Microsoft.Network/firewallPolicies

Definição de recursos do bíceps

O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:

Grupos de recursos - Consulte comandos de implantação de grupo de recursos

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Bicep ao seu modelo.

resource symbolicname 'Microsoft.Network/firewallPolicies@2024-03-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
      profile: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Valores de propriedade

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Designação	Descrição	Valor

DnsSettings

Designação	Descrição	Valor
enableProxy	Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall.	Bool
requireProxyForNetworkRules	FQDNs em Regras de Rede são suportados quando definidos como true.	Bool
servidores	Lista de servidores DNS personalizados.	string[]

ExplicitProxy

Designação	Descrição	Valor
enableExplicitProxy	Quando definido como true, o modo de proxy explícito é habilitado.	Bool
enablePacFile	Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas.	Bool
Porta http	O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000.	Int Restrições: Valor mínimo = 0 Valor máximo = 64000
Porta https:	O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000.	Int Restrições: Valor mínimo = 0 Valor máximo = 64000
pacFile	URL SAS para arquivo PAC.	string
pacFilePort	Número da porta do firewall para servir o arquivo PAC.	Int Restrições: Valor mínimo = 0 Valor máximo = 64000

FirewallPolicyCertificateAuthority

Designação	Descrição	Valor
keyVaultSecretId	ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault.	string
Designação	Nome do certificado da autoridade de certificação.	string

FirewallPolicyInsights

Designação	Descrição	Valor
isEnabled	Um sinalizador para indicar se os insights estão habilitados na política.	Bool
logAnalyticsRecursos	Espaços de trabalho necessários para configurar o Firewall Policy Insights.	FirewallPolicyLogAnalyticsResources
dias de retenção	Número de dias em que os insights devem ser habilitados na política.	Int

FirewallPolíticaIntrusãoDetecção

Designação	Descrição	Valor
configuração	Propriedades de configuração de deteção de intrusão.	FirewallPolicyIntrusionDetectionConfiguration
modo	Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois.	'Alerta' 'Negar' 'Desligado'
perfil	Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai.	'Avançado' 'Básico' 'Prorrogado' 'Padrão'

FirewallPolicyIntrusionDetectionBypassTrafficEspecificações

Designação	Descrição	Valor
Descrição	Descrição da regra de tráfego de desvio.	string
destinationAddresses	Lista de endereços IP de destino ou intervalos para esta regra.	string[]
destinationIpGroups	Lista de IpGroups de destino para esta regra.	string[]
destinationPorts	Lista de portas ou intervalos de destino.	string[]
Designação	Nome da regra de tráfego de desvio.	string
protocolo	O protocolo de desvio de regra.	'QUALQUER' 'ICMP' 'TCP' 'UDP'
sourceAddresses	Lista de endereços IP de origem ou intervalos para esta regra.	string[]
fonteIpGroups	Lista de IpGroups de origem para esta regra.	string[]

FirewallPolicyIntrusionDetectionConfiguration

Designação	Descrição	Valor
bypassTrafficSettings	Lista de regras para o tráfego a ser contornado.	FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
intervalos privados	Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade	string[]
assinaturaSubstituições	Lista de estados de assinaturas específicas.	FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Designação	Descrição	Valor
ID	ID da assinatura.	string
modo	O estado da assinatura.	'Alerta' 'Negar' 'Desligado'

FirewallPolicyLogAnalyticsResources

Designação	Descrição	Valor
defaultWorkspaceId	A ID do espaço de trabalho padrão para Insights de Política de Firewall.	SubResource
espaços de trabalho	Lista de espaços de trabalho para Firewall Policy Insights.	FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Designação	Descrição	Valor
região	Região para configurar o espaço de trabalho.	string
workspaceId	A ID do espaço de trabalho para Insights de Política de Firewall.	SubResource

FirewallPolicyPropertiesFormat

Designação	Descrição	Valor
basePolicy	A política de firewall pai da qual as regras são herdadas.	SubResource
dnsConfigurações	Definição de configurações de proxy DNS.	DnsSettings
explicitProxy	Definição explícita de configurações de proxy.	ExplicitProxy
Informações	Informações sobre a política de firewall.	FirewallPolicyInsights
intrusãoDetecção	A configuração para deteção de intrusão.	FirewallPolicyIntrusionDetection
SKU	A SKU da Política de Firewall.	FirewallPolicySku
Snat	Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT.	FirewallPolicySnat
SQL	Definição de Configurações SQL.	FirewallPolicySQL
threatIntelMode	O modo de operação para Threat Intelligence.	'Alerta' 'Negar' 'Desligado'
ameaçaIntelWhitelist	ThreatIntel Whitelist for Firewall Policy.	FirewallPolicyThreatIntelWhitelist
transportesSegurança	Definição de configuração TLS.	FirewallPolicyTransportSecurity

FirewallPolicySku

Designação	Descrição	Valor
nível	Nível da política de firewall.	'Básico' 'Premium' 'Padrão'

FirewallPolicySnat

Designação	Descrição	Valor
autoLearnPrivateRanges	O modo de operação para aprender automaticamente intervalos privados para não ser SNAT	'Desativado' 'Habilitado'
intervalos privados	Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT.	string[]

FirewallPolicySQL

Designação	Descrição	Valor
allowSqlRedirect	Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999.	Bool

FirewallPolicyThreatIntelWhitelist

Designação	Descrição	Valor
FQDNs	Lista de FQDNs para a lista branca ThreatIntel.	string[]
Endereços IP	Lista de endereços IP para a lista branca ThreatIntel.	string[]

FirewallPolíticaTransporteSegurança

Designação	Descrição	Valor
Autoridade de certificação	A AC utilizada para a geração intermédia de AC.	FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Designação	Descrição	Valor
tipo	O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'Nenhum' removerá todas as identidades da máquina virtual.	'Nenhuma' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned'
userAssignedIdentities	A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'.	ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Designação	Descrição	Valor

Designação	Descrição	Valor
identidade	A identidade da política de firewall.	ManagedServiceIdentity
Localização	Localização do recurso.	string
Designação	O nome do recurso	string (obrigatório)
propriedades	Propriedades da política de firewall.	FirewallPolicyPropertiesFormat
Etiquetas	Etiquetas de recursos	Dicionário de nomes e valores de tags. Consulte Tags em modelos

Tags de Recursos

Designação	Descrição	Valor

Subrecurso

Designação	Descrição	Valor
ID	ID do recurso.	string

Exemplos de início rápido

Os exemplos de início rápido a seguir implantam esse tipo de recurso.

Arquivo Bicep	Descrição
Criar um Firewall e uma Política de Firewall com Regras e Ipgroups	Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede.
Hubs virtuais seguros	Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet.
SharePoint Subscription / 2019 / 2016 totalmente configurado	Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...).
Ambiente de teste para o Azure Firewall Premium	Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web
Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke	Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual.

Definição de recurso de modelo ARM