Microsoft.Network firewallPolicies 2021-03-01
Definicja zasobu Bicep
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2021-03-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxySettings: {
enableExplicitProxy: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Wartości właściwości
firewallPolicies
Nazwa | Opis | Wartość |
---|---|---|
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
identity | Tożsamość zasad zapory. | ManagedServiceIdentity |
properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
basePolicy | Nadrzędne zasady zapory, z których reguły są dziedziczone. | Podźródło |
dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
explicitProxySettings | Definicja jawnych ustawień serwera proxy. | ExplicitProxySettings |
szczegółowe informacje | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie portem SNAT. | FirewallPolicySnat |
sql | Definicja ustawień SQL. | FirewallPolicySQL |
threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy (Lista dozwolonych zagrożeń dla zasad zapory). | FirewallPolicyThreatIntelWhitelist |
transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
Nazwa | Opis | Wartość |
---|---|---|
enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
requireProxyForNetworkRules | Nazwy FQDN w regułach sieci są obsługiwane po ustawieniu wartości true. | bool |
Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
ExplicitProxySettings
Nazwa | Opis | Wartość |
---|---|---|
enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
httpsPort | Numer portu dla jawnego protokołu https serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
FirewallPolicyInsights
Nazwa | Opis | Wartość |
---|---|---|
Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
retentionDays | Liczba dni, w których szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
Nazwa | Opis | Wartość |
---|---|---|
defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nazwa | Opis | Wartość |
---|---|---|
region | Region umożliwiający skonfigurowanie obszaru roboczego. | ciąg |
workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
Nazwa | Opis | Wartość |
---|---|---|
konfiguracja | Właściwości konfiguracji wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetectionConfiguration |
tryb | Stan ogólny wykrywania nieautoryzowanego dostępu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionConfiguration
Nazwa | Opis | Wartość |
---|---|---|
bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nazwa | Opis | Wartość |
---|---|---|
description (opis) | Opis reguły pomijania ruchu. | ciąg |
destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
name | Nazwa reguły ruchu pomijania. | ciąg |
Protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator podpisu. | ciąg |
tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
Nazwa | Opis | Wartość |
---|---|---|
tier | Warstwa zasad zapory. | "Premium" "Standardowa" |
FirewallPolicySnat
Nazwa | Opis | Wartość |
---|---|---|
privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
Nazwa | Opis | Wartość |
---|---|---|
allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nazwa | Opis | Wartość |
---|---|---|
Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
Nazwa | Opis | Wartość |
---|---|---|
certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nazwa | Opis | Wartość |
---|---|---|
keyVaultSecretId | Tajny identyfikator obiektu (base-64 zakodowany niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Template | Opis |
---|---|
Używanie Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną piasty za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Twórca zaporę i zaporęZasady z regułami i grupami Ip |
Ten szablon wdraża Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do Grupy IP w regułach aplikacji i sieci. |
Twórca zapory FirewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi z grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Twórca zapory z zasadami FirewallPolicy i IpGroups |
Ten szablon tworzy Azure Firewall z regułami sieci zapory i grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Środowisko testowe dla Azure Firewall Premium |
Ten szablon tworzy zasady Azure Firewall Premium i Zapory z funkcjami w warstwie Premium, takimi jak wykrywanie inspekcji włamania (IDPS), inspekcja protokołu TLS i filtrowanie kategorii sieci Web |
Twórca konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Ponadto tworzy zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
Intencje i zasady routingu usługi Azure Virtual WAN |
Ten szablon aprowizuje Virtual WAN Platformy Azure z dwoma centrami z włączoną funkcją Intencja routingu i Zasady. |
Definicja zasobu szablonu usługi ARM
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2021-03-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxySettings": {
"enableExplicitProxy": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Wartości właściwości
firewallPolicies
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.Network/firewallPolicies" |
apiVersion | Wersja interfejsu API zasobów | '2021-03-01' |
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
identity | Tożsamość zasad zapory. | ManagedServiceIdentity |
properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
basePolicy | Nadrzędne zasady zapory, z których reguły są dziedziczone. | Podźródło |
dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
explicitProxySettings | Definicja jawnych ustawień serwera proxy. | ExplicitProxySettings |
szczegółowe informacje | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat |
sql | Definicja ustawień SQL. | FirewallPolicySQL |
threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
threatIntelWhitelist | Lista dozwolonych aplikacji ThreatIntel dla zasad zapory. | FirewallPolicyThreatIntelWhitelist |
transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
Nazwa | Opis | Wartość |
---|---|---|
enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | bool |
Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
ExplicitProxySettings
Nazwa | Opis | Wartość |
---|---|---|
enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
FirewallPolicyInsights
Nazwa | Opis | Wartość |
---|---|---|
Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
retentionDays | Liczba dni, w których szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
Nazwa | Opis | Wartość |
---|---|---|
defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nazwa | Opis | Wartość |
---|---|---|
region | Region umożliwiający skonfigurowanie obszaru roboczego. | ciąg |
workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
Nazwa | Opis | Wartość |
---|---|---|
konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
tryb | Ogólny stan wykrywania włamań. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionConfiguration
Nazwa | Opis | Wartość |
---|---|---|
bypassTrafficSettings | Lista reguł dla ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nazwa | Opis | Wartość |
---|---|---|
description (opis) | Opis reguły ruchu pominięcia. | ciąg |
destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
name | Nazwa reguły ruchu pomijania. | ciąg |
Protokół | Protokół obejścia reguły. | "DOWOLNY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator podpisu. | ciąg |
tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
Nazwa | Opis | Wartość |
---|---|---|
tier | Warstwa zasad zapory. | "Premium" "Standardowa" |
FirewallPolicySnat
Nazwa | Opis | Wartość |
---|---|---|
privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
Nazwa | Opis | Wartość |
---|---|---|
allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nazwa | Opis | Wartość |
---|---|---|
Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
ipAddresses | Lista adresów IP listy dozwolonych threatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
Nazwa | Opis | Wartość |
---|---|---|
certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nazwa | Opis | Wartość |
---|---|---|
keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Template | Opis |
---|---|
Używanie Azure Firewall jako serwera proxy DNS w topologii piasty & szprych |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnej. |
Twórca zaporę i zaporęPolicy z regułami i grupami ip |
Ten szablon wdraża Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do Grupy IP w regułach aplikacji i sieci. |
Twórca zapory, firewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi przy użyciu grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej przesiadkowej z systemem Linux |
Twórca zaporę z zaporąPolicy i IpGroups |
Ten szablon tworzy Azure Firewall za pomocą zasad zapory odwołującej się do reguł sieciowych z grupami IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej przesiadkowej z systemem Linux |
Środowisko testowania dla Azure Firewall Premium |
Ten szablon tworzy zasady Azure Firewall Premium i Zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii sieci Web |
Twórca konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsieć serwera, podsiecią przesiadkową i podsiecią AzureFirewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Tworzy również zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
Intencje i zasady routingu usługi Azure Virtual WAN |
Ten szablon aprowizuje usługę Azure Virtual WAN z dwoma centrami z włączoną funkcją Intencja routingu i zasady. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2021-03-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxySettings = {
enableExplicitProxy = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Wartości właściwości
firewallPolicies
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.Network/firewallPolicies@2021-03-01" |
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Zakończ alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
parent_id | Aby wdrożyć w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. |
identity | Tożsamość zasad zapory. | Identyfikator usługi zarządzanej |
properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
Identyfikator usługi zarządzanej
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie tożsamości z maszyny wirtualnej. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
identity_ids | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | Tablica identyfikatorów tożsamości użytkownika. |
ManagedServiceIdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | Podźródło |
dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
explicitProxySettings | Jawna definicja ustawień serwera proxy. | ExplicitProxySettings |
szczegółowe informacje | Szczegółowe informacje na temat zasad zapory. | FirewallPolicyInsights |
intrusionDetection | Konfiguracja wykrywania włamań. | FirewallPolicyIntrusionDetection |
sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie portem SNAT. | FirewallPolicySnat |
sql | Definicja ustawień SQL. | FirewallPolicySQL |
threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy (Lista dozwolonych zagrożeń dla zasad zapory). | FirewallPolicyThreatIntelWhitelist |
transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
Nazwa | Opis | Wartość |
---|---|---|
enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
requireProxyForNetworkRules | Nazwy FQDN w regułach sieci są obsługiwane po ustawieniu wartości true. | bool |
Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
ExplicitProxySettings
Nazwa | Opis | Wartość |
---|---|---|
enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
httpsPort | Numer portu dla jawnego protokołu https serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
FirewallPolicyInsights
Nazwa | Opis | Wartość |
---|---|---|
Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
retentionDays | Liczba dni, w których szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
Nazwa | Opis | Wartość |
---|---|---|
defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nazwa | Opis | Wartość |
---|---|---|
region | Region umożliwiający skonfigurowanie obszaru roboczego. | ciąg |
workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
Nazwa | Opis | Wartość |
---|---|---|
konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
tryb | Ogólny stan wykrywania włamań. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionConfiguration
Nazwa | Opis | Wartość |
---|---|---|
bypassTrafficSettings | Lista reguł dla ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nazwa | Opis | Wartość |
---|---|---|
description (opis) | Opis reguły ruchu pominięcia. | ciąg |
destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
name | Nazwa reguły ruchu pomijania. | ciąg |
Protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator podpisu. | ciąg |
tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
Nazwa | Opis | Wartość |
---|---|---|
tier | Warstwa zasad zapory. | "Premium" "Standardowa" |
FirewallPolicySnat
Nazwa | Opis | Wartość |
---|---|---|
privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
Nazwa | Opis | Wartość |
---|---|---|
allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nazwa | Opis | Wartość |
---|---|---|
Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
Nazwa | Opis | Wartość |
---|---|---|
certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nazwa | Opis | Wartość |
---|---|---|
keyVaultSecretId | Tajny identyfikator obiektu (base-64 zakodowany niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla