Firewall microsoft.networkPolicies
Definição de recurso do Bicep
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos – Consulte comandos de implantação do grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Bicep ao modelo.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-11-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Valores de propriedade
firewallPolicies
Nome | Descrição | Valor |
---|---|---|
name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 1 a 80 Caracteres válidos: Caracteres alfanuméricos, sublinhados, pontos e hifens. Comece com caractere alfanumérico. Termine com caractere alfanumérico ou sublinhado. |
local | Local do recurso. | string |
marcas | Marcas de recurso. | Dicionário de nomes e valores de marcas. Consulte Marcas em modelos |
identidade | A identidade da política de firewall. | ManagedServiceIdentity |
properties | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nome | Descrição | Valor |
---|---|---|
tipo | O tipo de identidade usado para o recurso. O tipo "SystemAssigned, UserAssigned" inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'None' removerá as identidades da máquina virtual. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nome | Descrição | Valor |
---|---|---|
{propriedade personalizada} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.
FirewallPolicyPropertiesFormat
Nome | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
dnsSettings | Definição de Configurações de Proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de Configurações de Proxy. | ExplicitProxy |
Insights | Insights sobre a Política de Firewall. | FirewallPolicyInsights |
trusãoDeteção | A configuração para detecção de intrusão. | FirewallPolicyIntrusionDetection |
sku | A SKU da Política de Firewall. | FirewallPolicySku |
Snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
sql | Definição de Configurações do SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação para Inteligência contra Ameaças. | 'Alerta' 'Deny' 'Desativado' |
threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definição de configuração do TLS. | FirewallPolicyTransportSecurity |
SubResource
Nome | Descrição | Valor |
---|---|---|
id | ID do recurso. | string |
DnsSettings
Nome | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls anexados à Política de Firewall. | bool |
requireProxyForNetworkRules | Os FQDNs em Regras de Rede têm suporte quando definidos como true. | bool |
servers | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nome | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo proxy explícito é habilitado. | bool |
enablePacFile | Quando definido como true, a porta e a URL do arquivo pac precisam ser fornecidas. | bool |
httpPort | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para o arquivo PAC. | string |
pacFilePort | Número da porta para que o firewall atenda ao arquivo PAC. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyInsights
Nome | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | bool |
logAnalyticsResources | Workspaces necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
retentionDays | Número de dias em que os insights devem ser habilitados na política. | INT |
FirewallPolicyLogAnalyticsResources
Nome | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do workspace padrão para o Firewall Policy Insights. | SubResource |
workspaces | Lista de workspaces para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nome | Descrição | Valor |
---|---|---|
region | Região para configurar o Workspace. | string |
workspaceId | A ID do workspace para Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
Nome | Descrição | Valor |
---|---|---|
configuração | Propriedades de configuração de detecção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Estado geral de detecção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | 'Alerta' 'Deny' 'Desativado' |
perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | 'Avançado' 'Básico' 'Estendido' 'Standard' |
FirewallPolicyIntrusionDetectionConfiguration
Nome | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Os intervalos de endereços IP privados do IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique os intervalos de endereços IP privados com essa propriedade | string[] |
signatureOverrides | Lista de estados de assinaturas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nome | Descrição | Valor |
---|---|---|
descrição | Descrição da regra de tráfego de bypass. | string |
destinationAddresses | Lista de endereços IP de destino ou intervalos para essa regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para essa regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
name | Nome da regra de tráfego de bypass. | string |
protocolo | O protocolo de bypass de regra. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de endereços IP de origem ou intervalos para essa regra. | string[] |
sourceIpGroups | Lista de IpGroups de origem para essa regra. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nome | Descrição | Valor |
---|---|---|
id | ID da assinatura. | string |
mode | O estado da assinatura. | 'Alerta' 'Deny' 'Desativado' |
FirewallPolicySku
Nome | Descrição | Valor |
---|---|---|
Camada | Camada de Política de Firewall. | 'Básico' 'Premium' 'Standard' |
FirewallPolicySnat
Nome | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente os intervalos privados a não serem SNAT | 'Desabilitado' 'Enabled' |
privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Nome | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de redirecionamento do SQL está habilitada. Ativar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nome | Descrição | Valor |
---|---|---|
Fqdns | Lista de FQDNs para o ThreatIntel Allowlist. | string[] |
Ipaddresses | Lista de endereços IP para a Lista de Permissões ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Nome | Descrição | Valor |
---|---|---|
certificateAuthority | A AC usada para geração intermediária de AC. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nome | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreta do (pfx não criptografado codificado em base 64) 'Secret' ou 'Certificate' armazenado em KeyVault. | string |
name | Nome do certificado de autoridade de certificação. | string |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
Modelo | Descrição |
---|---|
Usar Firewall do Azure como um proxy DNS em uma topologia Hub & Spoke |
Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais spoke conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
Criar um Firewall e FirewallPolicy com Regras e Ipgroups |
Este modelo implanta um Firewall do Azure com a Política de Firewall (incluindo várias regras de aplicativo e rede) referenciando Grupos IP em regras de aplicativo e rede. |
Create um Firewall, FirewallPolicy com Proxy Explícito |
Este modelo cria um Firewall do Azure, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux |
Create um Firewall com FirewallPolicy e IpGroups |
Este modelo cria uma Firewall do Azure com FirewalllPolicy referenciando regras de rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux |
Ambiente de teste para Firewall do Azure Premium |
Este modelo cria uma política de Firewall do Azure Premium e firewall com recursos premium, como IDPS (Detecção de Inspeção de Intrusão), inspeção TLS e filtragem de categoria da Web |
Create uma configuração de área restrita com a Política de Firewall |
Este modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, subconjunto jumpbox e sub-rede do AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, uma rota UDR para apontar para Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de Firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão |
Hubs virtuais seguros |
Esse modelo cria um hub virtual seguro usando Firewall do Azure para proteger o tráfego de rede de nuvem destinado à Internet. |
Intenção e políticas de roteamento de WAN Virtual do Azure |
Esse modelo provisiona um WAN Virtual do Azure com dois hubs com o recurso Detenção e Políticas de Roteamento habilitado. |
Definição de recurso de modelo do ARM
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos – Consulte comandos de implantação do grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o JSON a seguir ao modelo.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-11-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Valores de propriedade
firewallPolicies
Nome | Descrição | Valor |
---|---|---|
tipo | O tipo de recurso | 'Microsoft.Network/firewallPolicies' |
apiVersion | A versão da API de recursos | '2023-11-01' |
name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 1 a 80 Caracteres válidos: Caracteres alfanuméricos, sublinhados, pontos e hifens. Comece com caractere alfanumérico. Termine com caractere alfanumérico ou sublinhado. |
local | Local do recurso. | string |
marcas | Marcas de recurso. | Dicionário de nomes e valores de marcas. Consulte Marcas em modelos |
identidade | A identidade da política de firewall. | ManagedServiceIdentity |
properties | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nome | Descrição | Valor |
---|---|---|
tipo | O tipo de identidade usado para o recurso. O tipo "SystemAssigned, UserAssigned" inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'None' removerá as identidades da máquina virtual. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nome | Descrição | Valor |
---|---|---|
{propriedade personalizada} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.
FirewallPolicyPropertiesFormat
Nome | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
dnsSettings | Definição de Configurações de Proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de Configurações de Proxy. | ExplicitProxy |
Insights | Insights sobre a Política de Firewall. | FirewallPolicyInsights |
trusãoDeteção | A configuração para detecção de intrusão. | FirewallPolicyIntrusionDetection |
sku | A SKU da Política de Firewall. | FirewallPolicySku |
Snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
sql | Definição de Configurações do SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação para Inteligência contra Ameaças. | 'Alerta' 'Deny' 'Desativado' |
threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definição de configuração do TLS. | FirewallPolicyTransportSecurity |
SubResource
Nome | Descrição | Valor |
---|---|---|
id | ID do recurso. | string |
DnsSettings
Nome | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls anexados à Política de Firewall. | bool |
requireProxyForNetworkRules | Os FQDNs em Regras de Rede têm suporte quando definidos como true. | bool |
servers | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nome | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo proxy explícito é habilitado. | bool |
enablePacFile | Quando definido como true, a porta e a URL do arquivo pac precisam ser fornecidas. | bool |
httpPort | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para o arquivo PAC. | string |
pacFilePort | Número da porta para que o firewall atenda ao arquivo PAC. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyInsights
Nome | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | bool |
logAnalyticsResources | Workspaces necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
retentionDays | Número de dias em que os insights devem ser habilitados na política. | INT |
FirewallPolicyLogAnalyticsResources
Nome | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do workspace padrão para o Firewall Policy Insights. | SubResource |
workspaces | Lista de workspaces para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nome | Descrição | Valor |
---|---|---|
region | Região para configurar o Workspace. | string |
workspaceId | A ID do workspace para Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
Nome | Descrição | Valor |
---|---|---|
configuração | Propriedades de configuração de detecção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Estado geral de detecção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | 'Alerta' 'Deny' 'Desativado' |
perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | 'Avançado' 'Básico' 'Estendido' 'Standard' |
FirewallPolicyIntrusionDetectionConfiguration
Nome | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Os intervalos de endereços IP privados do IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique os intervalos de endereços IP privados com essa propriedade | string[] |
signatureOverrides | Lista de estados de assinaturas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nome | Descrição | Valor |
---|---|---|
descrição | Descrição da regra de tráfego de bypass. | string |
destinationAddresses | Lista de endereços IP de destino ou intervalos para essa regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para essa regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
name | Nome da regra de tráfego de bypass. | string |
protocolo | O protocolo de bypass de regra. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de endereços IP de origem ou intervalos para essa regra. | string[] |
sourceIpGroups | Lista de IpGroups de origem para essa regra. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nome | Descrição | Valor |
---|---|---|
id | ID da assinatura. | string |
mode | O estado da assinatura. | 'Alerta' 'Deny' 'Off' |
FirewallPolicySku
Nome | Descrição | Valor |
---|---|---|
Camada | Camada de Política de Firewall. | 'Básico' 'Premium' 'Standard' |
FirewallPolicySnat
Nome | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente os intervalos privados a não serem SNAT | 'Desabilitado' 'Enabled' |
privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Nome | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de redirecionamento do SQL está habilitada. Ativar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nome | Descrição | Valor |
---|---|---|
Fqdns | Lista de FQDNs para ThreatIntel Allowlist. | string[] |
Ipaddresses | Lista de endereços IP para ThreatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
Nome | Descrição | Valor |
---|---|---|
certificateAuthority | A AC usada para a geração intermediária de AC. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nome | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreta de (pfx não criptografado codificado em base 64) 'Secret' ou 'Certificate' objeto armazenado no KeyVault. | string |
name | Nome do certificado de autoridade de certificação. | string |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
Modelo | Descrição |
---|---|
Usar Firewall do Azure como proxy DNS em uma topologia Hub & Spoke |
Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais spoke conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
Criar um Firewall e FirewallPolicy com Regras e Ipgroups |
Este modelo implanta um Firewall do Azure com a Política de Firewall (incluindo várias regras de aplicativo e rede) referenciando Grupos IP em regras de aplicativo e rede. |
Create um Firewall, FirewallPolicy com Proxy Explícito |
Este modelo cria um Firewall do Azure, FirewalllPolicy com regras de rede e proxy explícitos com IpGroups. Além disso, inclui uma configuração de VM jumpbox do Linux |
Create um Firewall com FirewallPolicy e IpGroups |
Este modelo cria uma Firewall do Azure com FirewalllPolicy referenciando regras de rede com IpGroups. Além disso, inclui uma configuração de VM do Jumpbox do Linux |
Ambiente de teste para Firewall do Azure Premium |
Este modelo cria uma política de Firewall do Azure Premium e firewall com recursos premium, como IDPS (Detecção de Inspeção de Intrusão), inspeção TLS e filtragem de categoria da Web |
Create uma configuração de área restrita com a Política de Firewall |
Este modelo cria uma rede virtual com três sub-redes (sub-rede do servidor, subconjunto jumpbox e sub-rede do AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, uma rota UDR para apontar para Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de Firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão |
Hubs virtuais seguros |
Esse modelo cria um hub virtual seguro usando Firewall do Azure para proteger o tráfego de rede de nuvem destinado à Internet. |
Intenção e políticas de roteamento de WAN Virtual do Azure |
Esse modelo provisiona um WAN Virtual do Azure com dois hubs com o recurso Detenção e Políticas de Roteamento habilitado. |
Definição de recurso do Terraform (provedor AzAPI)
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o Terraform a seguir ao modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-11-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Valores de propriedade
firewallPolicies
Nome | Descrição | Valor |
---|---|---|
tipo | O tipo de recurso | "Microsoft.Network/firewallPolicies@2023-11-01" |
name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 1 a 80 Caracteres válidos: Caracteres alfanuméricos, sublinhados, pontos e hifens. Comece com caractere alfanumérico. Termine com caractere alfanumérico ou sublinhado. |
local | Local do recurso. | string |
parent_id | Para implantar em um grupo de recursos, use a ID desse grupo de recursos. | cadeia de caracteres (obrigatório) |
marcas | Marcas de recurso. | Dicionário de nomes e valores de marcas. |
identidade | A identidade da política de firewall. | ManagedServiceIdentity |
properties | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Nome | Descrição | Valor |
---|---|---|
tipo | O tipo de identidade usado para o recurso. O tipo "SystemAssigned, UserAssigned" inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'None' removerá as identidades da máquina virtual. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
identity_ids | A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão IDs de recurso do ARM no formulário: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | Matriz de IDs de identidade do usuário. |
ManagedServiceIdentityUserAssignedIdentities
Nome | Descrição | Valor |
---|---|---|
{propriedade personalizada} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Esse objeto não contém nenhuma propriedade a ser definida durante a implantação. Todas as propriedades são ReadOnly.
FirewallPolicyPropertiesFormat
Nome | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
dnsSettings | Definição de Configurações de Proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de Configurações de Proxy. | ExplicitProxy |
Insights | Insights sobre a Política de Firewall. | FirewallPolicyInsights |
trusãoDeteção | A configuração para detecção de intrusão. | FirewallPolicyIntrusionDetection |
sku | A SKU da Política de Firewall. | FirewallPolicySku |
Snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
sql | Definição de Configurações do SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação da Inteligência contra Ameaças. | "Alerta" "Negar" "Desativado" |
threatIntelWhitelist | ThreatIntel Allowlist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Definição de configuração do TLS. | FirewallPolicyTransportSecurity |
SubResource
Nome | Descrição | Valor |
---|---|---|
id | ID do recurso. | string |
DnsSettings
Nome | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls anexados à Política de Firewall. | bool |
requireProxyForNetworkRules | Os FQDNs nas Regras de Rede têm suporte quando definidos como true. | bool |
servers | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Nome | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo proxy explícito é habilitado. | bool |
enablePacFile | Quando definido como true, a porta e a URL do arquivo pac precisam ser fornecidas. | bool |
httpPort | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para o arquivo PAC. | string |
pacFilePort | Número da porta para que o firewall atenda ao arquivo PAC. | INT Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyInsights
Nome | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | bool |
logAnalyticsResources | Workspaces necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
retentionDays | Número de dias em que os insights devem ser habilitados na política. | INT |
FirewallPolicyLogAnalyticsResources
Nome | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do workspace padrão para o Firewall Policy Insights. | SubResource |
workspaces | Lista de workspaces para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nome | Descrição | Valor |
---|---|---|
region | Região para configurar o Workspace. | string |
workspaceId | A ID do workspace para Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
Nome | Descrição | Valor |
---|---|---|
configuração | Propriedades de configuração de detecção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Estado geral de detecção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | "Alerta" "Negar" "Desativado" |
perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | "Advanced" “Basic” "Estendido" "Standard" |
FirewallPolicyIntrusionDetectionConfiguration
Nome | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Os intervalos de endereços IP privados do IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique os intervalos de endereços IP privados com essa propriedade | string[] |
signatureOverrides | Lista de estados de assinaturas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Nome | Descrição | Valor |
---|---|---|
descrição | Descrição da regra de tráfego de bypass. | string |
destinationAddresses | Lista de endereços IP de destino ou intervalos para essa regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para essa regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
name | Nome da regra de tráfego de bypass. | string |
protocolo | O protocolo de bypass de regra. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista de endereços IP de origem ou intervalos para essa regra. | string[] |
sourceIpGroups | Lista de IpGroups de origem para essa regra. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Nome | Descrição | Valor |
---|---|---|
id | ID da assinatura. | string |
mode | O estado da assinatura. | "Alerta" "Negar" "Desativado" |
FirewallPolicySku
Nome | Descrição | Valor |
---|---|---|
Camada | Camada de Política de Firewall. | “Basic” "Premium" "Standard" |
FirewallPolicySnat
Nome | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente os intervalos privados a não serem SNAT | "Desabilitado" "Habilitado" |
privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Nome | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de redirecionamento do SQL está habilitada. Ativar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
Nome | Descrição | Valor |
---|---|---|
Fqdns | Lista de FQDNs para o ThreatIntel Allowlist. | string[] |
Ipaddresses | Lista de endereços IP para a Lista de Permissões ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Nome | Descrição | Valor |
---|---|---|
certificateAuthority | A AC usada para geração intermediária de AC. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Nome | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreta do (pfx não criptografado codificado em base 64) 'Secret' ou 'Certificate' armazenado em KeyVault. | string |
name | Nome do certificado de autoridade de certificação. | string |