你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft。网络 azureFirewalls 2021-02-01
Bicep 资源定义
azureFirewalls 资源类型可以部署到:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
创建Microsoft。网络/azureFirewalls 资源,将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Network/azureFirewalls@2021-02-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
additionalProperties: {}
applicationRuleCollections: [
{
id: 'string'
name: 'string'
properties: {
action: {
type: 'string'
}
priority: int
rules: [
{
description: 'string'
fqdnTags: [
'string'
]
name: 'string'
protocols: [
{
port: int
protocolType: 'string'
}
]
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
targetFqdns: [
'string'
]
}
]
}
}
]
firewallPolicy: {
id: 'string'
}
hubIPAddresses: {
privateIPAddress: 'string'
publicIPs: {
addresses: [
{
address: 'string'
}
]
count: int
}
}
ipConfigurations: [
{
id: 'string'
name: 'string'
properties: {
publicIPAddress: {
id: 'string'
}
subnet: {
id: 'string'
}
}
}
]
managementIpConfiguration: {
id: 'string'
name: 'string'
properties: {
publicIPAddress: {
id: 'string'
}
subnet: {
id: 'string'
}
}
}
natRuleCollections: [
{
id: 'string'
name: 'string'
properties: {
action: {
type: 'string'
}
priority: int
rules: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocols: [
'string'
]
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
translatedAddress: 'string'
translatedFqdn: 'string'
translatedPort: 'string'
}
]
}
}
]
networkRuleCollections: [
{
id: 'string'
name: 'string'
properties: {
action: {
type: 'string'
}
priority: int
rules: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationFqdns: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocols: [
'string'
]
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
}
}
]
sku: {
name: 'string'
tier: 'string'
}
threatIntelMode: 'string'
virtualHub: {
id: 'string'
}
}
zones: [
'string'
]
}
属性值
azureFirewalls
| 名称 | 说明 | 值 |
|---|---|---|
| name | 资源名称 | 字符串 (必需) 字符限制:1-80 有效字符: 字母数字、下划线字符、句点和连字符。 以字母数字开头。 以字母数字或下划线结尾。 |
| location | 资源位置。 | 字符串 |
| 标记 | 资源标记。 | 标记名称和值的字典。 请参阅 模板中的标记 |
| properties | Azure 防火墙的属性。 | AzureFirewallPropertiesFormat |
| zones | 表示资源需要来自的可用性区域列表。 | string[] |
AzureFirewallPropertiesFormat
| 名称 | 说明 | 值 |
|---|---|---|
| additionalProperties | 用于进一步配置此 Azure 防火墙的其他属性。 | 对象 |
| applicationRuleCollections | Azure 防火墙使用的应用程序规则集合的集合。 | AzureFirewallApplicationRuleCollection[] |
| firewallPolicy | 与此 Azure 防火墙关联的 firewallPolicy。 | SubResource |
| hubIPAddresses | 与 AzureFirewall 关联的 IP 地址。 | HubIPAddresses |
| ipConfigurations | Azure 防火墙资源的 IP 配置。 | AzureFirewallIPConfiguration[] |
| managementIpConfiguration | 用于管理流量的Azure 防火墙的 IP 配置。 | AzureFirewallIPConfiguration |
| natRuleCollections | Azure 防火墙使用的 NAT 规则集合的集合。 | AzureFirewallNatRuleCollection[] |
| networkRuleCollections | Azure 防火墙使用的网络规则集合的集合。 | AzureFirewallNetworkRuleCollection[] |
| sku | Azure 防火墙资源 SKU。 | AzureFirewallSku |
| threatIntelMode | 威胁智能的操作模式。 | “警报” “拒绝” “Off” |
| virtualHub | 防火墙所属的 virtualHub。 | SubResource |
AzureFirewallApplicationRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙应用程序规则集合的属性。 | AzureFirewallApplicationRuleCollectionPropertiesForm... |
AzureFirewallApplicationRuleCollectionPropertiesForm...
| 名称 | 说明 | Value |
|---|---|---|
| action | 规则集合的操作类型。 | AzureFirewallRCAction |
| priority | 应用程序规则集合资源的优先级。 | int |
| 规则 | 应用程序规则集合使用的规则集合。 | AzureFirewallApplicationRule[] |
AzureFirewallRCAction
| 名称 | 说明 | Value |
|---|---|---|
| type | 操作的类型。 | “允许” “拒绝” |
AzureFirewallApplicationRule
| 名称 | 说明 | 值 |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| fqdnTags | 此规则的 FQDN 标记列表。 | string[] |
| name | 应用程序规则的名称。 | 字符串 |
| protocols | ApplicationRuleProtocols 的数组。 | AzureFirewallApplicationRuleProtocol[] |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
| targetFqdns | 此规则的 FQDN 列表。 | string[] |
AzureFirewallApplicationRuleProtocol
| 名称 | 说明 | 值 |
|---|---|---|
| port | 协议的端口号不能大于 64000。 此字段可选。 | int |
| protocolType | 协议类型。 | “Http” “Https” “Mssql” |
SubResource
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
HubIPAddresses
| 名称 | 说明 | 值 |
|---|---|---|
| privateIPAddress | 与 Azure 防火墙关联的专用 IP 地址。 | 字符串 |
| publicIPs | 与 Azure 防火墙关联的公共 IP 地址。 | HubPublicIPAddresses |
HubPublicIPAddresses
| 名称 | 说明 | 值 |
|---|---|---|
| 地址 | 与 Azure 防火墙关联的公共 IP 地址列表或要保留的 IP 地址。 | AzureFirewallPublicIPAddress[] |
| count | 与 Azure 防火墙关联的公共 IP 地址数。 | int |
AzureFirewallPublicIPAddress
| 名称 | 说明 | 值 |
|---|---|---|
| address | 公共 IP 地址值。 | 字符串 |
AzureFirewallIPConfiguration
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | 资源组中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙 IP 配置的属性。 | AzureFirewallIPConfigurationPropertiesFormat |
AzureFirewallIPConfigurationPropertiesFormat
| 名称 | 说明 | 值 |
|---|---|---|
| publicIPAddress | 对 PublicIP 资源的引用。 如果子网不为 null,则此字段是必填输入。 | SubResource |
| 子网 | 对子网资源的引用。 此资源必须命名为“AzureFirewallSubnet”或“AzureFirewallManagementSubnet”。 | SubResource |
AzureFirewallNatRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙 NAT 规则集合的属性。 | AzureFirewallNatRuleCollectionProperties |
AzureFirewallNatRuleCollectionProperties
| 名称 | 说明 | 值 |
|---|---|---|
| action | NAT 规则集合的操作类型。 | AzureFirewallNatRCAction |
| priority | NAT 规则集合资源的优先级。 | int |
| 规则 | NAT 规则集合使用的规则集合。 | AzureFirewallNatRule[] |
AzureFirewallNatRCAction
| 名称 | 说明 | Value |
|---|---|---|
| type | 操作的类型。 | “Dnat” 'Snat' |
AzureFirewallNatRule
| 名称 | 说明 | 值 |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| destinationAddresses | 此规则的目标 IP 地址列表。 支持 IP 范围、前缀和服务标记。 | string[] |
| destinationPorts | 目标端口列表。 | string[] |
| name | NAT 规则的名称。 | 字符串 |
| protocols | 适用于此 NAT 规则的 AzureFirewallNetworkRuleProtocols 数组。 | 包含任意项的字符串数组: “Any” “ICMP” “TCP” “UDP” |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
| translatedAddress | 此 NAT 规则的已转换地址。 | 字符串 |
| translatedFqdn | 此 NAT 规则的已转换 FQDN。 | 字符串 |
| translatedPort | 此 NAT 规则的已转换端口。 | 字符串 |
AzureFirewallNetworkRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙网络规则集合的属性。 | AzureFirewallNetworkRuleCollectionPropertiesFormat |
AzureFirewallNetworkRuleCollectionPropertiesFormat
| 名称 | 说明 | Value |
|---|---|---|
| action | 规则集合的操作类型。 | AzureFirewallRCAction |
| priority | 网络规则集合资源的优先级。 | int |
| 规则 | 网络规则集合使用的规则集合。 | AzureFirewallNetworkRule[] |
AzureFirewallNetworkRule
| 名称 | 说明 | 值 |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| destinationAddresses | 目标 IP 地址列表。 | string[] |
| destinationFqdns | 目标 FQDN 列表。 | string[] |
| destinationIpGroups | 此规则的目标 IpGroup 列表。 | string[] |
| destinationPorts | 目标端口列表。 | string[] |
| name | 网络规则的名称。 | 字符串 |
| protocols | AzureFirewallNetworkRuleProtocols 数组。 | 包含任何一项的字符串数组: “Any” 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
AzureFirewallSku
| 名称 | 说明 | 值 |
|---|---|---|
| name | Azure 防火墙 SKU 的名称。 | “AZFW_Hub” “AZFW_VNet” |
| 层 | Azure 防火墙的层。 | “Premium” 'Standard' |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 说明 |
|---|---|
将 Azure 防火墙 用作中心&辐射型拓扑中的 DNS 代理 |
此示例演示如何使用 Azure 防火墙 在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多分支虚拟网络的中心点。 |
| 创建使用规则和 Ipgroups 的防火墙和防火墙策略 |
此模板使用防火墙策略部署Azure 防火墙 (包括多个应用程序和网络规则) 引用应用程序和网络规则中的 IP 组。 |
| 使用显式代理创建防火墙 FirewallPolicy |
此模板创建Azure 防火墙 FirewalllPolicy with Explicit Proxy 和 Network Rules with IpGroups。 此外,还包括 Linux Jumpbox vm 设置 |
| 使用 FirewallPolicy 和 IpGroups 创建防火墙 |
此模板创建一个Azure 防火墙,其中 FirewalllPolicy 引用了 IpGroups 的网络规则。 此外,还包括 Linux Jumpbox vm 设置 |
| 创建使用 IpGroups 的 Azure 防火墙 |
此模板使用引用 IP 组的应用程序和网络规则创建Azure 防火墙。 此外,还包括 Linux Jumpbox vm 设置 |
| 创建具有可用性区域的 Azure 防火墙 |
此模板在虚拟网络中创建包含可用性区域和任意数量的公共 IP 的Azure 防火墙,并设置 1 个示例应用程序规则和 1 个示例网络规则 |
| 使用强制隧道创建Azure 防火墙沙盒 |
此模板 (Linux) 创建一个Azure 防火墙沙盒,其中一个防火墙强制通过对等互连 VNET 中的另一个防火墙 |
| Azure 防火墙 Premium 的测试环境 |
此模板创建具有高级功能的 Azure 防火墙 Premium 和防火墙策略,例如入侵检查检测 (IDPS) 、TLS 检查和 Web 类别筛选 |
| 使用 Linux VM 创建Azure 防火墙的沙盒设置 |
此模板创建一个虚拟网络,其中包含 3 个子网 (服务器子网、jumpbox 子集和 AzureFirewall 子网) 、一个具有公共 IP 的 jumpbox VM、一个服务器 VM、用于指向服务器子网Azure 防火墙的 UDR 路由,以及一个具有 1 个或多个公共 IP 地址、1 个示例应用程序规则、1 个示例网络规则和默认专用范围的Azure 防火墙 |
| 使用防火墙策略创建沙盒设置 |
此模板创建包含 3 个子网的虚拟网络, (服务器子网、jumpbox 子集和 AzureFirewall 子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、指向服务器子网Azure 防火墙的 UDR 路由,以及具有 1 个或多个公共 IP 地址的Azure 防火墙。 还创建包含 1 个示例应用程序规则、1 个示例网络规则和默认专用范围的防火墙策略 |
| 创建具有区域的 Azure 防火墙的沙盒设置 |
此模板创建一个虚拟网络,其中包含三个子网 (服务器子网、jumpbox 子网和Azure 防火墙子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、指向 ServerSubnet Azure 防火墙的 UDR 路由、具有一个或多个公共 IP 地址的Azure 防火墙、一个示例应用程序规则和一个示例网络规则和Azure 防火墙可用性区域 1、2 和 3。 |
| 创建具有多个 IP 公共地址的 Azure 防火墙 |
此模板创建一个Azure 防火墙,其中包含两个公共 IP 地址和两个要测试的 Windows Server 2019 服务器。 |
| 安全虚拟中心 |
此模板使用 Azure 防火墙 创建安全的虚拟中心,以保护发往 Internet 的云网络流量。 |
ARM 模板资源定义
azureFirewalls 资源类型可以部署到:
- 资源组 - 请参阅 资源组部署命令
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
创建Microsoft。网络/azureFirewalls 资源,将以下 JSON 添加到模板。
{
"type": "Microsoft.Network/azureFirewalls",
"apiVersion": "2021-02-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"additionalProperties": {},
"applicationRuleCollections": [
{
"id": "string",
"name": "string",
"properties": {
"action": {
"type": "string"
},
"priority": "int",
"rules": [
{
"description": "string",
"fqdnTags": [ "string" ],
"name": "string",
"protocols": [
{
"port": "int",
"protocolType": "string"
}
],
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ],
"targetFqdns": [ "string" ]
}
]
}
}
],
"firewallPolicy": {
"id": "string"
},
"hubIPAddresses": {
"privateIPAddress": "string",
"publicIPs": {
"addresses": [
{
"address": "string"
}
],
"count": "int"
}
},
"ipConfigurations": [
{
"id": "string",
"name": "string",
"properties": {
"publicIPAddress": {
"id": "string"
},
"subnet": {
"id": "string"
}
}
}
],
"managementIpConfiguration": {
"id": "string",
"name": "string",
"properties": {
"publicIPAddress": {
"id": "string"
},
"subnet": {
"id": "string"
}
}
},
"natRuleCollections": [
{
"id": "string",
"name": "string",
"properties": {
"action": {
"type": "string"
},
"priority": "int",
"rules": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocols": [ "string" ],
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ],
"translatedAddress": "string",
"translatedFqdn": "string",
"translatedPort": "string"
}
]
}
}
],
"networkRuleCollections": [
{
"id": "string",
"name": "string",
"properties": {
"action": {
"type": "string"
},
"priority": "int",
"rules": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationFqdns": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocols": [ "string" ],
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
]
}
}
],
"sku": {
"name": "string",
"tier": "string"
},
"threatIntelMode": "string",
"virtualHub": {
"id": "string"
}
},
"zones": [ "string" ]
}
属性值
azureFirewalls
| 名称 | 说明 | Value |
|---|---|---|
| type | 资源类型 | “Microsoft。Network/azureFirewalls' |
| apiVersion | 资源 API 版本 | '2021-02-01' |
| name | 资源名称 | 字符串 (必需) 字符限制:1-80 有效字符: 字母数字、下划线字符、句点和连字符。 以字母数字开头。 以字母数字或下划线结尾。 |
| location | 资源位置。 | 字符串 |
| 标记 | 资源标记。 | 标记名称和值的字典。 请参阅 模板中的标记 |
| properties | Azure 防火墙的属性。 | AzureFirewallPropertiesFormat |
| zones | 表示资源需要来自的可用性区域列表。 | string[] |
AzureFirewallPropertiesFormat
| 名称 | 说明 | 值 |
|---|---|---|
| additionalProperties | 用于进一步配置此 Azure 防火墙的其他属性。 | 对象 |
| applicationRuleCollections | Azure 防火墙使用的应用程序规则集合的集合。 | AzureFirewallApplicationRuleCollection[] |
| firewallPolicy | 与此 Azure 防火墙关联的 firewallPolicy。 | SubResource |
| hubIPAddresses | 与 AzureFirewall 关联的 IP 地址。 | HubIPAddresses |
| ipConfigurations | Azure 防火墙资源的 IP 配置。 | AzureFirewallIPConfiguration[] |
| managementIpConfiguration | 用于管理流量的Azure 防火墙的 IP 配置。 | AzureFirewallIPConfiguration |
| natRuleCollections | Azure 防火墙使用的 NAT 规则集合的集合。 | AzureFirewallNatRuleCollection[] |
| networkRuleCollections | Azure 防火墙使用的网络规则集合的集合。 | AzureFirewallNetworkRuleCollection[] |
| sku | Azure 防火墙资源 SKU。 | AzureFirewallSku |
| threatIntelMode | 威胁智能的操作模式。 | “警报” “拒绝” “Off” |
| virtualHub | 防火墙所属的 virtualHub。 | SubResource |
AzureFirewallApplicationRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙应用程序规则集合的属性。 | AzureFirewallApplicationRuleCollectionPropertiesForm... |
AzureFirewallApplicationRuleCollectionPropertiesForm...
| 名称 | 说明 | 值 |
|---|---|---|
| action | 规则集合的操作类型。 | AzureFirewallRCAction |
| priority | 应用程序规则集合资源的优先级。 | int |
| 规则 | 应用程序规则集合使用的规则集合。 | AzureFirewallApplicationRule[] |
AzureFirewallRCAction
| 名称 | 说明 | Value |
|---|---|---|
| type | 操作的类型。 | “允许” “拒绝” |
AzureFirewallApplicationRule
| 名称 | 说明 | Value |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| fqdnTags | 此规则的 FQDN 标记列表。 | string[] |
| name | 应用程序规则的名称。 | 字符串 |
| protocols | ApplicationRuleProtocols 的数组。 | AzureFirewallApplicationRuleProtocol[] |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
| targetFqdns | 此规则的 FQDN 列表。 | string[] |
AzureFirewallApplicationRuleProtocol
| 名称 | 说明 | 值 |
|---|---|---|
| port | 协议的端口号不能大于 64000。 此字段可选。 | int |
| protocolType | 协议类型。 | 'Http' 'Https' 'Mssql' |
SubResource
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
HubIPAddresses
| 名称 | 说明 | 值 |
|---|---|---|
| privateIPAddress | 与 Azure 防火墙关联的专用 IP 地址。 | 字符串 |
| publicIPs | 与 Azure 防火墙关联的公共 IP 地址。 | HubPublicIPAddresses |
HubPublicIPAddresses
| 名称 | 说明 | 值 |
|---|---|---|
| 地址 | 与 Azure 防火墙关联的公共 IP 地址列表或要保留的 IP 地址。 | AzureFirewallPublicIPAddress[] |
| count | 与 Azure 防火墙关联的公共 IP 地址数。 | int |
AzureFirewallPublicIPAddress
| 名称 | 说明 | 值 |
|---|---|---|
| address | 公共 IP 地址值。 | 字符串 |
AzureFirewallIPConfiguration
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | 资源组中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙 IP 配置的属性。 | AzureFirewallIPConfigurationPropertiesFormat |
AzureFirewallIPConfigurationPropertiesFormat
| 名称 | 说明 | 值 |
|---|---|---|
| publicIPAddress | 对 PublicIP 资源的引用。 如果子网不为 null,则此字段是必需的输入。 | SubResource |
| 子网 | 对子网资源的引用。 此资源必须命名为“AzureFirewallSubnet”或“AzureFirewallManagementSubnet”。 | SubResource |
AzureFirewallNatRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | 在 Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙 NAT 规则集合的属性。 | AzureFirewallNatRuleCollectionProperties |
AzureFirewallNatRuleCollectionProperties
| 名称 | 说明 | 值 |
|---|---|---|
| action | NAT 规则集合的操作类型。 | AzureFirewallNatRCAction |
| priority | NAT 规则集合资源的优先级。 | int |
| 规则 | NAT 规则集合使用的规则集合。 | AzureFirewallNatRule[] |
AzureFirewallNatRCAction
| 名称 | 说明 | Value |
|---|---|---|
| type | 操作的类型。 | “Dnat” 'Snat' |
AzureFirewallNatRule
| 名称 | 说明 | 值 |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| destinationAddresses | 此规则的目标 IP 地址列表。 支持 IP 范围、前缀和服务标记。 | string[] |
| destinationPorts | 目标端口列表。 | string[] |
| name | NAT 规则的名称。 | 字符串 |
| protocols | 适用于此 NAT 规则的 AzureFirewallNetworkRuleProtocols 数组。 | 包含任何一项的字符串数组: “Any” 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
| translatedAddress | 此 NAT 规则的已转换地址。 | 字符串 |
| translatedFqdn | 此 NAT 规则的已转换 FQDN。 | 字符串 |
| translatedPort | 此 NAT 规则的已转换端口。 | 字符串 |
AzureFirewallNetworkRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | 在 Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙网络规则集合的属性。 | AzureFirewallNetworkRuleCollectionPropertiesFormat |
AzureFirewallNetworkRuleCollectionPropertiesFormat
| 名称 | 说明 | 值 |
|---|---|---|
| action | 规则集合的操作类型。 | AzureFirewallRCAction |
| priority | 网络规则集合资源的优先级。 | int |
| 规则 | 网络规则集合使用的规则集合。 | AzureFirewallNetworkRule[] |
AzureFirewallNetworkRule
| 名称 | 说明 | 值 |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| destinationAddresses | 目标 IP 地址列表。 | string[] |
| destinationFqdns | 目标 FQDN 列表。 | string[] |
| destinationIpGroups | 此规则的目标 IpGroup 列表。 | string[] |
| destinationPorts | 目标端口列表。 | string[] |
| name | 网络规则的名称。 | 字符串 |
| protocols | AzureFirewallNetworkRuleProtocols 数组。 | 包含任何一项的字符串数组: “Any” 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
AzureFirewallSku
| 名称 | 说明 | Value |
|---|---|---|
| name | Azure 防火墙 SKU 的名称。 | “AZFW_Hub” “AZFW_VNet” |
| 层 | Azure 防火墙的层。 | “Premium” 'Standard' |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 说明 |
|---|---|
| 将 Azure 防火墙 用作中心&辐射型拓扑中的 DNS 代理 |
此示例演示如何使用 Azure 防火墙 在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多分支虚拟网络的中心点。 |
| 创建使用规则和 Ipgroups 的防火墙和防火墙策略 |
此模板使用防火墙策略部署Azure 防火墙 (包括多个应用程序和网络规则) 引用应用程序和网络规则中的 IP 组。 |
| 使用显式代理创建防火墙 FirewallPolicy |
此模板创建Azure 防火墙 FirewalllPolicy with Explicit Proxy 和 Network Rules with IpGroups。 此外,还包括 Linux Jumpbox vm 设置 |
| 使用 FirewallPolicy 和 IpGroups 创建防火墙 |
此模板创建一个Azure 防火墙,其中 FirewalllPolicy 引用了 IpGroups 的网络规则。 此外,还包括 Linux Jumpbox vm 设置 |
| 创建使用 IpGroups 的 Azure 防火墙 |
此模板使用引用 IP 组的应用程序和网络规则创建Azure 防火墙。 此外,还包括 Linux Jumpbox vm 设置 |
| 创建具有可用性区域的 Azure 防火墙 |
此模板在虚拟网络中创建包含可用性区域和任意数量的公共 IP 的Azure 防火墙,并设置 1 个示例应用程序规则和 1 个示例网络规则 |
| 使用强制隧道创建Azure 防火墙沙盒 |
此模板 (Linux) 创建一个Azure 防火墙沙盒,其中一个防火墙强制通过对等互连 VNET 中的另一个防火墙 |
| Azure 防火墙 Premium 的测试环境 |
此模板创建具有高级功能的Azure 防火墙高级和防火墙策略,例如入侵检查 (IDPS) 、TLS 检查和 Web 类别筛选 |
| 使用 Linux VM 创建Azure 防火墙的沙盒设置 |
此模板创建包含 3 个子网的虚拟网络, (服务器子网、jumpbox 子集和 AzureFirewall 子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、UDR 路由以指向服务器子网的Azure 防火墙,以及具有 1 个或更多个公共 IP 地址、1 个示例应用程序规则、1 个示例网络规则和默认专用范围的Azure 防火墙 |
| 使用防火墙策略创建沙盒设置 |
此模板创建包含 3 个子网的虚拟网络, (服务器子网、jumpbox 子集和 AzureFirewall 子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、指向服务器子网Azure 防火墙的 UDR 路由,以及具有 1 个或多个公共 IP 地址的Azure 防火墙。 还创建包含 1 个示例应用程序规则、1 个示例网络规则和默认专用范围的防火墙策略 |
| 创建具有区域的 Azure 防火墙的沙盒设置 |
此模板创建一个虚拟网络,其中包含三个子网 (服务器子网、jumpbox 子网和Azure 防火墙子网) 、具有公共 IP 的 jumpbox VM、服务器 VM、指向 ServerSubnet Azure 防火墙的 UDR 路由、具有一个或多个公共 IP 地址的Azure 防火墙、一个示例应用程序规则和一个示例网络规则和Azure 防火墙可用性区域 1、2 和 3。 |
| 创建具有多个 IP 公共地址的 Azure 防火墙 |
此模板创建一个Azure 防火墙,其中包含两个公共 IP 地址和两个要测试的 Windows Server 2019 服务器。 |
| 安全虚拟中心 |
此模板使用 Azure 防火墙 创建安全的虚拟中心,以保护发往 Internet 的云网络流量。 |
Terraform (AzAPI 提供程序) 资源定义
azureFirewalls 资源类型可以部署到:
- 资源组
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
创建Microsoft。网络/azureFirewalls 资源,将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/azureFirewalls@2021-02-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
additionalProperties = {}
applicationRuleCollections = [
{
id = "string"
name = "string"
properties = {
action = {
type = "string"
}
priority = int
rules = [
{
description = "string"
fqdnTags = [
"string"
]
name = "string"
protocols = [
{
port = int
protocolType = "string"
}
]
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
targetFqdns = [
"string"
]
}
]
}
}
]
firewallPolicy = {
id = "string"
}
hubIPAddresses = {
privateIPAddress = "string"
publicIPs = {
addresses = [
{
address = "string"
}
]
count = int
}
}
ipConfigurations = [
{
id = "string"
name = "string"
properties = {
publicIPAddress = {
id = "string"
}
subnet = {
id = "string"
}
}
}
]
managementIpConfiguration = {
id = "string"
name = "string"
properties = {
publicIPAddress = {
id = "string"
}
subnet = {
id = "string"
}
}
}
natRuleCollections = [
{
id = "string"
name = "string"
properties = {
action = {
type = "string"
}
priority = int
rules = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocols = [
"string"
]
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
translatedAddress = "string"
translatedFqdn = "string"
translatedPort = "string"
}
]
}
}
]
networkRuleCollections = [
{
id = "string"
name = "string"
properties = {
action = {
type = "string"
}
priority = int
rules = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationFqdns = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocols = [
"string"
]
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
}
}
]
sku = {
name = "string"
tier = "string"
}
threatIntelMode = "string"
virtualHub = {
id = "string"
}
}
zones = [
"string"
]
})
}
属性值
azureFirewalls
| 名称 | 说明 | Value |
|---|---|---|
| type | 资源类型 | “Microsoft。Network/azureFirewalls@2021-02-01” |
| name | 资源名称 | 字符串 (必需) 字符限制:1-80 有效字符: 字母数字、下划线字符、句点和连字符。 以字母数字开头。 以字母数字或下划线结尾。 |
| location | 资源位置。 | 字符串 |
| parent_id | 若要部署到资源组,请使用该资源组的 ID。 | 字符串 (必需) |
| 标记 | 资源标记。 | 标记名称和值的字典。 |
| properties | Azure 防火墙的属性。 | AzureFirewallPropertiesFormat |
| zones | 表示资源需要来自的可用性区域列表。 | string[] |
AzureFirewallPropertiesFormat
| 名称 | 说明 | 值 |
|---|---|---|
| additionalProperties | 用于进一步配置此 Azure 防火墙的其他属性。 | 对象 |
| applicationRuleCollections | Azure 防火墙使用的应用程序规则集合的集合。 | AzureFirewallApplicationRuleCollection[] |
| firewallPolicy | 与此 Azure 防火墙关联的 firewallPolicy。 | SubResource |
| hubIPAddresses | 与 AzureFirewall 关联的 IP 地址。 | HubIPAddresses |
| ipConfigurations | Azure 防火墙资源的 IP 配置。 | AzureFirewallIPConfiguration[] |
| managementIpConfiguration | 用于管理流量的Azure 防火墙的 IP 配置。 | AzureFirewallIPConfiguration |
| natRuleCollections | Azure 防火墙使用的 NAT 规则集合的集合。 | AzureFirewallNatRuleCollection[] |
| networkRuleCollections | Azure 防火墙使用的网络规则集合的集合。 | AzureFirewallNetworkRuleCollection[] |
| sku | Azure 防火墙资源 SKU。 | AzureFirewallSku |
| threatIntelMode | 威胁智能的操作模式。 | “警报” “拒绝” "Off" |
| virtualHub | 防火墙所属的 virtualHub。 | SubResource |
AzureFirewallApplicationRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | 在 Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙应用程序规则集合的属性。 | AzureFirewallApplicationRuleCollectionPropertiesForm... |
AzureFirewallApplicationRuleCollectionPropertiesForm...
| 名称 | 说明 | Value |
|---|---|---|
| action | 规则集合的操作类型。 | AzureFirewallRCAction |
| priority | 应用程序规则集合资源的优先级。 | int |
| 规则 | 应用程序规则集合使用的规则集合。 | AzureFirewallApplicationRule[] |
AzureFirewallRCAction
| 名称 | 说明 | Value |
|---|---|---|
| type | 操作的类型。 | “允许” “拒绝” |
AzureFirewallApplicationRule
| 名称 | 说明 | 值 |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| fqdnTags | 此规则的 FQDN 标记列表。 | string[] |
| name | 应用程序规则的名称。 | 字符串 |
| protocols | ApplicationRuleProtocols 的数组。 | AzureFirewallApplicationRuleProtocol[] |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
| targetFqdns | 此规则的 FQDN 列表。 | string[] |
AzureFirewallApplicationRuleProtocol
| 名称 | 说明 | 值 |
|---|---|---|
| port | 协议的端口号不能大于 64000。 此字段可选。 | int |
| protocolType | 协议类型。 | “Http” “Https” “Mssql” |
SubResource
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
HubIPAddresses
| 名称 | 说明 | 值 |
|---|---|---|
| privateIPAddress | 与 Azure 防火墙关联的专用 IP 地址。 | 字符串 |
| publicIPs | 与 Azure 防火墙关联的公共 IP 地址。 | HubPublicIPAddresses |
HubPublicIPAddresses
| 名称 | 说明 | 值 |
|---|---|---|
| 地址 | 与 Azure 防火墙关联的公共 IP 地址列表或要保留的 IP 地址。 | AzureFirewallPublicIPAddress[] |
| count | 与 Azure 防火墙关联的公共 IP 地址数。 | int |
AzureFirewallPublicIPAddress
| 名称 | 说明 | 值 |
|---|---|---|
| address | 公共 IP 地址值。 | 字符串 |
AzureFirewallIPConfiguration
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | 资源组中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙 IP 配置的属性。 | AzureFirewallIPConfigurationPropertiesFormat |
AzureFirewallIPConfigurationPropertiesFormat
| 名称 | 说明 | 值 |
|---|---|---|
| publicIPAddress | 对 PublicIP 资源的引用。 如果子网不为 null,则此字段是必填输入。 | SubResource |
| 子网 | 对子网资源的引用。 此资源必须命名为“AzureFirewallSubnet”或“AzureFirewallManagementSubnet”。 | SubResource |
AzureFirewallNatRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙 NAT 规则集合的属性。 | AzureFirewallNatRuleCollectionProperties |
AzureFirewallNatRuleCollectionProperties
| 名称 | 说明 | Value |
|---|---|---|
| action | NAT 规则集合的操作类型。 | AzureFirewallNatRCAction |
| priority | NAT 规则集合资源的优先级。 | int |
| 规则 | NAT 规则集合使用的规则集合。 | AzureFirewallNatRule[] |
AzureFirewallNatRCAction
| 名称 | 说明 | Value |
|---|---|---|
| type | 操作的类型。 | “Dnat” “Snat” |
AzureFirewallNatRule
| 名称 | 说明 | 值 |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| destinationAddresses | 此规则的目标 IP 地址列表。 支持 IP 范围、前缀和服务标记。 | string[] |
| destinationPorts | 目标端口列表。 | string[] |
| name | NAT 规则的名称。 | 字符串 |
| protocols | 适用于此 NAT 规则的 AzureFirewallNetworkRuleProtocols 数组。 | 包含任意项的字符串数组: “Any” “ICMP” “TCP” “UDP” |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
| translatedAddress | 此 NAT 规则的已转换地址。 | 字符串 |
| translatedFqdn | 此 NAT 规则的已转换 FQDN。 | 字符串 |
| translatedPort | 此 NAT 规则的已转换端口。 | 字符串 |
AzureFirewallNetworkRuleCollection
| 名称 | 说明 | Value |
|---|---|---|
| id | 资源 ID。 | 字符串 |
| name | 在 Azure 防火墙中唯一的资源的名称。 此名称可用于访问资源。 | string |
| properties | Azure 防火墙网络规则集合的属性。 | AzureFirewallNetworkRuleCollectionPropertiesFormat |
AzureFirewallNetworkRuleCollectionPropertiesFormat
| 名称 | 说明 | Value |
|---|---|---|
| action | 规则集合的操作类型。 | AzureFirewallRCAction |
| priority | 网络规则集合资源的优先级。 | int |
| 规则 | 网络规则集合使用的规则集合。 | AzureFirewallNetworkRule[] |
AzureFirewallNetworkRule
| 名称 | 说明 | 值 |
|---|---|---|
| description | 规则的说明。 | 字符串 |
| destinationAddresses | 目标 IP 地址列表。 | string[] |
| destinationFqdns | 目标 FQDN 列表。 | string[] |
| destinationIpGroups | 此规则的目标 IpGroup 列表。 | string[] |
| destinationPorts | 目标端口列表。 | string[] |
| name | 网络规则的名称。 | 字符串 |
| protocols | AzureFirewallNetworkRuleProtocols 数组。 | 包含任何一项的字符串数组: “Any” “ICMP” “TCP” “UDP” |
| sourceAddresses | 此规则的源 IP 地址列表。 | string[] |
| sourceIpGroups | 此规则的源 IpGroup 列表。 | string[] |
AzureFirewallSku
| 名称 | 说明 | 值 |
|---|---|---|
| name | Azure 防火墙 SKU 的名称。 | “AZFW_Hub” “AZFW_VNet” |
| 层 | Azure 防火墙的层。 | “Premium” “标准” |