Microsoft.Network firewallPolicies 2023-05-01
Definicja zasobu Bicep
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-05-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Wartości właściwości
firewallPolicies
Nazwa | Opis | Wartość |
---|---|---|
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Zakończ alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
identity | Tożsamość zasad zapory. | Identyfikator usługi zarządzanej |
properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
Identyfikator usługi zarządzanej
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | Podźródło |
dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
explicitProxy | Jawna definicja ustawień serwera proxy. | Jawneproxy |
szczegółowe informacje | Szczegółowe informacje na temat zasad zapory. | FirewallPolicyInsights |
intrusionDetection | Konfiguracja wykrywania włamań. | FirewallPolicyIntrusionDetection |
sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie portem SNAT. | FirewallPolicySnat |
sql | Definicja ustawień SQL. | FirewallPolicySQL |
threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy (Lista dozwolonych zagrożeń dla zasad zapory). | FirewallPolicyThreatIntelWhitelist |
transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
Nazwa | Opis | Wartość |
---|---|---|
enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
requireProxyForNetworkRules | Nazwy FQDN w regułach sieci są obsługiwane po ustawieniu wartości true. | bool |
Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
Jawneproxy
Nazwa | Opis | Wartość |
---|---|---|
enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
enablePacFile | Po ustawieniu wartości true należy podać port pliku pac i adres URL. | bool |
httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
httpsPort | Numer portu dla jawnego protokołu https serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
FirewallPolicyInsights
Nazwa | Opis | Wartość |
---|---|---|
Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
retentionDays | Liczba dni, w których szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
Nazwa | Opis | Wartość |
---|---|---|
defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nazwa | Opis | Wartość |
---|---|---|
region | Region umożliwiający skonfigurowanie obszaru roboczego. | ciąg |
workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
Nazwa | Opis | Wartość |
---|---|---|
konfiguracja | Właściwości konfiguracji wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetectionConfiguration |
tryb | Stan ogólny wykrywania nieautoryzowanego dostępu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionConfiguration
Nazwa | Opis | Wartość |
---|---|---|
bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są traktowane jako prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg[] |
signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nazwa | Opis | Wartość |
---|---|---|
description (opis) | Opis reguły pomijania ruchu. | ciąg |
destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
name | Nazwa reguły ruchu pomijania. | ciąg |
Protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator podpisu. | ciąg |
tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
Nazwa | Opis | Wartość |
---|---|---|
tier | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
Nazwa | Opis | Wartość |
---|---|---|
autoLearnPrivateRanges | Tryb działania automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
Nazwa | Opis | Wartość |
---|---|---|
allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nazwa | Opis | Wartość |
---|---|---|
Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
Nazwa | Opis | Wartość |
---|---|---|
certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nazwa | Opis | Wartość |
---|---|---|
keyVaultSecretId | Tajny identyfikator obiektu (base-64 zakodowany niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Template | Opis |
---|---|
Używanie Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną piasty za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Twórca zaporę i zaporęZasady z regułami i grupami Ip |
Ten szablon wdraża Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do Grupy IP w regułach aplikacji i sieci. |
Twórca zapory FirewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi z grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Twórca zapory z zasadami FirewallPolicy i IpGroups |
Ten szablon tworzy Azure Firewall z regułami sieci zapory i grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
Środowisko testowe dla Azure Firewall Premium |
Ten szablon tworzy zasady Azure Firewall Premium i Zapory z funkcjami w warstwie Premium, takimi jak wykrywanie inspekcji włamania (IDPS), inspekcja protokołu TLS i filtrowanie kategorii sieci Web |
Twórca konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Ponadto tworzy zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
Intencje i zasady routingu usługi Azure Virtual WAN |
Ten szablon aprowizuje Virtual WAN Platformy Azure z dwoma centrami z włączoną funkcją Intencja routingu i Zasady. |
Definicja zasobu szablonu usługi ARM
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-05-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Wartości właściwości
firewallPolicies
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.Network/firewallPolicies" |
apiVersion | Wersja interfejsu API zasobów | '2023-05-01' |
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
identity | Tożsamość zasad zapory. | ManagedServiceIdentity |
properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | Podźródło |
dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
explicitProxy | Jawna definicja ustawień serwera proxy. | Jawneproxy |
szczegółowe informacje | Szczegółowe informacje na temat zasad zapory. | FirewallPolicyInsights |
intrusionDetection | Konfiguracja wykrywania włamań. | FirewallPolicyIntrusionDetection |
sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie portem SNAT. | FirewallPolicySnat |
sql | Definicja ustawień SQL. | FirewallPolicySQL |
threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy (Lista dozwolonych zagrożeń dla zasad zapory). | FirewallPolicyThreatIntelWhitelist |
transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
Nazwa | Opis | Wartość |
---|---|---|
enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
requireProxyForNetworkRules | Nazwy FQDN w regułach sieci są obsługiwane po ustawieniu wartości true. | bool |
Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
Jawneproxy
Nazwa | Opis | Wartość |
---|---|---|
enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
enablePacFile | Po ustawieniu wartości true należy podać port pliku pac i adres URL. | bool |
httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
httpsPort | Numer portu dla jawnego protokołu https serwera proxy nie może być większy niż 64000. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
FirewallPolicyInsights
Nazwa | Opis | Wartość |
---|---|---|
Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
Nazwa | Opis | Wartość |
---|---|---|
defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nazwa | Opis | Wartość |
---|---|---|
region | Region do skonfigurowania obszaru roboczego. | ciąg |
workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
Nazwa | Opis | Wartość |
---|---|---|
konfiguracja | Właściwości konfiguracji wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetectionConfiguration |
tryb | Stan ogólny wykrywania nieautoryzowanego dostępu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionConfiguration
Nazwa | Opis | Wartość |
---|---|---|
bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są traktowane jako prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg[] |
signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nazwa | Opis | Wartość |
---|---|---|
description (opis) | Opis reguły pomijania ruchu. | ciąg |
destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
name | Nazwa reguły ruchu pomijania. | ciąg |
Protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator podpisu. | ciąg |
tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
Nazwa | Opis | Wartość |
---|---|---|
tier | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
Nazwa | Opis | Wartość |
---|---|---|
autoLearnPrivateRanges | Tryb operacji automatycznego uczenia się zakresów prywatnych, aby nie był protokołem SNAT | "Wyłączone" "Włączone" |
privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
Nazwa | Opis | Wartość |
---|---|---|
allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nazwa | Opis | Wartość |
---|---|---|
Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
ipAddresses | Lista adresów IP listy dozwolonych threatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
Nazwa | Opis | Wartość |
---|---|---|
certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nazwa | Opis | Wartość |
---|---|---|
keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
Template | Opis |
---|---|
Używanie Azure Firewall jako serwera proxy DNS w topologii piasty & szprych |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnej. |
Twórca zaporę i zaporęPolicy z regułami i grupami ip |
Ten szablon wdraża Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do Grupy IP w regułach aplikacji i sieci. |
Twórca zapory, firewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi przy użyciu grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej przesiadkowej z systemem Linux |
Twórca zaporę z zaporąPolicy i IpGroups |
Ten szablon tworzy Azure Firewall za pomocą zasad zapory odwołującej się do reguł sieciowych z grupami IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej przesiadkowej z systemem Linux |
Środowisko testowania dla Azure Firewall Premium |
Ten szablon tworzy zasady Azure Firewall Premium i Zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii sieci Web |
Twórca konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsieć serwera, podsiecią przesiadkową i podsiecią AzureFirewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Tworzy również zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
Intencje i zasady routingu usługi Azure Virtual WAN |
Ten szablon aprowizuje usługę Azure Virtual WAN z dwoma centrami z włączoną funkcją Intencja routingu i zasady. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-05-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Wartości właściwości
firewallPolicies
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ zasobu | "Microsoft.Network/firewallPolicies@2023-05-01" |
name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Zakończ alfanumeryczne lub podkreślenie. |
location | Lokalizacja zasobu. | ciąg |
parent_id | Aby wdrożyć w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
tags | Tagi zasobów. | Słownik nazw tagów i wartości. |
identity | Tożsamość zasad zapory. | Identyfikator usługi zarządzanej |
properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
Identyfikator usługi zarządzanej
Nazwa | Opis | Wartość |
---|---|---|
typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie tożsamości z maszyny wirtualnej. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
identity_ids | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | Tablica identyfikatorów tożsamości użytkownika. |
ManagedServiceIdentityUserAssignedIdentities
Nazwa | Opis | Wartość |
---|---|---|
{niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
Nazwa | Opis | Wartość |
---|---|---|
basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | Podźródło |
dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
explicitProxy | Jawna definicja ustawień serwera proxy. | Jawneproxy |
szczegółowe informacje | Szczegółowe informacje na temat zasad zapory. | FirewallPolicyInsights |
intrusionDetection | Konfiguracja wykrywania włamań. | FirewallPolicyIntrusionDetection |
sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie portem SNAT. | FirewallPolicySnat |
sql | Definicja ustawień SQL. | FirewallPolicySQL |
threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy (Lista dozwolonych zagrożeń dla zasad zapory). | FirewallPolicyThreatIntelWhitelist |
transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
Nazwa | Opis | Wartość |
---|---|---|
enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | bool |
Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
Jawneproxy
Nazwa | Opis | Wartość |
---|---|---|
enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
enablePacFile | W przypadku ustawienia wartości true należy podać port i adres URL pliku pac. | bool |
httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
FirewallPolicyInsights
Nazwa | Opis | Wartość |
---|---|---|
Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
Nazwa | Opis | Wartość |
---|---|---|
defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nazwa | Opis | Wartość |
---|---|---|
region | Region do skonfigurowania obszaru roboczego. | ciąg |
workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
Nazwa | Opis | Wartość |
---|---|---|
konfiguracja | Właściwości konfiguracji wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetectionConfiguration |
tryb | Stan ogólny wykrywania nieautoryzowanego dostępu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionConfiguration
Nazwa | Opis | Wartość |
---|---|---|
bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są traktowane jako prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg[] |
signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nazwa | Opis | Wartość |
---|---|---|
description (opis) | Opis reguły pomijania ruchu. | ciąg |
destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
name | Nazwa reguły ruchu pomijania. | ciąg |
Protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nazwa | Opis | Wartość |
---|---|---|
identyfikator | Identyfikator podpisu. | ciąg |
tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
Nazwa | Opis | Wartość |
---|---|---|
tier | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
Nazwa | Opis | Wartość |
---|---|---|
autoLearnPrivateRanges | Tryb działania automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
Nazwa | Opis | Wartość |
---|---|---|
allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nazwa | Opis | Wartość |
---|---|---|
Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
Nazwa | Opis | Wartość |
---|---|---|
certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nazwa | Opis | Wartość |
---|---|---|
keyVaultSecretId | Tajny identyfikator obiektu (base-64 zakodowany niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |