Microsoft.Network firewallPrinciper
Bicep-resursdefinition
Resurstypen firewallPolicies kan distribueras med åtgärder som mål:
- Resursgrupper – Se distributionskommandon för resursgrupper
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Network/firewallPolicies-resurs lägger du till följande Bicep i mallen.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-04-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Egenskapsvärden
firewallPolicies
Name | Beskrivning | Värde |
---|---|---|
name | Resursnamnet | sträng (krävs) Teckengräns: 1–80 Giltiga tecken: Alfanumeriska tecken, understreck, punkter och bindestreck. Börja med alfanumeriskt. Avsluta alfanumeriskt eller understreck. |
location | Resursplats. | sträng |
tags | Resurstaggar. | Ordlista med taggnamn och värden. Se Taggar i mallar |
identity | Brandväggsprincipens identitet. | ManagedServiceIdentity |
properties | Egenskaper för brandväggsprincipen. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Name | Beskrivning | Värde |
---|---|---|
typ | Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. | "Ingen" "SystemTilldelade" "SystemAssigned, UserAssigned" "Användartilldelade" |
userAssignedIdentities | Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formatet: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | objekt |
FirewallPolicyPropertiesFormat
Name | Beskrivning | Värde |
---|---|---|
basePolicy | Den överordnade brandväggsprincipen som regler ärvs från. | SubResource |
dnsSettings | Definition av DNS-proxyinställningar. | DnsSettings |
explicitProxy | Explicit definition av proxyinställningar. | ExplicitProxy |
Insikter | Insikter om brandväggsprincipen. | FirewallPolicyInsights |
intrusionDetection | Konfigurationen för intrångsidentifiering. | FirewallPolicyIntrusionDetection |
sku | Brandväggsprincipens SKU. | FirewallPolicySku |
snat | De privata IP-adresser/IP-intervall som trafiken inte kommer att vara SNAT till. | FirewallPolicySnat |
sql | SQL-inställningsdefinition. | FirewallPolicySQL |
threatIntelMode | Åtgärdsläget för Hotinformation. | "Avisering" "Neka" "Av" |
threatIntelWhitelist | ThreatIntel Allowlist för brandväggsprincip. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-konfigurationsdefinition. | FirewallPolicyTransportSecurity |
SubResource
Name | Beskrivning | Värde |
---|---|---|
id | Resurs-ID. | sträng |
DnsSettings
Name | Beskrivning | Värde |
---|---|---|
enableProxy | Aktivera DNS-proxy på brandväggar som är kopplade till brandväggsprincipen. | boolesk |
requireProxyForNetworkRules | FQDN:er i nätverksregler stöds när de är inställda på true. | boolesk |
Servrar | Lista över anpassade DNS-servrar. | string[] |
ExplicitProxy
Name | Beskrivning | Värde |
---|---|---|
enableExplicitProxy | När värdet är true aktiveras explicit proxyläge. | boolesk |
enablePacFile | När värdet är true måste pac-filporten och URL:en anges. | boolesk |
httpPort | Portnummer för explicit proxy-http-protokoll får inte vara större än 64000. | int |
httpsPort | Portnummer för explicit proxy-https-protokoll får inte vara större än 64000. | int |
pacFile | SAS-URL för PAC-fil. | sträng |
pacFilePort | Portnummer för brandvägg för att hantera PAC-fil. | int |
FirewallPolicyInsights
Name | Beskrivning | Värde |
---|---|---|
isEnabled | En flagga som anger om insikterna är aktiverade för principen. | boolesk |
logAnalyticsResources | Arbetsytor som behövs för att konfigurera Insikter om brandväggsprincip. | FirewallPolicyLogAnalyticsResources |
retentionDays | Antal dagar som insikterna ska aktiveras för principen. | int |
FirewallPolicyLogAnalyticsResources
Name | Beskrivning | Värde |
---|---|---|
defaultWorkspaceId | Standardarbetsytans ID för Firewall Policy Insights. | SubResource |
arbetsytor | Lista över arbetsytor för Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | Beskrivning | Värde |
---|---|---|
region | Region för att konfigurera arbetsytan. | sträng |
workspaceId | Arbetsytans ID för Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
Name | Beskrivning | Värde |
---|---|---|
konfiguration | Konfigurationsegenskaper för intrångsidentifiering. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Allmänt tillstånd för intrångsidentifiering. | "Avisering" "Neka" "Av" |
FirewallPolicyIntrusionDetectionConfiguration
Name | Beskrivning | Värde |
---|---|---|
bypassTrafficSettings | Lista över regler för trafik som ska kringgås. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (t.ex. inkommande, utgående osv.). Som standard betraktas endast intervall som definieras av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen | string[] |
signatureOverrides | Lista över specifika signaturtillstånd. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypasstrafficSpecifi...
Name | Beskrivning | Värde |
---|---|---|
beskrivning | Beskrivning av regeln för att kringgå trafik. | sträng |
destinationAddresses | Lista över mål-IP-adresser eller målintervall för den här regeln. | string[] |
destinationIpGroups | Lista över ipgroup-mål för den här regeln. | string[] |
destinationPorts | Lista över målportar eller målintervall. | string[] |
name | Namnet på regeln för att kringgå trafik. | sträng |
Protokollet | Regeln kringgår protokollet. | 'ANY' "ICMP" "TCP" "UDP" |
sourceAddresses | Lista över källans IP-adresser eller källintervall för den här regeln. | string[] |
sourceIpGroups | Lista över ip-källgrupper för den här regeln. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Name | Beskrivning | Värde |
---|---|---|
id | Signatur-ID. | sträng |
mode | Signaturtillståndet. | "Avisering" "Neka" "Av" |
FirewallPolicySku
Name | Beskrivning | Värde |
---|---|---|
nivå | Nivå för brandväggsprincip. | "Grundläggande" "Premium" "Standard" |
FirewallPolicySnat
Name | Beskrivning | Värde |
---|---|---|
autoLearnPrivateRanges | Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT | "Inaktiverad" "Aktiverad" |
privateRanges | Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. | string[] |
FirewallPolicySQL
Name | Beskrivning | Värde |
---|---|---|
allowSqlRedirect | En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Att aktivera flaggan kräver ingen regel med port 11000-11999. | boolesk |
FirewallPolicyThreatIntelWhitelist
Name | Beskrivning | Värde |
---|---|---|
Fqdn | Lista över FQDN för ThreatIntel Allowlist. | string[] |
ipAddresses | Lista över IP-adresser för ThreatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
Name | Beskrivning | Värde |
---|---|---|
certificateAuthority | Den ca som används för mellanliggande CA-generering. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Name | Beskrivning | Värde |
---|---|---|
keyVaultSecretId | Hemligt ID för (base-64-kodat okrypterat pfx-objekt) "Secret" eller "Certificate" som lagras i KeyVault. | sträng |
name | Namnet på CA-certifikatet. | sträng |
Snabbstartsmallar
Följande snabbstartsmallar distribuerar den här resurstypen.
Mall | Description |
---|---|
Använda Azure Firewall som EN DNS-proxy i en topologi för Hub & Spoke |
Det här exemplet visar hur du distribuerar en hub-spoke-topologi i Azure med hjälp av Azure Firewall. Det virtuella hubbnätverket fungerar som en central anslutningspunkt för många virtuella ekernätverk som är anslutna till det virtuella hubbnätverket via peering för virtuella nätverk. |
Skapa en brandvägg och brandväggPolicy med regler och Ipgroups |
Den här mallen distribuerar en Azure Firewall med brandväggsprincipen (inklusive flera program- och nätverksregler) som refererar till IP-grupper i program- och nätverksregler. |
Skapa en brandvägg, FirewallPolicy med explicit proxy |
Den här mallen skapar en Azure Firewall, FirewalllPolicy med explicit proxy och nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator |
Skapa en brandvägg med FirewallPolicy och IpGroups |
Den här mallen skapar en Azure Firewall med FirewalllPolicy som refererar till nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator |
Testmiljö för Azure Firewall Premium |
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering |
Skapa en sandbox-konfiguration med brandväggsprincip |
Den här mallen skapar ett virtuellt nätverk med 3 undernät (serverundernät, jumpbox-underuppsättning och AzureFirewall-undernät), en virtuell jumpbox-dator med offentlig IP-adress, en virtuell serverdator, UDR-väg för att peka på Azure Firewall för serverundernätet och en Azure Firewall med 1 eller flera offentliga IP-adresser. Skapar också en brandväggsprincip med en exempelprogramregel, en exempelnätverksregel och privata standardintervall |
Skyddade virtuella hubbar |
Den här mallen skapar en skyddad virtuell hubb med Azure Firewall för att skydda molnnätverkstrafiken till Internet. |
Avsikt och principer för Routning i Azure Virtual WAN |
Den här mallen etablerar en Azure-Virtual WAN med två hubbar med funktionen Routnings avsikt och principer aktiverad. |
Resursdefinition för ARM-mall
Resurstypen firewallPolicies kan distribueras med åtgärder som mål:
- Resursgrupper – Se distributionskommandon för resursgrupper
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Network/firewallPolicies-resurs lägger du till följande JSON i mallen.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-04-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Egenskapsvärden
firewallPolicies
Name | Beskrivning | Värde |
---|---|---|
typ | Resurstypen | "Microsoft.Network/firewallPolicies" |
apiVersion | Resurs-API-versionen | '2023-04-01' |
name | Resursnamnet | sträng (krävs) Teckengräns: 1–80 Giltiga tecken: Alfanumeriska tecken, understreck, punkter och bindestreck. Börja med alfanumeriskt. Avsluta alfanumeriskt eller understreck. |
location | Resursplats. | sträng |
tags | Resurstaggar. | Ordlista med taggnamn och värden. Se Taggar i mallar |
identity | Brandväggsprincipens identitet. | ManagedServiceIdentity |
properties | Egenskaper för brandväggsprincipen. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Name | Beskrivning | Värde |
---|---|---|
typ | Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. | "Ingen" "SystemTilldelade" "SystemAssigned, UserAssigned" "Användartilldelade" |
userAssignedIdentities | Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formatet: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | objekt |
FirewallPolicyPropertiesFormat
Name | Beskrivning | Värde |
---|---|---|
basePolicy | Den överordnade brandväggsprincipen som regler ärvs från. | SubResource |
dnsSettings | Definition av DNS-proxyinställningar. | DnsSettings |
explicitProxy | Explicit definition av proxyinställningar. | ExplicitProxy |
Insikter | Insikter om brandväggsprincip. | FirewallPolicyInsights |
intrusionDetection | Konfigurationen för intrångsidentifiering. | FirewallPolicyIntrusionDetection |
sku | Brandväggsprincipens SKU. | FirewallPolicySku |
snat | De privata IP-adresser/IP-intervall som trafiken inte ska vara SNAT till. | FirewallPolicySnat |
sql | SQL-inställningsdefinition. | FirewallPolicySQL |
threatIntelMode | Åtgärdsläget för Hotinformation. | "Avisering" "Neka" "Av" |
threatIntelWhitelist | ThreatIntel Allowlist för brandväggsprincip. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-konfigurationsdefinition. | FirewallPolicyTransportSecurity |
Underresurs
Name | Beskrivning | Värde |
---|---|---|
id | Resurs-ID. | sträng |
DnsSettings
Name | Beskrivning | Värde |
---|---|---|
enableProxy | Aktivera DNS-proxy på brandväggar som är kopplade till brandväggsprincipen. | boolesk |
requireProxyForNetworkRules | FQDN:er i nätverksregler stöds när de är inställda på true. | boolesk |
Servrar | Lista över anpassade DNS-servrar. | string[] |
ExplicitProxy
Name | Beskrivning | Värde |
---|---|---|
enableExplicitProxy | När värdet är true är explicit proxyläge aktiverat. | boolesk |
enablePacFile | När värdet är true måste pac-filporten och URL:en anges. | boolesk |
httpPort | Portnumret för explicit http-proxyprotokoll får inte vara större än 64000. | int |
httpsPort | Portnummer för explicit https-protokoll för proxy får inte vara större än 64 000. | int |
pacFile | SAS-URL för PAC-fil. | sträng |
pacFilePort | Portnummer för brandväggen som ska hantera PAC-filen. | int |
FirewallPolicyInsights
Name | Beskrivning | Värde |
---|---|---|
isEnabled | En flagga som anger om insikterna är aktiverade för principen. | boolesk |
logAnalyticsResources | Arbetsytor som behövs för att konfigurera Insikter om brandväggsprincip. | FirewallPolicyLogAnalyticsResources |
retentionDays | Antal dagar som insikterna ska aktiveras för principen. | int |
FirewallPolicyLogAnalyticsResources
Name | Beskrivning | Värde |
---|---|---|
defaultWorkspaceId | Standardarbetsytans ID för Firewall Policy Insights. | Underresurs |
arbetsytor | Lista över arbetsytor för Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | Beskrivning | Värde |
---|---|---|
region | Region för att konfigurera arbetsytan. | sträng |
workspaceId | Arbetsytans ID för Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
Name | Beskrivning | Värde |
---|---|---|
konfiguration | Konfigurationsegenskaper för intrångsidentifiering. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Allmänt tillstånd för intrångsidentifiering. | "Avisering" "Neka" "Av" |
FirewallPolicyIntrusionDetectionConfiguration
Name | Beskrivning | Värde |
---|---|---|
bypassTrafficSettings | Lista över regler för trafik som ska kringgås. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (t.ex. inkommande, utgående osv.). Som standard betraktas endast intervall som definierats av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen | string[] |
signatureOverrides | Lista över specifika signaturtillstånd. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
Name | Beskrivning | Värde |
---|---|---|
beskrivning | Beskrivning av regeln för att kringgå trafik. | sträng |
destinationAddresses | Lista över mål-IP-adresser eller intervall för den här regeln. | string[] |
destinationIpGroups | Lista över ipgroup-mål för den här regeln. | string[] |
destinationPorts | Lista över målportar eller målintervall. | string[] |
name | Namnet på regeln för att kringgå trafik. | sträng |
Protokollet | Regeln kringgår protokollet. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista över källans IP-adresser eller intervall för den här regeln. | string[] |
sourceIpGroups | Lista över ipgroup-källgrupper för den här regeln. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Name | Beskrivning | Värde |
---|---|---|
id | Signatur-ID. | sträng |
mode | Signaturtillståndet. | "Avisering" "Neka" "Av" |
FirewallPolicySku
Name | Beskrivning | Värde |
---|---|---|
nivå | Nivå för brandväggsprincip. | "Grundläggande" "Premium" "Standard" |
FirewallPolicySnat
Name | Beskrivning | Värde |
---|---|---|
autoLearnPrivateRanges | Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT | "Inaktiverad" "Aktiverad" |
privateRanges | Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. | string[] |
FirewallPolicySQL
Name | Beskrivning | Värde |
---|---|---|
allowSqlRedirect | En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Att aktivera flaggan kräver ingen regel med port 11000-11999. | boolesk |
FirewallPolicyThreatIntelWhitelist
Name | Beskrivning | Värde |
---|---|---|
Fqdn | Lista över FQDN för ThreatIntel Allowlist. | string[] |
ipAddresses | Lista över IP-adresser för ThreatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
Name | Beskrivning | Värde |
---|---|---|
certificateAuthority | Den ca som används för mellanliggande CA-generering. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Name | Beskrivning | Värde |
---|---|---|
keyVaultSecretId | Hemligt ID för (base-64-kodat okrypterat pfx-objekt) "Secret" eller "Certificate" som lagras i KeyVault. | sträng |
name | Namnet på CA-certifikatet. | sträng |
Snabbstartsmallar
Följande snabbstartsmallar distribuerar den här resurstypen.
Mall | Description |
---|---|
Använda Azure Firewall som EN DNS-proxy i en topologi av typen Hub & Spoke |
Det här exemplet visar hur du distribuerar en topologi av typen hub-spoke i Azure med hjälp av Azure Firewall. Det virtuella hubbnätverket fungerar som en central anslutningspunkt till många virtuella ekernätverk som är anslutna till ett virtuellt navnätverk via peering för virtuella nätverk. |
Skapa en brandväggs- och brandväggsprincip med regler och IP-grupper |
Den här mallen distribuerar en Azure Firewall med brandväggsprincip (inklusive flera program- och nätverksregler) som refererar till IP-grupper i program- och nätverksregler. |
Skapa en brandvägg, FirewallPolicy med explicit proxy |
Den här mallen skapar en Azure Firewall, FirewalllPolicy med explicit proxy och nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator |
Skapa en brandvägg med FirewallPolicy och IpGroups |
Den här mallen skapar en Azure Firewall med FirewalllPolicy som refererar till nätverksregler med IpGroups. Innehåller även en installation av en virtuell Linux Jumpbox-dator |
Testmiljö för Azure Firewall Premium |
Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering |
Skapa en sandbox-konfiguration med brandväggsprincip |
Den här mallen skapar ett virtuellt nätverk med 3 undernät (serverundernät, jumpbox-underuppsättning och AzureFirewall-undernät), en virtuell jumpbox-dator med offentlig IP-adress, en virtuell serverdator, UDR-väg som pekar på Azure Firewall för serverundernätet och en Azure Firewall med 1 eller fler offentliga IP-adresser. Skapar också en brandväggsprincip med 1 exempelprogramregel, 1 exempelnätverksregel och privata standardintervall |
Skyddade virtuella hubbar |
Den här mallen skapar en skyddad virtuell hubb med hjälp av Azure Firewall för att skydda din molnnätverkstrafik till Internet. |
Avsikt och principer för Routning i Azure Virtual WAN |
Den här mallen etablerar en Azure-Virtual WAN med två hubbar med funktionen Routnings avsikt och principer aktiverad. |
Resursdefinition för Terraform (AzAPI-provider)
Resurstypen firewallPolicies kan distribueras med åtgärder som mål:
- Resursgrupper
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Resurs för Microsoft.Network/firewallPolicies lägger du till följande Terraform i mallen.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-04-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Egenskapsvärden
firewallPolicies
Name | Beskrivning | Värde |
---|---|---|
typ | Resurstypen | "Microsoft.Network/firewallPolicies@2023-04-01" |
name | Resursnamnet | sträng (krävs) Teckengräns: 1–80 Giltiga tecken: Alfanumeriska tecken, understreck, punkter och bindestreck. Börja med alfanumeriskt. Avsluta alfanumeriskt eller understreck. |
location | Resursplats. | sträng |
parent_id | Om du vill distribuera till en resursgrupp använder du ID:t för den resursgruppen. | sträng (krävs) |
tags | Resurstaggar. | Ordlista med taggnamn och värden. |
identity | Brandväggsprincipens identitet. | ManagedServiceIdentity |
properties | Egenskaper för brandväggsprincipen. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
Name | Beskrivning | Värde |
---|---|---|
typ | Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn. | "SystemTilldelade" "SystemAssigned, UserAssigned" "Användartilldelade" |
identity_ids | Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formatet: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | Matris med användaridentitets-ID:t. |
FirewallPolicyPropertiesFormat
Name | Beskrivning | Värde |
---|---|---|
basePolicy | Den överordnade brandväggsprincipen som regler ärvs från. | SubResource |
dnsSettings | Definition av DNS-proxyinställningar. | DnsSettings |
explicitProxy | Explicit definition av proxyinställningar. | ExplicitProxy |
Insikter | Insikter om brandväggsprincipen. | FirewallPolicyInsights |
intrusionDetection | Konfigurationen för intrångsidentifiering. | FirewallPolicyIntrusionDetection |
sku | Brandväggsprincipens SKU. | FirewallPolicySku |
snat | De privata IP-adresser/IP-intervall som trafiken inte kommer att vara SNAT till. | FirewallPolicySnat |
sql | SQL-inställningsdefinition. | FirewallPolicySQL |
threatIntelMode | Åtgärdsläget för Hotinformation. | "Avisering" "Neka" "Av" |
threatIntelWhitelist | ThreatIntel Allowlist för brandväggsprincip. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-konfigurationsdefinition. | FirewallPolicyTransportSecurity |
SubResource
Name | Beskrivning | Värde |
---|---|---|
id | Resurs-ID. | sträng |
DnsSettings
Name | Beskrivning | Värde |
---|---|---|
enableProxy | Aktivera DNS-proxy på brandväggar som är kopplade till brandväggsprincipen. | boolesk |
requireProxyForNetworkRules | FQDN:er i nätverksregler stöds när de är inställda på true. | boolesk |
Servrar | Lista över anpassade DNS-servrar. | string[] |
ExplicitProxy
Name | Beskrivning | Värde |
---|---|---|
enableExplicitProxy | När värdet är true aktiveras explicit proxyläge. | boolesk |
enablePacFile | När värdet är true måste pac-filporten och URL:en anges. | boolesk |
httpPort | Portnummer för explicit proxy-http-protokoll får inte vara större än 64000. | int |
httpsPort | Portnummer för explicit proxy-https-protokoll får inte vara större än 64000. | int |
pacFile | SAS-URL för PAC-fil. | sträng |
pacFilePort | Portnummer för brandvägg för att hantera PAC-fil. | int |
FirewallPolicyInsights
Name | Beskrivning | Värde |
---|---|---|
isEnabled | En flagga som anger om insikterna är aktiverade för principen. | boolesk |
logAnalyticsResources | Arbetsytor som behövs för att konfigurera Insikter om brandväggsprincip. | FirewallPolicyLogAnalyticsResources |
retentionDays | Antal dagar som insikterna ska aktiveras för principen. | int |
FirewallPolicyLogAnalyticsResources
Name | Beskrivning | Värde |
---|---|---|
defaultWorkspaceId | Standardarbetsytans ID för Firewall Policy Insights. | Underresurs |
arbetsytor | Lista över arbetsytor för Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | Beskrivning | Värde |
---|---|---|
region | Region för att konfigurera arbetsytan. | sträng |
workspaceId | Arbetsytans ID för Firewall Policy Insights. | Underresurs |
FirewallPolicyIntrusionDetection
Name | Beskrivning | Värde |
---|---|---|
konfiguration | Konfigurationsegenskaper för intrångsidentifiering. | FirewallPolicyIntrusionDetectionConfiguration |
mode | Allmänt tillstånd för intrångsidentifiering. | "Avisering" "Neka" "Av" |
FirewallPolicyIntrusionDetectionConfiguration
Name | Beskrivning | Värde |
---|---|---|
bypassTrafficSettings | Lista över regler för trafik som ska kringgås. | FirewallPolicyIntrusionDetectionBypasstrafficSpecifi...[] |
privateRanges | Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (t.ex. inkommande, utgående osv.). Som standard betraktas endast intervall som definieras av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen | string[] |
signatureOverrides | Lista över specifika signaturtillstånd. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypasstrafficSpecifi...
Name | Beskrivning | Värde |
---|---|---|
beskrivning | Beskrivning av regeln för att kringgå trafik. | sträng |
destinationAddresses | Lista över mål-IP-adresser eller målintervall för den här regeln. | string[] |
destinationIpGroups | Lista över ipgroup-mål för den här regeln. | string[] |
destinationPorts | Lista över målportar eller målintervall. | string[] |
name | Namnet på regeln för att kringgå trafik. | sträng |
Protokollet | Regeln kringgår protokollet. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Lista över källans IP-adresser eller källintervall för den här regeln. | string[] |
sourceIpGroups | Lista över ip-källgrupper för den här regeln. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
Name | Beskrivning | Värde |
---|---|---|
id | Signatur-ID. | sträng |
mode | Signaturtillståndet. | "Avisering" "Neka" "Av" |
FirewallPolicySku
Name | Beskrivning | Värde |
---|---|---|
nivå | Nivå för brandväggsprincip. | "Basic" "Premium" "Standard" |
FirewallPolicySnat
Name | Beskrivning | Värde |
---|---|---|
autoLearnPrivateRanges | Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT | "Inaktiverad" "Aktiverad" |
privateRanges | Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT. | string[] |
FirewallPolicySQL
Name | Beskrivning | Värde |
---|---|---|
allowSqlRedirect | En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Om du aktiverar flaggan krävs ingen regel med port 11000-11999. | boolesk |
FirewallPolicyThreatIntelWhitelist
Name | Beskrivning | Värde |
---|---|---|
Fqdn | Lista över FQDN:er för ThreatIntel Allowlist. | string[] |
ipAddresses | Lista över IP-adresser för ThreatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
Name | Beskrivning | Värde |
---|---|---|
certificateAuthority | Ca:en som används för mellanliggande CA-generering. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
Name | Beskrivning | Värde |
---|---|---|
keyVaultSecretId | Hemligt ID för (base-64-kodat okrypterat pfx) "Secret" eller "Certificate"-objekt som lagras i KeyVault. | sträng |
name | Namnet på CA-certifikatet. | sträng |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för