Firewall Microsoft.NetworkPolíticas 2021-08-01
Definição de recurso do Bicep
O tipo de recurso firewallPolicies pode ser implementado com operações que visam:
- Grupos de recursos – veja os comandos de implementação do grupo de recursos
Para obter uma lista das propriedades alteradas em cada versão da API, veja Registo de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.Network/firewallPolicies@2021-08-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxySettings: {
enableExplicitProxy: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Valores de propriedade
firewallPolicies
| Nome | Descrição | Valor |
|---|---|---|
| name | O nome do recurso | cadeia (obrigatório) Limite de carateres: 1-80 Carateres válidos: Alfanuméricos, carateres de sublinhado, períodos e hífenes. Comece com alfanumérico. Terminar alfanumérico ou caráter de sublinhado. |
| localização | Localização do recurso. | string |
| etiquetas | Etiquetas de recursos. | Dicionário de nomes e valores de etiquetas. Ver Etiquetas em modelos |
| identidade | A identidade da política de firewall. | ManagedServiceIdentity |
| propriedades | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de identidade utilizado para o recurso. O tipo "SystemAssigned, UserAssigned" inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo utilizador. O tipo "Nenhum" removerá quaisquer identidades da máquina virtual. | "Nenhum" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | A lista de identidades de utilizador associadas ao recurso. As referências da chave do dicionário de identidade do utilizador serão IDs de recursos do ARM no formulário: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | objeto |
FirewallPolicyPropertiesFormat
| Nome | Descrição | Valor |
|---|---|---|
| basePolicy | A política de firewall principal a partir da qual as regras são herdadas. | Sub-origem |
| dnsSettings | Definição de Definições de Proxy de DNS. | DnsSettings |
| explicitProxySettings | Definição explícita de Definições de Proxy. | ExplicitProxySettings |
| informações | Informações sobre a Política de Firewall. | FirewallPolicyInsights |
| intrusãoDetection | A configuração da deteção de intrusões. | FirewallPolicyIntrusionDetection |
| sku | O SKU da Política de Firewall. | FirewallPolicySku |
| snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
| sql | Definição de Definições de SQL. | FirewallPolicySQL |
| threatIntelMode | O modo de operação das Informações sobre Ameaças. | 'Alerta' "Negar" 'Desativado' |
| threatIntelWhitelist | ThreatIntel Allowlist para a Política de Firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definição de Configuração do TLS. | FirewallPolicyTransportSecurity |
Sub-origem
| Nome | Descrição | Valor |
|---|---|---|
| ID | ID do Recurso. | string |
DnsSettings
| Nome | Descrição | Valor |
|---|---|---|
| enableProxy | Ative o Proxy de DNS em Firewalls anexadas à Política de Firewall. | bool |
| requireProxyForNetworkRules | Os FQDNs nas Regras de Rede são suportados quando definidos como verdadeiros. | bool |
| servidores | Lista de Servidores DNS Personalizados. | cadeia[] |
ExplicitProxySettings
| Nome | Descrição | Valor |
|---|---|---|
| enableExplicitProxy | Quando definido como verdadeiro, o modo de proxy explícito é ativado. | bool |
| httpPort | O número da porta para o protocolo http de proxy explícito não pode ser superior a 64000. | int |
| httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser superior a 64000. | int |
| pacFile | URL de SAS para ficheiro PAC. | string |
| pacFilePort | Número de porta para a firewall servir o ficheiro PAC. | int |
FirewallPolicyInsights
| Nome | Descrição | Valor |
|---|---|---|
| isEnabled | Um sinalizador para indicar se as informações estão ativadas na política. | bool |
| logAnalyticsResources | Áreas de trabalho necessárias para configurar as Informações da Política de Firewall. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Número de dias em que as informações devem ser ativadas na política. | int |
FirewallPolicyLogAnalyticsResources
| Nome | Descrição | Valor |
|---|---|---|
| defaultWorkspaceId | O ID de área de trabalho predefinido do Firewall Policy Insights. | Sub-origem |
| áreas de trabalho | Lista de áreas de trabalho do Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrição | Valor |
|---|---|---|
| region | Região para configurar a Área de Trabalho. | string |
| workspaceId | O ID da área de trabalho do Firewall Policy Insights. | Sub-origem |
FirewallPolicyIntrusionDetection
| Nome | Descrição | Valor |
|---|---|---|
| configuração | Propriedades de configuração da deteção de intrusões. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Estado geral da deteção de intrusões. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrição | Valor |
|---|---|---|
| bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Os intervalos de endereços IP privados do IDPS são utilizados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por predefinição, apenas os intervalos definidos pelo IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos predefinidos, especifique os intervalos de endereços IP privados com esta propriedade | cadeia[] |
| signatureOverrides | Lista de estados de assinaturas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nome | Descrição | Valor |
|---|---|---|
| descrição | Descrição da regra de ignorar tráfego. | string |
| destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | string[] |
| destinationIpGroups | Lista de IpGroups de destino para esta regra. | string[] |
| destinationPorts | Lista de portas ou intervalos de destino. | string[] |
| name | Nome da regra de tráfego de ignorar. | string |
| protocolo | A regra ignora o protocolo. | 'ANY' 'ICMP' "TCP" "UDP" |
| sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | string[] |
| sourceIpGroups | Lista de IpGroups de origem para esta regra. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nome | Descrição | Valor |
|---|---|---|
| ID | ID da assinatura. | string |
| mode | O estado da assinatura. | 'Alerta' "Negar" 'Desativado' |
FirewallPolicySku
| Nome | Descrição | Valor |
|---|---|---|
| tier | Camada da Política de Firewall. | "Básico" "Premium" 'Standard' |
FirewallPolicySnat
| Nome | Descrição | Valor |
|---|---|---|
| privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não serem SNAT. | string[] |
FirewallPolicySQL
| Nome | Descrição | Valor |
|---|---|---|
| allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de Redirecionamento de SQL está ativada. Ativar o sinalizador não requer nenhuma regra através da porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrição | Valor |
|---|---|---|
| fqdns | Lista de FQDNs para ThreatIntel Allowlist. | string[] |
| ipAddresses | Lista de endereços IP da ThreatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
| Nome | Descrição | Valor |
|---|---|---|
| certificateAuthority | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nome | Descrição | Valor |
|---|---|---|
| keyVaultSecretId | ID secreto do objeto "Secreto" ou "Certificado" "Secreto" ou "Certificado" codificado de base 64 armazenado no KeyVault. | string |
| name | Nome do certificado de AC. | string |
Modelos de início rápido
Os seguintes modelos de início rápido implementam este tipo de recurso.
| Modelo | Descrição |
|---|---|
Utilizar Azure Firewall como Proxy DNS numa topologia Hub & Spoke |
Este exemplo mostra como implementar uma topologia hub-spoke no Azure com o Azure Firewall. A rede virtual do hub funciona como um ponto central de conectividade a muitas redes virtuais spoke que estão ligadas à rede virtual do hub através do peering de rede virtual. |
| Criar uma Firewall e FirewallPolicy com Regras e Ipgroups |
Este modelo implementa uma Azure Firewall com a Política de Firewall (incluindo várias regras de aplicação e de rede) que referencia grupos IP em regras de aplicação e de rede. |
| Criar uma Firewall, FirewallPolicy com Proxy Explícito |
Este modelo cria um Azure Firewall, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração da VM do Jumpbox para Linux |
| Criar uma Firewall com FirewallPolicy e IpGroups |
Este modelo cria uma Azure Firewall com FirewalllPolicy a referenciar Regras de Rede com IpGroups. Além disso, inclui uma configuração da VM do Jumpbox para Linux |
| Ambiente de teste para Azure Firewall Premium |
Este modelo cria uma política de Azure Firewall Premium e firewall com funcionalidades premium, como Deteção de Inspeção de Intrusões (IDPS), inspeção TLS e filtragem de Categorias Web |
| Criar uma configuração do sandbox com a Política de Firewall |
Este modelo cria uma rede virtual com 3 sub-redes (sub-rede do servidor, subet jumpbox e sub-rede AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, uma rota UDR para apontar para Azure Firewall para a Sub-rede do Servidor e uma Azure Firewall com 1 ou mais endereços IP públicos. Também cria uma política de Firewall com 1 regra de aplicação de exemplo, 1 regra de rede de exemplo e intervalos privados predefinidos |
| Hubs virtuais protegidos |
Este modelo cria um hub virtual seguro com Azure Firewall para proteger o tráfego de rede na cloud destinado à Internet. |
Definição de recurso de modelo do ARM
O tipo de recurso firewallPolicies pode ser implementado com operações que visam:
- Grupos de recursos – veja comandos de implementação de grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, veja registo de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte JSON ao seu modelo.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2021-08-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxySettings": {
"enableExplicitProxy": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Valores de propriedade
firewallPolicies
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | "Microsoft.Network/firewallPolicies" |
| apiVersion | A versão da API de recursos | '2021-08-01' |
| name | O nome do recurso | cadeia (obrigatório) Limite de carateres: 1-80 Carateres válidos: Alfanuméricos, carateres de sublinhado, períodos e hífenes. Comece com alfanumérico. Terminar alfanumérico ou caráter de sublinhado. |
| localização | Localização do recurso. | string |
| etiquetas | Etiquetas de recursos. | Dicionário de nomes e valores de etiquetas. Ver Etiquetas em modelos |
| identidade | A identidade da política de firewall. | ManagedServiceIdentity |
| propriedades | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de identidade utilizado para o recurso. O tipo "SystemAssigned, UserAssigned" inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo utilizador. O tipo "None" removerá quaisquer identidades da máquina virtual. | "Nenhum" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | A lista de identidades de utilizador associadas ao recurso. As referências da chave do dicionário de identidade do utilizador serão IDs de recursos do ARM no formulário: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | objeto |
FirewallPolicyPropertiesFormat
| Nome | Descrição | Valor |
|---|---|---|
| basePolicy | A política de firewall principal a partir da qual as regras são herdadas. | Sub-origem |
| dnsSettings | Definições de Proxy de DNS. | DnsSettings |
| explicitProxySettings | Definições explícitas do Proxy. | ExplicitProxySettings |
| informações | Informações sobre a Política de Firewall. | FirewallPolicyInsights |
| intrusãoDetection | A configuração da deteção de intrusões. | FirewallPolicyIntrusionDetection |
| sku | O SKU da Política de Firewall. | FirewallPolicySku |
| snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
| sql | Definições do SQL. | FirewallPolicySQL |
| threatIntelMode | O modo de operação do Threat Intelligence. | 'Alerta' 'Negar' 'Desligado' |
| threatIntelWhitelist | ThreatIntel Allowlist para Política de Firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definição de Configuração do TLS. | FirewallPolicyTransportSecurity |
Sub-origem
| Nome | Descrição | Valor |
|---|---|---|
| ID | ID do Recurso. | string |
DnsSettings
| Nome | Descrição | Valor |
|---|---|---|
| enableProxy | Ative o Proxy de DNS em Firewalls anexadas à Política de Firewall. | bool |
| requireProxyForNetworkRules | Os FQDNs nas Regras de Rede são suportados quando definidos como verdadeiros. | bool |
| servidores | Lista de Servidores DNS Personalizados. | cadeia[] |
ExplicitProxySettings
| Nome | Descrição | Valor |
|---|---|---|
| enableExplicitProxy | Quando definido como verdadeiro, o modo de proxy explícito é ativado. | bool |
| httpPort | O número da porta para o protocolo http de proxy explícito não pode ser superior a 64000. | int |
| httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser superior a 64000. | int |
| pacFile | URL de SAS para ficheiro PAC. | string |
| pacFilePort | Número de porta para a firewall servir o ficheiro PAC. | int |
FirewallPolicyInsights
| Nome | Descrição | Valor |
|---|---|---|
| isEnabled | Um sinalizador para indicar se as informações estão ativadas na política. | bool |
| logAnalyticsResources | Áreas de trabalho necessárias para configurar as Informações da Política de Firewall. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Número de dias em que as informações devem ser ativadas na política. | int |
FirewallPolicyLogAnalyticsResources
| Nome | Descrição | Valor |
|---|---|---|
| defaultWorkspaceId | O ID de área de trabalho predefinido do Firewall Policy Insights. | Sub-origem |
| áreas de trabalho | Lista de áreas de trabalho do Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrição | Valor |
|---|---|---|
| region | Região para configurar a Área de Trabalho. | string |
| workspaceId | O ID da área de trabalho do Firewall Policy Insights. | Sub-origem |
FirewallPolicyIntrusionDetection
| Nome | Descrição | Valor |
|---|---|---|
| configuração | Propriedades de configuração da deteção de intrusões. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Estado geral da deteção de intrusões. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrição | Valor |
|---|---|---|
| bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Os intervalos de endereços IP privados do IDPS são utilizados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por predefinição, apenas os intervalos definidos pelo IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos predefinidos, especifique os intervalos de endereços IP privados com esta propriedade | cadeia[] |
| signatureOverrides | Lista de estados de assinaturas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nome | Descrição | Valor |
|---|---|---|
| descrição | Descrição da regra de tráfego de bypass. | string |
| destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | cadeia[] |
| destinationIpGroups | Lista de IpGroups de destino para esta regra. | cadeia[] |
| destinationPorts | Lista de portas ou intervalos de destino. | cadeia[] |
| name | Nome da regra de tráfego de ignorar. | string |
| protocolo | A regra ignora o protocolo. | 'ANY' 'ICMP' 'TCP' "UDP" |
| sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | cadeia[] |
| sourceIpGroups | Lista de IpGroups de origem para esta regra. | cadeia[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nome | Descrição | Valor |
|---|---|---|
| ID | ID de assinatura. | string |
| mode | O estado da assinatura. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicySku
| Nome | Descrição | Valor |
|---|---|---|
| tier | Camada de Política de Firewall. | "Básico" "Premium" 'Standard' |
FirewallPolicySnat
| Nome | Descrição | Valor |
|---|---|---|
| privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não serem SNAT. | cadeia[] |
FirewallPolicySQL
| Nome | Descrição | Valor |
|---|---|---|
| allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de Redirecionamento de SQL está ativada. Ativar o sinalizador não requer nenhuma regra com a porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrição | Valor |
|---|---|---|
| fqdns | Lista de FQDNs para a Lista de Permissões do ThreatIntel. | cadeia[] |
| ipAddresses | Lista de endereços IP da Lista de Permissões do ThreatIntel. | cadeia[] |
FirewallPolicyTransportSecurity
| Nome | Descrição | Valor |
|---|---|---|
| certificateAuthority | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nome | Descrição | Valor |
|---|---|---|
| keyVaultSecretId | ID secreto do objeto "Secreto" ou "Certificado" "Secreto" ou "Certificado" codificado de base 64 armazenado no KeyVault. | string |
| name | Nome do certificado de AC. | string |
Modelos de início rápido
Os seguintes modelos de início rápido implementam este tipo de recurso.
| Modelo | Descrição |
|---|---|
| Utilizar Azure Firewall como Proxy DNS numa topologia Hub & Spoke |
Este exemplo mostra como implementar uma topologia hub-spoke no Azure com o Azure Firewall. A rede virtual do hub funciona como um ponto central de conectividade a muitas redes virtuais spoke que estão ligadas à rede virtual do hub através do peering de rede virtual. |
| Criar uma Firewall e FirewallPolicy com Regras e Ipgroups |
Este modelo implementa um Azure Firewall com a Política de Firewall (incluindo várias regras de aplicação e de rede) que referencia grupos IP em regras de aplicação e de rede. |
| Criar uma Firewall, FirewallPolicy com Proxy Explícito |
Este modelo cria um Azure Firewall, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração da VM jumpbox do Linux |
| Criar uma Firewall com FirewallPolicy e IpGroups |
Este modelo cria um Azure Firewall com FirewalllPolicy a referenciar Regras de Rede com IpGroups. Além disso, inclui uma configuração da VM jumpbox do Linux |
| Ambiente de teste para Azure Firewall Premium |
Este modelo cria um Azure Firewall Política de Firewall e Premium com funcionalidades premium, como Deteção de Inspeção de Intrusões (IDPS), inspeção TLS e filtragem de Categorias Web |
| Criar uma configuração do sandbox com a Política de Firewall |
Este modelo cria uma rede virtual com 3 sub-redes (sub-rede do servidor, subet jumpbox e sub-rede AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, uma rota UDR para apontar para Azure Firewall para a Sub-rede do Servidor e uma Azure Firewall com 1 ou mais endereços IP públicos. Também cria uma política de Firewall com 1 regra de aplicação de exemplo, 1 regra de rede de exemplo e intervalos privados predefinidos |
| Hubs virtuais protegidos |
Este modelo cria um hub virtual seguro com Azure Firewall para proteger o tráfego de rede na cloud destinado à Internet. |
Definição de recurso terraform (fornecedor AzAPI)
O tipo de recurso firewallPolicies pode ser implementado com operações que visam:
- Grupos de recursos
Para obter uma lista das propriedades alteradas em cada versão da API, veja Registo de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Terraform ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2021-08-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxySettings = {
enableExplicitProxy = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Valores de propriedade
firewallPolicies
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | "Microsoft.Network/firewallPolicies@2021-08-01" |
| name | O nome do recurso | cadeia (obrigatório) Limite de carateres: 1-80 Carateres válidos: Alfanuméricos, carateres de sublinhado, períodos e hífenes. Comece com alfanumérico. Terminar alfanumérico ou caráter de sublinhado. |
| localização | Localização do recurso. | string |
| parent_id | Para implementar num grupo de recursos, utilize o ID desse grupo de recursos. | cadeia (obrigatório) |
| etiquetas | Etiquetas de recursos. | Dicionário de nomes e valores de etiquetas. |
| identidade | A identidade da política de firewall. | ManagedServiceIdentity |
| propriedades | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de identidade utilizado para o recurso. O tipo "SystemAssigned, UserAssigned" inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo utilizador. O tipo "Nenhum" removerá quaisquer identidades da máquina virtual. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| identity_ids | A lista de identidades de utilizador associadas ao recurso. As referências da chave do dicionário de identidade do utilizador serão IDs de recursos do ARM no formulário: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | Matriz de IDs de identidade do utilizador. |
FirewallPolicyPropertiesFormat
| Nome | Descrição | Valor |
|---|---|---|
| basePolicy | A política de firewall principal a partir da qual as regras são herdadas. | Sub-origem |
| dnsSettings | Definições de Proxy de DNS. | DnsSettings |
| explicitProxySettings | Definições explícitas do Proxy. | ExplicitProxySettings |
| informações | Informações sobre a Política de Firewall. | FirewallPolicyInsights |
| intrusãoDetection | A configuração da deteção de intrusões. | FirewallPolicyIntrusionDetection |
| sku | O SKU da Política de Firewall. | FirewallPolicySku |
| snat | Os endereços IP privados/intervalos de IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
| sql | Definições do SQL. | FirewallPolicySQL |
| threatIntelMode | O modo de operação do Threat Intelligence. | "Alerta" "Negar" "Desligado" |
| threatIntelWhitelist | ThreatIntel Allowlist para Política de Firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definição de Configuração do TLS. | FirewallPolicyTransportSecurity |
Sub-origem
| Nome | Descrição | Valor |
|---|---|---|
| ID | ID do Recurso. | string |
DnsSettings
| Nome | Descrição | Valor |
|---|---|---|
| enableProxy | Ative o Proxy de DNS em Firewalls anexadas à Política de Firewall. | bool |
| requireProxyForNetworkRules | Os FQDNs nas Regras de Rede são suportados quando definidos como verdadeiros. | bool |
| servidores | Lista de Servidores DNS Personalizados. | cadeia[] |
ExplicitProxySettings
| Nome | Descrição | Valor |
|---|---|---|
| enableExplicitProxy | Quando definido como verdadeiro, o modo de proxy explícito é ativado. | bool |
| httpPort | O número da porta para o protocolo http de proxy explícito não pode ser superior a 64000. | int |
| httpsPort | O número da porta para o protocolo https de proxy explícito não pode ser superior a 64000. | int |
| pacFile | URL de SAS para ficheiro PAC. | string |
| pacFilePort | Número de porta para a firewall servir o ficheiro PAC. | int |
FirewallPolicyInsights
| Nome | Descrição | Valor |
|---|---|---|
| isEnabled | Um sinalizador para indicar se as informações estão ativadas na política. | bool |
| logAnalyticsResources | Áreas de trabalho necessárias para configurar as Informações da Política de Firewall. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Número de dias em que as informações devem ser ativadas na política. | int |
FirewallPolicyLogAnalyticsResources
| Nome | Descrição | Valor |
|---|---|---|
| defaultWorkspaceId | O ID de área de trabalho predefinido do Firewall Policy Insights. | Sub-origem |
| áreas de trabalho | Lista de áreas de trabalho do Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrição | Valor |
|---|---|---|
| region | Região para configurar a Área de Trabalho. | string |
| workspaceId | O ID da área de trabalho do Firewall Policy Insights. | Sub-origem |
FirewallPolicyIntrusionDetection
| Nome | Descrição | Valor |
|---|---|---|
| configuração | Propriedades de configuração da deteção de intrusões. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Estado geral da deteção de intrusões. | "Alerta" "Negar" "Desligado" |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrição | Valor |
|---|---|---|
| bypassTrafficSettings | Lista de regras para o tráfego ignorar. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Os intervalos de endereços IP privados do IDPS são utilizados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por predefinição, apenas os intervalos definidos pelo IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos predefinidos, especifique os intervalos de endereços IP privados com esta propriedade | cadeia[] |
| signatureOverrides | Lista de estados de assinaturas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nome | Descrição | Valor |
|---|---|---|
| descrição | Descrição da regra de tráfego de bypass. | string |
| destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | cadeia[] |
| destinationIpGroups | Lista de IpGroups de destino para esta regra. | cadeia[] |
| destinationPorts | Lista de portas ou intervalos de destino. | cadeia[] |
| name | Nome da regra de tráfego de ignorar. | string |
| protocolo | A regra ignora o protocolo. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | cadeia[] |
| sourceIpGroups | Lista de IpGroups de origem para esta regra. | cadeia[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nome | Descrição | Valor |
|---|---|---|
| ID | ID de assinatura. | string |
| mode | O estado da assinatura. | "Alerta" "Negar" "Desligado" |
FirewallPolicySku
| Nome | Descrição | Valor |
|---|---|---|
| tier | Camada de Política de Firewall. | "Básico" "Premium" "Standard" |
FirewallPolicySnat
| Nome | Descrição | Valor |
|---|---|---|
| privateRanges | Lista de endereços IP privados/intervalos de endereços IP para não serem SNAT. | cadeia[] |
FirewallPolicySQL
| Nome | Descrição | Valor |
|---|---|---|
| allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego de Redirecionamento de SQL está ativada. Ativar o sinalizador não requer nenhuma regra com a porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrição | Valor |
|---|---|---|
| fqdns | Lista de FQDNs para a Lista de Permissões do ThreatIntel. | cadeia[] |
| ipAddresses | Lista de endereços IP da Lista de Permissões do ThreatIntel. | cadeia[] |
FirewallPolicyTransportSecurity
| Nome | Descrição | Valor |
|---|---|---|
| certificateAuthority | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nome | Descrição | Valor |
|---|---|---|
| keyVaultSecretId | ID secreto do objeto "Secret" ou "Certificate" (pfx não encriptado codificado de base 64) armazenado no KeyVault. | string |
| name | Nome do certificado de AC. | string |