Поделиться через


Брандмауэр Microsoft.NetworkPolicies 2023-06-01

Определение ресурсов Bicep

Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:

Список измененных свойств в каждой версии API см. в журнала изменений.

Формат ресурса

Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий Bicep в шаблон.

resource symbolicname 'Microsoft.Network/firewallPolicies@2023-06-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
      profile: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Значения свойств

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Имя Описание Ценность

DnsSettings

Имя Описание Ценность
enableProxy Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. bool
requireProxyForNetworkRules Полные доменные имена в правилах сети поддерживаются при значении true. bool
Серверов Список настраиваемых DNS-серверов. string[]

ЯвныйProxy

Имя Описание Ценность
enableExplicitProxy Если задано значение true, включен явный режим прокси-сервера. bool
enablePacFile Если задано значение true, необходимо указать порт файла pac и URL-адрес. bool
httpPort Номер порта для явного протокола http прокси-сервера не может превышать 64000. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000
httpsPort Номер порта для явного протокола https прокси-сервера не может превышать 64000. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000
pacFile URL-адрес SAS для PAC-файла. струна
pacFilePort Номер порта для брандмауэра для обслуживания PAC-файла. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000

FirewallPolicyCertificateAuthority

Имя Описание Ценность
keyVaultSecretId Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. струна
имя Имя сертификата ЦС. струна

FirewallPolicyInsights

Имя Описание Ценность
isEnabled Флаг, указывающий, включены ли аналитические сведения в политике. bool
logAnalyticsResources Рабочие области, необходимые для настройки аналитики политики брандмауэра. FirewallPolicyLogAnalyticsResources
retentionDays Количество дней, в которых должна быть включена аналитика политики. int

FirewallPolicyIntrusionDetection

Имя Описание Ценность
конфигурация Свойства конфигурации обнаружения вторжений. FirewallPolicyIntrusionDetectionConfiguration
режим Общее состояние обнаружения вторжений. При присоединении к родительской политике эффективный режим поставщика удостоверений брандмауэра является более строгим режимом двух. "Оповещение"
"Запретить"
"Выкл.
профиль Имя профиля IDPS. При присоединении к родительской политике эффективный профиль брандмауэра — это имя профиля родительской политики. 'Advanced'
"Базовый"
"Расширенный"
"Стандартный"

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Имя Описание Ценность
описание Описание правила обхода трафика. струна
destinationAddresses Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. string[]
destinationIpGroups Список целевых IpGroups для этого правила. string[]
destinationPorts Список конечных портов или диапазонов. string[]
имя Имя правила обхода трафика. струна
протокол Протокол обхода правила. "ANY"
"ICMP"
"TCP"
"UDP"
sourceAddresses Список исходных IP-адресов или диапазонов для этого правила. string[]
sourceIpGroups Список исходных IPGroups для этого правила. string[]

FirewallPolicyIntrusionDetectionConfiguration

Имя Описание Ценность
bypassTrafficSettings Список правил для обхода трафика. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Диапазоны частных IP-адресов IDPS используются для определения направления трафика (т. е. входящих, исходящих и т. д.). По умолчанию только диапазоны, определенные IANA RFC 1918, считаются частными IP-адресами. Чтобы изменить диапазоны по умолчанию, укажите диапазоны частных IP-адресов с помощью этого свойства. string[]
signatureOverrides Список определенных состояний подписей. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Имя Описание Ценность
идентификатор Идентификатор подписи. струна
режим Состояние подписи. "Оповещение"
"Запретить"
"Выкл.

FirewallPolicyLogAnalyticsResources

Имя Описание Ценность
defaultWorkspaceId Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. SubResource
рабочие области Список рабочих областей для аналитики политик брандмауэра. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Имя Описание Ценность
область Регион для настройки рабочей области. струна
WorkspaceId Идентификатор рабочей области для аналитики политики брандмауэра. SubResource

FirewallPolicyPropertiesFormat

Имя Описание Ценность
basePolicy Родительская политика брандмауэра, из которой наследуются правила. SubResource
dnsSettings Определение параметров прокси-сервера DNS. DnsSettings
explicitProxy Явное определение параметров прокси-сервера. ЯвныйProxy
Идеи Аналитические сведения о политике брандмауэра. FirewallPolicyInsights
вторжениеDetection Конфигурация обнаружения вторжений. FirewallPolicyIntrusionDetection
SKU Номер SKU политики брандмауэра. FirewallPolicySku
snat Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет иметь SNAT. FirewallPolicySnat
sql Определение параметров SQL. FirewallPolicySQL
threatIntelMode Режим работы для аналитики угроз. "Оповещение"
"Запретить"
"Выкл.
threatIntelWhitelist Список разрешений ThreatIntel для политики брандмауэра. FirewallPolicyThreatIntelWhitelist
transportSecurity Определение конфигурации TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Имя Описание Ценность
ярус Уровень политики брандмауэра. "Базовый"
"Премиум"
"Стандартный"

FirewallPolicySnat

Имя Описание Ценность
autoLearnPrivateRanges Режим работы для автоматического обучения частных диапазонов не должен быть SNAT "Отключено"
"Включено"
privateRanges Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. string[]

FirewallPolicySQL

Имя Описание Ценность
allowSqlRedirect Флаг, указывающий, включена ли фильтрация трафика перенаправления SQL. Включение флага не требует правила с помощью порта 11000-11999. bool

FirewallPolicyThreatIntelWhitelist

Имя Описание Ценность
fqdns Список полных доменных имен для списка разрешений ThreatIntel. string[]
ipAddresses Список IP-адресов для списка разрешений ThreatIntel. string[]

FirewallPolicyTransportSecurity

Имя Описание Ценность
certificateAuthority ЦС, используемый для промежуточного создания ЦС. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Имя Описание Ценность
тип Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. "Нет"
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned
userAssignedIdentities Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Имя Описание Ценность

Microsoft.Network/firewallPolicies

Имя Описание Ценность
тождество Удостоверение политики брандмауэра. ManagedServiceIdentity
местоположение Расположение ресурса. струна
имя Имя ресурса строка (обязательно)
свойства Свойства политики брандмауэра. FirewallPolicyPropertiesFormat
Теги Теги ресурсов Словарь имен и значений тегов. См. теги в шаблонах

ResourceTags

Имя Описание Ценность

SubResource

Имя Описание Ценность
идентификатор Идентификатор ресурса. струна

Примеры краткого руководства

Следующие примеры краткого руководства по развертыванию этого типа ресурса.

Bicep-файл Описание
создание брандмауэра и брандмауэра с помощью правил и ipgroups Этот шаблон развертывает брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающихся на группы IP-адресов в правилах приложений и сети.
Защищенные виртуальные центры Этот шаблон создает защищенный виртуальный концентратор с помощью брандмауэра Azure для защиты облачного сетевого трафика, предназначенного для Интернета.
подписка SharePoint / 2019/ 2016 полностью настроена Создайте контроллер домена, SQL Server 2022 и от 1 до 5 серверов, на которых размещена ферма SharePoint Subscription / 2019 / 2016 с обширной конфигурацией, включая надежную проверку подлинности, профили пользователей с личными сайтами, доверие OAuth (с помощью сертификата), выделенный сайт IIS для размещения надстроек с высоким уровнем доверия и т. д. Установлена последняя версия ключевых программ (включая Fiddler, vscode, np++, 7zip, ULS Viewer). Компьютеры SharePoint имеют дополнительную настройку, чтобы сделать их немедленно пригодными для использования (средства удаленного администрирования, пользовательские политики для Edge и Chrome, сочетания клавиш и т. д.).
среда тестирования для брандмауэра Azure Premium Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий
использовать брандмауэр Azure в качестве DNS-прокси в топологии & периферийных концентратора В этом примере показано, как развернуть звездообразную топологию в Azure с помощью брандмауэра Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, подключенным к центральной виртуальной сети через пиринг между виртуальными сетями.

Определение ресурса шаблона ARM

Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:

Список измененных свойств в каждой версии API см. в журнала изменений.

Формат ресурса

Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий код JSON в шаблон.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2023-06-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxy": {
      "enableExplicitProxy": "bool",
      "enablePacFile": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string",
      "profile": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "autoLearnPrivateRanges": "string",
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Значения свойств

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Имя Описание Ценность

DnsSettings

Имя Описание Ценность
enableProxy Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. bool
requireProxyForNetworkRules Полные доменные имена в правилах сети поддерживаются при значении true. bool
Серверов Список настраиваемых DNS-серверов. string[]

ЯвныйProxy

Имя Описание Ценность
enableExplicitProxy Если задано значение true, включен явный режим прокси-сервера. bool
enablePacFile Если задано значение true, необходимо указать порт файла pac и URL-адрес. bool
httpPort Номер порта для явного протокола http прокси-сервера не может превышать 64000. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000
httpsPort Номер порта для явного протокола https прокси-сервера не может превышать 64000. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000
pacFile URL-адрес SAS для PAC-файла. струна
pacFilePort Номер порта для брандмауэра для обслуживания PAC-файла. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000

FirewallPolicyCertificateAuthority

Имя Описание Ценность
keyVaultSecretId Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. струна
имя Имя сертификата ЦС. струна

FirewallPolicyInsights

Имя Описание Ценность
isEnabled Флаг, указывающий, включены ли аналитические сведения в политике. bool
logAnalyticsResources Рабочие области, необходимые для настройки аналитики политики брандмауэра. FirewallPolicyLogAnalyticsResources
retentionDays Количество дней, в которых должна быть включена аналитика политики. int

FirewallPolicyIntrusionDetection

Имя Описание Ценность
конфигурация Свойства конфигурации обнаружения вторжений. FirewallPolicyIntrusionDetectionConfiguration
режим Общее состояние обнаружения вторжений. При присоединении к родительской политике эффективный режим поставщика удостоверений брандмауэра является более строгим режимом двух. "Оповещение"
"Запретить"
"Выкл.
профиль Имя профиля IDPS. При присоединении к родительской политике эффективный профиль брандмауэра — это имя профиля родительской политики. 'Advanced'
"Базовый"
"Расширенный"
"Стандартный"

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Имя Описание Ценность
описание Описание правила обхода трафика. струна
destinationAddresses Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. string[]
destinationIpGroups Список целевых IpGroups для этого правила. string[]
destinationPorts Список конечных портов или диапазонов. string[]
имя Имя правила обхода трафика. струна
протокол Протокол обхода правила. "ANY"
"ICMP"
"TCP"
"UDP"
sourceAddresses Список исходных IP-адресов или диапазонов для этого правила. string[]
sourceIpGroups Список исходных IPGroups для этого правила. string[]

FirewallPolicyIntrusionDetectionConfiguration

Имя Описание Ценность
bypassTrafficSettings Список правил для обхода трафика. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Диапазоны частных IP-адресов IDPS используются для определения направления трафика (т. е. входящих, исходящих и т. д.). По умолчанию только диапазоны, определенные IANA RFC 1918, считаются частными IP-адресами. Чтобы изменить диапазоны по умолчанию, укажите диапазоны частных IP-адресов с помощью этого свойства. string[]
signatureOverrides Список определенных состояний подписей. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Имя Описание Ценность
идентификатор Идентификатор подписи. струна
режим Состояние подписи. "Оповещение"
"Запретить"
"Выкл.

FirewallPolicyLogAnalyticsResources

Имя Описание Ценность
defaultWorkspaceId Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. SubResource
рабочие области Список рабочих областей для аналитики политик брандмауэра. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Имя Описание Ценность
область Регион для настройки рабочей области. струна
WorkspaceId Идентификатор рабочей области для аналитики политики брандмауэра. SubResource

FirewallPolicyPropertiesFormat

Имя Описание Ценность
basePolicy Родительская политика брандмауэра, из которой наследуются правила. SubResource
dnsSettings Определение параметров прокси-сервера DNS. DnsSettings
explicitProxy Явное определение параметров прокси-сервера. ЯвныйProxy
Идеи Аналитические сведения о политике брандмауэра. FirewallPolicyInsights
вторжениеDetection Конфигурация обнаружения вторжений. FirewallPolicyIntrusionDetection
SKU Номер SKU политики брандмауэра. FirewallPolicySku
snat Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет иметь SNAT. FirewallPolicySnat
sql Определение параметров SQL. FirewallPolicySQL
threatIntelMode Режим работы для аналитики угроз. "Оповещение"
"Запретить"
"Выкл.
threatIntelWhitelist Список разрешений ThreatIntel для политики брандмауэра. FirewallPolicyThreatIntelWhitelist
transportSecurity Определение конфигурации TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Имя Описание Ценность
ярус Уровень политики брандмауэра. "Базовый"
"Премиум"
"Стандартный"

FirewallPolicySnat

Имя Описание Ценность
autoLearnPrivateRanges Режим работы для автоматического обучения частных диапазонов не должен быть SNAT "Отключено"
"Включено"
privateRanges Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. string[]

FirewallPolicySQL

Имя Описание Ценность
allowSqlRedirect Флаг, указывающий, включена ли фильтрация трафика перенаправления SQL. Включение флага не требует правила с помощью порта 11000-11999. bool

FirewallPolicyThreatIntelWhitelist

Имя Описание Ценность
fqdns Список полных доменных имен для списка разрешений ThreatIntel. string[]
ipAddresses Список IP-адресов для списка разрешений ThreatIntel. string[]

FirewallPolicyTransportSecurity

Имя Описание Ценность
certificateAuthority ЦС, используемый для промежуточного создания ЦС. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Имя Описание Ценность
тип Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. "Нет"
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned
userAssignedIdentities Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Имя Описание Ценность

Microsoft.Network/firewallPolicies

Имя Описание Ценность
apiVersion Версия API '2023-06-01'
тождество Удостоверение политики брандмауэра. ManagedServiceIdentity
местоположение Расположение ресурса. струна
имя Имя ресурса строка (обязательно)
свойства Свойства политики брандмауэра. FirewallPolicyPropertiesFormat
Теги Теги ресурсов Словарь имен и значений тегов. См. теги в шаблонах
тип Тип ресурса "Microsoft.Network/firewallPolicies"

ResourceTags

Имя Описание Ценность

SubResource

Имя Описание Ценность
идентификатор Идентификатор ресурса. струна

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
создание брандмауэра и брандмауэра с помощью правил и ipgroups

развертывание в Azure
Этот шаблон развертывает брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающихся на группы IP-адресов в правилах приложений и сети.
создание брандмауэра с помощью Брандмауэра и ipGroups

развертывание в Azure
Этот шаблон создает брандмауэр Azure с брандмауэром FirewalllPolicy, ссылающийся на правила сети с ipGroups. Кроме того, включает настройку виртуальной машины Для Linux Jumpbox
создание брандмауэра, FirewallPolicy с явным прокси-сервера

развертывание в Azure
Этот шаблон создает брандмауэр Azure, FirewalllPolicy с явными правилами прокси-сервера и сети с ipGroups. Кроме того, включает настройку виртуальной машины Для Linux Jumpbox
Создание настройки песочницы с помощью политики брандмауэра

развертывание в Azure
Этот шаблон создает виртуальную сеть с 3 подсетями (подсетью сервера, подсетью jumpbox и подсетью AzureFirewall), виртуальной машиной прыжка с общедоступным IP-адресом, виртуальной машиной сервера, маршрутом UDR для указания брандмауэра Azure для подсети сервера и брандмауэра Azure с 1 или несколькими общедоступными IP-адресами. Кроме того, создается политика брандмауэра с 1 примером правила приложения, 1 примером сетевого правила и частными диапазонами по умолчанию
Защищенные виртуальные центры

развертывание в Azure
Этот шаблон создает защищенный виртуальный концентратор с помощью брандмауэра Azure для защиты облачного сетевого трафика, предназначенного для Интернета.
подписка SharePoint / 2019/ 2016 полностью настроена

развертывание в Azure
Создайте контроллер домена, SQL Server 2022 и от 1 до 5 серверов, на которых размещена ферма SharePoint Subscription / 2019 / 2016 с обширной конфигурацией, включая надежную проверку подлинности, профили пользователей с личными сайтами, доверие OAuth (с помощью сертификата), выделенный сайт IIS для размещения надстроек с высоким уровнем доверия и т. д. Установлена последняя версия ключевых программ (включая Fiddler, vscode, np++, 7zip, ULS Viewer). Компьютеры SharePoint имеют дополнительную настройку, чтобы сделать их немедленно пригодными для использования (средства удаленного администрирования, пользовательские политики для Edge и Chrome, сочетания клавиш и т. д.).
среда тестирования для брандмауэра Azure Premium

развертывание в Azure
Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий
использовать брандмауэр Azure в качестве DNS-прокси в топологии & периферийных концентратора

развертывание в Azure
В этом примере показано, как развернуть звездообразную топологию в Azure с помощью брандмауэра Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, подключенным к центральной виртуальной сети через пиринг между виртуальными сетями.

Определение ресурса Terraform (поставщик AzAPI)

Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:

  • групп ресурсов

Список измененных свойств в каждой версии API см. в журнала изменений.

Формат ресурса

Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий объект Terraform в шаблон.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2023-06-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxy = {
        enableExplicitProxy = bool
        enablePacFile = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
        profile = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        autoLearnPrivateRanges = "string"
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
  tags = {
    {customized property} = "string"
  }
}

Значения свойств

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Имя Описание Ценность

DnsSettings

Имя Описание Ценность
enableProxy Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. bool
requireProxyForNetworkRules Полные доменные имена в правилах сети поддерживаются при значении true. bool
Серверов Список настраиваемых DNS-серверов. string[]

ЯвныйProxy

Имя Описание Ценность
enableExplicitProxy Если задано значение true, включен явный режим прокси-сервера. bool
enablePacFile Если задано значение true, необходимо указать порт файла pac и URL-адрес. bool
httpPort Номер порта для явного протокола http прокси-сервера не может превышать 64000. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000
httpsPort Номер порта для явного протокола https прокси-сервера не может превышать 64000. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000
pacFile URL-адрес SAS для PAC-файла. струна
pacFilePort Номер порта для брандмауэра для обслуживания PAC-файла. int

Ограничения целостности:
Минимальное значение = 0
Максимальное значение = 64000

FirewallPolicyCertificateAuthority

Имя Описание Ценность
keyVaultSecretId Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. струна
имя Имя сертификата ЦС. струна

FirewallPolicyInsights

Имя Описание Ценность
isEnabled Флаг, указывающий, включены ли аналитические сведения в политике. bool
logAnalyticsResources Рабочие области, необходимые для настройки аналитики политики брандмауэра. FirewallPolicyLogAnalyticsResources
retentionDays Количество дней, в которых должна быть включена аналитика политики. int

FirewallPolicyIntrusionDetection

Имя Описание Ценность
конфигурация Свойства конфигурации обнаружения вторжений. FirewallPolicyIntrusionDetectionConfiguration
режим Общее состояние обнаружения вторжений. При присоединении к родительской политике эффективный режим поставщика удостоверений брандмауэра является более строгим режимом двух. "Оповещение"
"Запретить"
"Выкл.
профиль Имя профиля IDPS. При присоединении к родительской политике эффективный профиль брандмауэра — это имя профиля родительской политики. 'Advanced'
"Базовый"
"Расширенный"
"Стандартный"

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Имя Описание Ценность
описание Описание правила обхода трафика. струна
destinationAddresses Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. string[]
destinationIpGroups Список целевых IpGroups для этого правила. string[]
destinationPorts Список конечных портов или диапазонов. string[]
имя Имя правила обхода трафика. струна
протокол Протокол обхода правила. "ANY"
"ICMP"
"TCP"
"UDP"
sourceAddresses Список исходных IP-адресов или диапазонов для этого правила. string[]
sourceIpGroups Список исходных IPGroups для этого правила. string[]

FirewallPolicyIntrusionDetectionConfiguration

Имя Описание Ценность
bypassTrafficSettings Список правил для обхода трафика. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Диапазоны частных IP-адресов IDPS используются для определения направления трафика (т. е. входящих, исходящих и т. д.). По умолчанию только диапазоны, определенные IANA RFC 1918, считаются частными IP-адресами. Чтобы изменить диапазоны по умолчанию, укажите диапазоны частных IP-адресов с помощью этого свойства. string[]
signatureOverrides Список определенных состояний подписей. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Имя Описание Ценность
идентификатор Идентификатор подписи. струна
режим Состояние подписи. "Оповещение"
"Запретить"
"Выкл.

FirewallPolicyLogAnalyticsResources

Имя Описание Ценность
defaultWorkspaceId Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. SubResource
рабочие области Список рабочих областей для аналитики политик брандмауэра. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Имя Описание Ценность
область Регион для настройки рабочей области. струна
WorkspaceId Идентификатор рабочей области для аналитики политики брандмауэра. SubResource

FirewallPolicyPropertiesFormat

Имя Описание Ценность
basePolicy Родительская политика брандмауэра, из которой наследуются правила. SubResource
dnsSettings Определение параметров прокси-сервера DNS. DnsSettings
explicitProxy Явное определение параметров прокси-сервера. ЯвныйProxy
Идеи Аналитические сведения о политике брандмауэра. FirewallPolicyInsights
вторжениеDetection Конфигурация обнаружения вторжений. FirewallPolicyIntrusionDetection
SKU Номер SKU политики брандмауэра. FirewallPolicySku
snat Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет иметь SNAT. FirewallPolicySnat
sql Определение параметров SQL. FirewallPolicySQL
threatIntelMode Режим работы для аналитики угроз. "Оповещение"
"Запретить"
"Выкл.
threatIntelWhitelist Список разрешений ThreatIntel для политики брандмауэра. FirewallPolicyThreatIntelWhitelist
transportSecurity Определение конфигурации TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Имя Описание Ценность
ярус Уровень политики брандмауэра. "Базовый"
"Премиум"
"Стандартный"

FirewallPolicySnat

Имя Описание Ценность
autoLearnPrivateRanges Режим работы для автоматического обучения частных диапазонов не должен быть SNAT "Отключено"
"Включено"
privateRanges Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. string[]

FirewallPolicySQL

Имя Описание Ценность
allowSqlRedirect Флаг, указывающий, включена ли фильтрация трафика перенаправления SQL. Включение флага не требует правила с помощью порта 11000-11999. bool

FirewallPolicyThreatIntelWhitelist

Имя Описание Ценность
fqdns Список полных доменных имен для списка разрешений ThreatIntel. string[]
ipAddresses Список IP-адресов для списка разрешений ThreatIntel. string[]

FirewallPolicyTransportSecurity

Имя Описание Ценность
certificateAuthority ЦС, используемый для промежуточного создания ЦС. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Имя Описание Ценность
тип Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. "Нет"
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned
userAssignedIdentities Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Имя Описание Ценность

Microsoft.Network/firewallPolicies

Имя Описание Ценность
тождество Удостоверение политики брандмауэра. ManagedServiceIdentity
местоположение Расположение ресурса. струна
имя Имя ресурса строка (обязательно)
свойства Свойства политики брандмауэра. FirewallPolicyPropertiesFormat
Теги Теги ресурсов Словарь имен и значений тегов.
тип Тип ресурса "Microsoft.Network/firewallPolicies@2023-06-01"

ResourceTags

Имя Описание Ценность

SubResource

Имя Описание Ценность
идентификатор Идентификатор ресурса. струна