Microsoft.Network firewallPrinciper

Bicep-resursdefinition

Resurstypen firewallPolicies kan distribueras med åtgärder som mål:

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Resursformat

Om du vill skapa en Microsoft.Network/firewallPolicies-resurs lägger du till följande Bicep i mallen.

resource symbolicname 'Microsoft.Network/firewallPolicies@2023-04-01' = {
  name: 'string'
  location: 'string'
  tags: {
    tagName1: 'tagValue1'
    tagName2: 'tagValue2'
  }
  identity: {
    type: 'string'
    userAssignedIdentities: {}
  }
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
}

Egenskapsvärden

firewallPolicies

Name Beskrivning Värde
name Resursnamnet sträng (krävs)

Teckengräns: 1–80

Giltiga tecken:
Alfanumeriska tecken, understreck, punkter och bindestreck.

Börja med alfanumeriskt. Avsluta alfanumeriskt eller understreck.
location Resursplats. sträng
tags Resurstaggar. Ordlista med taggnamn och värden. Se Taggar i mallar
identity Brandväggsprincipens identitet. ManagedServiceIdentity
properties Egenskaper för brandväggsprincipen. FirewallPolicyPropertiesFormat

ManagedServiceIdentity

Name Beskrivning Värde
typ Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. "Ingen"
"SystemTilldelade"
"SystemAssigned, UserAssigned"
"Användartilldelade"
userAssignedIdentities Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formatet: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. objekt

FirewallPolicyPropertiesFormat

Name Beskrivning Värde
basePolicy Den överordnade brandväggsprincipen som regler ärvs från. SubResource
dnsSettings Definition av DNS-proxyinställningar. DnsSettings
explicitProxy Explicit definition av proxyinställningar. ExplicitProxy
Insikter Insikter om brandväggsprincipen. FirewallPolicyInsights
intrusionDetection Konfigurationen för intrångsidentifiering. FirewallPolicyIntrusionDetection
sku Brandväggsprincipens SKU. FirewallPolicySku
snat De privata IP-adresser/IP-intervall som trafiken inte kommer att vara SNAT till. FirewallPolicySnat
sql SQL-inställningsdefinition. FirewallPolicySQL
threatIntelMode Åtgärdsläget för Hotinformation. "Avisering"
"Neka"
"Av"
threatIntelWhitelist ThreatIntel Allowlist för brandväggsprincip. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-konfigurationsdefinition. FirewallPolicyTransportSecurity

SubResource

Name Beskrivning Värde
id Resurs-ID. sträng

DnsSettings

Name Beskrivning Värde
enableProxy Aktivera DNS-proxy på brandväggar som är kopplade till brandväggsprincipen. boolesk
requireProxyForNetworkRules FQDN:er i nätverksregler stöds när de är inställda på true. boolesk
Servrar Lista över anpassade DNS-servrar. string[]

ExplicitProxy

Name Beskrivning Värde
enableExplicitProxy När värdet är true aktiveras explicit proxyläge. boolesk
enablePacFile När värdet är true måste pac-filporten och URL:en anges. boolesk
httpPort Portnummer för explicit proxy-http-protokoll får inte vara större än 64000. int
httpsPort Portnummer för explicit proxy-https-protokoll får inte vara större än 64000. int
pacFile SAS-URL för PAC-fil. sträng
pacFilePort Portnummer för brandvägg för att hantera PAC-fil. int

FirewallPolicyInsights

Name Beskrivning Värde
isEnabled En flagga som anger om insikterna är aktiverade för principen. boolesk
logAnalyticsResources Arbetsytor som behövs för att konfigurera Insikter om brandväggsprincip. FirewallPolicyLogAnalyticsResources
retentionDays Antal dagar som insikterna ska aktiveras för principen. int

FirewallPolicyLogAnalyticsResources

Name Beskrivning Värde
defaultWorkspaceId Standardarbetsytans ID för Firewall Policy Insights. SubResource
arbetsytor Lista över arbetsytor för Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Name Beskrivning Värde
region Region för att konfigurera arbetsytan. sträng
workspaceId Arbetsytans ID för Firewall Policy Insights. SubResource

FirewallPolicyIntrusionDetection

Name Beskrivning Värde
konfiguration Konfigurationsegenskaper för intrångsidentifiering. FirewallPolicyIntrusionDetectionConfiguration
mode Allmänt tillstånd för intrångsidentifiering. "Avisering"
"Neka"
"Av"

FirewallPolicyIntrusionDetectionConfiguration

Name Beskrivning Värde
bypassTrafficSettings Lista över regler för trafik som ska kringgås. FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[]
privateRanges Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (t.ex. inkommande, utgående osv.). Som standard betraktas endast intervall som definieras av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen string[]
signatureOverrides Lista över specifika signaturtillstånd. FirewallPolicyIntrusionDetectionSignatureSpecificati...[]

FirewallPolicyIntrusionDetectionBypasstrafficSpecifi...

Name Beskrivning Värde
beskrivning Beskrivning av regeln för att kringgå trafik. sträng
destinationAddresses Lista över mål-IP-adresser eller målintervall för den här regeln. string[]
destinationIpGroups Lista över ipgroup-mål för den här regeln. string[]
destinationPorts Lista över målportar eller målintervall. string[]
name Namnet på regeln för att kringgå trafik. sträng
Protokollet Regeln kringgår protokollet. 'ANY'
"ICMP"
"TCP"
"UDP"
sourceAddresses Lista över källans IP-adresser eller källintervall för den här regeln. string[]
sourceIpGroups Lista över ip-källgrupper för den här regeln. string[]

FirewallPolicyIntrusionDetectionSignatureSpecificati...

Name Beskrivning Värde
id Signatur-ID. sträng
mode Signaturtillståndet. "Avisering"
"Neka"
"Av"

FirewallPolicySku

Name Beskrivning Värde
nivå Nivå för brandväggsprincip. "Grundläggande"
"Premium"
"Standard"

FirewallPolicySnat

Name Beskrivning Värde
autoLearnPrivateRanges Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT "Inaktiverad"
"Aktiverad"
privateRanges Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. string[]

FirewallPolicySQL

Name Beskrivning Värde
allowSqlRedirect En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Att aktivera flaggan kräver ingen regel med port 11000-11999. boolesk

FirewallPolicyThreatIntelWhitelist

Name Beskrivning Värde
Fqdn Lista över FQDN för ThreatIntel Allowlist. string[]
ipAddresses Lista över IP-adresser för ThreatIntel Allowlist. string[]

FirewallPolicyTransportSecurity

Name Beskrivning Värde
certificateAuthority Den ca som används för mellanliggande CA-generering. FirewallPolicyCertificateAuthority

FirewallPolicyCertificateAuthority

Name Beskrivning Värde
keyVaultSecretId Hemligt ID för (base-64-kodat okrypterat pfx-objekt) "Secret" eller "Certificate" som lagras i KeyVault. sträng
name Namnet på CA-certifikatet. sträng

Snabbstartsmallar

Följande snabbstartsmallar distribuerar den här resurstypen.

Mall Description
Använda Azure Firewall som EN DNS-proxy i en topologi för Hub & Spoke

Distribuera till Azure
Det här exemplet visar hur du distribuerar en hub-spoke-topologi i Azure med hjälp av Azure Firewall. Det virtuella hubbnätverket fungerar som en central anslutningspunkt för många virtuella ekernätverk som är anslutna till det virtuella hubbnätverket via peering för virtuella nätverk.
Skapa en brandvägg och brandväggPolicy med regler och Ipgroups

Distribuera till Azure
Den här mallen distribuerar en Azure Firewall med brandväggsprincipen (inklusive flera program- och nätverksregler) som refererar till IP-grupper i program- och nätverksregler.
Skapa en brandvägg, FirewallPolicy med explicit proxy

Distribuera till Azure
Den här mallen skapar en Azure Firewall, FirewalllPolicy med explicit proxy och nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator
Skapa en brandvägg med FirewallPolicy och IpGroups

Distribuera till Azure
Den här mallen skapar en Azure Firewall med FirewalllPolicy som refererar till nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator
Testmiljö för Azure Firewall Premium

Distribuera till Azure
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering
Skapa en sandbox-konfiguration med brandväggsprincip

Distribuera till Azure
Den här mallen skapar ett virtuellt nätverk med 3 undernät (serverundernät, jumpbox-underuppsättning och AzureFirewall-undernät), en virtuell jumpbox-dator med offentlig IP-adress, en virtuell serverdator, UDR-väg för att peka på Azure Firewall för serverundernätet och en Azure Firewall med 1 eller flera offentliga IP-adresser. Skapar också en brandväggsprincip med en exempelprogramregel, en exempelnätverksregel och privata standardintervall
Skyddade virtuella hubbar

Distribuera till Azure
Den här mallen skapar en skyddad virtuell hubb med Azure Firewall för att skydda molnnätverkstrafiken till Internet.
Avsikt och principer för Routning i Azure Virtual WAN

Distribuera till Azure
Den här mallen etablerar en Azure-Virtual WAN med två hubbar med funktionen Routnings avsikt och principer aktiverad.

Resursdefinition för ARM-mall

Resurstypen firewallPolicies kan distribueras med åtgärder som mål:

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Resursformat

Om du vill skapa en Microsoft.Network/firewallPolicies-resurs lägger du till följande JSON i mallen.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2023-04-01",
  "name": "string",
  "location": "string",
  "tags": {
    "tagName1": "tagValue1",
    "tagName2": "tagValue2"
  },
  "identity": {
    "type": "string",
    "userAssignedIdentities": {}
  },
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxy": {
      "enableExplicitProxy": "bool",
      "enablePacFile": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "autoLearnPrivateRanges": "string",
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  }
}

Egenskapsvärden

firewallPolicies

Name Beskrivning Värde
typ Resurstypen "Microsoft.Network/firewallPolicies"
apiVersion Resurs-API-versionen '2023-04-01'
name Resursnamnet sträng (krävs)

Teckengräns: 1–80

Giltiga tecken:
Alfanumeriska tecken, understreck, punkter och bindestreck.

Börja med alfanumeriskt. Avsluta alfanumeriskt eller understreck.
location Resursplats. sträng
tags Resurstaggar. Ordlista med taggnamn och värden. Se Taggar i mallar
identity Brandväggsprincipens identitet. ManagedServiceIdentity
properties Egenskaper för brandväggsprincipen. FirewallPolicyPropertiesFormat

ManagedServiceIdentity

Name Beskrivning Värde
typ Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. "Ingen"
"SystemTilldelade"
"SystemAssigned, UserAssigned"
"Användartilldelade"
userAssignedIdentities Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formatet: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. objekt

FirewallPolicyPropertiesFormat

Name Beskrivning Värde
basePolicy Den överordnade brandväggsprincipen som regler ärvs från. SubResource
dnsSettings Definition av DNS-proxyinställningar. DnsSettings
explicitProxy Explicit definition av proxyinställningar. ExplicitProxy
Insikter Insikter om brandväggsprincip. FirewallPolicyInsights
intrusionDetection Konfigurationen för intrångsidentifiering. FirewallPolicyIntrusionDetection
sku Brandväggsprincipens SKU. FirewallPolicySku
snat De privata IP-adresser/IP-intervall som trafiken inte ska vara SNAT till. FirewallPolicySnat
sql SQL-inställningsdefinition. FirewallPolicySQL
threatIntelMode Åtgärdsläget för Hotinformation. "Avisering"
"Neka"
"Av"
threatIntelWhitelist ThreatIntel Allowlist för brandväggsprincip. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-konfigurationsdefinition. FirewallPolicyTransportSecurity

Underresurs

Name Beskrivning Värde
id Resurs-ID. sträng

DnsSettings

Name Beskrivning Värde
enableProxy Aktivera DNS-proxy på brandväggar som är kopplade till brandväggsprincipen. boolesk
requireProxyForNetworkRules FQDN:er i nätverksregler stöds när de är inställda på true. boolesk
Servrar Lista över anpassade DNS-servrar. string[]

ExplicitProxy

Name Beskrivning Värde
enableExplicitProxy När värdet är true är explicit proxyläge aktiverat. boolesk
enablePacFile När värdet är true måste pac-filporten och URL:en anges. boolesk
httpPort Portnumret för explicit http-proxyprotokoll får inte vara större än 64000. int
httpsPort Portnummer för explicit https-protokoll för proxy får inte vara större än 64 000. int
pacFile SAS-URL för PAC-fil. sträng
pacFilePort Portnummer för brandväggen som ska hantera PAC-filen. int

FirewallPolicyInsights

Name Beskrivning Värde
isEnabled En flagga som anger om insikterna är aktiverade för principen. boolesk
logAnalyticsResources Arbetsytor som behövs för att konfigurera Insikter om brandväggsprincip. FirewallPolicyLogAnalyticsResources
retentionDays Antal dagar som insikterna ska aktiveras för principen. int

FirewallPolicyLogAnalyticsResources

Name Beskrivning Värde
defaultWorkspaceId Standardarbetsytans ID för Firewall Policy Insights. Underresurs
arbetsytor Lista över arbetsytor för Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Name Beskrivning Värde
region Region för att konfigurera arbetsytan. sträng
workspaceId Arbetsytans ID för Firewall Policy Insights. SubResource

FirewallPolicyIntrusionDetection

Name Beskrivning Värde
konfiguration Konfigurationsegenskaper för intrångsidentifiering. FirewallPolicyIntrusionDetectionConfiguration
mode Allmänt tillstånd för intrångsidentifiering. "Avisering"
"Neka"
"Av"

FirewallPolicyIntrusionDetectionConfiguration

Name Beskrivning Värde
bypassTrafficSettings Lista över regler för trafik som ska kringgås. FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[]
privateRanges Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (t.ex. inkommande, utgående osv.). Som standard betraktas endast intervall som definierats av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen string[]
signatureOverrides Lista över specifika signaturtillstånd. FirewallPolicyIntrusionDetectionSignatureSpecificati...[]

FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...

Name Beskrivning Värde
beskrivning Beskrivning av regeln för att kringgå trafik. sträng
destinationAddresses Lista över mål-IP-adresser eller intervall för den här regeln. string[]
destinationIpGroups Lista över ipgroup-mål för den här regeln. string[]
destinationPorts Lista över målportar eller målintervall. string[]
name Namnet på regeln för att kringgå trafik. sträng
Protokollet Regeln kringgår protokollet. "ANY"
"ICMP"
"TCP"
"UDP"
sourceAddresses Lista över källans IP-adresser eller intervall för den här regeln. string[]
sourceIpGroups Lista över ipgroup-källgrupper för den här regeln. string[]

FirewallPolicyIntrusionDetectionSignatureSpecificati...

Name Beskrivning Värde
id Signatur-ID. sträng
mode Signaturtillståndet. "Avisering"
"Neka"
"Av"

FirewallPolicySku

Name Beskrivning Värde
nivå Nivå för brandväggsprincip. "Grundläggande"
"Premium"
"Standard"

FirewallPolicySnat

Name Beskrivning Värde
autoLearnPrivateRanges Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT "Inaktiverad"
"Aktiverad"
privateRanges Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. string[]

FirewallPolicySQL

Name Beskrivning Värde
allowSqlRedirect En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Att aktivera flaggan kräver ingen regel med port 11000-11999. boolesk

FirewallPolicyThreatIntelWhitelist

Name Beskrivning Värde
Fqdn Lista över FQDN för ThreatIntel Allowlist. string[]
ipAddresses Lista över IP-adresser för ThreatIntel Allowlist. string[]

FirewallPolicyTransportSecurity

Name Beskrivning Värde
certificateAuthority Den ca som används för mellanliggande CA-generering. FirewallPolicyCertificateAuthority

FirewallPolicyCertificateAuthority

Name Beskrivning Värde
keyVaultSecretId Hemligt ID för (base-64-kodat okrypterat pfx-objekt) "Secret" eller "Certificate" som lagras i KeyVault. sträng
name Namnet på CA-certifikatet. sträng

Snabbstartsmallar

Följande snabbstartsmallar distribuerar den här resurstypen.

Mall Description
Använda Azure Firewall som EN DNS-proxy i en topologi av typen Hub & Spoke

Distribuera till Azure
Det här exemplet visar hur du distribuerar en topologi av typen hub-spoke i Azure med hjälp av Azure Firewall. Det virtuella hubbnätverket fungerar som en central anslutningspunkt till många virtuella ekernätverk som är anslutna till ett virtuellt navnätverk via peering för virtuella nätverk.
Skapa en brandväggs- och brandväggsprincip med regler och IP-grupper

Distribuera till Azure
Den här mallen distribuerar en Azure Firewall med brandväggsprincip (inklusive flera program- och nätverksregler) som refererar till IP-grupper i program- och nätverksregler.
Skapa en brandvägg, FirewallPolicy med explicit proxy

Distribuera till Azure
Den här mallen skapar en Azure Firewall, FirewalllPolicy med explicit proxy och nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator
Skapa en brandvägg med FirewallPolicy och IpGroups

Distribuera till Azure
Den här mallen skapar en Azure Firewall med FirewalllPolicy som refererar till nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator
Testmiljö för Azure Firewall Premium

Distribuera till Azure
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering
Skapa en sandbox-konfiguration med brandväggsprincip

Distribuera till Azure
Den här mallen skapar ett virtuellt nätverk med 3 undernät (serverundernät, jumpbox-underuppsättning och AzureFirewall-undernät), en virtuell jumpbox-dator med offentlig IP-adress, en virtuell serverdator, UDR-väg som pekar på Azure Firewall för serverundernätet och en Azure Firewall med 1 eller fler offentliga IP-adresser. Skapar också en brandväggsprincip med 1 exempelprogramregel, 1 exempelnätverksregel och privata standardintervall
Skyddade virtuella hubbar

Distribuera till Azure
Den här mallen skapar en skyddad virtuell hubb med hjälp av Azure Firewall för att skydda din molnnätverkstrafik till Internet.
Avsikt och principer för Routning i Azure Virtual WAN

Distribuera till Azure
Den här mallen etablerar en Azure-Virtual WAN med två hubbar med funktionen Routnings avsikt och principer aktiverad.

Resursdefinition för Terraform (AzAPI-provider)

Resurstypen firewallPolicies kan distribueras med åtgärder som mål:

  • Resursgrupper

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Resursformat

Om du vill skapa en Resurs för Microsoft.Network/firewallPolicies lägger du till följande Terraform i mallen.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2023-04-01"
  name = "string"
  location = "string"
  parent_id = "string"
  tags = {
    tagName1 = "tagValue1"
    tagName2 = "tagValue2"
  }
  identity {
    type = "string"
    identity_ids = []
  }
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxy = {
        enableExplicitProxy = bool
        enablePacFile = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        autoLearnPrivateRanges = "string"
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
}

Egenskapsvärden

firewallPolicies

Name Beskrivning Värde
typ Resurstypen "Microsoft.Network/firewallPolicies@2023-04-01"
name Resursnamnet sträng (krävs)

Teckengräns: 1–80

Giltiga tecken:
Alfanumeriska tecken, understreck, punkter och bindestreck.

Börja med alfanumeriskt. Avsluta alfanumeriskt eller understreck.
location Resursplats. sträng
parent_id Om du vill distribuera till en resursgrupp använder du ID:t för den resursgruppen. sträng (krävs)
tags Resurstaggar. Ordlista med taggnamn och värden.
identity Brandväggsprincipens identitet. ManagedServiceIdentity
properties Egenskaper för brandväggsprincipen. FirewallPolicyPropertiesFormat

ManagedServiceIdentity

Name Beskrivning Värde
typ Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. "SystemTilldelade"
"SystemAssigned, UserAssigned"
"Användartilldelade"
identity_ids Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formatet: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. Matris med användaridentitets-ID:t.

FirewallPolicyPropertiesFormat

Name Beskrivning Värde
basePolicy Den överordnade brandväggsprincipen som regler ärvs från. SubResource
dnsSettings Definition av DNS-proxyinställningar. DnsSettings
explicitProxy Explicit definition av proxyinställningar. ExplicitProxy
Insikter Insikter om brandväggsprincipen. FirewallPolicyInsights
intrusionDetection Konfigurationen för intrångsidentifiering. FirewallPolicyIntrusionDetection
sku Brandväggsprincipens SKU. FirewallPolicySku
snat De privata IP-adresser/IP-intervall som trafiken inte kommer att vara SNAT till. FirewallPolicySnat
sql SQL-inställningsdefinition. FirewallPolicySQL
threatIntelMode Åtgärdsläget för Hotinformation. "Avisering"
"Neka"
"Av"
threatIntelWhitelist ThreatIntel Allowlist för brandväggsprincip. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-konfigurationsdefinition. FirewallPolicyTransportSecurity

SubResource

Name Beskrivning Värde
id Resurs-ID. sträng

DnsSettings

Name Beskrivning Värde
enableProxy Aktivera DNS-proxy på brandväggar som är kopplade till brandväggsprincipen. boolesk
requireProxyForNetworkRules FQDN:er i nätverksregler stöds när de är inställda på true. boolesk
Servrar Lista över anpassade DNS-servrar. string[]

ExplicitProxy

Name Beskrivning Värde
enableExplicitProxy När värdet är true aktiveras explicit proxyläge. boolesk
enablePacFile När värdet är true måste pac-filporten och URL:en anges. boolesk
httpPort Portnummer för explicit proxy-http-protokoll får inte vara större än 64000. int
httpsPort Portnummer för explicit proxy-https-protokoll får inte vara större än 64000. int
pacFile SAS-URL för PAC-fil. sträng
pacFilePort Portnummer för brandvägg för att hantera PAC-fil. int

FirewallPolicyInsights

Name Beskrivning Värde
isEnabled En flagga som anger om insikterna är aktiverade för principen. boolesk
logAnalyticsResources Arbetsytor som behövs för att konfigurera Insikter om brandväggsprincip. FirewallPolicyLogAnalyticsResources
retentionDays Antal dagar som insikterna ska aktiveras för principen. int

FirewallPolicyLogAnalyticsResources

Name Beskrivning Värde
defaultWorkspaceId Standardarbetsytans ID för Firewall Policy Insights. Underresurs
arbetsytor Lista över arbetsytor för Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Name Beskrivning Värde
region Region för att konfigurera arbetsytan. sträng
workspaceId Arbetsytans ID för Firewall Policy Insights. Underresurs

FirewallPolicyIntrusionDetection

Name Beskrivning Värde
konfiguration Konfigurationsegenskaper för intrångsidentifiering. FirewallPolicyIntrusionDetectionConfiguration
mode Allmänt tillstånd för intrångsidentifiering. "Avisering"
"Neka"
"Av"

FirewallPolicyIntrusionDetectionConfiguration

Name Beskrivning Värde
bypassTrafficSettings Lista över regler för trafik som ska kringgås. FirewallPolicyIntrusionDetectionBypasstrafficSpecifi...[]
privateRanges Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (t.ex. inkommande, utgående osv.). Som standard betraktas endast intervall som definieras av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen string[]
signatureOverrides Lista över specifika signaturtillstånd. FirewallPolicyIntrusionDetectionSignatureSpecificati...[]

FirewallPolicyIntrusionDetectionBypasstrafficSpecifi...

Name Beskrivning Värde
beskrivning Beskrivning av regeln för att kringgå trafik. sträng
destinationAddresses Lista över mål-IP-adresser eller målintervall för den här regeln. string[]
destinationIpGroups Lista över ipgroup-mål för den här regeln. string[]
destinationPorts Lista över målportar eller målintervall. string[]
name Namnet på regeln för att kringgå trafik. sträng
Protokollet Regeln kringgår protokollet. "ANY"
"ICMP"
"TCP"
"UDP"
sourceAddresses Lista över källans IP-adresser eller källintervall för den här regeln. string[]
sourceIpGroups Lista över ip-källgrupper för den här regeln. string[]

FirewallPolicyIntrusionDetectionSignatureSpecificati...

Name Beskrivning Värde
id Signatur-ID. sträng
mode Signaturtillståndet. "Avisering"
"Neka"
"Av"

FirewallPolicySku

Name Beskrivning Värde
nivå Nivå för brandväggsprincip. "Basic"
"Premium"
"Standard"

FirewallPolicySnat

Name Beskrivning Värde
autoLearnPrivateRanges Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT "Inaktiverad"
"Aktiverad"
privateRanges Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. string[]

FirewallPolicySQL

Name Beskrivning Värde
allowSqlRedirect En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Om du aktiverar flaggan krävs ingen regel med port 11000-11999. boolesk

FirewallPolicyThreatIntelWhitelist

Name Beskrivning Värde
Fqdn Lista över FQDN:er för ThreatIntel Allowlist. string[]
ipAddresses Lista över IP-adresser för ThreatIntel Allowlist. string[]

FirewallPolicyTransportSecurity

Name Beskrivning Värde
certificateAuthority Ca:en som används för mellanliggande CA-generering. FirewallPolicyCertificateAuthority

FirewallPolicyCertificateAuthority

Name Beskrivning Värde
keyVaultSecretId Hemligt ID för (base-64-kodat okrypterat pfx) "Secret" eller "Certificate"-objekt som lagras i KeyVault. sträng
name Namnet på CA-certifikatet. sträng