Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
- senaste
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep-resursdefinition
Resurstypen firewallPolicies kan distribueras med åtgärder som mål:
- Resursgrupper – Se resursgruppsdistributionskommandon
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Network/firewallPolicies-resurs lägger du till följande Bicep i mallen.
resource symbolicname 'Microsoft.Network/firewallPolicies@2024-05-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Egenskapsvärden
Microsoft.Network/firewallPolicies
| Namn | Beskrivning | Värde |
|---|---|---|
| identitet | Brandväggsprincipens identitet. | ManagedServiceIdentity (HanteradServiceIdentitet) |
| plats | Resursplats. | sträng |
| Namn | Resursnamnet | sträng (krävs) |
| Egenskaper | Egenskaper för brandväggsprincipen. | Egenskaper för brandväggspolitik |
| Taggar | Resurstaggar | Ordlista med taggnamn och värden. Se taggar i mallar |
Komponenter1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Namn | Beskrivning | Värde |
|---|
Dns-inställningar
| Namn | Beskrivning | Värde |
|---|---|---|
| enableProxy | Aktivera DNS-proxy på brandväggar som är anslutna till brandväggsprincipen. | Bool |
| requireProxyForNetworkRules | FQDN:er i nätverksregler stöds när de är inställda på true. | Bool |
| Servrar | Lista över anpassade DNS-servrar. | sträng[] |
ExplicitProxy (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| enableExplicitProxy | När värdet är true aktiveras explicit proxyläge. | Bool |
| enablePacFile | När värdet är true måste pac-filporten och URL:en anges. | Bool |
| httpPort (på engelska) | Portnummer för explicit proxy-http-protokoll får inte vara större än 64000. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
| httpsPort (på engelska) | Portnummer för explicit proxy-https-protokoll får inte vara större än 64000. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
| pacFile | SAS-URL för PAC-fil. | sträng |
| pacFilePort | Portnummer för brandvägg för att hantera PAC-fil. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
FirewallPolicyCertificateAuthority (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| keyVaultSecretId | Hemligt ID för (base-64-kodat okrypterat pfx-objekt) "Secret" eller "Certificate" som lagras i KeyVault. | sträng |
| Namn | Namnet på CA-certifikatet. | sträng |
FirewallPolicyInsights (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| ärAktiverad | En flagga som anger om insikterna är aktiverade för principen. | Bool |
| logAnalyticsResurser | Arbetsytor som behövs för att konfigurera Firewall Policy Insights. | BrandväggspolicyLogAnalyticsResurser |
| retentionDays | Antal dagar som insikterna ska aktiveras för principen. | Int |
FirewallPolicyIntrusionDetection (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| konfiguration | Konfigurationsegenskaper för intrångsidentifiering. | FirewallPolicyIntrusionDetectionConfiguration (FirewallPolicyIntrusionDetectionConfiguration) |
| läge | Allmänt tillstånd för intrångsidentifiering. När brandväggen är kopplad till en överordnad princip är det effektiva IDPS-läget det striktare läget för de två. | "Avisering" "Neka" "Av" |
| profil | IDPS-profilnamn. När den är kopplad till en överordnad princip är brandväggens effektiva profil profilnamnet för den överordnade principen. | "Avancerat" "Grundläggande" "Utökad" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Namn | Beskrivning | Värde |
|---|---|---|
| beskrivning | Beskrivning av regeln för förbikopplingstrafik. | sträng |
| destinationsadresser | Lista över mål-IP-adresser eller intervall för den här regeln. | sträng[] |
| destinationIpGroups | Lista över ipgroup-mål för den här regeln. | sträng[] |
| destinationHamnar | Lista över målportar eller målintervall. | sträng[] |
| Namn | Namnet på regeln för förbikopplingstrafik. | sträng |
| protokoll | Regeln kringgår protokollet. | "ANY" "ICMP" "TCP" "UDP" |
| källadresser | Lista över källans IP-adresser eller intervall för den här regeln. | sträng[] |
| sourceIpGroups | Lista över ipgroup-källgrupper för den här regeln. | sträng[] |
FirewallPolicyIntrusionDetectionConfiguration (FirewallPolicyIntrusionDetectionConfiguration)
| Namn | Beskrivning | Värde |
|---|---|---|
| bypassTrafficSettings | Lista över regler för förbikoppling av trafik. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (dvs. inkommande, utgående osv.). Som standard betraktas endast intervall som definierats av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen | sträng[] |
| signatureOverrides | Lista över specifika signaturtillstånd. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| Id | Signatur-ID. | sträng |
| läge | Signaturtillståndet. | "Avisering" "Neka" "Av" |
BrandväggspolicyLogAnalyticsResurser
| Namn | Beskrivning | Värde |
|---|---|---|
| defaultWorkspaceId | Standardarbetsytans ID för Firewall Policy Insights. | Underresurs |
| arbetsytor | Lista över arbetsytor för Firewall Policy Insights. | BrandväggsprincipLogAnalyticsWorkspace[] |
BrandväggspolicyLogAnalyticsArbetsyta
| Namn | Beskrivning | Värde |
|---|---|---|
| region | Region för att konfigurera arbetsytan. | sträng |
| arbetsyta-id | Arbetsytans ID för Firewall Policy Insights. | Underresurs |
Egenskaper för brandväggspolitik
| Namn | Beskrivning | Värde |
|---|---|---|
| basePolicy (på engelska) | Den överordnade brandväggsprincipen som regler ärvs från. | Underresurs |
| dns-inställningar | Definition av DNS-proxyinställningar. | Dns-inställningar |
| explicitProxy | Explicit definition av proxyinställningar. | ExplicitProxy (på engelska) |
| Insikter | Insikter om brandväggsprincip. | FirewallPolicyInsights (på engelska) |
| intrusionDetection | Konfigurationen för intrångsidentifiering. | FirewallPolicyIntrusionDetection (på engelska) |
| Sku | Brandväggsprincipens SKU. | FirewallPolicySku (på engelska) |
| SNAT | De privata IP-adresser/IP-intervall som trafiken inte kommer att vara SNAT till. | FirewallPolicySnat (på engelska) |
| SQL | SQL-inställningsdefinition. | BrandväggspolicySQL |
| hotIntelMode | Åtgärdsläget för Hotinformation. | "Avisering" "Neka" "Av" |
| hotIntelWhitelist | ThreatIntel vitlista för brandväggsprincip. | BrandväggPolicyHotIntelWhitelist |
| transportSecurity | TLS-konfigurationsdefinition. | BrandväggspolicyTransportSecurity |
FirewallPolicySku (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| Nivå | Nivå av brandväggsprincip. | "Grundläggande" "Premium" "Standard" |
FirewallPolicySnat (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| autoLearnPrivateRanges | Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT | "Inaktiverad" "Aktiverad" |
| privateRanges | Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. | sträng[] |
BrandväggspolicySQL
| Namn | Beskrivning | Värde |
|---|---|---|
| allowSqlRedirect | En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Om du aktiverar flaggan krävs ingen regel med port 11000-11999. | Bool |
BrandväggPolicyHotIntelWhitelist
| Namn | Beskrivning | Värde |
|---|---|---|
| FQDNS (fqdns) | Lista över FQDN:er för ThreatIntel Whitelist. | sträng[] |
| ip-adresser | Lista över IP-adresser för ThreatIntel Whitelist. | sträng[] |
BrandväggspolicyTransportSecurity
| Namn | Beskrivning | Värde |
|---|---|---|
| certifikatutfärdare | Ca:en som används för mellanliggande CA-generering. | FirewallPolicyCertificateAuthority (på engelska) |
ManagedServiceIdentity (HanteradServiceIdentitet)
| Namn | Beskrivning | Värde |
|---|---|---|
| typ | Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. | "Ingen" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| användartilldelade identiteter | Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formuläret: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentiteter |
ManagedServiceIdentityUserAssignedIdentiteter
| Namn | Beskrivning | Värde |
|---|
Resurstaggar
| Namn | Beskrivning | Värde |
|---|
Underresurs
| Namn | Beskrivning | Värde |
|---|---|---|
| Id | Resurs-ID. | sträng |
Användningsexempel
Azure-verifierade moduler
Följande Azure-verifierade moduler kan användas för att distribuera den här resurstypen.
| Modul | Beskrivning |
|---|---|
| Brandväggsprincip | AVM-resursmodul för brandväggsprincip |
Azure-snabbstartsexempel
Följande Azure-snabbstartsmallar innehålla Bicep-exempel för distribution av den här resurstypen.
| Bicep-fil | Beskrivning |
|---|---|
| Skapa en brandväggs- och brandväggspolicy med regler och ipgrupper | Den här mallen distribuerar en Azure Firewall med brandväggsprincip (inklusive flera program- och nätverksregler) som refererar till IP-grupper i program- och nätverksregler. |
| Skyddade virtuella hubbar | Den här mallen skapar en säker virtuell hubb med Azure Firewall för att skydda din molnnätverkstrafik som är avsedd för Internet. |
| Testmiljö för Azure Firewall Premium | Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som Identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering |
| Använda Azure Firewall som EN DNS-proxy i en Topologi för Hub & Spoke | Det här exemplet visar hur du distribuerar en hub-spoke-topologi i Azure med hjälp av Azure Firewall. Det virtuella hubbnätverket fungerar som en central anslutningspunkt för många virtuella ekernätverk som är anslutna till det virtuella hubbnätverket via peering för virtuella nätverk. |
Resursdefinition för ARM-mall
Resurstypen firewallPolicies kan distribueras med åtgärder som mål:
- Resursgrupper – Se resursgruppsdistributionskommandon
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Network/firewallPolicies-resurs lägger du till följande JSON i mallen.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2024-05-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Egenskapsvärden
Microsoft.Network/firewallPolicies
| Namn | Beskrivning | Värde |
|---|---|---|
| apiVersion | API-versionen | '2024-05-01' |
| identitet | Brandväggsprincipens identitet. | ManagedServiceIdentity (HanteradServiceIdentitet) |
| plats | Resursplats. | sträng |
| Namn | Resursnamnet | sträng (krävs) |
| Egenskaper | Egenskaper för brandväggsprincipen. | Egenskaper för brandväggspolitik |
| Taggar | Resurstaggar | Ordlista med taggnamn och värden. Se taggar i mallar |
| typ | Resurstypen | "Microsoft.Network/firewallPolicies" |
Komponenter1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Namn | Beskrivning | Värde |
|---|
Dns-inställningar
| Namn | Beskrivning | Värde |
|---|---|---|
| enableProxy | Aktivera DNS-proxy på brandväggar som är anslutna till brandväggsprincipen. | Bool |
| requireProxyForNetworkRules | FQDN:er i nätverksregler stöds när de är inställda på true. | Bool |
| Servrar | Lista över anpassade DNS-servrar. | sträng[] |
ExplicitProxy (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| enableExplicitProxy | När värdet är true aktiveras explicit proxyläge. | Bool |
| enablePacFile | När värdet är true måste pac-filporten och URL:en anges. | Bool |
| httpPort (på engelska) | Portnummer för explicit proxy-http-protokoll får inte vara större än 64000. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
| httpsPort (på engelska) | Portnummer för explicit proxy-https-protokoll får inte vara större än 64000. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
| pacFile | SAS-URL för PAC-fil. | sträng |
| pacFilePort | Portnummer för brandvägg för att hantera PAC-fil. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
FirewallPolicyCertificateAuthority (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| keyVaultSecretId | Hemligt ID för (base-64-kodat okrypterat pfx-objekt) "Secret" eller "Certificate" som lagras i KeyVault. | sträng |
| Namn | Namnet på CA-certifikatet. | sträng |
FirewallPolicyInsights (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| ärAktiverad | En flagga som anger om insikterna är aktiverade för principen. | Bool |
| logAnalyticsResurser | Arbetsytor som behövs för att konfigurera Firewall Policy Insights. | BrandväggspolicyLogAnalyticsResurser |
| retentionDays | Antal dagar som insikterna ska aktiveras för principen. | Int |
FirewallPolicyIntrusionDetection (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| konfiguration | Konfigurationsegenskaper för intrångsidentifiering. | FirewallPolicyIntrusionDetectionConfiguration (FirewallPolicyIntrusionDetectionConfiguration) |
| läge | Allmänt tillstånd för intrångsidentifiering. När brandväggen är kopplad till en överordnad princip är det effektiva IDPS-läget det striktare läget för de två. | "Avisering" "Neka" "Av" |
| profil | IDPS-profilnamn. När den är kopplad till en överordnad princip är brandväggens effektiva profil profilnamnet för den överordnade principen. | "Avancerat" "Grundläggande" "Utökad" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Namn | Beskrivning | Värde |
|---|---|---|
| beskrivning | Beskrivning av regeln för förbikopplingstrafik. | sträng |
| destinationsadresser | Lista över mål-IP-adresser eller intervall för den här regeln. | sträng[] |
| destinationIpGroups | Lista över ipgroup-mål för den här regeln. | sträng[] |
| destinationHamnar | Lista över målportar eller målintervall. | sträng[] |
| Namn | Namnet på regeln för förbikopplingstrafik. | sträng |
| protokoll | Regeln kringgår protokollet. | "ANY" "ICMP" "TCP" "UDP" |
| källadresser | Lista över källans IP-adresser eller intervall för den här regeln. | sträng[] |
| sourceIpGroups | Lista över ipgroup-källgrupper för den här regeln. | sträng[] |
FirewallPolicyIntrusionDetectionConfiguration (FirewallPolicyIntrusionDetectionConfiguration)
| Namn | Beskrivning | Värde |
|---|---|---|
| bypassTrafficSettings | Lista över regler för förbikoppling av trafik. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (dvs. inkommande, utgående osv.). Som standard betraktas endast intervall som definierats av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen | sträng[] |
| signatureOverrides | Lista över specifika signaturtillstånd. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| Id | Signatur-ID. | sträng |
| läge | Signaturtillståndet. | "Avisering" "Neka" "Av" |
BrandväggspolicyLogAnalyticsResurser
| Namn | Beskrivning | Värde |
|---|---|---|
| defaultWorkspaceId | Standardarbetsytans ID för Firewall Policy Insights. | Underresurs |
| arbetsytor | Lista över arbetsytor för Firewall Policy Insights. | BrandväggsprincipLogAnalyticsWorkspace[] |
BrandväggspolicyLogAnalyticsArbetsyta
| Namn | Beskrivning | Värde |
|---|---|---|
| region | Region för att konfigurera arbetsytan. | sträng |
| arbetsyta-id | Arbetsytans ID för Firewall Policy Insights. | Underresurs |
Egenskaper för brandväggspolitik
| Namn | Beskrivning | Värde |
|---|---|---|
| basePolicy (på engelska) | Den överordnade brandväggsprincipen som regler ärvs från. | Underresurs |
| dns-inställningar | Definition av DNS-proxyinställningar. | Dns-inställningar |
| explicitProxy | Explicit definition av proxyinställningar. | ExplicitProxy (på engelska) |
| Insikter | Insikter om brandväggsprincip. | FirewallPolicyInsights (på engelska) |
| intrusionDetection | Konfigurationen för intrångsidentifiering. | FirewallPolicyIntrusionDetection (på engelska) |
| Sku | Brandväggsprincipens SKU. | FirewallPolicySku (på engelska) |
| SNAT | De privata IP-adresser/IP-intervall som trafiken inte kommer att vara SNAT till. | FirewallPolicySnat (på engelska) |
| SQL | SQL-inställningsdefinition. | BrandväggspolicySQL |
| hotIntelMode | Åtgärdsläget för Hotinformation. | "Avisering" "Neka" "Av" |
| hotIntelWhitelist | ThreatIntel vitlista för brandväggsprincip. | BrandväggPolicyHotIntelWhitelist |
| transportSecurity | TLS-konfigurationsdefinition. | BrandväggspolicyTransportSecurity |
FirewallPolicySku (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| Nivå | Nivå av brandväggsprincip. | "Grundläggande" "Premium" "Standard" |
FirewallPolicySnat (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| autoLearnPrivateRanges | Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT | "Inaktiverad" "Aktiverad" |
| privateRanges | Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. | sträng[] |
BrandväggspolicySQL
| Namn | Beskrivning | Värde |
|---|---|---|
| allowSqlRedirect | En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Om du aktiverar flaggan krävs ingen regel med port 11000-11999. | Bool |
BrandväggPolicyHotIntelWhitelist
| Namn | Beskrivning | Värde |
|---|---|---|
| FQDNS (fqdns) | Lista över FQDN:er för ThreatIntel Whitelist. | sträng[] |
| ip-adresser | Lista över IP-adresser för ThreatIntel Whitelist. | sträng[] |
BrandväggspolicyTransportSecurity
| Namn | Beskrivning | Värde |
|---|---|---|
| certifikatutfärdare | Ca:en som används för mellanliggande CA-generering. | FirewallPolicyCertificateAuthority (på engelska) |
ManagedServiceIdentity (HanteradServiceIdentitet)
| Namn | Beskrivning | Värde |
|---|---|---|
| typ | Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. | "Ingen" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| användartilldelade identiteter | Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formuläret: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentiteter |
ManagedServiceIdentityUserAssignedIdentiteter
| Namn | Beskrivning | Värde |
|---|
Resurstaggar
| Namn | Beskrivning | Värde |
|---|
Underresurs
| Namn | Beskrivning | Värde |
|---|---|---|
| Id | Resurs-ID. | sträng |
Användningsexempel
Azure-snabbstartsmallar
Följande Azure-snabbstartsmallar distribuera den här resurstypen.
| Mall | Beskrivning |
|---|---|
Skapa en brandväggs- och brandväggspolicy med regler och ipgrupper
|
Den här mallen distribuerar en Azure Firewall med brandväggsprincip (inklusive flera program- och nätverksregler) som refererar till IP-grupper i program- och nätverksregler. |
|
Skapa en brandvägg med FirewallPolicy och IpGroups
|
Den här mallen skapar en Azure Firewall med FirewalllPolicy som refererar till nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator |
|
Skapa en brandvägg, FirewallPolicy med explicit proxy
|
Den här mallen skapar en Azure Firewall, FirewalllPolicy med explicit proxy och nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator |
|
Skapa en sandbox-konfiguration med Brandväggsprincip
|
Den här mallen skapar ett virtuellt nätverk med tre undernät (serverundernät, jumpbox-underuppsättning och AzureFirewall-undernät), en virtuell jumpbox-dator med offentlig IP-adress, en virtuell serverdator, UDR-väg för att peka på Azure Firewall för serverundernätet och en Azure Firewall med 1 eller fler offentliga IP-adresser. Skapar också en brandväggsprincip med en exempelprogramregel, en exempelnätverksregel och privata standardintervall |
|
Skyddade virtuella hubbar
|
Den här mallen skapar en säker virtuell hubb med Azure Firewall för att skydda din molnnätverkstrafik som är avsedd för Internet. |
|
Testmiljö för Azure Firewall Premium
|
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som Identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering |
|
Använda Azure Firewall som EN DNS-proxy i en Topologi för Hub & Spoke
|
Det här exemplet visar hur du distribuerar en hub-spoke-topologi i Azure med hjälp av Azure Firewall. Det virtuella hubbnätverket fungerar som en central anslutningspunkt för många virtuella ekernätverk som är anslutna till det virtuella hubbnätverket via peering för virtuella nätverk. |
Resursdefinition för Terraform (AzAPI-provider)
Resurstypen firewallPolicies kan distribueras med åtgärder som mål:
- Resursgrupper
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Network/firewallPolicies-resurs lägger du till följande Terraform i mallen.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2024-05-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
Egenskapsvärden
Microsoft.Network/firewallPolicies
| Namn | Beskrivning | Värde |
|---|---|---|
| identitet | Brandväggsprincipens identitet. | ManagedServiceIdentity (HanteradServiceIdentitet) |
| plats | Resursplats. | sträng |
| Namn | Resursnamnet | sträng (krävs) |
| Egenskaper | Egenskaper för brandväggsprincipen. | Egenskaper för brandväggspolitik |
| Taggar | Resurstaggar | Ordlista med taggnamn och värden. |
| typ | Resurstypen | "Microsoft.Network/firewallPolicies@2024-05-01" |
Komponenter1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Namn | Beskrivning | Värde |
|---|
Dns-inställningar
| Namn | Beskrivning | Värde |
|---|---|---|
| enableProxy | Aktivera DNS-proxy på brandväggar som är anslutna till brandväggsprincipen. | Bool |
| requireProxyForNetworkRules | FQDN:er i nätverksregler stöds när de är inställda på true. | Bool |
| Servrar | Lista över anpassade DNS-servrar. | sträng[] |
ExplicitProxy (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| enableExplicitProxy | När värdet är true aktiveras explicit proxyläge. | Bool |
| enablePacFile | När värdet är true måste pac-filporten och URL:en anges. | Bool |
| httpPort (på engelska) | Portnummer för explicit proxy-http-protokoll får inte vara större än 64000. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
| httpsPort (på engelska) | Portnummer för explicit proxy-https-protokoll får inte vara större än 64000. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
| pacFile | SAS-URL för PAC-fil. | sträng |
| pacFilePort | Portnummer för brandvägg för att hantera PAC-fil. | Int Begränsningar: Minsta värde = 0 Maxvärde = 64000 |
FirewallPolicyCertificateAuthority (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| keyVaultSecretId | Hemligt ID för (base-64-kodat okrypterat pfx-objekt) "Secret" eller "Certificate" som lagras i KeyVault. | sträng |
| Namn | Namnet på CA-certifikatet. | sträng |
FirewallPolicyInsights (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| ärAktiverad | En flagga som anger om insikterna är aktiverade för principen. | Bool |
| logAnalyticsResurser | Arbetsytor som behövs för att konfigurera Firewall Policy Insights. | BrandväggspolicyLogAnalyticsResurser |
| retentionDays | Antal dagar som insikterna ska aktiveras för principen. | Int |
FirewallPolicyIntrusionDetection (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| konfiguration | Konfigurationsegenskaper för intrångsidentifiering. | FirewallPolicyIntrusionDetectionConfiguration (FirewallPolicyIntrusionDetectionConfiguration) |
| läge | Allmänt tillstånd för intrångsidentifiering. När brandväggen är kopplad till en överordnad princip är det effektiva IDPS-läget det striktare läget för de två. | "Avisering" "Neka" "Av" |
| profil | IDPS-profilnamn. När den är kopplad till en överordnad princip är brandväggens effektiva profil profilnamnet för den överordnade principen. | "Avancerat" "Grundläggande" "Utökad" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Namn | Beskrivning | Värde |
|---|---|---|
| beskrivning | Beskrivning av regeln för förbikopplingstrafik. | sträng |
| destinationsadresser | Lista över mål-IP-adresser eller intervall för den här regeln. | sträng[] |
| destinationIpGroups | Lista över ipgroup-mål för den här regeln. | sträng[] |
| destinationHamnar | Lista över målportar eller målintervall. | sträng[] |
| Namn | Namnet på regeln för förbikopplingstrafik. | sträng |
| protokoll | Regeln kringgår protokollet. | "ANY" "ICMP" "TCP" "UDP" |
| källadresser | Lista över källans IP-adresser eller intervall för den här regeln. | sträng[] |
| sourceIpGroups | Lista över ipgroup-källgrupper för den här regeln. | sträng[] |
FirewallPolicyIntrusionDetectionConfiguration (FirewallPolicyIntrusionDetectionConfiguration)
| Namn | Beskrivning | Värde |
|---|---|---|
| bypassTrafficSettings | Lista över regler för förbikoppling av trafik. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (dvs. inkommande, utgående osv.). Som standard betraktas endast intervall som definierats av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen | sträng[] |
| signatureOverrides | Lista över specifika signaturtillstånd. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| Id | Signatur-ID. | sträng |
| läge | Signaturtillståndet. | "Avisering" "Neka" "Av" |
BrandväggspolicyLogAnalyticsResurser
| Namn | Beskrivning | Värde |
|---|---|---|
| defaultWorkspaceId | Standardarbetsytans ID för Firewall Policy Insights. | Underresurs |
| arbetsytor | Lista över arbetsytor för Firewall Policy Insights. | BrandväggsprincipLogAnalyticsWorkspace[] |
BrandväggspolicyLogAnalyticsArbetsyta
| Namn | Beskrivning | Värde |
|---|---|---|
| region | Region för att konfigurera arbetsytan. | sträng |
| arbetsyta-id | Arbetsytans ID för Firewall Policy Insights. | Underresurs |
Egenskaper för brandväggspolitik
| Namn | Beskrivning | Värde |
|---|---|---|
| basePolicy (på engelska) | Den överordnade brandväggsprincipen som regler ärvs från. | Underresurs |
| dns-inställningar | Definition av DNS-proxyinställningar. | Dns-inställningar |
| explicitProxy | Explicit definition av proxyinställningar. | ExplicitProxy (på engelska) |
| Insikter | Insikter om brandväggsprincip. | FirewallPolicyInsights (på engelska) |
| intrusionDetection | Konfigurationen för intrångsidentifiering. | FirewallPolicyIntrusionDetection (på engelska) |
| Sku | Brandväggsprincipens SKU. | FirewallPolicySku (på engelska) |
| SNAT | De privata IP-adresser/IP-intervall som trafiken inte kommer att vara SNAT till. | FirewallPolicySnat (på engelska) |
| SQL | SQL-inställningsdefinition. | BrandväggspolicySQL |
| hotIntelMode | Åtgärdsläget för Hotinformation. | "Avisering" "Neka" "Av" |
| hotIntelWhitelist | ThreatIntel vitlista för brandväggsprincip. | BrandväggPolicyHotIntelWhitelist |
| transportSecurity | TLS-konfigurationsdefinition. | BrandväggspolicyTransportSecurity |
FirewallPolicySku (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| Nivå | Nivå av brandväggsprincip. | "Grundläggande" "Premium" "Standard" |
FirewallPolicySnat (på engelska)
| Namn | Beskrivning | Värde |
|---|---|---|
| autoLearnPrivateRanges | Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT | "Inaktiverad" "Aktiverad" |
| privateRanges | Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. | sträng[] |
BrandväggspolicySQL
| Namn | Beskrivning | Värde |
|---|---|---|
| allowSqlRedirect | En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Om du aktiverar flaggan krävs ingen regel med port 11000-11999. | Bool |
BrandväggPolicyHotIntelWhitelist
| Namn | Beskrivning | Värde |
|---|---|---|
| FQDNS (fqdns) | Lista över FQDN:er för ThreatIntel Whitelist. | sträng[] |
| ip-adresser | Lista över IP-adresser för ThreatIntel Whitelist. | sträng[] |
BrandväggspolicyTransportSecurity
| Namn | Beskrivning | Värde |
|---|---|---|
| certifikatutfärdare | Ca:en som används för mellanliggande CA-generering. | FirewallPolicyCertificateAuthority (på engelska) |
ManagedServiceIdentity (HanteradServiceIdentitet)
| Namn | Beskrivning | Värde |
|---|---|---|
| typ | Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. | "Ingen" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| användartilldelade identiteter | Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formuläret: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentiteter |
ManagedServiceIdentityUserAssignedIdentiteter
| Namn | Beskrivning | Värde |
|---|
Resurstaggar
| Namn | Beskrivning | Värde |
|---|
Underresurs
| Namn | Beskrivning | Värde |
|---|---|---|
| Id | Resurs-ID. | sträng |
Användningsexempel
Azure-verifierade moduler
Följande Azure-verifierade moduler kan användas för att distribuera den här resurstypen.
| Modul | Beskrivning |
|---|---|
| Princip för Azure Firewall | AVM-resursmodul för Azure Firewall Policy |