Firewall da Microsoft.NetworkPolicies 2023-06-01
- última
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Definição de recurso do Bicep
O tipo de recurso firewallPolicies pode ser implantado com operações de destino:
- Grupos de recursos - Consulte comandos de implantação do grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-06-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Nome | Descrição | Valor |
---|
DnsSettings
Nome | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls anexados à Política de Firewall. | Bool |
requireProxyForNetworkRules | Os FQDNs nas Regras de Rede têm suporte quando definidos como true. | Bool |
Servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nome | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo proxy explícito é habilitado. | Bool |
enablePacFile | Quando definido como true, a porta e a URL do arquivo pac precisam ser fornecidas. | Bool |
httpPort | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para o arquivo PAC. | corda |
pacFilePort | Número da porta do firewall para servir o arquivo PAC. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
Nome | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreta do objeto 'Secret' ou 'Certificate' codificado em base 64 armazenado em KeyVault. | corda |
nome | Nome do certificado de autoridade de certificação. | corda |
FirewallPolicyInsights
Nome | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
logAnalyticsResources | Workspaces necessários para configurar o Firewall Policy Insights. | firewallPolicyLogAnalyticsResources |
retentionDays | Número de dias em que os insights devem ser habilitados na política. | int |
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Nome | Descrição | Valor |
---|---|---|
descrição | Descrição da regra de tráfego de bypass. | corda |
destinationAddresses | Lista de endereços IP de destino ou intervalos para essa regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para essa regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
nome | Nome da regra de tráfego de bypass. | corda |
protocolo | O protocolo de bypass de regra. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de endereços IP de origem ou intervalos para essa regra. | string[] |
sourceIpGroups | Lista de IpGroups de origem para essa regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Nome | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída etc.). Por padrão, somente os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique os intervalos de endereços IP privados com essa propriedade | string[] |
signatureOverrides | Lista de estados de assinaturas específicos. | firewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Nome | Descrição | Valor |
---|---|---|
id | ID da assinatura. | corda |
modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desativado' |
FirewallPolicyLogAnalyticsResources
Nome | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do workspace padrão para o Firewall Policy Insights. | sub-recurso |
workspaces | Lista de workspaces para o Firewall Policy Insights. | firewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nome | Descrição | Valor |
---|---|---|
região | Região para configurar o Workspace. | corda |
workspaceId | A ID do workspace para o Firewall Policy Insights. | sub-recurso |
FirewallPolicyPropertiesFormat
Nome | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | sub-recurso |
dnsSettings | Definição de Configurações de Proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de Configurações de Proxy. | ExplicitProxy |
Insights | Insights sobre a Política de Firewall. | firewallPolicyInsights |
trusãoDetection | A configuração para detecção de intrusão. | firewallPolicyIntrusionDetection |
Sku | A SKU da Política de Firewall. | FirewallPolicySku |
snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | firewallPolicySnat |
SQL | Definição de Configurações do SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação para Inteligência contra Ameaças. | 'Alerta' 'Negar' 'Desativado' |
threatIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definição de configuração do TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Nome | Descrição | Valor |
---|---|---|
camada | Camada de política de firewall. | 'Básico' 'Premium' 'Standard' |
FirewallPolicySnat
Nome | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente os intervalos privados a não serem SNAT | 'Desabilitado' 'Habilitado' |
privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Nome | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de redirecionamento do SQL está habilitada. Ativar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Nome | Descrição | Valor |
---|---|---|
fqdns | Lista de FQDNs para a Lista de Permissões ThreatIntel. | string[] |
ipAddresses | Lista de endereços IP para a lista de permissões ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Nome | Descrição | Valor |
---|---|---|
certificateAuthority | A AC usada para geração de AC intermediária. | firewallPolicyCertificateAuthority |
ManagedServiceIdentity
Nome | Descrição | Valor |
---|---|---|
tipo | O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'None' removerá as identidades da máquina virtual. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nome | Descrição | Valor |
---|
Microsoft.Network/firewallPolicies
Nome | Descrição | Valor |
---|---|---|
identidade | A identidade da política de firewall. | ManagedServiceIdentity |
localização | Local do recurso. | corda |
nome | O nome do recurso | cadeia de caracteres (obrigatório) |
Propriedades | Propriedades da política de firewall. | firewallPolicyPropertiesFormat |
Tags | Marcações de recursos | Dicionário de nomes e valores de marca. Consulte Marcas em modelos |
ResourceTags
Nome | Descrição | Valor |
---|
SubResource
Nome | Descrição | Valor |
---|---|---|
id | ID do recurso. | corda |
Exemplos de início rápido
Os exemplos de início rápido a seguir implantam esse tipo de recurso.
Arquivo Bicep | Descrição |
---|---|
criar um Firewall e FirewallPolicy com regras e ipgroups | Este modelo implanta um Firewall do Azure com a Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a grupos de IP em regras de aplicativo e rede. |
hubs virtuais protegidos | Esse modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede de nuvem destinado à Internet. |
Assinatura do SharePoint/2019/2016 totalmente configurado | Crie um DC, um SQL Server 2022 e de 1 a 5 servidores que hospedam uma assinatura do SharePoint /2019/2016 farm com uma configuração abrangente, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. Os computadores do SharePoint têm ajustes adicionais para torná-los imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos etc...). |
Ambiente de teste de para o Firewall do Azure Premium | Este modelo cria um Firewall do Azure Premium e uma Política de Firewall com recursos premium, como IDPS (Detecção de Inspeção de Intrusão), inspeção do TLS e filtragem de Categoria da Web |
usar o Firewall do Azure como proxy DNS em uma topologia do Hub & Spoke | Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade com muitas redes virtuais spoke conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
Definição de recurso de modelo do ARM
O tipo de recurso firewallPolicies pode ser implantado com operações de destino:
- Grupos de recursos - Consulte comandos de implantação do grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o JSON a seguir ao modelo.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-06-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Nome | Descrição | Valor |
---|
DnsSettings
Nome | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls anexados à Política de Firewall. | Bool |
requireProxyForNetworkRules | Os FQDNs nas Regras de Rede têm suporte quando definidos como true. | Bool |
Servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nome | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo proxy explícito é habilitado. | Bool |
enablePacFile | Quando definido como true, a porta e a URL do arquivo pac precisam ser fornecidas. | Bool |
httpPort | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para o arquivo PAC. | corda |
pacFilePort | Número da porta do firewall para servir o arquivo PAC. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
Nome | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreta do objeto 'Secret' ou 'Certificate' codificado em base 64 armazenado em KeyVault. | corda |
nome | Nome do certificado de autoridade de certificação. | corda |
FirewallPolicyInsights
Nome | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
logAnalyticsResources | Workspaces necessários para configurar o Firewall Policy Insights. | firewallPolicyLogAnalyticsResources |
retentionDays | Número de dias em que os insights devem ser habilitados na política. | int |
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Nome | Descrição | Valor |
---|---|---|
descrição | Descrição da regra de tráfego de bypass. | corda |
destinationAddresses | Lista de endereços IP de destino ou intervalos para essa regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para essa regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
nome | Nome da regra de tráfego de bypass. | corda |
protocolo | O protocolo de bypass de regra. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de endereços IP de origem ou intervalos para essa regra. | string[] |
sourceIpGroups | Lista de IpGroups de origem para essa regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Nome | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída etc.). Por padrão, somente os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique os intervalos de endereços IP privados com essa propriedade | string[] |
signatureOverrides | Lista de estados de assinaturas específicos. | firewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Nome | Descrição | Valor |
---|---|---|
id | ID da assinatura. | corda |
modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desativado' |
FirewallPolicyLogAnalyticsResources
Nome | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do workspace padrão para o Firewall Policy Insights. | sub-recurso |
workspaces | Lista de workspaces para o Firewall Policy Insights. | firewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nome | Descrição | Valor |
---|---|---|
região | Região para configurar o Workspace. | corda |
workspaceId | A ID do workspace para o Firewall Policy Insights. | sub-recurso |
FirewallPolicyPropertiesFormat
Nome | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | sub-recurso |
dnsSettings | Definição de Configurações de Proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de Configurações de Proxy. | ExplicitProxy |
Insights | Insights sobre a Política de Firewall. | firewallPolicyInsights |
trusãoDetection | A configuração para detecção de intrusão. | firewallPolicyIntrusionDetection |
Sku | A SKU da Política de Firewall. | FirewallPolicySku |
snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | firewallPolicySnat |
SQL | Definição de Configurações do SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação para Inteligência contra Ameaças. | 'Alerta' 'Negar' 'Desativado' |
threatIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definição de configuração do TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Nome | Descrição | Valor |
---|---|---|
camada | Camada de política de firewall. | 'Básico' 'Premium' 'Standard' |
FirewallPolicySnat
Nome | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente os intervalos privados a não serem SNAT | 'Desabilitado' 'Habilitado' |
privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Nome | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de redirecionamento do SQL está habilitada. Ativar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Nome | Descrição | Valor |
---|---|---|
fqdns | Lista de FQDNs para a Lista de Permissões ThreatIntel. | string[] |
ipAddresses | Lista de endereços IP para a lista de permissões ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Nome | Descrição | Valor |
---|---|---|
certificateAuthority | A AC usada para geração de AC intermediária. | firewallPolicyCertificateAuthority |
ManagedServiceIdentity
Nome | Descrição | Valor |
---|---|---|
tipo | O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'None' removerá as identidades da máquina virtual. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nome | Descrição | Valor |
---|
Microsoft.Network/firewallPolicies
Nome | Descrição | Valor |
---|---|---|
apiVersion | A versão da API | '2023-06-01' |
identidade | A identidade da política de firewall. | ManagedServiceIdentity |
localização | Local do recurso. | corda |
nome | O nome do recurso | cadeia de caracteres (obrigatório) |
Propriedades | Propriedades da política de firewall. | firewallPolicyPropertiesFormat |
Tags | Marcações de recursos | Dicionário de nomes e valores de marca. Consulte Marcas em modelos |
tipo | O tipo de recurso | 'Microsoft.Network/firewallPolicies' |
ResourceTags
Nome | Descrição | Valor |
---|
SubResource
Nome | Descrição | Valor |
---|---|---|
id | ID do recurso. | corda |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
Modelo | Descrição |
---|---|
criar um Firewall e FirewallPolicy com regras e ipgroups |
Este modelo implanta um Firewall do Azure com a Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a grupos de IP em regras de aplicativo e rede. |
criar um firewall com FirewallPolicy e IpGroups |
Este modelo cria um Firewall do Azure com FirewalllPolicy referenciando regras de rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux |
criar um firewall, FirewallPolicy com de proxy explícito |
Esse modelo cria um Firewall do Azure, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux |
Criar uma configuração de área restrita com a política de firewall |
Esse modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, subconjunto jumpbox e sub-rede do AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, uma rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão |
hubs virtuais protegidos |
Esse modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede de nuvem destinado à Internet. |
Assinatura do SharePoint/2019/2016 totalmente configurado |
Crie um DC, um SQL Server 2022 e de 1 a 5 servidores que hospedam uma assinatura do SharePoint /2019/2016 farm com uma configuração abrangente, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. Os computadores do SharePoint têm ajustes adicionais para torná-los imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos etc...). |
Ambiente de teste de para o Firewall do Azure Premium |
Este modelo cria um Firewall do Azure Premium e uma Política de Firewall com recursos premium, como IDPS (Detecção de Inspeção de Intrusão), inspeção do TLS e filtragem de Categoria da Web |
usar o Firewall do Azure como proxy DNS em uma topologia do Hub & Spoke |
Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade com muitas redes virtuais spoke conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
Definição de recurso do Terraform (provedor de AzAPI)
O tipo de recurso firewallPolicies pode ser implantado com operações de destino:
- grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o Terraform a seguir ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-06-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
tags = {
{customized property} = "string"
}
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Nome | Descrição | Valor |
---|
DnsSettings
Nome | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls anexados à Política de Firewall. | Bool |
requireProxyForNetworkRules | Os FQDNs nas Regras de Rede têm suporte quando definidos como true. | Bool |
Servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nome | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo proxy explícito é habilitado. | Bool |
enablePacFile | Quando definido como true, a porta e a URL do arquivo pac precisam ser fornecidas. | Bool |
httpPort | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para o arquivo PAC. | corda |
pacFilePort | Número da porta do firewall para servir o arquivo PAC. | int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
Nome | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreta do objeto 'Secret' ou 'Certificate' codificado em base 64 armazenado em KeyVault. | corda |
nome | Nome do certificado de autoridade de certificação. | corda |
FirewallPolicyInsights
Nome | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
logAnalyticsResources | Workspaces necessários para configurar o Firewall Policy Insights. | firewallPolicyLogAnalyticsResources |
retentionDays | Número de dias em que os insights devem ser habilitados na política. | int |
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Nome | Descrição | Valor |
---|---|---|
descrição | Descrição da regra de tráfego de bypass. | corda |
destinationAddresses | Lista de endereços IP de destino ou intervalos para essa regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para essa regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
nome | Nome da regra de tráfego de bypass. | corda |
protocolo | O protocolo de bypass de regra. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de endereços IP de origem ou intervalos para essa regra. | string[] |
sourceIpGroups | Lista de IpGroups de origem para essa regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Nome | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída etc.). Por padrão, somente os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique os intervalos de endereços IP privados com essa propriedade | string[] |
signatureOverrides | Lista de estados de assinaturas específicos. | firewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Nome | Descrição | Valor |
---|---|---|
id | ID da assinatura. | corda |
modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desativado' |
FirewallPolicyLogAnalyticsResources
Nome | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do workspace padrão para o Firewall Policy Insights. | sub-recurso |
workspaces | Lista de workspaces para o Firewall Policy Insights. | firewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nome | Descrição | Valor |
---|---|---|
região | Região para configurar o Workspace. | corda |
workspaceId | A ID do workspace para o Firewall Policy Insights. | sub-recurso |
FirewallPolicyPropertiesFormat
Nome | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | sub-recurso |
dnsSettings | Definição de Configurações de Proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de Configurações de Proxy. | ExplicitProxy |
Insights | Insights sobre a Política de Firewall. | firewallPolicyInsights |
trusãoDetection | A configuração para detecção de intrusão. | firewallPolicyIntrusionDetection |
Sku | A SKU da Política de Firewall. | FirewallPolicySku |
snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | firewallPolicySnat |
SQL | Definição de Configurações do SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação para Inteligência contra Ameaças. | 'Alerta' 'Negar' 'Desativado' |
threatIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definição de configuração do TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Nome | Descrição | Valor |
---|---|---|
camada | Camada de política de firewall. | 'Básico' 'Premium' 'Standard' |
FirewallPolicySnat
Nome | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente os intervalos privados a não serem SNAT | 'Desabilitado' 'Habilitado' |
privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Nome | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de redirecionamento do SQL está habilitada. Ativar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Nome | Descrição | Valor |
---|---|---|
fqdns | Lista de FQDNs para a Lista de Permissões ThreatIntel. | string[] |
ipAddresses | Lista de endereços IP para a lista de permissões ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Nome | Descrição | Valor |
---|---|---|
certificateAuthority | A AC usada para geração de AC intermediária. | firewallPolicyCertificateAuthority |
ManagedServiceIdentity
Nome | Descrição | Valor |
---|---|---|
tipo | O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'None' removerá as identidades da máquina virtual. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nome | Descrição | Valor |
---|
Microsoft.Network/firewallPolicies
ResourceTags
Nome | Descrição | Valor |
---|
SubResource
Nome | Descrição | Valor |
---|---|---|
id | ID do recurso. | corda |