Microsoft.Network/firewallPolicies

Bicep-resursdefinition

Resurstypen firewallPolicies kan distribueras med åtgärder som mål:

Resursgrupper – Se resursgruppsdistributionskommandon

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Resursformat

Om du vill skapa en Microsoft.Network/firewallPolicies-resurs lägger du till följande Bicep i mallen.

resource symbolicname 'Microsoft.Network/firewallPolicies@2024-03-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
      profile: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Egenskapsvärden

Komponenter1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Namn	Beskrivning	Värde

DnsSettings

Namn	Beskrivning	Värde
enableProxy	Aktivera DNS-proxy på brandväggar som är anslutna till brandväggsprincipen.	Bool
requireProxyForNetworkRules	FQDN:er i nätverksregler stöds när de är inställda på true.	Bool
Servrar	Lista över anpassade DNS-servrar.	string[]

ExplicitProxy

Namn	Beskrivning	Värde
enableExplicitProxy	När värdet är true aktiveras explicit proxyläge.	Bool
enablePacFile	När värdet är true måste pac-filporten och URL:en anges.	Bool
httpPort	Portnummer för explicit proxy-http-protokoll får inte vara större än 64000.	Int Begränsningar: Minsta värde = 0 Maxvärde = 64000
httpsPort	Portnummer för explicit proxy-https-protokoll får inte vara större än 64000.	Int Begränsningar: Minsta värde = 0 Maxvärde = 64000
pacFile	SAS-URL för PAC-fil.	sträng
pacFilePort	Portnummer för brandvägg för att hantera PAC-fil.	Int Begränsningar: Minsta värde = 0 Maxvärde = 64000

FirewallPolicyCertificateAuthority

Namn	Beskrivning	Värde
keyVaultSecretId	Hemligt ID för (base-64-kodat okrypterat pfx-objekt) "Secret" eller "Certificate" som lagras i KeyVault.	sträng
Namn	Namnet på CA-certifikatet.	sträng

FirewallPolicyInsights

Namn	Beskrivning	Värde
isEnabled	En flagga som anger om insikterna är aktiverade för principen.	Bool
logAnalyticsResources	Arbetsytor som behövs för att konfigurera Firewall Policy Insights.	FirewallPolicyLogAnalyticsResources
retentionDays	Antal dagar som insikterna ska aktiveras för principen.	Int

FirewallPolicyIntrusionDetection

Namn	Beskrivning	Värde
konfiguration	Konfigurationsegenskaper för intrångsidentifiering.	FirewallPolicyIntrusionDetectionConfiguration
läge	Allmänt tillstånd för intrångsidentifiering. När brandväggen är kopplad till en överordnad princip är det effektiva IDPS-läget det striktare läget för de två.	"Avisering" "Neka" "Av"
profil	IDPS-profilnamn. När den är kopplad till en överordnad princip är brandväggens effektiva profil profilnamnet för den överordnade principen.	"Avancerat" "Grundläggande" "Utökad" "Standard"

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Namn	Beskrivning	Värde
beskrivning	Beskrivning av regeln för förbikopplingstrafik.	sträng
destinationAddresses	Lista över mål-IP-adresser eller intervall för den här regeln.	string[]
destinationIpGroups	Lista över ipgroup-mål för den här regeln.	string[]
destinationPorts	Lista över målportar eller målintervall.	string[]
Namn	Namnet på regeln för förbikopplingstrafik.	sträng
protokoll	Regeln kringgår protokollet.	"ANY" "ICMP" "TCP" "UDP"
sourceAddresses	Lista över källans IP-adresser eller intervall för den här regeln.	string[]
sourceIpGroups	Lista över ipgroup-källgrupper för den här regeln.	string[]

FirewallPolicyIntrusionDetectionConfiguration

Namn	Beskrivning	Värde
bypassTrafficSettings	Lista över regler för förbikoppling av trafik.	FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges	Privata IP-adressintervall för IDPS används för att identifiera trafikriktning (dvs. inkommande, utgående osv.). Som standard betraktas endast intervall som definierats av IANA RFC 1918 som privata IP-adresser. Om du vill ändra standardintervall anger du dina privata IP-adressintervall med den här egenskapen	string[]
signatureOverrides	Lista över specifika signaturtillstånd.	FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Namn	Beskrivning	Värde
Id	Signatur-ID.	sträng
läge	Signaturtillståndet.	"Avisering" "Neka" "Av"

FirewallPolicyLogAnalyticsResources

Namn	Beskrivning	Värde
defaultWorkspaceId	Standardarbetsytans ID för Firewall Policy Insights.	SubResource
arbetsytor	Lista över arbetsytor för Firewall Policy Insights.	FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Namn	Beskrivning	Värde
region	Region för att konfigurera arbetsytan.	sträng
workspaceId	Arbetsytans ID för Firewall Policy Insights.	SubResource

FirewallPolicyPropertiesFormat

Namn	Beskrivning	Värde
basePolicy	Den överordnade brandväggsprincipen som regler ärvs från.	SubResource
dnsSettings	Definition av DNS-proxyinställningar.	DnsSettings
explicitProxy	Explicit definition av proxyinställningar.	ExplicitProxy
Insikter	Insikter om brandväggsprincip.	FirewallPolicyInsights
intrusionDetection	Konfigurationen för intrångsidentifiering.	FirewallPolicyIntrusionDetection
Sku	Brandväggsprincipens SKU.	FirewallPolicySku
snat	De privata IP-adresser/IP-intervall som trafiken inte kommer att vara SNAT till.	FirewallPolicySnat
SQL	SQL-inställningsdefinition.	FirewallPolicySQL
threatIntelMode	Åtgärdsläget för Hotinformation.	"Avisering" "Neka" "Av"
threatIntelWhitelist	ThreatIntel vitlista för brandväggsprincip.	FirewallPolicyThreatIntelWhitelist
transportSecurity	TLS-konfigurationsdefinition.	FirewallPolicyTransportSecurity

FirewallPolicySku

Namn	Beskrivning	Värde
Nivå	Nivå av brandväggsprincip.	"Grundläggande" "Premium" "Standard"

FirewallPolicySnat

Namn	Beskrivning	Värde
autoLearnPrivateRanges	Åtgärdsläget för att automatiskt lära sig privata intervall att inte vara SNAT	"Inaktiverad" "Aktiverad"
privateRanges	Lista över privata IP-adresser/IP-adressintervall som inte ska vara SNAT.	string[]

FirewallPolicySQL

Namn	Beskrivning	Värde
allowSqlRedirect	En flagga som anger om filtrering av SQL-omdirigeringstrafik är aktiverat. Om du aktiverar flaggan krävs ingen regel med port 11000-11999.	Bool

FirewallPolicyThreatIntelWhitelist

Namn	Beskrivning	Värde
fqdns	Lista över FQDN:er för ThreatIntel Whitelist.	string[]
ipAddresses	Lista över IP-adresser för ThreatIntel Whitelist.	string[]

FirewallPolicyTransportSecurity

Namn	Beskrivning	Värde
certificateAuthority	Ca:en som används för mellanliggande CA-generering.	FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Namn	Beskrivning	Värde
typ	Den typ av identitet som används för resursen. Typen "SystemAssigned, UserAssigned" innehåller både en implicit skapad identitet och en uppsättning användartilldelade identiteter. Typen "Ingen" tar bort alla identiteter från den virtuella datorn.	"Ingen" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned"
userAssignedIdentities	Listan över användaridentiteter som är associerade med resursen. Nyckelreferenserna för användaridentitetsordlistan är ARM-resurs-ID:er i formuläret: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'.	ManagedServiceIdentityUserAssignedIdentiteter

ManagedServiceIdentityUserAssignedIdentiteter

Namn	Beskrivning	Värde

Namn	Beskrivning	Värde
identitet	Brandväggsprincipens identitet.	ManagedServiceIdentity
plats	Resursplats.	sträng
Namn	Resursnamnet	sträng (krävs)
Egenskaper	Egenskaper för brandväggsprincipen.	FirewallPolicyPropertiesFormat
Taggar	Resurstaggar	Ordlista med taggnamn och värden. Se taggar i mallar

ResourceTags

Namn	Beskrivning	Värde

SubResource

Namn	Beskrivning	Värde
Id	Resurs-ID.	sträng

Snabbstartsexempel

Följande snabbstartsexempel distribuerar den här resurstypen.

Bicep-fil	Beskrivning
Skapa en brandväggs- och brandväggspolicy med regler och ipgrupper	Den här mallen distribuerar en Azure Firewall med brandväggsprincip (inklusive flera program- och nätverksregler) som refererar till IP-grupper i program- och nätverksregler.
Skyddade virtuella hubbar	Den här mallen skapar en säker virtuell hubb med Azure Firewall för att skydda din molnnätverkstrafik som är avsedd för Internet.
SharePoint-prenumeration / 2019 / 2016 fullständigt konfigurerad	Skapa en domänkontrollant, en SQL Server 2022 och från 1 till 5 servrar som är värdar för en SharePoint-prenumeration/2019/2016-servergrupp med en omfattande konfiguration, inklusive betrodd autentisering, användarprofiler med personliga webbplatser, ett OAuth-förtroende (med hjälp av ett certifikat), en dedikerad IIS-webbplats för värd för tillägg med högt förtroende osv. Den senaste versionen av nyckelprogramvara (inklusive Fiddler, vscode, np++, 7zip, ULS Viewer) är installerad. SharePoint-datorer har ytterligare finjustering för att göra dem omedelbart användbara (fjärradministrationsverktyg, anpassade principer för Edge och Chrome, genvägar osv.).
Testmiljö för Azure Firewall Premium	Den här mallen skapar en Azure Firewall Premium- och brandväggsprincip med premiumfunktioner som Identifiering av intrångsinspektion (IDPS), TLS-inspektion och webbkategorifiltrering
Använda Azure Firewall som EN DNS-proxy i en Topologi för Hub & Spoke	Det här exemplet visar hur du distribuerar en hub-spoke-topologi i Azure med hjälp av Azure Firewall. Det virtuella hubbnätverket fungerar som en central anslutningspunkt för många virtuella ekernätverk som är anslutna till det virtuella hubbnätverket via peering för virtuella nätverk.

Resursdefinition för ARM-mall