Microsoft.Network firewallPolíticas 2023-09-01
- Últimas
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Definição de recursos do bíceps
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos - Consulte comandos de implantação de grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-09-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Designação | Descrição | Valor |
|---|
DnsSettings
| Designação | Descrição | Valor |
|---|---|---|
| enableProxy | Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. | Bool |
| requireProxyForNetworkRules | FQDNs em Regras de Rede são suportados quando definidos como true. | Bool |
| servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
| Designação | Descrição | Valor |
|---|---|---|
| enableExplicitProxy | Quando definido como true, o modo de proxy explícito é habilitado. | Bool |
| enablePacFile | Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. | Bool |
| Porta http | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
| Porta https: | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
| pacFile | URL SAS para arquivo PAC. | string |
| pacFilePort | Número da porta do firewall para servir o arquivo PAC. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
| Designação | Descrição | Valor |
|---|---|---|
| keyVaultSecretId | ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. | string |
| Designação | Nome do certificado da autoridade de certificação. | string |
FirewallPolicyInsights
| Designação | Descrição | Valor |
|---|---|---|
| isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
| logAnalyticsRecursos | Espaços de trabalho necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
| dias de retenção | Número de dias em que os insights devem ser habilitados na política. | Int |
FirewallPolíticaIntrusãoDetecção
| Designação | Descrição | Valor |
|---|---|---|
| configuração | Propriedades de configuração de deteção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
| modo | Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | 'Alerta' 'Negar' 'Desligado' |
| perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | 'Avançado' 'Básico' 'Prorrogado' 'Padrão' |
FirewallPolicyIntrusionDetectionBypassTrafficEspecificações
| Designação | Descrição | Valor |
|---|---|---|
| Descrição | Descrição da regra de tráfego de desvio. | string |
| destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | string[] |
| destinationIpGroups | Lista de IpGroups de destino para esta regra. | string[] |
| destinationPorts | Lista de portas ou intervalos de destino. | string[] |
| Designação | Nome da regra de tráfego de desvio. | string |
| protocolo | O protocolo de desvio de regra. | 'QUALQUER' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | string[] |
| fonteIpGroups | Lista de IpGroups de origem para esta regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Designação | Descrição | Valor |
|---|---|---|
| bypassTrafficSettings | Lista de regras para o tráfego a ser contornado. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| intervalos privados | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade | string[] |
| assinaturaSubstituições | Lista de estados de assinaturas específicas. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Designação | Descrição | Valor |
|---|---|---|
| ID | ID da assinatura. | string |
| modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicyLogAnalyticsResources
| Designação | Descrição | Valor |
|---|---|---|
| defaultWorkspaceId | A ID do espaço de trabalho padrão para Insights de Política de Firewall. | SubResource |
| espaços de trabalho | Lista de espaços de trabalho para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Designação | Descrição | Valor |
|---|---|---|
| região | Região para configurar o espaço de trabalho. | string |
| workspaceId | A ID do espaço de trabalho para Insights de Política de Firewall. | SubResource |
FirewallPolicyPropertiesFormat
| Designação | Descrição | Valor |
|---|---|---|
| basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
| dnsConfigurações | Definição de configurações de proxy DNS. | DnsSettings |
| explicitProxy | Definição explícita de configurações de proxy. | ExplicitProxy |
| Informações | Informações sobre a política de firewall. | FirewallPolicyInsights |
| intrusãoDetecção | A configuração para deteção de intrusão. | FirewallPolicyIntrusionDetection |
| SKU | A SKU da Política de Firewall. | FirewallPolicySku |
| Snat | Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
| SQL | Definição de Configurações SQL. | FirewallPolicySQL |
| threatIntelMode | O modo de operação para Threat Intelligence. | 'Alerta' 'Negar' 'Desligado' |
| ameaçaIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
| transportesSegurança | Definição de configuração TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Designação | Descrição | Valor |
|---|---|---|
| nível | Nível da política de firewall. | 'Básico' 'Premium' 'Padrão' |
FirewallPolicySnat
| Designação | Descrição | Valor |
|---|---|---|
| autoLearnPrivateRanges | O modo de operação para aprender automaticamente intervalos privados para não ser SNAT | 'Desativado' 'Habilitado' |
| intervalos privados | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
| Designação | Descrição | Valor |
|---|---|---|
| allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Designação | Descrição | Valor |
|---|---|---|
| FQDNs | Lista de FQDNs para a lista branca ThreatIntel. | string[] |
| Endereços IP | Lista de endereços IP para a lista branca ThreatIntel. | string[] |
FirewallPolíticaTransporteSegurança
| Designação | Descrição | Valor |
|---|---|---|
| Autoridade de certificação | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
ManagedServiceIdentityUserAssignedIdentities
| Designação | Descrição | Valor |
|---|
Microsoft.Network/firewallPolicies
| Designação | Descrição | Valor |
|---|---|---|
| identidade | A identidade da política de firewall. | ManagedServiceIdentity |
| Localização | Localização do recurso. | string |
| Designação | O nome do recurso | string (obrigatório) |
| propriedades | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
| Etiquetas | Etiquetas de recursos | Dicionário de nomes e valores de tags. Consulte Tags em modelos |
Tags de Recursos
| Designação | Descrição | Valor |
|---|
Subrecurso
| Designação | Descrição | Valor |
|---|---|---|
| ID | ID do recurso. | string |
Exemplos de início rápido
Os exemplos de início rápido a seguir implantam esse tipo de recurso.
| Arquivo Bicep | Descrição |
|---|---|
| Criar um Firewall e uma Política de Firewall com Regras e Ipgroups | Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede. |
| Hubs virtuais seguros | Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet. |
| SharePoint Subscription / 2019 / 2016 totalmente configurado | Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...). |
| Ambiente de teste para o Azure Firewall Premium | Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web |
| Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke | Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
Definição de recurso de modelo ARM
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos - Consulte comandos de implantação de grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte JSON ao seu modelo.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-09-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Designação | Descrição | Valor |
|---|
DnsSettings
| Designação | Descrição | Valor |
|---|---|---|
| enableProxy | Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. | Bool |
| requireProxyForNetworkRules | FQDNs em Regras de Rede são suportados quando definidos como true. | Bool |
| servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
| Designação | Descrição | Valor |
|---|---|---|
| enableExplicitProxy | Quando definido como true, o modo de proxy explícito é habilitado. | Bool |
| enablePacFile | Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. | Bool |
| Porta http | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
| Porta https: | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
| pacFile | URL SAS para arquivo PAC. | string |
| pacFilePort | Número da porta do firewall para servir o arquivo PAC. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
| Designação | Descrição | Valor |
|---|---|---|
| keyVaultSecretId | ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. | string |
| Designação | Nome do certificado da autoridade de certificação. | string |
FirewallPolicyInsights
| Designação | Descrição | Valor |
|---|---|---|
| isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
| logAnalyticsRecursos | Espaços de trabalho necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
| dias de retenção | Número de dias em que os insights devem ser habilitados na política. | Int |
FirewallPolíticaIntrusãoDetecção
| Designação | Descrição | Valor |
|---|---|---|
| configuração | Propriedades de configuração de deteção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
| modo | Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | 'Alerta' 'Negar' 'Desligado' |
| perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | 'Avançado' 'Básico' 'Prorrogado' 'Padrão' |
FirewallPolicyIntrusionDetectionBypassTrafficEspecificações
| Designação | Descrição | Valor |
|---|---|---|
| Descrição | Descrição da regra de tráfego de desvio. | string |
| destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | string[] |
| destinationIpGroups | Lista de IpGroups de destino para esta regra. | string[] |
| destinationPorts | Lista de portas ou intervalos de destino. | string[] |
| Designação | Nome da regra de tráfego de desvio. | string |
| protocolo | O protocolo de desvio de regra. | 'QUALQUER' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | string[] |
| fonteIpGroups | Lista de IpGroups de origem para esta regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Designação | Descrição | Valor |
|---|---|---|
| bypassTrafficSettings | Lista de regras para o tráfego a ser contornado. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| intervalos privados | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade | string[] |
| assinaturaSubstituições | Lista de estados de assinaturas específicas. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Designação | Descrição | Valor |
|---|---|---|
| ID | ID da assinatura. | string |
| modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicyLogAnalyticsResources
| Designação | Descrição | Valor |
|---|---|---|
| defaultWorkspaceId | A ID do espaço de trabalho padrão para Insights de Política de Firewall. | SubResource |
| espaços de trabalho | Lista de espaços de trabalho para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Designação | Descrição | Valor |
|---|---|---|
| região | Região para configurar o espaço de trabalho. | string |
| workspaceId | A ID do espaço de trabalho para Insights de Política de Firewall. | SubResource |
FirewallPolicyPropertiesFormat
| Designação | Descrição | Valor |
|---|---|---|
| basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
| dnsConfigurações | Definição de configurações de proxy DNS. | DnsSettings |
| explicitProxy | Definição explícita de configurações de proxy. | ExplicitProxy |
| Informações | Informações sobre a política de firewall. | FirewallPolicyInsights |
| intrusãoDetecção | A configuração para deteção de intrusão. | FirewallPolicyIntrusionDetection |
| SKU | A SKU da Política de Firewall. | FirewallPolicySku |
| Snat | Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
| SQL | Definição de Configurações SQL. | FirewallPolicySQL |
| threatIntelMode | O modo de operação para Threat Intelligence. | 'Alerta' 'Negar' 'Desligado' |
| ameaçaIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
| transportesSegurança | Definição de configuração TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Designação | Descrição | Valor |
|---|---|---|
| nível | Nível da política de firewall. | 'Básico' 'Premium' 'Padrão' |
FirewallPolicySnat
| Designação | Descrição | Valor |
|---|---|---|
| autoLearnPrivateRanges | O modo de operação para aprender automaticamente intervalos privados para não ser SNAT | 'Desativado' 'Habilitado' |
| intervalos privados | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
| Designação | Descrição | Valor |
|---|---|---|
| allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Designação | Descrição | Valor |
|---|---|---|
| FQDNs | Lista de FQDNs para a lista branca ThreatIntel. | string[] |
| Endereços IP | Lista de endereços IP para a lista branca ThreatIntel. | string[] |
FirewallPolíticaTransporteSegurança
| Designação | Descrição | Valor |
|---|---|---|
| Autoridade de certificação | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
ManagedServiceIdentityUserAssignedIdentities
| Designação | Descrição | Valor |
|---|
Microsoft.Network/firewallPolicies
| Designação | Descrição | Valor |
|---|---|---|
| apiVersion | A versão api | '2023-09-01' |
| identidade | A identidade da política de firewall. | ManagedServiceIdentity |
| Localização | Localização do recurso. | string |
| Designação | O nome do recurso | string (obrigatório) |
| propriedades | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
| Etiquetas | Etiquetas de recursos | Dicionário de nomes e valores de tags. Consulte Tags em modelos |
| tipo | O tipo de recurso | 'Microsoft.Network/firewallPolicies' |
Tags de Recursos
| Designação | Descrição | Valor |
|---|
Subrecurso
| Designação | Descrição | Valor |
|---|---|---|
| ID | ID do recurso. | string |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
| Modelo | Descrição |
|---|---|
Criar um Firewall e uma Política de Firewall com Regras e Ipgroups
|
Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede. |
|
Criar um firewall com FirewallPolicy e IpGroups
|
Este modelo cria um Firewall do Azure com FirewalllPolicy fazendo referência a Regras de Rede com IpGroups. Além disso, inclui uma configuração de vm Linux Jumpbox |
|
Criar um firewall, FirewallPolicy com proxy explícito
|
Este modelo cria um Firewall do Azure, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração de vm Linux Jumpbox |
|
Criar uma configuração de área restrita com a Diretiva de Firewall
|
Este modelo cria uma rede virtual com 3 sub-redes (sub-rede do servidor, subet jumpbox e sub-rede AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão |
|
Hubs virtuais seguros
|
Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet. |
|
SharePoint Subscription / 2019 / 2016 totalmente configurado
|
Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...). |
|
Ambiente de teste para o Azure Firewall Premium
|
Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web |
|
Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke
|
Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
Definição de recursos Terraform (provedor AzAPI)
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Terraform ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-09-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
tags = {
{customized property} = "string"
}
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Designação | Descrição | Valor |
|---|
DnsSettings
| Designação | Descrição | Valor |
|---|---|---|
| enableProxy | Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. | Bool |
| requireProxyForNetworkRules | FQDNs em Regras de Rede são suportados quando definidos como true. | Bool |
| servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
| Designação | Descrição | Valor |
|---|---|---|
| enableExplicitProxy | Quando definido como true, o modo de proxy explícito é habilitado. | Bool |
| enablePacFile | Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. | Bool |
| Porta http | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
| Porta https: | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
| pacFile | URL SAS para arquivo PAC. | string |
| pacFilePort | Número da porta do firewall para servir o arquivo PAC. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
| Designação | Descrição | Valor |
|---|---|---|
| keyVaultSecretId | ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. | string |
| Designação | Nome do certificado da autoridade de certificação. | string |
FirewallPolicyInsights
| Designação | Descrição | Valor |
|---|---|---|
| isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
| logAnalyticsRecursos | Espaços de trabalho necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
| dias de retenção | Número de dias em que os insights devem ser habilitados na política. | Int |
FirewallPolíticaIntrusãoDetecção
| Designação | Descrição | Valor |
|---|---|---|
| configuração | Propriedades de configuração de deteção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
| modo | Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | 'Alerta' 'Negar' 'Desligado' |
| perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | 'Avançado' 'Básico' 'Prorrogado' 'Padrão' |
FirewallPolicyIntrusionDetectionBypassTrafficEspecificações
| Designação | Descrição | Valor |
|---|---|---|
| Descrição | Descrição da regra de tráfego de desvio. | string |
| destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | string[] |
| destinationIpGroups | Lista de IpGroups de destino para esta regra. | string[] |
| destinationPorts | Lista de portas ou intervalos de destino. | string[] |
| Designação | Nome da regra de tráfego de desvio. | string |
| protocolo | O protocolo de desvio de regra. | 'QUALQUER' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | string[] |
| fonteIpGroups | Lista de IpGroups de origem para esta regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Designação | Descrição | Valor |
|---|---|---|
| bypassTrafficSettings | Lista de regras para o tráfego a ser contornado. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| intervalos privados | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade | string[] |
| assinaturaSubstituições | Lista de estados de assinaturas específicas. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Designação | Descrição | Valor |
|---|---|---|
| ID | ID da assinatura. | string |
| modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicyLogAnalyticsResources
| Designação | Descrição | Valor |
|---|---|---|
| defaultWorkspaceId | A ID do espaço de trabalho padrão para Insights de Política de Firewall. | SubResource |
| espaços de trabalho | Lista de espaços de trabalho para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Designação | Descrição | Valor |
|---|---|---|
| região | Região para configurar o espaço de trabalho. | string |
| workspaceId | A ID do espaço de trabalho para Insights de Política de Firewall. | SubResource |
FirewallPolicyPropertiesFormat
| Designação | Descrição | Valor |
|---|---|---|
| basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
| dnsConfigurações | Definição de configurações de proxy DNS. | DnsSettings |
| explicitProxy | Definição explícita de configurações de proxy. | ExplicitProxy |
| Informações | Informações sobre a política de firewall. | FirewallPolicyInsights |
| intrusãoDetecção | A configuração para deteção de intrusão. | FirewallPolicyIntrusionDetection |
| SKU | A SKU da Política de Firewall. | FirewallPolicySku |
| Snat | Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
| SQL | Definição de Configurações SQL. | FirewallPolicySQL |
| threatIntelMode | O modo de operação para Threat Intelligence. | 'Alerta' 'Negar' 'Desligado' |
| ameaçaIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
| transportesSegurança | Definição de configuração TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Designação | Descrição | Valor |
|---|---|---|
| nível | Nível da política de firewall. | 'Básico' 'Premium' 'Padrão' |
FirewallPolicySnat
| Designação | Descrição | Valor |
|---|---|---|
| autoLearnPrivateRanges | O modo de operação para aprender automaticamente intervalos privados para não ser SNAT | 'Desativado' 'Habilitado' |
| intervalos privados | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
| Designação | Descrição | Valor |
|---|---|---|
| allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Designação | Descrição | Valor |
|---|---|---|
| FQDNs | Lista de FQDNs para a lista branca ThreatIntel. | string[] |
| Endereços IP | Lista de endereços IP para a lista branca ThreatIntel. | string[] |
FirewallPolíticaTransporteSegurança
| Designação | Descrição | Valor |
|---|---|---|
| Autoridade de certificação | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
ManagedServiceIdentityUserAssignedIdentities
| Designação | Descrição | Valor |
|---|
Microsoft.Network/firewallPolicies
Tags de Recursos
| Designação | Descrição | Valor |
|---|
Subrecurso
| Designação | Descrição | Valor |
|---|---|---|
| ID | ID do recurso. | string |