Lijst met werkruimten voor inzichten in firewallbeleid. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Naam | Description | Waarde |
|---|---|---|
| regio | Regio voor het configureren van de werkruimte. | tekenreeks |
| workspaceId | De werkruimte-id voor Inzichten in firewallbeleid. | SubResource |
FirewallPolicyIntrusionDetection
| Naam | Description | Waarde |
|---|---|---|
| configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Algemene status van inbraakdetectie. | "Waarschuwing" "Weigeren" "Uit" |
FirewallPolicyIntrusionDetectionConfiguration
| Naam | Description | Waarde |
|---|---|---|
| bypassTrafficSettings | Lijst met regels voor het omzeilen van verkeer. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Privé-IP-adresbereiken van IDPS worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken die zijn gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
| signatureOverrides | Lijst met specifieke handtekeningstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Naam | Description | Waarde |
|---|---|---|
| beschrijving | Beschrijving van de regel voor het omzeilen van verkeer. | tekenreeks |
| destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
| destinationIpGroups | Lijst met doel-IpGroups voor deze regel. | tekenreeks[] |
| destinationPorts | Lijst met doelpoorten of -bereiken. | tekenreeks[] |
| naam | Naam van de regel voor het omzeilen van verkeer. | tekenreeks |
| protocol | Het protocol voor het omzeilen van regels. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lijst met IP-bronadressen of -bereiken voor deze regel. | tekenreeks[] |
| sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Naam | Description | Waarde |
|---|---|---|
| id | Handtekening-id. | tekenreeks |
| mode | De handtekeningstatus. | "Waarschuwing" "Weigeren" "Uit" |
FirewallPolicySku
| Naam | Description | Waarde |
|---|---|---|
| laag | Laag van firewallbeleid. | "Basis" "Premium" "Standaard" |
FirewallPolicySnat
| Naam | Description | Waarde |
|---|---|---|
| autoLearnPrivateRanges | De bewerkingsmodus voor het automatisch leren van privébereiken die geen SNAT zijn | "Uitgeschakeld" "Ingeschakeld" |
| privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken die geen SNAT mogen zijn. | tekenreeks[] |
FirewallPolicySQL
| Naam | Description | Waarde |
|---|---|---|
| allowSqlRedirect | Een vlag om aan te geven of verkeerfiltering voor SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist via poort 11000-11999. | booleaans |
FirewallPolicyThreatIntelWhitelist
| Naam | Description | Waarde |
|---|---|---|
| Fqdn | Lijst met FQDN's voor de ThreatIntel Allowlist. | tekenreeks[] |
| ipAddresses | Lijst met IP-adressen voor de Acceptatielijst van ThreatIntel. | tekenreeks[] |
FirewallPolicyTransportSecurity
| Naam | Description | Waarde |
|---|---|---|
| certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Naam | Description | Waarde |
|---|---|---|
| keyVaultSecretId | Geheime id van (base-64 gecodeerd niet-versleuteld pfx)-object 'Geheim' of 'Certificaat' dat is opgeslagen in KeyVault. | tekenreeks |
| naam | Naam van het CA-certificaat. | tekenreeks |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor