Microsoft.Network azureFirewalls
Определение ресурса Bicep
Тип ресурса azureFirewalls можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания групп ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Network/azureFirewalls, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.Network/azureFirewalls@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
additionalProperties: {}
applicationRuleCollections: [
{
id: 'string'
name: 'string'
properties: {
action: {
type: 'string'
}
priority: int
rules: [
{
description: 'string'
fqdnTags: [
'string'
]
name: 'string'
protocols: [
{
port: int
protocolType: 'string'
}
]
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
targetFqdns: [
'string'
]
}
]
}
}
]
firewallPolicy: {
id: 'string'
}
hubIPAddresses: {
privateIPAddress: 'string'
publicIPs: {
addresses: [
{
address: 'string'
}
]
count: int
}
}
ipConfigurations: [
{
id: 'string'
name: 'string'
properties: {
publicIPAddress: {
id: 'string'
}
subnet: {
id: 'string'
}
}
}
]
managementIpConfiguration: {
id: 'string'
name: 'string'
properties: {
publicIPAddress: {
id: 'string'
}
subnet: {
id: 'string'
}
}
}
natRuleCollections: [
{
id: 'string'
name: 'string'
properties: {
action: {
type: 'string'
}
priority: int
rules: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocols: [
'string'
]
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
translatedAddress: 'string'
translatedFqdn: 'string'
translatedPort: 'string'
}
]
}
}
]
networkRuleCollections: [
{
id: 'string'
name: 'string'
properties: {
action: {
type: 'string'
}
priority: int
rules: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationFqdns: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocols: [
'string'
]
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
}
}
]
sku: {
name: 'string'
tier: 'string'
}
threatIntelMode: 'string'
virtualHub: {
id: 'string'
}
}
zones: [
'string'
]
}
Значения свойств
azureFirewalls
| Имя | Описание | Значение |
|---|---|---|
| name | имя ресурса. | string (обязательно) Ограничение символов: 1-80 Допустимые символы: Буквенно-цифровые символы, символы подчеркивания, точки и дефисы. Начинается с буквенно-цифрового символа. Закачивается буквенно-цифровым символом или символом подчеркивания. |
| location | Расположение ресурса. | строка |
| tags | Теги ресурсов. | Словарь имен и значений тегов. См . раздел Теги в шаблонах |
| properties | Свойства брандмауэра Azure. | AzureFirewallPropertiesFormat |
| зоны; | Список зон доступности, обозначающих, откуда должен поступать ресурс. | string[] |
AzureFirewallPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| additionalProperties | Дополнительные свойства, используемые для дальнейшей настройки брандмауэра Azure. | object |
| applicationRuleCollections | Коллекция коллекций правил приложений, используемых Брандмауэр Azure. | AzureFirewallApplicationRuleCollection[] |
| firewallPolicy | FirewallPolicy, связанный с этим брандмауэром Azure. | SubResource |
| hubIPAddresses | IP-адреса, связанные с AzureFirewall. | HubIPAddresses |
| ipConfigurations | IP-конфигурация ресурса Брандмауэр Azure. | AzureFirewallIPConfiguration[] |
| managementIpConfiguration | IP-конфигурация Брандмауэр Azure используется для трафика управления. | AzureFirewallIPConfiguration |
| natRuleCollections | Коллекция коллекций правил NAT, используемых Брандмауэр Azure. | AzureFirewallNatRuleCollection[] |
| networkRuleCollections | Коллекция коллекций правил сети, используемых Брандмауэр Azure. | AzureFirewallNetworkRuleCollection[] |
| sku | SKU ресурса Брандмауэр Azure. | AzureFirewallsku |
| threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Deny" "Выкл." |
| virtualHub | VirtualHub, к которому принадлежит брандмауэр. | SubResource |
AzureFirewallApplicationRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции правил приложений Брандмауэра Azure. | AzureFirewallApplicationRuleCollectionPropertiesForm... |
AzureFirewallApplicationRuleCollectionPropertiesForm...
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил. | AzureFirewallRCAction |
| priority | Приоритет ресурса коллекции правил приложения. | INT |
| правила | Коллекция правил, используемых коллекцией правил приложения. | AzureFirewallApplicationRule[] |
AzureFirewallRCAction
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип действия. | "Разрешить" "Deny" |
AzureFirewallApplicationRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| fqdnTags | Список тегов FQDN для этого правила. | string[] |
| name | Имя правила приложения. | строка |
| protocols | Массив объектов ApplicationRuleProtocols. | AzureFirewallApplicationRuleProtocol[] |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
| targetFqdns | Список полных доменных имен для этого правила. | string[] |
AzureFirewallApplicationRuleProtocol
| Имя | Описание | Значение |
|---|---|---|
| порт | Номер порта для протокола не может превышать 64000. Это поле является необязательным. | INT |
| protocolType | Тип протокола. | "Http" "Https" Mssql |
SubResource
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
HubIPAddresses
| Имя | Описание | Значение |
|---|---|---|
| privateIPAddress | Частный IP-адрес, связанный с Брандмауэром Azure. | строка |
| publicIP | Общедоступные IP-адреса, связанные с Брандмауэром Azure. | HubPublicIPAddresses |
HubPublicIPAddresses
| Имя | Описание | Значение |
|---|---|---|
| адреса; | Список общедоступных IP-адресов, связанных с брандмауэром Azure, или IP-адресов, которые необходимо сохранить. | AzureFirewallPublicIPAddress[] |
| count | Количество общедоступных IP-адресов, связанных с Брандмауэром Azure. | INT |
AzureFirewallPublicIPAddress
| Имя | Описание | Значение |
|---|---|---|
| address | Значение общедоступного IP-адреса. | строка |
AzureFirewallIPConfiguration
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах группы ресурсов. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства IP-конфигурации брандмауэра Azure. | AzureFirewallIPConfigurationPropertiesFormat |
AzureFirewallIPConfigurationPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| publicIpAddress; | Ссылка на ресурс PublicIP. Это поле является обязательным для ввода, если подсеть не имеет значения NULL. | SubResource |
| подсеть | Ссылка на ресурс подсети. Этот ресурс должен иметь имя AzureFirewallSubnet или AzureFirewallManagementSubnet. | SubResource |
AzureFirewallNatRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции правил NAT брандмауэра Azure. | AzureFirewallNatRuleCollectionProperties |
AzureFirewallNatRuleCollectionProperties
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил NAT. | AzureFirewallNatRCAction |
| priority | Приоритет ресурса коллекции правил NAT. | INT |
| правила | Коллекция правил, используемых коллекцией правил NAT. | AzureFirewallNatRule[] |
AzureFirewallNatRCAction
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип действия. | 'Dnat' 'Snat' |
AzureFirewallNatRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| destinationAddresses | Список IP-адресов назначения для этого правила. Поддерживает диапазоны IP-адресов, префиксы и теги служб. | string[] |
| destinationPorts | Список портов назначения. | string[] |
| name | Имя правила NAT. | строка |
| protocols | Массив AzureFirewallNetworkRuleProtocols, применимый к этому правилу NAT. | Массив строк, содержащий любой из: "Любой" 'ICMP' "TCP" 'UDP' |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
| translatedAddress | Преобразованный адрес для этого правила NAT. | строка |
| translatedFqdn | Переведенное полное доменное имя для этого правила NAT. | строка |
| translatedPort | Преобразованный порт для этого правила NAT. | строка |
AzureFirewallNetworkRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции правил сети брандмауэра Azure. | AzureFirewallNetworkRuleCollectionPropertiesFormat |
AzureFirewallNetworkRuleCollectionPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил. | AzureFirewallRCAction |
| priority | Приоритет ресурса коллекции правил сети. | INT |
| правила | Коллекция правил, используемых коллекцией правил сети. | AzureFirewallNetworkRule[] |
AzureFirewallNetworkRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| destinationAddresses | Список IP-адресов назначения. | string[] |
| destinationFqdns | Список полных доменных имен назначения. | string[] |
| destinationIpGroups | Список целевых ipGroups для этого правила. | string[] |
| destinationPorts | Список портов назначения. | string[] |
| name | Имя правила сети. | строка |
| protocols | Массив AzureFirewallNetworkRuleProtocols. | Массив строк, содержащий любой из: "Любой" ICMP "TCP" "UDP" |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
AzureFirewallSku
| Имя | Описание | Значение |
|---|---|---|
| name | Имя номера SKU Брандмауэр Azure. | "AZFW_Hub" "AZFW_VNet" |
| Уровень | Уровень Брандмауэр Azure. | "Базовый" "Премиум" "Стандартный" |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
Использование Брандмауэр Azure в качестве DNS-прокси в звезд & ообразной топологии |
В этом примере показано, как развернуть звездообразную топологию в Azure с помощью Брандмауэр Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, которые подключены к центральной виртуальной сети через пиринг виртуальных сетей. |
| Создание песочницы Брандмауэр Azure, клиентской виртуальной машины и виртуальной машины сервера |
Этот шаблон создает виртуальную сеть с двумя подсетями (подсеть сервера и подсеть AzureFirewall), виртуальной машиной сервера, клиентской виртуальной машиной, общедоступным IP-адресом для каждой виртуальной машины и таблицей маршрутов для отправки трафика между виртуальными машинами через брандмауэр. |
| Создание брандмауэра и политики Брандмауэра с помощью правил и ipgroups |
Этот шаблон развертывает Брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающейся на группы IP-адресов в правилах приложения и сети. |
| Создание брандмауэра, FirewallPolicy с явным прокси-сервером |
Этот шаблон создает Брандмауэр Azure FirewalllPolicy с явным прокси-сервером и правила сети с IpGroups. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
| Создание брандмауэра с БрандмауэромПолитика и IpGroups |
Этот шаблон создает Брандмауэр Azure с БрандмауэромlPolicy, ссылающимся на сетевые правила с ipGroups. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
| Создание Брандмауэр Azure с помощью IpGroups |
Этот шаблон создает Брандмауэр Azure с правилами приложений и сети, ссылающимися на группы IP-адресов. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
| Создание Брандмауэра Azure с зонами доступности |
Этот шаблон создает Брандмауэр Azure с Зоны доступности и любым количеством общедоступных IP-адресов в виртуальной сети и настраивает 1 пример правила приложения и 1 пример правила сети. |
| Создание песочницы Брандмауэр Azure с принудительным туннелированием |
Этот шаблон создает песочницу Брандмауэр Azure (Linux) с одним принудительного туннелирования брандмауэра через другой брандмауэр в пиринговой виртуальной сети. |
| Среда тестирования для Брандмауэр Azure Premium |
Этот шаблон создает Брандмауэр Azure Premium и Политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий. |
| Создание песочницы для Брандмауэр Azure с виртуальными машинами Linux |
Этот шаблон создает виртуальную сеть с 3 подсетями (подсеть сервера, подсеть Jumpbox и подсеть AzureFirewall), виртуальную машину Jumpbox с общедоступным IP-адресом, виртуальной машиной сервера, маршрутом UDR, указывающим на Брандмауэр Azure для подсети сервера, и Брандмауэр Azure с 1 или более общедоступными IP-адресами, 1 примером правила приложения, 1 примером правила сети и частными диапазонами по умолчанию. |
| Создание настройки песочницы с помощью политики брандмауэра |
Этот шаблон создает виртуальную сеть с 3 подсетями (подсеть сервера, подсеть Jumpbox и подсеть AzureFirewall), виртуальную машину jumpbox с общедоступным IP-адресом, серверную виртуальную машину, маршрут UDR, указывающий на Брандмауэр Azure для подсети сервера и Брандмауэр Azure с 1 или более общедоступными IP-адресами. Также создает политику брандмауэра с 1 примером правила приложения, 1 примером правила сети и частными диапазонами по умолчанию. |
| Создание песочницы для Брандмауэр Azure с зонами |
Этот шаблон создает виртуальную сеть с тремя подсетями (подсеть сервера, подсеть jumpbox и Брандмауэр Azure подсеть), виртуальную машину Jumpbox с общедоступным IP-адресом, виртуальную машину сервера, маршрут UDR, указывающий на Брандмауэр Azure для ServerSubnet, Брандмауэр Azure с одним или несколькими общедоступными IP-адресами, одним примером правила приложения и одним примером правила сети и Брандмауэр Azure в Зоны доступности 1, 2 и 3. |
| Создание Брандмауэр Azure с несколькими общедоступными IP-адресами |
Этот шаблон создает Брандмауэр Azure с двумя общедоступными IP-адресами и двумя серверами Windows Server 2019 для тестирования. |
| Защищенные виртуальные концентраторы |
Этот шаблон создает защищенный виртуальный концентратор с помощью Брандмауэр Azure для защиты облачного сетевого трафика, предназначенного для Интернета. |
| Намерения и политики маршрутизации azure Виртуальная глобальная сеть |
Этот шаблон подготавливает Виртуальная глобальная сеть Azure с двумя концентраторами с включенными функциями намерения и политик маршрутизации. |
Определение ресурса шаблона ARM
Тип ресурса azureFirewalls можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания группы ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Network/azureFirewalls, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.Network/azureFirewalls",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"additionalProperties": {},
"applicationRuleCollections": [
{
"id": "string",
"name": "string",
"properties": {
"action": {
"type": "string"
},
"priority": "int",
"rules": [
{
"description": "string",
"fqdnTags": [ "string" ],
"name": "string",
"protocols": [
{
"port": "int",
"protocolType": "string"
}
],
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ],
"targetFqdns": [ "string" ]
}
]
}
}
],
"firewallPolicy": {
"id": "string"
},
"hubIPAddresses": {
"privateIPAddress": "string",
"publicIPs": {
"addresses": [
{
"address": "string"
}
],
"count": "int"
}
},
"ipConfigurations": [
{
"id": "string",
"name": "string",
"properties": {
"publicIPAddress": {
"id": "string"
},
"subnet": {
"id": "string"
}
}
}
],
"managementIpConfiguration": {
"id": "string",
"name": "string",
"properties": {
"publicIPAddress": {
"id": "string"
},
"subnet": {
"id": "string"
}
}
},
"natRuleCollections": [
{
"id": "string",
"name": "string",
"properties": {
"action": {
"type": "string"
},
"priority": "int",
"rules": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocols": [ "string" ],
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ],
"translatedAddress": "string",
"translatedFqdn": "string",
"translatedPort": "string"
}
]
}
}
],
"networkRuleCollections": [
{
"id": "string",
"name": "string",
"properties": {
"action": {
"type": "string"
},
"priority": "int",
"rules": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationFqdns": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocols": [ "string" ],
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
]
}
}
],
"sku": {
"name": "string",
"tier": "string"
},
"threatIntelMode": "string",
"virtualHub": {
"id": "string"
}
},
"zones": [ "string" ]
}
Значения свойств
azureFirewalls
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | Microsoft.Network/azureFirewalls |
| версия_API | Версия API ресурсов | '2023-04-01' |
| name | имя ресурса. | строка (обязательно) Ограничение символов: 1–80 Допустимые символы: Буквенно-цифровые символы, символы подчеркивания, точки и дефисы. Начинается с буквенно-цифрового символа. Закачивается буквенно-цифровым символом или символом подчеркивания. |
| location | Расположение ресурса. | строка |
| tags | Теги ресурсов. | Словарь имен и значений тегов. См . раздел Теги в шаблонах |
| properties | Свойства брандмауэра Azure. | AzureFirewallPropertiesFormat |
| зоны; | Список зон доступности, обозначающих, откуда должен поступать ресурс. | string[] |
AzureFirewallPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| additionalProperties | Дополнительные свойства, используемые для дальнейшей настройки брандмауэра Azure. | объект |
| applicationRuleCollections | Коллекция коллекций правил приложений, используемых Брандмауэр Azure. | AzureFirewallApplicationRuleCollection[] |
| firewallPolicy | FirewallPolicy, связанный с этим брандмауэром Azure. | SubResource |
| hubIPAddresses | IP-адреса, связанные с AzureFirewall. | HubIPAddresses |
| ipConfigurations | IP-конфигурация ресурса Брандмауэр Azure. | AzureFirewallIPConfiguration[] |
| managementIpConfiguration | IP-конфигурация Брандмауэр Azure используется для трафика управления. | AzureFirewallIPConfiguration |
| natRuleCollections | Коллекция коллекций правил NAT, используемых Брандмауэр Azure. | AzureFirewallNatRuleCollection[] |
| networkRuleCollections | Коллекция коллекций правил сети, используемых Брандмауэр Azure. | AzureFirewallNetworkRuleCollection[] |
| sku | Номер SKU ресурса Брандмауэр Azure. | AzureFirewallSku |
| threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Deny" "Выкл." |
| virtualHub | VirtualHub, к которому принадлежит брандмауэр. | SubResource |
AzureFirewallApplicationRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции правил приложений Брандмауэра Azure. | AzureFirewallApplicationRuleCollectionPropertiesForm... |
AzureFirewallApplicationRuleCollectionPropertiesForm...
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил. | AzureFirewallRCAction |
| priority | Приоритет ресурса коллекции правил приложения. | INT |
| правила | Коллекция правил, используемых коллекцией правил приложения. | AzureFirewallApplicationRule[] |
AzureFirewallRCAction
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип действия. | "Разрешить" "Deny" |
AzureFirewallApplicationRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| fqdnTags | Список тегов FQDN для этого правила. | string[] |
| name | Имя правила приложения. | строка |
| protocols | Массив объектов ApplicationRuleProtocols. | AzureFirewallApplicationRuleProtocol[] |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
| targetFqdns | Список полных доменных имен для этого правила. | string[] |
AzureFirewallApplicationRuleProtocol
| Имя | Описание | Значение |
|---|---|---|
| порт | Номер порта для протокола не может превышать 64000. Это поле является необязательным. | INT |
| protocolType | Тип протокола. | "Http" "Https" Mssql |
SubResource
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
HubIPAddresses
| Имя | Описание | Значение |
|---|---|---|
| privateIPAddress | Частный IP-адрес, связанный с Брандмауэром Azure. | строка |
| publicIP | Общедоступные IP-адреса, связанные с Брандмауэром Azure. | HubPublicIPAddresses |
HubPublicIPAddresses
| Имя | Описание | Значение |
|---|---|---|
| адреса; | Список общедоступных IP-адресов, связанных с брандмауэром Azure, или IP-адресов, которые необходимо сохранить. | AzureFirewallPublicIPAddress[] |
| count | Количество общедоступных IP-адресов, связанных с Брандмауэром Azure. | INT |
AzureFirewallPublicIPAddress
| Имя | Описание | Значение |
|---|---|---|
| address | Значение общедоступного IP-адреса. | строка |
AzureFirewallIPConfiguration
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах группы ресурсов. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства IP-конфигурации брандмауэра Azure. | AzureFirewallIPConfigurationPropertiesFormat |
AzureFirewallIPConfigurationPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| publicIpAddress; | Ссылка на ресурс PublicIP. Это поле является обязательным, если подсеть не имеет значения NULL. | SubResource |
| подсеть | Ссылка на ресурс подсети. Этот ресурс должен называться AzureFirewallSubnet или AzureFirewallManagementSubnet. | SubResource |
AzureFirewallNatRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции правил NAT брандмауэра Azure. | AzureFirewallNatRuleCollectionProperties |
AzureFirewallNatRuleCollectionProperties
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил NAT. | AzureFirewallNatRCAction |
| priority | Приоритет ресурса коллекции правил NAT. | INT |
| правила | Коллекция правил, используемых коллекцией правил NAT. | AzureFirewallNatRule[] |
AzureFirewallNatRCAction
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип действия. | "Dnat" "Snat" |
AzureFirewallNatRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| destinationAddresses | Список IP-адресов назначения для этого правила. Поддерживает диапазоны IP-адресов, префиксы и теги служб. | string[] |
| destinationPorts | Список портов назначения. | string[] |
| name | Имя правила NAT. | строка |
| protocols | Массив AzureFirewallNetworkRuleProtocols, применимый к этому правилу NAT. | Массив строк, содержащий любой из: "Любой" ICMP "TCP" "UDP" |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
| translatedAddress | Преобразованный адрес для этого правила NAT. | строка |
| translatedFqdn | Переведенное полное доменное имя для этого правила NAT. | строка |
| translatedPort | Преобразованный порт для этого правила NAT. | строка |
AzureFirewallNetworkRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции сетевых правил брандмауэра Azure. | AzureFirewallNetworkRuleCollectionPropertiesFormat |
AzureFirewallNetworkRuleCollectionPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил. | AzureFirewallRCAction |
| priority | Приоритет ресурса коллекции правил сети. | INT |
| правила | Коллекция правил, используемых коллекцией сетевых правил. | AzureFirewallNetworkRule[] |
AzureFirewallNetworkRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| destinationAddresses | Список IP-адресов назначения. | string[] |
| destinationFqdns | Список полных доменных имен назначения. | string[] |
| destinationIpGroups | Список целевых ipGroups для этого правила. | string[] |
| destinationPorts | Список портов назначения. | string[] |
| name | Имя правила сети. | строка |
| protocols | Массив AzureFirewallNetworkRuleProtocols. | Массив строк, содержащий любой из: "Любой" 'ICMP' "TCP" 'UDP' |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
AzureFirewallsku
| Имя | Описание | Значение |
|---|---|---|
| name | Имя номера SKU Брандмауэр Azure. | 'AZFW_Hub' 'AZFW_VNet' |
| Уровень | Уровень Брандмауэр Azure. | "Базовый" "Премиум" "Стандартный" |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
| Использование Брандмауэр Azure в качестве прокси-сервера DNS в звезд & ообразной топологии |
В этом примере показано, как развернуть звездообразную топологию в Azure с помощью Брандмауэр Azure. Центральная виртуальная сеть выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, которые подключены к центральной виртуальной сети через пиринг между виртуальными сетями. |
| Создание песочницы Брандмауэр Azure, клиентской виртуальной машины и серверной виртуальной машины |
Этот шаблон создает виртуальную сеть с двумя подсетями (подсеть сервера и подсеть AzureFirewall), виртуальной машиной сервера, клиентской виртуальной машиной, общедоступным IP-адресом для каждой виртуальной машины и таблицей маршрутов для отправки трафика между виртуальными машинами через брандмауэр. |
| Создание брандмауэра и политики брандмауэра с помощью правил и ip-групп |
Этот шаблон развертывает Брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающейся на группы IP-адресов в правилах приложения и сети. |
| Создание брандмауэра, FirewallPolicy с явным прокси-сервером |
Этот шаблон создает Брандмауэр Azure FirewalllPolicy с явным прокси-сервером и правила сети с ipGroups. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
| Создание брандмауэра с брандмауэромПолитика и IpGroup |
Этот шаблон создает Брандмауэр Azure с БрандмауэромlPolicy, ссылающимся на правила сети с ipGroups. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
| Создание Брандмауэр Azure с помощью IpGroups |
Этот шаблон создает Брандмауэр Azure с правилами приложений и сети, ссылающимися на группы IP-адресов. Кроме того, включает настройку виртуальной машины Linux Jumpbox. |
| Создание Брандмауэра Azure с зонами доступности |
Этот шаблон создает Брандмауэр Azure с Зоны доступности и любым количеством общедоступных IP-адресов в виртуальной сети и настраивает 1 пример правила приложения и 1 пример сетевого правила. |
| Создание песочницы Брандмауэр Azure с принудительным туннелированием |
Этот шаблон создает песочницу Брандмауэр Azure (Linux) с одним принудительным брандмауэром, туннелированием через другой брандмауэр в одноранговой виртуальной сети. |
| Среда тестирования для Брандмауэр Azure Premium |
Этот шаблон создает Брандмауэр Azure premium и политику брандмауэра с функциями уровня "Премиум", такими как обнаружение проверки вторжений (IDPS), проверка TLS и фильтрация веб-категорий. |
| Создание установки песочницы Брандмауэр Azure с помощью виртуальных машин Linux |
Этот шаблон создает виртуальную сеть с 3 подсетями (подсеть сервера, подсеть jumpbox и подсеть AzureFirewall), виртуальную машину jumpbox с общедоступным IP-адресом, виртуальную машину сервера, маршрут UDR для указания Брандмауэр Azure для подсети сервера и Брандмауэр Azure с 1 или более общедоступными IP-адресами, 1 пример правила приложения, 1 пример правила сети и частные диапазоны по умолчанию. |
| Создание настройки песочницы с помощью политики брандмауэра |
Этот шаблон создает виртуальную сеть с 3 подсетями (подсеть сервера, подсеть jumpbox и подсеть AzureFirewall), виртуальную машину jumpbox с общедоступным IP-адресом, виртуальную машину сервера, маршрут UDR для указания на Брандмауэр Azure для подсети сервера и Брандмауэр Azure с 1 или более общедоступными IP-адресами. Кроме того, создает политику брандмауэра с 1 примером правила приложения, 1 примером правила сети и частными диапазонами по умолчанию. |
| Создание настройки песочницы для Брандмауэр Azure с зонами |
Этот шаблон создает виртуальную сеть с тремя подсетями (подсеть сервера, подсеть jumpbox и Брандмауэр Azure подсеть), виртуальную машину jumpbox с общедоступным IP-адресом, серверную виртуальную машину, маршрут UDR для указания на Брандмауэр Azure для ServerSubnet, Брандмауэр Azure с одним или несколькими общедоступными IP-адресами, одним примером правила приложения и одним примером правила сети и Брандмауэр Azure в Зоны доступности 1, 2 и 3. |
| Создание Брандмауэр Azure с несколькими общедоступными IP-адресами |
Этот шаблон создает Брандмауэр Azure с двумя общедоступными IP-адресами и двумя серверами Windows Server 2019 для тестирования. |
| Защищенные виртуальные концентраторы |
Этот шаблон создает защищенный виртуальный концентратор с помощью Брандмауэр Azure для защиты облачного сетевого трафика, предназначенного в Интернет. |
| Назначение и политики маршрутизации azure Виртуальная глобальная сеть |
Этот шаблон подготавливает Виртуальная глобальная сеть Azure с двумя концентраторами с включенными функциями намерения и политики маршрутизации. |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса azureFirewalls можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Network/azureFirewalls, добавьте следующую terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/azureFirewalls@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
additionalProperties = {}
applicationRuleCollections = [
{
id = "string"
name = "string"
properties = {
action = {
type = "string"
}
priority = int
rules = [
{
description = "string"
fqdnTags = [
"string"
]
name = "string"
protocols = [
{
port = int
protocolType = "string"
}
]
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
targetFqdns = [
"string"
]
}
]
}
}
]
firewallPolicy = {
id = "string"
}
hubIPAddresses = {
privateIPAddress = "string"
publicIPs = {
addresses = [
{
address = "string"
}
]
count = int
}
}
ipConfigurations = [
{
id = "string"
name = "string"
properties = {
publicIPAddress = {
id = "string"
}
subnet = {
id = "string"
}
}
}
]
managementIpConfiguration = {
id = "string"
name = "string"
properties = {
publicIPAddress = {
id = "string"
}
subnet = {
id = "string"
}
}
}
natRuleCollections = [
{
id = "string"
name = "string"
properties = {
action = {
type = "string"
}
priority = int
rules = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocols = [
"string"
]
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
translatedAddress = "string"
translatedFqdn = "string"
translatedPort = "string"
}
]
}
}
]
networkRuleCollections = [
{
id = "string"
name = "string"
properties = {
action = {
type = "string"
}
priority = int
rules = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationFqdns = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocols = [
"string"
]
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
}
}
]
sku = {
name = "string"
tier = "string"
}
threatIntelMode = "string"
virtualHub = {
id = "string"
}
}
zones = [
"string"
]
})
}
Значения свойств
azureFirewalls
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | "Microsoft.Network/azureFirewalls@2023-04-01" |
| name | имя ресурса. | string (обязательно) Ограничение символов: 1-80 Допустимые символы: Буквенно-цифровые символы, символы подчеркивания, точки и дефисы. Начинается с буквенно-цифрового символа. Закачивается буквенно-цифровым символом или символом подчеркивания. |
| location | Расположение ресурса. | строка |
| parent_id | Для развертывания в группе ресурсов используйте идентификатор этой группы ресурсов. | string (обязательно) |
| tags | Теги ресурсов. | Словарь имен и значений тегов. |
| properties | Свойства брандмауэра Azure. | AzureFirewallPropertiesFormat |
| зоны; | Список зон доступности, обозначающих, откуда должен поступать ресурс. | string[] |
AzureFirewallPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| additionalProperties | Дополнительные свойства, используемые для дальнейшей настройки брандмауэра Azure. | объект |
| applicationRuleCollections | Коллекция коллекций правил приложений, используемых Брандмауэр Azure. | AzureFirewallApplicationRuleCollection[] |
| firewallPolicy | FirewallPolicy, связанный с этим брандмауэром Azure. | SubResource |
| hubIPAddresses | IP-адреса, связанные с AzureFirewall. | HubIPAddresses |
| ipConfigurations | IP-конфигурация ресурса Брандмауэр Azure. | AzureFirewallIPConfiguration[] |
| managementIpConfiguration | IP-конфигурация Брандмауэр Azure используется для трафика управления. | AzureFirewallIPConfiguration |
| natRuleCollections | Коллекция коллекций правил NAT, используемых Брандмауэр Azure. | AzureFirewallNatRuleCollection[] |
| networkRuleCollections | Коллекция коллекций правил сети, используемых Брандмауэр Azure. | AzureFirewallNetworkRuleCollection[] |
| sku | Номер SKU ресурса Брандмауэр Azure. | AzureFirewallSku |
| threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Запретить" "Выкл." |
| virtualHub | VirtualHub, к которому принадлежит брандмауэр. | SubResource |
AzureFirewallApplicationRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции правил приложений Брандмауэра Azure. | AzureFirewallApplicationRuleCollectionPropertiesForm... |
AzureFirewallApplicationRuleCollectionPropertiesForm...
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил. | AzureFirewallRCAction |
| priority | Приоритет ресурса коллекции правил приложения. | INT |
| правила | Коллекция правил, используемых коллекцией правил приложения. | AzureFirewallApplicationRule[] |
AzureFirewallRCAction
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип действия. | "Разрешить" "Запретить" |
AzureFirewallApplicationRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| fqdnTags | Список тегов FQDN для этого правила. | string[] |
| name | Имя правила приложения. | строка |
| protocols | Массив объектов ApplicationRuleProtocols. | AzureFirewallApplicationRuleProtocol[] |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
| targetFqdns | Список полных доменных имен для этого правила. | string[] |
AzureFirewallApplicationRuleProtocol
| Имя | Описание | Значение |
|---|---|---|
| порт | Номер порта для протокола не может превышать 64000. Это поле является необязательным. | INT |
| protocolType | Тип протокола. | "Http" "Https" "Mssql" |
SubResource
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
HubIPAddresses
| Имя | Описание | Значение |
|---|---|---|
| privateIPAddress | Частный IP-адрес, связанный с Брандмауэром Azure. | строка |
| publicIP | Общедоступные IP-адреса, связанные с Брандмауэром Azure. | HubPublicIPAddresses |
HubPublicIPAddresses
| Имя | Описание | Значение |
|---|---|---|
| адреса; | Список общедоступных IP-адресов, связанных с брандмауэром Azure, или IP-адресов, которые необходимо сохранить. | AzureFirewallPublicIPAddress[] |
| count | Количество общедоступных IP-адресов, связанных с Брандмауэром Azure. | INT |
AzureFirewallPublicIPAddress
| Имя | Описание | Значение |
|---|---|---|
| address | Значение общедоступного IP-адреса. | строка |
AzureFirewallIPConfiguration
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах группы ресурсов. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства IP-конфигурации брандмауэра Azure. | AzureFirewallIPConfigurationPropertiesFormat |
AzureFirewallIPConfigurationPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| publicIpAddress; | Ссылка на ресурс PublicIP. Это поле является обязательным, если подсеть не имеет значения NULL. | SubResource |
| подсеть | Ссылка на ресурс подсети. Этот ресурс должен называться AzureFirewallSubnet или AzureFirewallManagementSubnet. | SubResource |
AzureFirewallNatRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции правил NAT брандмауэра Azure. | AzureFirewallNatRuleCollectionProperties |
AzureFirewallNatRuleCollectionProperties
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил NAT. | AzureFirewallNatRCAction |
| priority | Приоритет ресурса коллекции правил NAT. | INT |
| правила | Коллекция правил, используемых коллекцией правил NAT. | AzureFirewallNatRule[] |
AzureFirewallNatRCAction
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип действия. | "Dnat" "Snat" |
AzureFirewallNatRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| destinationAddresses | Список IP-адресов назначения для этого правила. Поддерживает диапазоны IP-адресов, префиксы и теги служб. | string[] |
| destinationPorts | Список портов назначения. | string[] |
| name | Имя правила NAT. | строка |
| protocols | Массив AzureFirewallNetworkRuleProtocols, применимый к этому правилу NAT. | Массив строк, содержащий любой из: "Любой" "ICMP" "TCP" "UDP" |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
| translatedAddress | Преобразованный адрес для этого правила NAT. | строка |
| translatedFqdn | Переведенное полное доменное имя для этого правила NAT. | строка |
| translatedPort | Переведенный порт для этого правила NAT. | строка |
AzureFirewallNetworkRuleCollection
| Имя | Описание | Значение |
|---|---|---|
| идентификатор | Идентификатор ресурса. | строка |
| name | Имя ресурса, уникального в пределах брандмауэра Azure. Это имя можно использовать для доступа к ресурсу. | строка |
| properties | Свойства коллекции правил сети брандмауэра Azure. | AzureFirewallNetworkRuleCollectionPropertiesFormat |
AzureFirewallNetworkRuleCollectionPropertiesFormat
| Имя | Описание | Значение |
|---|---|---|
| action | Тип действия коллекции правил. | AzureFirewallRCAction |
| priority | Приоритет ресурса коллекции правил сети. | INT |
| правила | Коллекция правил, используемых коллекцией правил сети. | AzureFirewallNetworkRule[] |
AzureFirewallNetworkRule
| Имя | Описание | Значение |
|---|---|---|
| description | Описание правила. | строка |
| destinationAddresses | Список IP-адресов назначения. | string[] |
| destinationFqdns | Список полных доменных имен назначения. | string[] |
| destinationIpGroups | Список целевых ipGroups для этого правила. | string[] |
| destinationPorts | Список портов назначения. | string[] |
| name | Имя правила сети. | строка |
| protocols | Массив AzureFirewallNetworkRuleProtocols. | Массив строк, содержащий любой из: "Любой" "ICMP" "TCP" "UDP" |
| sourceAddresses | Список исходных IP-адресов для этого правила. | string[] |
| sourceIpGroups | Список исходных ipGroups для этого правила. | string[] |
AzureFirewallSku
| Имя | Описание | Значение |
|---|---|---|
| name | Имя номера SKU Брандмауэр Azure. | "AZFW_Hub" "AZFW_VNet" |
| Уровень | Уровень Брандмауэр Azure. | "Basic" "Премиум" "Стандартный" |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по