Microsoft.Network firewallPolicies
Definicja zasobu Bicep
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-11-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Wartości właściwości
firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczne lub podkreślenie. |
| location | Lokalizacja zasobu. | ciąg |
| tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
| identity | Tożsamość zasad zapory. | ManagedServiceIdentity |
| properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|---|---|
| {niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których reguły są dziedziczone. | Podźródło |
| dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
| explicitProxy | Definicja jawnych ustawień serwera proxy. | Jawneproxy |
| szczegółowe informacje | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
| Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie portem SNAT. | FirewallPolicySnat |
| sql | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy (Lista dozwolonych zagrożeń dla zasad zapory). | FirewallPolicyThreatIntelWhitelist |
| transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieci są obsługiwane po ustawieniu wartości true. | bool |
| Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
| enablePacFile | Po ustawieniu wartości true należy podać port pliku pac i adres URL. | bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
| httpsPort | Numer portu dla jawnego protokołu https serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, w których szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region umożliwiający skonfigurowanie obszaru roboczego. | ciąg |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. W przypadku dołączenia do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu dostawcy tożsamości. Po dołączeniu do zasad nadrzędnych skuteczny profil zapory jest nazwą profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzone" "Standardowa" |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dla ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Zakresy prywatnych adresów IP dostawcy tożsamości służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są uznawane za prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg[] |
| signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nazwa | Opis | Wartość |
|---|---|---|
| description (opis) | Opis reguły ruchu pominięcia. | ciąg |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
| destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
| name | Nazwa reguły ruchu pomijania. | ciąg |
| Protokół | Protokół obejścia reguły. | "DOWOLNY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
| sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator podpisu. | ciąg |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| tier | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges | Tryb operacji automatycznego uczenia się zakresów prywatnych, aby nie był protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
| ipAddresses | Lista adresów IP listy dozwolonych threatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
| name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Template | Opis |
|---|---|
Używanie Azure Firewall jako serwera proxy DNS w topologii piasty & szprych |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnej. |
| Twórca zaporę i zaporęPolicy z regułami i grupami ip |
Ten szablon wdraża Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do Grupy IP w regułach aplikacji i sieci. |
| Twórca zapory, firewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi przy użyciu grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej przesiadkowej z systemem Linux |
| Twórca zaporę z zaporąPolicy i IpGroups |
Ten szablon tworzy Azure Firewall za pomocą zasad zapory odwołującej się do reguł sieciowych z grupami IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej przesiadkowej z systemem Linux |
| Środowisko testowania dla Azure Firewall Premium |
Ten szablon tworzy zasady Azure Firewall Premium i Zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii sieci Web |
| Twórca konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsieć serwera, podsiecią przesiadkową i podsiecią AzureFirewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Tworzy również zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
| Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
| Intencje i zasady routingu usługi Azure Virtual WAN |
Ten szablon aprowizuje usługę Azure Virtual WAN z dwoma centrami z włączoną funkcją Intencja routingu i zasady. |
Definicja zasobu szablonu usługi ARM
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-11-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Wartości właściwości
firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ zasobu | "Microsoft.Network/firewallPolicies" |
| apiVersion | Wersja interfejsu API zasobów | '2023-11-01' |
| name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Zakończ alfanumeryczne lub podkreślenie. |
| location | Lokalizacja zasobu. | ciąg |
| tags | Tagi zasobów. | Słownik nazw tagów i wartości. Zobacz Tagi w szablonach |
| identity | Tożsamość zasad zapory. | Identyfikator usługi zarządzanej |
| properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
Identyfikator usługi zarządzanej
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|---|---|
| {niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | Podźródło |
| dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
| explicitProxy | Jawna definicja ustawień serwera proxy. | Jawneproxy |
| szczegółowe informacje | Szczegółowe informacje na temat zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania włamań. | FirewallPolicyIntrusionDetection |
| sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
| Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie portem SNAT. | FirewallPolicySnat |
| sql | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy (Lista dozwolonych zagrożeń dla zasad zapory). | FirewallPolicyThreatIntelWhitelist |
| transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieci są obsługiwane po ustawieniu wartości true. | bool |
| Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
| enablePacFile | Po ustawieniu wartości true należy podać port pliku pac i adres URL. | bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
| httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Wartość minimalna = 0 Wartość maksymalna = 64000 |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | ciąg |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Stan ogólny wykrywania nieautoryzowanego dostępu. Po dołączeniu do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu IDPS. Po dołączeniu do zasad nadrzędnych efektywny profil zapory to nazwa profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzony" "Standardowa" |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są traktowane jako prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg[] |
| signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nazwa | Opis | Wartość |
|---|---|---|
| description (opis) | Opis reguły pomijania ruchu. | ciąg |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
| destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
| name | Nazwa reguły ruchu pomijania. | ciąg |
| Protokół | Protokół obejścia reguły. | "DOWOLNY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
| sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator podpisu. | ciąg |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| tier | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges | Tryb operacji automatycznego uczenia się zakresów prywatnych, aby nie był protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
| ipAddresses | Lista adresów IP listy dozwolonych threatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
| name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Template | Opis |
|---|---|
| Używanie Azure Firewall jako serwera proxy DNS w topologii piasty & szprych |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnej. |
| Twórca zaporę i zaporęPolicy z regułami i grupami ip |
Ten szablon wdraża Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do Grupy IP w regułach aplikacji i sieci. |
| Twórca zapory, firewallPolicy z jawnym serwerem proxy |
Ten szablon tworzy Azure Firewall FirewalllPolicy z jawnym serwerem proxy i regułami sieciowymi przy użyciu grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej przesiadkowej z systemem Linux |
| Twórca zapory z zasadami FirewallPolicy i IpGroups |
Ten szablon tworzy Azure Firewall z regułami sieci zapory i grupami IP. Obejmuje również konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
| Środowisko testowe dla Azure Firewall Premium |
Ten szablon tworzy zasady Azure Firewall Premium i Zapory z funkcjami w warstwie Premium, takimi jak wykrywanie inspekcji włamania (IDPS), inspekcja protokołu TLS i filtrowanie kategorii sieci Web |
| Twórca konfiguracji piaskownicy przy użyciu zasad zapory |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią serwera i podsiecią AzureFirewall), maszyną wirtualną serwera z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać Azure Firewall dla podsieci serwera i Azure Firewall z co najmniej 1 publicznymi adresami IP. Ponadto tworzy zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
| Zabezpieczone koncentratory wirtualne |
Ten szablon tworzy zabezpieczone koncentrator wirtualny przy użyciu Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
| Intencje i zasady routingu usługi Azure Virtual WAN |
Ten szablon aprowizuje Virtual WAN Platformy Azure z dwoma centrami z włączoną funkcją Intencja routingu i Zasady. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu firewallPolicies można wdrożyć z operacjami docelowymi:
- Grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennik zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący element Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-11-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Wartości właściwości
firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ zasobu | "Microsoft.Network/firewallPolicies@2023-11-01" |
| name | Nazwa zasobu | ciąg (wymagany) Limit znaków: 1–80 Prawidłowe znaki: Alfanumeryczne, podkreślenia, kropki i łączniki. Zacznij od alfanumerycznego. Koniec alfanumeryczne lub podkreślenie. |
| location | Lokalizacja zasobu. | ciąg |
| parent_id | Aby przeprowadzić wdrożenie w grupie zasobów, użyj identyfikatora tej grupy zasobów. | ciąg (wymagany) |
| tags | Tagi zasobów. | Słownik nazw tagów i wartości. |
| identity | Tożsamość zasad zapory. | ManagedServiceIdentity |
| properties | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używanej dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| identity_ids | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów usługi ARM w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | Tablica identyfikatorów tożsamości użytkowników. |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|---|---|
| {niestandardowa właściwość} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Ten obiekt nie zawiera żadnych właściwości do ustawienia podczas wdrażania. Wszystkie właściwości to ReadOnly.
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których reguły są dziedziczone. | Podźródło |
| dnsSettings | Definicja ustawień serwera proxy DNS. | Ustawienia dns |
| explicitProxy | Definicja jawnych ustawień serwera proxy. | Jawneproxy |
| szczegółowe informacje | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| sku | Jednostka SKU zasad zapory. | FirewallPolicySku |
| Snat | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie portem SNAT. | FirewallPolicySnat |
| sql | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb działania analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy (Lista dozwolonych zagrożeń dla zasad zapory). | FirewallPolicyThreatIntelWhitelist |
| transportZabezpieczenia | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator zasobu. | ciąg |
Ustawienia dns
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieci są obsługiwane po ustawieniu wartości true. | bool |
| Serwerów | Lista niestandardowych serwerów DNS. | ciąg[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true tryb jawnego serwera proxy jest włączony. | bool |
| enablePacFile | Po ustawieniu wartości true należy podać port pliku pac i adres URL. | bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
| httpsPort | Numer portu dla jawnego protokołu https serwera proxy nie może być większy niż 64000. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | int Ograniczenia: Minimalna wartość = 0 Maksymalna wartość = 64000 |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| Isenabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, w których szczegółowe informacje powinny być włączone w zasadach. | int |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region umożliwiający skonfigurowanie obszaru roboczego. | ciąg |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | Podźródło |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Stan ogólny wykrywania nieautoryzowanego dostępu. Po dołączeniu do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu IDPS. Po dołączeniu do zasad nadrzędnych efektywny profil zapory to nazwa profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzony" "Standardowa" |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są traktowane jako prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg[] |
| signatureOverrides | Lista określonych stanów podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nazwa | Opis | Wartość |
|---|---|---|
| description (opis) | Opis reguły pomijania ruchu. | ciąg |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | ciąg[] |
| destinationPorts | Lista portów docelowych lub zakresów. | ciąg[] |
| name | Nazwa reguły ruchu pomijania. | ciąg |
| Protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg[] |
| sourceIpGroups | Lista źródłowych grup IpGroup dla tej reguły. | ciąg[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nazwa | Opis | Wartość |
|---|---|---|
| identyfikator | Identyfikator podpisu. | ciąg |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| tier | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges | Tryb działania automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| Nazwy fqdn | Lista nazw FQDN dla listy dozwolonych threatIntel. | ciąg[] |
| ipAddresses | Lista adresów IP listy dozwolonych threatIntel. | ciąg[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
| name | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla