Брандмауэр Microsoft.NetworkПолитики 2021-02-01
Определение ресурса Bicep
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания групп ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте в шаблон следующий Bicep.
resource symbolicname 'Microsoft.Network/firewallPolicies@2021-02-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Значения свойств
firewallPolicies
Имя | Описание | Значение |
---|---|---|
name | имя ресурса. | string (обязательно) Ограничение символов: 1-80 Допустимые символы: Буквенно-цифровые символы, символы подчеркивания, точки и дефисы. Начинается с буквенно-цифрового символа. Заканчивается буквенно-цифровым символом или символом подчеркивания. |
location | Расположение ресурса. | строка |
tags | Теги ресурсов. | Словарь имен и значений тегов. См . раздел Теги в шаблонах |
удостоверение | Удостоверение политики брандмауэра. | Управляемое удостоверение службы |
properties | Свойства политики брандмауэра. | FirewallPolicyPropertiesFormat |
Управляемое удостоверение службы
Имя | Описание | Значение |
---|---|---|
тип | Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как условно созданное удостоверение, так и набор удостоверений, назначенных пользователем. Тип None приведет к удалению всех удостоверений с виртуальной машины. | "Нет" SystemAssigned SystemAssigned, UserAssigned UserAssigned |
userAssignedIdentities | Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключи словаря удостоверений пользователей будут иметь идентификаторы ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Имя | Описание | Значение |
---|---|---|
{настраиваемое свойство} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Этот объект не содержит свойств, которые необходимо задать во время развертывания. Все свойства доступны только для чтения.
FirewallPolicyPropertiesFormat
Имя | Описание | Значение |
---|---|---|
basePolicy | Родительская политика брандмауэра, от которой наследуются правила. | SubResource |
dnsSettings | Определение параметров прокси-сервера DNS. | DnsSettings |
insights | Аналитика политики брандмауэра. | FirewallPolicyInsights |
вторжениеDetection | Конфигурация для обнаружения вторжений. | FirewallPolicyIntrusionDetection |
sku | SKU политики брандмауэра. | FirewallPolicySku |
snat | Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет SNAT. | FirewallPolicySnat |
threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Deny" "Выкл." |
threatIntelWhitelist | ThreatIntel Allowlist для политики брандмауэра. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Определение конфигурации TLS. | FirewallPolicyTransportSecurity |
SubResource
Имя | Описание | Значение |
---|---|---|
идентификатор | Идентификатор ресурса. | строка |
DnsSettings
Имя | Описание | Значение |
---|---|---|
enableProxy | Включите DNS-прокси в брандмауэрах, подключенных к политике брандмауэра. | bool |
requireProxyForNetworkRules | Полные доменные имена в правилах сети поддерживаются, если задано значение true. | bool |
servers | Список пользовательских DNS-серверов. | string[] |
FirewallPolicyInsights
Имя | Описание | Значение |
---|---|---|
isEnabled | Флаг, указывающий, включена ли аналитика в политике. | bool |
logAnalyticsResources | Рабочие области, необходимые для настройки аналитики политики брандмауэра. | FirewallPolicyLogAnalyticsResources |
retentionDays | Количество дней, в течение которых аналитика должна быть включена в политике. | INT |
FirewallPolicyLogAnalyticsResources
Имя | Описание | Значение |
---|---|---|
defaultWorkspaceId | Идентификатор рабочей области по умолчанию для Аналитики политики брандмауэра. | SubResource |
workspaces | Список рабочих областей для Аналитики политики брандмауэра. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Имя | Описание | Значение |
---|---|---|
region | Регион для настройки рабочей области. | строка |
workspaceId | Идентификатор рабочей области для аналитики политики брандмауэра. | SubResource |
FirewallPolicyIntrusionDetection
Имя | Описание | Значение |
---|---|---|
настройка | Свойства конфигурации обнаружения вторжений. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Общее состояние обнаружения вторжений. | "Оповещение" "Deny" "Выкл." |
FirewallPolicyIntrusionDetectionConfiguration
Имя | Описание | Значение |
---|---|---|
bypassTrafficSettings | Список правил для пропуска трафика. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
signatureOverrides | Список конкретных состояний подписей. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Имя | Описание | Значение |
---|---|---|
description | Описание правила обхода трафика. | строка |
destinationAddresses | Список конечных IP-адресов или диапазонов для этого правила. | string[] |
destinationIpGroups | Список целевых ipGroups для этого правила. | string[] |
destinationPorts | Список конечных портов или диапазонов. | string[] |
name | Имя правила обхода трафика. | строка |
protocol | Протокол обхода правила. | "ANY" ICMP "TCP" "UDP" |
sourceAddresses | Список исходных IP-адресов или диапазонов для этого правила. | string[] |
sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Имя | Описание | Значение |
---|---|---|
идентификатор | Идентификатор подписи. | строка |
mode | Состояние подписи. | "Оповещение" "Deny" "Выкл." |
FirewallPolicySku
Имя | Описание | Значение |
---|---|---|
Уровень | Уровень политики брандмауэра. | "Премиум" "Стандартный" |
FirewallPolicySnat
Имя | Описание | Значение |
---|---|---|
privateRanges | Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. | string[] |
FirewallPolicyThreatIntelWhitelist
Имя | Описание | Значение |
---|---|---|
Полных доменных имен | Список полных доменных имен для списка разрешений ThreatIntel. | string[] |
ipAddresses | Список IP-адресов для списка разрешений ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Имя | Описание | Значение |
---|---|---|
certificateAuthority | ЦС, используемый для создания промежуточного ЦС. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Имя | Описание | Значение |
---|---|---|
keyVaultSecretId | Секретный идентификатор объекта (в кодировке Base-64 в незашифрованном формате PFX) Secret или Certificate, хранящегося в KeyVault. | строка |
name | Имя сертификата ЦС. | строка |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
Использование Брандмауэр Azure в качестве DNS-прокси в звезд & ообразной топологии |
В этом примере показано, как развернуть звездообразную топологию в Azure с помощью Брандмауэр Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, которые подключены к центральной виртуальной сети через пиринг виртуальных сетей. |
Create брандмауэра и политики брандмауэра с помощью правил и ipgroups |
Этот шаблон развертывает Брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающейся на IP-Группы в правилах приложения и сети. |
Create брандмауэра, FirewallPolicy с явным прокси-сервером |
Этот шаблон создает Брандмауэр Azure FirewalllPolicy с явным прокси-сервером и правила сети с IpGroups. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
Create брандмауэра с БрандмауэромПолитика и IpGroups |
Этот шаблон создает Брандмауэр Azure с БрандмауэромlPolicy, ссылающимся на сетевые правила с ipGroups. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
Среда тестирования для Брандмауэр Azure Premium |
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий. |
Create настройки песочницы с помощью политики брандмауэра |
Этот шаблон создает виртуальную сеть с 3 подсетями (подсеть сервера, подсеть Jumpbox и подсеть AzureFirewall), виртуальную машину jumpbox с общедоступным IP-адресом, серверную виртуальную машину, маршрут UDR, указывающий на Брандмауэр Azure для подсети сервера и Брандмауэр Azure с 1 или более общедоступными IP-адресами. Также создает политику брандмауэра с 1 примером правила приложения, 1 примером правила сети и частными диапазонами по умолчанию. |
Защищенные виртуальные концентраторы |
Этот шаблон создает защищенный виртуальный концентратор с помощью Брандмауэр Azure для защиты облачного сетевого трафика, предназначенного для Интернета. |
Назначение и политики маршрутизации azure Виртуальная глобальная сеть |
Этот шаблон подготавливает Виртуальная глобальная сеть Azure с двумя концентраторами с включенными функциями намерения и политики маршрутизации. |
Определение ресурса шаблона ARM
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания групп ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2021-02-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Значения свойств
firewallPolicies
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | Microsoft.Network/firewallPolicies |
версия_API | Версия API ресурсов | '2021-02-01' |
name | имя ресурса. | string (обязательно) Ограничение символов: 1-80 Допустимые символы: Буквенно-цифровые символы, символы подчеркивания, точки и дефисы. Начинается с буквенно-цифрового символа. Заканчивается буквенно-цифровым символом или символом подчеркивания. |
location | Расположение ресурса. | строка |
tags | Теги ресурсов. | Словарь имен и значений тегов. См . раздел Теги в шаблонах |
удостоверение | Удостоверение политики брандмауэра. | Управляемое удостоверение службы |
properties | Свойства политики брандмауэра. | FirewallPolicyPropertiesFormat |
Управляемое удостоверение службы
Имя | Описание | Значение |
---|---|---|
тип | Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как условно созданное удостоверение, так и набор удостоверений, назначенных пользователем. Тип None приведет к удалению всех удостоверений с виртуальной машины. | "Нет" SystemAssigned SystemAssigned, UserAssigned UserAssigned |
userAssignedIdentities | Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключи словаря удостоверений пользователей будут иметь идентификаторы ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Имя | Описание | Значение |
---|---|---|
{настраиваемое свойство} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Этот объект не содержит свойств, которые необходимо задать во время развертывания. Все свойства доступны только для чтения.
FirewallPolicyPropertiesFormat
Имя | Описание | Значение |
---|---|---|
basePolicy | Родительская политика брандмауэра, от которой наследуются правила. | SubResource |
dnsSettings | Определение параметров прокси-сервера DNS. | DnsSettings |
insights | Аналитика политики брандмауэра. | FirewallPolicyInsights |
вторжениеDetection | Конфигурация для обнаружения вторжений. | FirewallPolicyIntrusionDetection |
sku | SKU политики брандмауэра. | FirewallPolicySku |
snat | Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет SNAT. | FirewallPolicySnat |
threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Deny" "Выкл." |
threatIntelWhitelist | ThreatIntel Allowlist для политики брандмауэра. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Определение конфигурации TLS. | FirewallPolicyTransportSecurity |
SubResource
Имя | Описание | Значение |
---|---|---|
идентификатор | Идентификатор ресурса. | строка |
DnsSettings
Имя | Описание | Значение |
---|---|---|
enableProxy | Включите DNS-прокси в брандмауэрах, подключенных к политике брандмауэра. | bool |
requireProxyForNetworkRules | Полные доменные имена в правилах сети поддерживаются, если задано значение true. | bool |
servers | Список пользовательских DNS-серверов. | string[] |
FirewallPolicyInsights
Имя | Описание | Значение |
---|---|---|
isEnabled | Флаг, указывающий, включены ли аналитические сведения в политике. | bool |
logAnalyticsResources | Рабочие области, необходимые для настройки аналитики политики брандмауэра. | FirewallPolicyLogAnalyticsResources |
retentionDays | Количество дней, в течение которых аналитика должна быть включена в политике. | INT |
FirewallPolicyLogAnalyticsResources
Имя | Описание | Значение |
---|---|---|
defaultWorkspaceId | Идентификатор рабочей области по умолчанию для Аналитики политики брандмауэра. | SubResource |
workspaces | Список рабочих областей для Аналитики политики брандмауэра. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Имя | Описание | Значение |
---|---|---|
region | Регион для настройки рабочей области. | строка |
workspaceId | Идентификатор рабочей области для аналитики политики брандмауэра. | SubResource |
FirewallPolicyIntrusionDetection
Имя | Описание | Значение |
---|---|---|
настройка | Свойства конфигурации обнаружения вторжений. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Общее состояние обнаружения вторжений. | "Оповещение" "Deny" "Выкл." |
FirewallPolicyIntrusionDetectionConfiguration
Имя | Описание | Значение |
---|---|---|
bypassTrafficSettings | Список правил для пропуска трафика. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
signatureOverrides | Список определенных состояний подписей. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Имя | Описание | Значение |
---|---|---|
description | Описание правила обхода трафика. | строка |
destinationAddresses | Список целевых IP-адресов или диапазонов для этого правила. | string[] |
destinationIpGroups | Список целевых ipGroups для этого правила. | string[] |
destinationPorts | Список конечных портов или диапазонов. | string[] |
name | Имя правила обхода трафика. | строка |
protocol | Протокол обхода правила. | "ANY" 'ICMP' "TCP" 'UDP' |
sourceAddresses | Список исходных IP-адресов или диапазонов для этого правила. | string[] |
sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Имя | Описание | Значение |
---|---|---|
идентификатор | Идентификатор подписи. | строка |
mode | Состояние подписи. | "Оповещение" "Deny" "Выкл." |
FirewallPolicySku
Имя | Описание | Значение |
---|---|---|
Уровень | Уровень политики брандмауэра. | "Премиум" "Стандартный" |
FirewallPolicySnat
Имя | Описание | Значение |
---|---|---|
privateRanges | Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. | string[] |
FirewallPolicyThreatIntelWhitelist
Имя | Описание | Значение |
---|---|---|
Полных доменных имен | Список полных доменных имен для списка разрешений ThreatIntel. | string[] |
ipAddresses | Список IP-адресов для списка разрешений ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Имя | Описание | Значение |
---|---|---|
certificateAuthority | ЦС, используемый для создания промежуточного ЦС. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Имя | Описание | Значение |
---|---|---|
keyVaultSecretId | Секретный идентификатор объекта (в кодировке Base-64 в незашифрованном формате PFX) Secret или Certificate, хранящегося в KeyVault. | строка |
name | Имя сертификата ЦС. | строка |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
Использование Брандмауэр Azure в качестве DNS-прокси в звезд & ообразной топологии |
В этом примере показано, как развернуть звездообразную топологию в Azure с помощью Брандмауэр Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, которые подключены к центральной виртуальной сети через пиринг виртуальных сетей. |
Create брандмауэра и политики брандмауэра с помощью правил и ipgroups |
Этот шаблон развертывает Брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающейся на IP-Группы в правилах приложения и сети. |
Create брандмауэра, FirewallPolicy с явным прокси-сервером |
Этот шаблон создает Брандмауэр Azure FirewalllPolicy с явным прокси-сервером и правила сети с IpGroups. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
Create брандмауэра с БрандмауэромПолитика и IpGroups |
Этот шаблон создает Брандмауэр Azure с БрандмауэромlPolicy, ссылающимся на сетевые правила с ipGroups. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
Среда тестирования для Брандмауэр Azure Premium |
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий. |
Create настройки песочницы с помощью политики брандмауэра |
Этот шаблон создает виртуальную сеть с 3 подсетями (подсеть сервера, подсеть Jumpbox и подсеть AzureFirewall), виртуальную машину jumpbox с общедоступным IP-адресом, серверную виртуальную машину, маршрут UDR, указывающий на Брандмауэр Azure для подсети сервера и Брандмауэр Azure с 1 или более общедоступными IP-адресами. Также создает политику брандмауэра с 1 примером правила приложения, 1 примером правила сети и частными диапазонами по умолчанию. |
Защищенные виртуальные концентраторы |
Этот шаблон создает защищенный виртуальный концентратор с помощью Брандмауэр Azure для защиты облачного сетевого трафика, предназначенного для Интернета. |
Намерения и политики маршрутизации azure Виртуальная глобальная сеть |
Этот шаблон подготавливает Виртуальная глобальная сеть Azure с двумя концентраторами с включенными функциями намерения и политик маршрутизации. |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте в шаблон следующую terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2021-02-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Значения свойств
firewallPolicies
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | "Microsoft.Network/firewallPolicies@2021-02-01" |
name | имя ресурса. | string (обязательно) Ограничение символов: 1-80 Допустимые символы: Буквенно-цифровые символы, символы подчеркивания, точки и дефисы. Начинается с буквенно-цифрового символа. Заканчивается буквенно-цифровым символом или символом подчеркивания. |
location | Расположение ресурса. | строка |
parent_id | Для развертывания в группе ресурсов используйте идентификатор этой группы ресурсов. | string (обязательно) |
tags | Теги ресурсов. | Словарь имен и значений тегов. |
удостоверение | Удостоверение политики брандмауэра. | Управляемое удостоверение службы |
properties | Свойства политики брандмауэра. | FirewallPolicyPropertiesFormat |
Управляемое удостоверение службы
Имя | Описание | Значение |
---|---|---|
тип | Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как условно созданное удостоверение, так и набор удостоверений, назначенных пользователем. Тип None приведет к удалению всех удостоверений с виртуальной машины. | "SystemAssigned" "SystemAssigned, UserAssigned" UserAssigned |
identity_ids | Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключи словаря удостоверений пользователей будут иметь идентификаторы ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | Массив идентификаторов удостоверений пользователей. |
ManagedServiceIdentityUserAssignedIdentities
Имя | Описание | Значение |
---|---|---|
{настраиваемое свойство} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Этот объект не содержит свойств, которые необходимо задать во время развертывания. Все свойства доступны только для чтения.
FirewallPolicyPropertiesFormat
Имя | Описание | Значение |
---|---|---|
basePolicy | Родительская политика брандмауэра, от которой наследуются правила. | SubResource |
dnsSettings | Определение параметров прокси-сервера DNS. | DnsSettings |
insights | Аналитика политики брандмауэра. | FirewallPolicyInsights |
вторжениеDetection | Конфигурация для обнаружения вторжений. | FirewallPolicyIntrusionDetection |
sku | SKU политики брандмауэра. | FirewallPolicySku |
snat | Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет SNAT. | FirewallPolicySnat |
threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Запретить" "Выкл." |
threatIntelWhitelist | ThreatIntel Allowlist для политики брандмауэра. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Определение конфигурации TLS. | FirewallPolicyTransportSecurity |
SubResource
Имя | Описание | Значение |
---|---|---|
идентификатор | Идентификатор ресурса. | строка |
DnsSettings
Имя | Описание | Значение |
---|---|---|
enableProxy | Включите DNS-прокси в брандмауэрах, подключенных к политике брандмауэра. | bool |
requireProxyForNetworkRules | Полные доменные имена в правилах сети поддерживаются, если задано значение true. | bool |
servers | Список пользовательских DNS-серверов. | string[] |
FirewallPolicyInsights
Имя | Описание | Значение |
---|---|---|
isEnabled | Флаг, указывающий, включена ли аналитика в политике. | bool |
logAnalyticsResources | Рабочие области, необходимые для настройки аналитики политики брандмауэра. | FirewallPolicyLogAnalyticsResources |
retentionDays | Количество дней, в течение которых аналитика должна быть включена в политике. | INT |
FirewallPolicyLogAnalyticsResources
Имя | Описание | Значение |
---|---|---|
defaultWorkspaceId | Идентификатор рабочей области по умолчанию для Аналитики политики брандмауэра. | SubResource |
workspaces | Список рабочих областей для Аналитики политики брандмауэра. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Имя | Описание | Значение |
---|---|---|
region | Регион для настройки рабочей области. | строка |
workspaceId | Идентификатор рабочей области для аналитики политики брандмауэра. | SubResource |
FirewallPolicyIntrusionDetection
Имя | Описание | Значение |
---|---|---|
настройка | Свойства конфигурации обнаружения вторжений. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Общее состояние обнаружения вторжений. | "Оповещение" "Запретить" "Выкл." |
FirewallPolicyIntrusionDetectionConfiguration
Имя | Описание | Значение |
---|---|---|
bypassTrafficSettings | Список правил для пропуска трафика. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
signatureOverrides | Список конкретных состояний подписей. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Имя | Описание | Значение |
---|---|---|
description | Описание правила обхода трафика. | строка |
destinationAddresses | Список конечных IP-адресов или диапазонов для этого правила. | string[] |
destinationIpGroups | Список целевых ipGroups для этого правила. | string[] |
destinationPorts | Список конечных портов или диапазонов. | string[] |
name | Имя правила обхода трафика. | строка |
protocol | Протокол обхода правила. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Список исходных IP-адресов или диапазонов для этого правила. | string[] |
sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Имя | Описание | Значение |
---|---|---|
идентификатор | Идентификатор подписи. | строка |
mode | Состояние подписи. | "Оповещение" "Запретить" "Выкл." |
FirewallPolicySku
Имя | Описание | Значение |
---|---|---|
Уровень | Уровень политики брандмауэра. | "Премиум" "Стандартный" |
FirewallPolicySnat
Имя | Описание | Значение |
---|---|---|
privateRanges | Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. | string[] |
FirewallPolicyThreatIntelWhitelist
Имя | Описание | Значение |
---|---|---|
Полных доменных имен | Список полных доменных имен для списка разрешений ThreatIntel. | string[] |
ipAddresses | Список IP-адресов для списка разрешений ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Имя | Описание | Значение |
---|---|---|
certificateAuthority | ЦС, используемый для создания промежуточного ЦС. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Имя | Описание | Значение |
---|---|---|
keyVaultSecretId | Секретный идентификатор объекта (в кодировке Base-64 в незашифрованном формате PFX) Secret или Certificate, хранящегося в KeyVault. | строка |
name | Имя сертификата ЦС. | строка |