Microsoft.Network güvenlik duvarıİlkeler
Bicep kaynak tanımı
firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- Kaynak grupları - Bkz. kaynak grubu dağıtım komutları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.Network/firewallPolicies kaynağı oluşturmak için aşağıdaki Bicep'i şablonunuza ekleyin.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-11-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Özellik değerleri
firewallpolicies
| Ad | Açıklama | Değer |
|---|---|---|
| name | Kaynak adı | dize (gerekli) Karakter sınırı: 1-80 Geçerli karakterler: Alfasayısallar, alt çizgiler, nokta ve kısa çizgiler. Alfasayısal ile başlayın. Alfasayısal veya alt çizgiyi sonlandır. |
| location | Kaynak konumu. | string |
| etiketler | Kaynak etiketleri. | Etiket adlarının ve değerlerinin sözlüğü. Bkz. Şablonlardaki etiketler |
| identity | Güvenlik duvarı ilkesinin kimliği. | ManagedServiceIdentity |
| properties | Güvenlik duvarı ilkesinin özellikleri. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan kimlik kümesini içerir. 'Hiçbiri' türü sanal makineden tüm kimlikleri kaldırır. | 'Yok' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Kaynakla ilişkilendirilmiş kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlüğü anahtar başvuruları şu biçimde ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Ad | Açıklama | Değer |
|---|---|---|
| {özelleştirilmiş özellik} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Bu nesne dağıtım sırasında ayarlanacağı herhangi bir özellik içermiyor. Tüm özellikler ReadOnly'dır.
FirewallPolicyPropertiesFormat
| Ad | Açıklama | Değer |
|---|---|---|
| basePolicy | Kuralların devralındığı üst güvenlik duvarı ilkesi. | Subresource |
| dnsSettings | DNS Proxy Ayarları tanımı. | DnsSettings |
| explicitProxy | Açık Ara Sunucu Ayarları tanımı. | ExplicitProxy |
| insights | Güvenlik Duvarı İlkesi İçgörüleri. | FirewallPolicyInsights |
| intrusionDetection | İzinsiz giriş algılama yapılandırması. | FirewallPolicyIntrusionDetection |
| Sku | Güvenlik Duvarı İlkesi SKU'su. | FirewallPolicySku |
| snat | Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. | FirewallPolicySnat |
| sql | SQL Ayarları tanımı. | FirewallPolicySQL |
| threatIntelMode | Tehdit Analizi için işlem modu. | 'Uyarı' 'Reddet' 'Kapalı' |
| threatIntelWhitelist | Güvenlik Duvarı İlkesi için ThreatIntel İzin Verilenler Listesi. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS Yapılandırma tanımı. | FirewallPolicyTransportSecurity |
Subresource
| Ad | Açıklama | Değer |
|---|---|---|
| kimlik | Kaynak Kimliği. | string |
DnsSettings
| Ad | Açıklama | Değer |
|---|---|---|
| enableProxy | Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. | bool |
| requireProxyForNetworkRules | Ağ Kurallarındaki FQDN'ler true olarak ayarlandığında desteklenir. | bool |
| Sunucu | Özel DNS Sunucularının listesi. | dize[] |
ExplicitProxy
| Ad | Açıklama | Değer |
|---|---|---|
| enableExplicitProxy | True olarak ayarlandığında, açık ara sunucu modu etkinleştirilir. | bool |
| enablePacFile | true olarak ayarlandığında pac dosyası bağlantı noktası ve URL sağlanmalıdır. | bool |
| httpPort | Açık ara sunucu http protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
| httpsPort | Açık proxy https protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
| pacFile | PAC dosyası için SAS URL'si. | string |
| pacFilePort | GÜVENLIK duvarının PAC dosyasına hizmet vermek için bağlantı noktası numarası. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
FirewallPolicyInsights
| Ad | Açıklama | Değer |
|---|---|---|
| ısenabled | İlkedeki içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. | bool |
| logAnalyticsResources | Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. | FirewallPolicyLogAnalyticsResources |
| retentionDays | İlkedeki içgörülerin etkinleştirilmesi gereken gün sayısı. | int |
FirewallPolicyLogAnalyticsResources
| Ad | Açıklama | Değer |
|---|---|---|
| defaultWorkspaceId | Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. | Subresource |
| çalışma alanı | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Ad | Açıklama | Değer |
|---|---|---|
| region | Çalışma Alanını yapılandıracak bölge. | string |
| workspaceId | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. | Subresource |
FirewallPolicyIntrusionDetection
| Ad | Açıklama | Değer |
|---|---|---|
| yapılandırma | İzinsiz giriş algılama yapılandırma özellikleri. | FirewallPolicyIntrusionDetectionConfiguration |
| mod | İzinsiz giriş algılama genel durumu. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin IDPS modu ikisinin daha katı modudur. | 'Uyarı' 'Reddet' 'Kapalı' |
| profil | IDPS profil adı. Bir üst ilkeye eklendiğinde, güvenlik duvarının geçerli profili üst ilkenin profil adıdır. | 'Gelişmiş' 'Temel' 'Genişletilmiş' 'Standart' |
FirewallPolicyIntrusionDetectionConfiguration
| Ad | Açıklama | Değer |
|---|---|---|
| bypassTrafficSettings | Atlayacak trafik kurallarının listesi. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | IDPS Özel IP adresi aralıkları trafik yönünü (gelen, giden vb.) tanımlamak için kullanılır. Varsayılan olarak, yalnızca IANA RFC 1918 tarafından tanımlanan aralıklar özel IP adresleri olarak kabul edilir. Varsayılan aralıkları değiştirmek için Özel IP adresi aralıklarınızı bu özellik ile belirtin | dize[] |
| signatureOverrides | Belirli imza durumlarının listesi. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Ad | Açıklama | Değer |
|---|---|---|
| açıklama | Atlama trafiği kuralının açıklaması. | string |
| destinationAddresses | Bu kural için hedef IP adreslerinin veya aralıklarının listesi. | dize[] |
| destinationIpGroups | Bu kural için hedef IpGroup'ların listesi. | dize[] |
| destinationPorts | Hedef bağlantı noktalarının veya aralıkların listesi. | dize[] |
| name | Atlama trafiği kuralının adı. | string |
| protokol | Kural atlama protokolü. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Bu kural için kaynak IP adreslerinin veya aralıklarının listesi. | dize[] |
| sourceIpGroups | Bu kural için kaynak IpGroup'ların listesi. | dize[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Ad | Açıklama | Değer |
|---|---|---|
| kimlik | İmza kimliği. | string |
| mod | İmza durumu. | 'Uyarı' 'Reddet' 'Kapalı' |
FirewallPolicySku
| Ad | Açıklama | Değer |
|---|---|---|
| tier | Güvenlik Duvarı İlkesi katmanı. | 'Temel' 'Premium' 'Standart' |
FirewallPolicySnat
| Ad | Açıklama | Değer |
|---|---|---|
| autoLearnPrivateRanges | Özel aralıkları otomatik olarak öğrenmenin SNAT olmaması için işlem modu | 'Devre Dışı' 'Etkin' |
| privateRanges | SNAT olmaması için özel IP adreslerinin/IP adresi aralıklarının listesi. | dize[] |
FirewallPolicySQL
| Ad | Açıklama | Değer |
|---|---|---|
| allowSqlRedirect | SQL Yeniden Yönlendirme trafik filtrelemenin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bayrağı açmak için 11000-11999 numaralı bağlantı noktasını kullanan bir kural gerekmez. | bool |
FirewallPolicyThreatIntelWhitelist
| Ad | Açıklama | Değer |
|---|---|---|
| fqdns | ThreatIntel allowlist için FQDN'lerin listesi. | dize[] |
| ipAddresses | ThreatIntel İzin Listesi için IP adreslerinin listesi. | dize[] |
FirewallPolicyTransportSecurity
| Ad | Açıklama | Değer |
|---|---|---|
| certificateAuthority | Ara CA oluşturma için kullanılan CA. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Ad | Açıklama | Değer |
|---|---|---|
| keyVaultSecretId | KeyVault'ta depolanan 'Secret' veya 'Certificate' nesnesinin Gizli Dizi Kimliği (base-64 kodlanmış şifrelenmemiş pfx). | string |
| name | CA sertifikasının adı. | string |
Hızlı başlangıç şablonları
Aşağıdaki hızlı başlangıç şablonları bu kaynak türünü dağıtır.
| Şablon | Description |
|---|---|
Azure Güvenlik Duvarı Merkez & Uç topolojisinde DNS Proxy'si olarak kullanma |
Bu örnekte, Azure Güvenlik Duvarı kullanarak Azure'da merkez-uç topolojisinin nasıl dağıtılacağı gösterilmektedir. Merkez sanal ağı, sanal ağ eşlemesi aracılığıyla merkez sanal ağına bağlı birçok uç sanal ağına merkezi bir bağlantı noktası işlevi görür. |
| Kurallar ve IpGroup'larla Güvenlik Duvarı ve FirewallPolicy İçerik Oluşturucu |
Bu şablon, uygulama ve ağ kurallarında IP Gruplar başvuran Güvenlik Duvarı İlkesi (birden çok uygulama ve ağ kuralı dahil) içeren bir Azure Güvenlik Duvarı dağıtır. |
| Açık Ara Sunucu ile Güvenlik Duvarı, FirewallPolicy İçerik Oluşturucu |
Bu şablon, Açık Ara Sunucu ile FirewalllPolicy ve IpGroups ile Ağ Kuralları Azure Güvenlik Duvarı oluşturur. Ayrıca Bir Linux Jumpbox vm kurulumu içerir |
| FirewallPolicy ve IpGroups ile Güvenlik Duvarı İçerik Oluşturucu |
Bu şablon, IpGroups ile Ağ Kurallarına başvuran FirewalllPolicy ile bir Azure Güvenlik Duvarı oluşturur. Ayrıca Bir Linux Jumpbox vm kurulumu içerir |
| Azure Güvenlik Duvarı Premium için test ortamı |
Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS incelemesi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur |
| Güvenlik Duvarı İlkesi ile korumalı alan kurulumu İçerik Oluşturucu |
Bu şablon, 3 alt ağa (sunucu alt ağı, sıçrama kutusu alt kümesi ve AzureFirewall alt ağı), genel IP'ye sahip bir sıçrama kutusu VM'sine, Sunucu VM'sine, Sunucu Alt Ağı için Azure Güvenlik Duvarı işaret eden UDR yoluna ve 1 veya daha fazla Genel IP adresine sahip bir Azure Güvenlik Duvarı sahip bir sanal ağ oluşturur. Ayrıca 1 örnek uygulama kuralı, 1 örnek ağ kuralı ve varsayılan özel aralıklarla bir Güvenlik Duvarı ilkesi oluşturur |
| Güvenli sanal hub'lar |
Bu şablon, İnternet'e yönlendiren bulut ağ trafiğinizin güvenliğini sağlamak için Azure Güvenlik Duvarı kullanarak güvenli bir sanal merkez oluşturur. |
| Azure Sanal WAN Yönlendirme Amacı ve İlkeleri |
Bu şablon, Yönlendirme Amacı ve İlkeleri özelliğinin etkinleştirildiği iki hub'a sahip bir Azure Sanal WAN sağlar. |
ARM şablonu kaynak tanımı
firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- Kaynak grupları - Bkz. kaynak grubu dağıtım komutları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.Network/firewallPolicies kaynağı oluşturmak için şablonunuza aşağıdaki JSON'u ekleyin.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-11-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Özellik değerleri
firewallpolicies
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak türü | 'Microsoft.Network/firewallPolicies' |
| apiVersion | Kaynak API'sinin sürümü | '2023-11-01' |
| name | Kaynak adı | dize (gerekli) Karakter sınırı: 1-80 Geçerli karakterler: Alfasayısallar, alt çizgiler, nokta ve kısa çizgiler. Alfasayısal ile başlayın. Alfasayısal veya alt çizgiyi sonlandır. |
| location | Kaynak konumu. | string |
| etiketler | Kaynak etiketleri. | Etiket adlarının ve değerlerinin sözlüğü. Bkz. Şablonlardaki etiketler |
| identity | Güvenlik duvarı ilkesinin kimliği. | ManagedServiceIdentity |
| properties | Güvenlik duvarı ilkesinin özellikleri. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan bir kimlik kümesini içerir. 'Hiçbiri' türü, sanal makineden tüm kimlikleri kaldırır. | 'Yok' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Kaynakla ilişkili kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlüğü anahtarı başvuruları şu formda ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Ad | Açıklama | Değer |
|---|---|---|
| {özelleştirilmiş özellik} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Bu nesne dağıtım sırasında ayarlanacağı herhangi bir özellik içermez. Tüm özellikler Salt Okunur'dır.
FirewallPolicyPropertiesFormat
| Ad | Açıklama | Değer |
|---|---|---|
| basePolicy | Kuralların devralındığı üst güvenlik duvarı ilkesi. | Subresource |
| dnsSettings | DNS Proxy Ayarları tanımı. | DnsSettings |
| explicitProxy | Açık Ara Sunucu Ayarları tanımı. | ExplicitProxy |
| insights | Güvenlik Duvarı İlkesi İçgörüleri. | FirewallPolicyInsights |
| intrusionDetection | İzinsiz giriş algılama yapılandırması. | FirewallPolicyIntrusionDetection |
| Sku | Güvenlik Duvarı İlkesi SKU'su. | FirewallPolicySku |
| snat | Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. | FirewallPolicySnat |
| sql | SQL Ayarları tanımı. | FirewallPolicySQL |
| threatIntelMode | Tehdit Analizi için işlem modu. | 'Uyarı' 'Reddet' 'Kapalı' |
| threatIntelWhitelist | Güvenlik Duvarı İlkesi için ThreatIntel İzin Verilenler Listesi. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS Yapılandırma tanımı. | FirewallPolicyTransportSecurity |
Subresource
| Ad | Açıklama | Değer |
|---|---|---|
| kimlik | Kaynak Kimliği. | string |
DnsSettings
| Ad | Açıklama | Değer |
|---|---|---|
| enableProxy | Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. | bool |
| requireProxyForNetworkRules | Ağ Kuralları'ndaki FQDN'ler true olarak ayarlandığında desteklenir. | bool |
| Sunucu | Özel DNS Sunucularının listesi. | string[] |
ExplicitProxy
| Ad | Açıklama | Değer |
|---|---|---|
| enableExplicitProxy | True olarak ayarlandığında, açık ara sunucu modu etkinleştirilir. | bool |
| enablePacFile | true olarak ayarlandığında pac dosyası bağlantı noktası ve URL'nin sağlanması gerekir. | bool |
| httpPort | Açık ara sunucu http protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
| httpsPort | Açık proxy https protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
| pacFile | PAC dosyası için SAS URL'si. | string |
| pacFilePort | GÜVENLIK duvarının PAC dosyasına hizmet vermek için bağlantı noktası numarası. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
FirewallPolicyInsights
| Ad | Açıklama | Değer |
|---|---|---|
| ısenabled | İlkedeki içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. | bool |
| logAnalyticsResources | Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. | FirewallPolicyLogAnalyticsResources |
| retentionDays | İlkedeki içgörülerin etkinleştirilmesi gereken gün sayısı. | int |
FirewallPolicyLogAnalyticsResources
| Ad | Açıklama | Değer |
|---|---|---|
| defaultWorkspaceId | Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. | Subresource |
| çalışma alanı | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Ad | Açıklama | Değer |
|---|---|---|
| region | Çalışma Alanını yapılandırmak için bölge. | string |
| workspaceId | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. | Subresource |
FirewallPolicyIntrusionDetection
| Ad | Açıklama | Değer |
|---|---|---|
| yapılandırma | İzinsiz giriş algılama yapılandırma özellikleri. | FirewallPolicyIntrusionDetectionConfiguration |
| mod | İzinsiz giriş algılama genel durumu. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin IDPS modu ikisinin daha katı modudur. | 'Uyarı' 'Reddet' 'Kapalı' |
| profil | IDPS profil adı. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin profili üst ilkenin profil adıdır. | 'Gelişmiş' 'Temel' 'Genişletilmiş' 'Standart' |
FirewallPolicyIntrusionDetectionConfiguration
| Ad | Açıklama | Değer |
|---|---|---|
| bypassTrafficSettings | Atlayacak trafik kurallarının listesi. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | IDPS Özel IP adresi aralıkları trafik yönünü (gelen, giden vb.) tanımlamak için kullanılır. Varsayılan olarak, yalnızca IANA RFC 1918 tarafından tanımlanan aralıklar özel IP adresleri olarak kabul edilir. Varsayılan aralıkları değiştirmek için Özel IP adresi aralıklarınızı bu özellik ile belirtin | string[] |
| signatureOverrides | Belirli imza durumlarının listesi. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Ad | Açıklama | Değer |
|---|---|---|
| açıklama | Atlama trafiği kuralının açıklaması. | string |
| destinationAddresses | Bu kural için hedef IP adreslerinin veya aralıkların listesi. | string[] |
| destinationIpGroups | Bu kural için hedef IpGroup'ların listesi. | string[] |
| destinationPorts | Hedef bağlantı noktalarının veya aralıkların listesi. | string[] |
| name | Atlama trafik kuralının adı. | string |
| protokol | Kural atlama protokolü. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Bu kural için kaynak IP adreslerinin veya aralıkların listesi. | string[] |
| sourceIpGroups | Bu kural için kaynak IpGroup'ların listesi. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Ad | Açıklama | Değer |
|---|---|---|
| kimlik | İmza kimliği. | string |
| mod | İmza durumu. | 'Uyarı' 'Reddet' 'Kapalı' |
FirewallPolicySku
| Ad | Açıklama | Değer |
|---|---|---|
| tier | Güvenlik Duvarı İlkesi katmanı. | 'Temel' 'Premium' 'Standart' |
FirewallPolicySnat
| Ad | Açıklama | Değer |
|---|---|---|
| autoLearnPrivateRanges | Özel aralıkları otomatik olarak öğrenmenin SNAT olmaması için işlem modu | 'Devre Dışı' 'Etkin' |
| privateRanges | SNAT olmayacak özel IP adreslerinin/IP adresi aralıklarının listesi. | string[] |
FirewallPolicySQL
| Ad | Açıklama | Değer |
|---|---|---|
| allowSqlRedirect | SQL Yeniden Yönlendirme trafik filtrelemenin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bayrağı açmak için 11000-11999 numaralı bağlantı noktasını kullanan bir kural gerekmez. | bool |
FirewallPolicyThreatIntelWhitelist
| Ad | Açıklama | Değer |
|---|---|---|
| fqdns | ThreatIntel İzin Verilenler Listesi için FQDN listesi. | string[] |
| ipAddresses | ThreatIntel İzin Verilenler Listesi için IP adreslerinin listesi. | string[] |
FirewallPolicyTransportSecurity
| Ad | Açıklama | Değer |
|---|---|---|
| certificateAuthority | Ara CA oluşturma için kullanılan CA. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Ad | Açıklama | Değer |
|---|---|---|
| keyVaultSecretId | KeyVault'ta depolanan gizli dizi kimliği (base-64 kodlanmamış şifrelenmemiş pfx) 'Secret' veya 'Certificate' nesnesi. | string |
| name | CA sertifikasının adı. | string |
Hızlı başlangıç şablonları
Aşağıdaki hızlı başlangıç şablonları bu kaynak türünü dağıtır.
| Şablon | Description |
|---|---|
| Azure Güvenlik Duvarı Merkez & Uç topolojisinde DNS Proxy'si olarak kullanma |
Bu örnekte, Azure Güvenlik Duvarı kullanarak Azure'da merkez-uç topolojisinin nasıl dağıtılacağı gösterilir. Merkez sanal ağı, sanal ağ eşlemesi aracılığıyla merkez sanal ağına bağlanan birçok uç sanal ağa merkezi bir bağlantı noktası işlevi görür. |
| Kurallar ve Ip Grupları ile Güvenlik Duvarı ve FirewallPolicy İçerik Oluşturucu |
Bu şablon, uygulama ve ağ kurallarında IP Gruplar başvuran Güvenlik Duvarı İlkesi (birden çok uygulama ve ağ kuralı dahil) içeren bir Azure Güvenlik Duvarı dağıtır. |
| Açık Ara Sunucu ile Güvenlik Duvarı, FirewallPolicy İçerik Oluşturucu |
Bu şablon, Açık Ara Sunucu ile FirewalllPolicy ve IpGroups ile Ağ Kuralları adlı bir Azure Güvenlik Duvarı oluşturur. Ayrıca Bir Linux Jumpbox vm kurulumu içerir |
| FirewallPolicy ve IpGroups ile Güvenlik Duvarı İçerik Oluşturucu |
Bu şablon, IpGroups ile Ağ Kurallarına başvuran FirewalllPolicy ile bir Azure Güvenlik Duvarı oluşturur. Ayrıca Bir Linux Jumpbox vm kurulumu içerir |
| Azure Güvenlik Duvarı Premium için test ortamı |
Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS incelemesi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur |
| Güvenlik Duvarı İlkesi ile korumalı alan kurulumu İçerik Oluşturucu |
Bu şablon, 3 alt ağı (sunucu alt ağı, sıçrama kutusu alt kümesi ve AzureFirewall alt ağı), genel IP'ye sahip bir sıçrama kutusu VM'sini, Sunucu Alt Ağı için Azure Güvenlik Duvarı işaret eden bir sunucu VM'sini, UDR yolunu ve 1 veya daha fazla Genel IP adresi içeren bir Azure Güvenlik Duvarı içeren bir sanal ağ oluşturur. Ayrıca 1 örnek uygulama kuralı, 1 örnek ağ kuralı ve varsayılan özel aralıklarla bir Güvenlik Duvarı ilkesi oluşturur |
| Güvenli sanal hub'lar |
Bu şablon, İnternet'i hedefleyen bulut ağ trafiğinizin güvenliğini sağlamak için Azure Güvenlik Duvarı kullanarak güvenli bir sanal merkez oluşturur. |
| Azure Sanal WAN Yönlendirme Amacı ve İlkeleri |
Bu şablon, Yönlendirme Amacı ve İlkeleri özelliğinin etkinleştirildiği iki hub ile bir Azure Sanal WAN sağlar. |
Terraform (AzAPI sağlayıcısı) kaynak tanımı
firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- Kaynak grupları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.Network/firewallPolicies kaynağı oluşturmak için şablonunuza aşağıdaki Terraform'u ekleyin.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-11-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Özellik değerleri
firewallİlkeler
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak türü | "Microsoft.Network/firewallPolicies@2023-11-01" |
| name | Kaynak adı | dize (gerekli) Karakter sınırı: 1-80 Geçerli karakterler: Alfasayısallar, alt çizgiler, nokta ve kısa çizgiler. Alfasayısal ile başlayın. Alfasayısal veya alt çizgi sonu. |
| location | Kaynak konumu. | string |
| parent_id | Bir kaynak grubuna dağıtmak için bu kaynak grubunun kimliğini kullanın. | dize (gerekli) |
| etiketler | Kaynak etiketleri. | Etiket adlarının ve değerlerinin sözlüğü. |
| identity | Güvenlik duvarı ilkesinin kimliği. | ManagedServiceIdentity |
| properties | Güvenlik duvarı ilkesinin özellikleri. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan bir kimlik kümesini içerir. 'Hiçbiri' türü, sanal makineden tüm kimlikleri kaldırır. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| identity_ids | Kaynakla ilişkili kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlüğü anahtarı başvuruları şu formda ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | Kullanıcı kimliği kimlikleri dizisi. |
ManagedServiceIdentityUserAssignedIdentities
| Ad | Açıklama | Değer |
|---|---|---|
| {özelleştirilmiş özellik} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Bu nesne dağıtım sırasında ayarlanacağı herhangi bir özellik içermez. Tüm özellikler Salt Okunur'dır.
FirewallPolicyPropertiesFormat
| Ad | Açıklama | Değer |
|---|---|---|
| basePolicy | Kuralların devralındığı üst güvenlik duvarı ilkesi. | Subresource |
| dnsSettings | DNS Proxy Ayarları tanımı. | DnsSettings |
| explicitProxy | Açık Ara Sunucu Ayarları tanımı. | ExplicitProxy |
| insights | Güvenlik Duvarı İlkesi İçgörüleri. | FirewallPolicyInsights |
| intrusionDetection | İzinsiz giriş algılama yapılandırması. | FirewallPolicyIntrusionDetection |
| Sku | Güvenlik Duvarı İlkesi SKU'su. | FirewallPolicySku |
| snat | Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. | FirewallPolicySnat |
| sql | SQL Ayarları tanımı. | FirewallPolicySQL |
| threatIntelMode | Tehdit Analizi için işlem modu. | "Uyarı" "Reddet" "Kapalı" |
| threatIntelWhitelist | Güvenlik Duvarı İlkesi için ThreatIntel İzin Verilenler Listesi. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS Yapılandırma tanımı. | FirewallPolicyTransportSecurity |
Subresource
| Ad | Açıklama | Değer |
|---|---|---|
| kimlik | Kaynak Kimliği. | string |
DnsSettings
| Ad | Açıklama | Değer |
|---|---|---|
| enableProxy | Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. | bool |
| requireProxyForNetworkRules | Ağ Kuralları'ndaki FQDN'ler true olarak ayarlandığında desteklenir. | bool |
| Sunucu | Özel DNS Sunucularının listesi. | string[] |
ExplicitProxy
| Ad | Açıklama | Değer |
|---|---|---|
| enableExplicitProxy | True olarak ayarlandığında, açık ara sunucu modu etkinleştirilir. | bool |
| enablePacFile | true olarak ayarlandığında pac dosyası bağlantı noktası ve URL'nin sağlanması gerekir. | bool |
| httpPort | Açık ara sunucu http protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
| httpsPort | Açık proxy https protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
| pacFile | PAC dosyası için SAS URL'si. | string |
| pacFilePort | GÜVENLIK duvarının PAC dosyasına hizmet vermek için bağlantı noktası numarası. | int Kısıtlama -ları: Min değer = 0 Maksimum değer = 64000 |
FirewallPolicyInsights
| Ad | Açıklama | Değer |
|---|---|---|
| ısenabled | İlkedeki içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. | bool |
| logAnalyticsResources | Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. | FirewallPolicyLogAnalyticsResources |
| retentionDays | İlkedeki içgörülerin etkinleştirilmesi gereken gün sayısı. | int |
FirewallPolicyLogAnalyticsResources
| Ad | Açıklama | Değer |
|---|---|---|
| defaultWorkspaceId | Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. | Subresource |
| çalışma alanı | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Ad | Açıklama | Değer |
|---|---|---|
| region | Çalışma Alanını yapılandırmak için bölge. | string |
| workspaceId | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. | Subresource |
FirewallPolicyIntrusionDetection
| Ad | Açıklama | Değer |
|---|---|---|
| yapılandırma | İzinsiz giriş algılama yapılandırma özellikleri. | FirewallPolicyIntrusionDetectionConfiguration |
| mod | İzinsiz giriş algılama genel durumu. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin IDPS modu ikisinin daha katı modudur. | "Uyarı" "Reddet" "Kapalı" |
| profil | IDPS profil adı. Bir üst ilkeye eklendiğinde, güvenlik duvarının geçerli profili üst ilkenin profil adıdır. | "Gelişmiş" "Temel" "Genişletilmiş" "Standart" |
FirewallPolicyIntrusionDetectionConfiguration
| Ad | Açıklama | Değer |
|---|---|---|
| bypassTrafficSettings | Atlayacak trafik kurallarının listesi. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | IDPS Özel IP adresi aralıkları trafik yönünü (gelen, giden vb.) tanımlamak için kullanılır. Varsayılan olarak, yalnızca IANA RFC 1918 tarafından tanımlanan aralıklar özel IP adresleri olarak kabul edilir. Varsayılan aralıkları değiştirmek için Özel IP adresi aralıklarınızı bu özellik ile belirtin | dize[] |
| signatureOverrides | Belirli imza durumlarının listesi. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Ad | Açıklama | Değer |
|---|---|---|
| açıklama | Atlama trafiği kuralının açıklaması. | string |
| destinationAddresses | Bu kural için hedef IP adreslerinin veya aralıklarının listesi. | dize[] |
| destinationIpGroups | Bu kural için hedef IpGroup'ların listesi. | dize[] |
| destinationPorts | Hedef bağlantı noktalarının veya aralıkların listesi. | dize[] |
| name | Atlama trafiği kuralının adı. | string |
| protokol | Kural atlama protokolü. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Bu kural için kaynak IP adreslerinin veya aralıklarının listesi. | dize[] |
| sourceIpGroups | Bu kural için kaynak IpGroup'ların listesi. | dize[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Ad | Açıklama | Değer |
|---|---|---|
| kimlik | İmza kimliği. | string |
| mod | İmza durumu. | "Uyarı" "Reddet" "Kapalı" |
FirewallPolicySku
| Ad | Açıklama | Değer |
|---|---|---|
| tier | Güvenlik Duvarı İlkesi katmanı. | "Temel" "Premium" "Standart" |
FirewallPolicySnat
| Ad | Açıklama | Değer |
|---|---|---|
| autoLearnPrivateRanges | Özel aralıkları otomatik olarak öğrenmenin SNAT olmaması için işlem modu | "Devre dışı" "Etkin" |
| privateRanges | SNAT olmaması için özel IP adreslerinin/IP adresi aralıklarının listesi. | dize[] |
FirewallPolicySQL
| Ad | Açıklama | Değer |
|---|---|---|
| allowSqlRedirect | SQL Yeniden Yönlendirme trafik filtrelemenin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bayrağı açmak için 11000-11999 numaralı bağlantı noktasını kullanan bir kural gerekmez. | bool |
FirewallPolicyThreatIntelWhitelist
| Ad | Açıklama | Değer |
|---|---|---|
| fqdns | ThreatIntel allowlist için FQDN'lerin listesi. | dize[] |
| ipAddresses | ThreatIntel İzin Listesi için IP adreslerinin listesi. | dize[] |
FirewallPolicyTransportSecurity
| Ad | Açıklama | Değer |
|---|---|---|
| certificateAuthority | Ara CA oluşturma için kullanılan CA. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Ad | Açıklama | Değer |
|---|---|---|
| keyVaultSecretId | KeyVault'ta depolanan 'Secret' veya 'Certificate' nesnesinin Gizli Dizi Kimliği (base-64 kodlanmış şifrelenmemiş pfx). | string |
| name | CA sertifikasının adı. | string |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin