你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft.Network firewallPolicies/ruleCollectionGroups 2022-05-01

Bicep 资源定义

firewallPolicies/ruleCollectionGroups 资源类型可以使用以下目标操作进行部署:

有关每个 API 版本中已更改属性的列表,请参阅 更改日志


若要创建 Microsoft.Network/firewallPolicies/ruleCollectionGroups 资源,请将以下 Bicep 添加到模板。

resource symbolicname 'Microsoft.Network/firewallPolicies/ruleCollectionGroups@2022-05-01' = {
  name: 'string'
  parent: resourceSymbolicName
  properties: {
    priority: int
    ruleCollections: [
        name: 'string'
        priority: int
        ruleCollectionType: 'string'
        // For remaining properties, see FirewallPolicyRuleCollection objects

FirewallPolicyRuleCollection 对象

设置 ruleCollectionType 属性以指定对象的类型。

对于 FirewallPolicyFilterRuleCollection,请使用:

  ruleCollectionType: 'FirewallPolicyFilterRuleCollection'
  action: {
    type: 'string'
  rules: [
      description: 'string'
      name: 'string'
      ruleType: 'string'
      // For remaining properties, see FirewallPolicyRule objects

对于 FirewallPolicyNatRuleCollection,请使用:

  ruleCollectionType: 'FirewallPolicyNatRuleCollection'
  action: {
    type: 'DNAT'
  rules: [
      description: 'string'
      name: 'string'
      ruleType: 'string'
      // For remaining properties, see FirewallPolicyRule objects

FirewallPolicyRule 对象

设置 ruleType 属性以指定对象的类型。

对于 ApplicationRule,请使用:

  ruleType: 'ApplicationRule'
  destinationAddresses: [
  fqdnTags: [
  protocols: [
      port: int
      protocolType: 'string'
  sourceAddresses: [
  sourceIpGroups: [
  targetFqdns: [
  targetUrls: [
  terminateTLS: bool
  webCategories: [

对于 NatRule,请使用:

  ruleType: 'NatRule'
  destinationAddresses: [
  destinationPorts: [
  ipProtocols: [
  sourceAddresses: [
  sourceIpGroups: [
  translatedAddress: 'string'
  translatedFqdn: 'string'
  translatedPort: 'string'

对于 NetworkRule,请使用:

  ruleType: 'NetworkRule'
  destinationAddresses: [
  destinationFqdns: [
  destinationIpGroups: [
  destinationPorts: [
  ipProtocols: [
  sourceAddresses: [
  sourceIpGroups: [



名称 说明
name 资源名称

了解如何在 Bicep 中设置子资源的名称和类型。
字符串 (必需)
父级 (parent) 在 Bicep 中,可以为子资源指定父资源。 仅当子资源在父资源外部声明时,才需要添加此属性。

有关详细信息,请参阅 父资源之外的子资源
类型为的资源的符号名称: firewallPolicies
properties 防火墙策略规则集合组的属性。 FirewallPolicyRuleCollectionGroupProperties


名称 说明
priority 防火墙策略规则集合组资源的优先级。 int

最小值 = 100
最大值 = 65000
ruleCollections 防火墙策略规则集合的组。 FirewallPolicyRuleCollection[]


名称 说明
name 规则集合的名称。 字符串
priority 防火墙策略规则集合资源的优先级。 int

最小值 = 100
最大值 = 65000
ruleCollectionType 设置对象类型 FirewallPolicyFilterRuleCollection
FirewallPolicyNatRuleCollection (必需)


名称 说明
ruleCollectionType 规则集合的类型。 需要“FirewallPolicyFilterRuleCollection” ()
action 筛选器规则集合的操作类型。 FirewallPolicyFilterRuleCollectionAction
规则 规则集合中包含的规则列表。 FirewallPolicyRule[]


名称 说明 Value
type 操作的类型。 “允许”


名称 说明
description 规则的说明。 字符串
name 规则名称。 字符串
ruleType 设置对象类型 ApplicationRule
需要 NetworkRule ()


名称 说明
ruleType 规则类型。 “ApplicationRule” (必需)
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
fqdnTags 此规则的 FQDN 标记列表。 string[]
protocols 应用程序协议数组。 FirewallPolicyRuleApplicationProtocol[]
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]
targetFqdns 此规则的 FQDN 列表。 string[]
targetUrls 此规则条件的 URL 列表。 string[]
terminateTLS 终止此规则的 TLS 连接。 bool
webCategories 目标 Azure Web 类别的列表。 string[]


名称 说明
port 协议的端口号不能大于 64000。 int

最小值 = 0
最大值 = 64000
protocolType 协议类型。 'Http'


名称 说明
ruleType 规则类型。 “NatRule” ()
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
destinationPorts 目标端口列表。 string[]
ipProtocols FirewallPolicyRuleNetworkProtocols 数组。 包含任何一项的字符串数组:
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]
translatedAddress 此 NAT 规则的已转换地址。 字符串
translatedFqdn 此 NAT 规则的已转换 FQDN。 字符串
translatedPort 此 NAT 规则的已转换端口。 字符串


名称 说明
ruleType 规则类型。 “NetworkRule” (必需)
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
destinationFqdns 目标 FQDN 列表。 string[]
destinationIpGroups 此规则的目标 IpGroup 列表。 string[]
destinationPorts 目标端口列表。 string[]
ipProtocols FirewallPolicyRuleNetworkProtocols 数组。 包含任何一项的字符串数组:
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]


名称 说明
ruleCollectionType 规则集合的类型。 需要“FirewallPolicyNatRuleCollection” ()
action Nat 规则集合的操作类型。 FirewallPolicyNatRuleCollectionAction
规则 规则集合中包含的规则列表。 FirewallPolicyRule[]


名称 说明 Value
type 操作的类型。 “DNAT”



模板 说明
将 Azure 防火墙 用作中心 & 分支拓扑中的 DNS 代理

部署到 Azure
此示例演示如何使用 Azure 防火墙 在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多分支虚拟网络的中心点。
创建使用规则和 Ipgroups 的防火墙和防火墙策略

部署到 Azure
此模板使用防火墙策略 (部署Azure 防火墙,其中包括多个应用程序和网络规则,) 引用应用程序和网络规则中的 IP 组。
Create防火墙,使用显式代理的 FirewallPolicy

部署到 Azure
此模板创建Azure 防火墙 FirewalllPolicy with Explicit Proxy 和 Network Rules with IpGroups。 此外,还包括 Linux Jumpbox vm 设置
使用 FirewallPolicy 和 IpGroups Create防火墙

部署到 Azure
此模板创建一个Azure 防火墙,其中 FirewalllPolicy 引用了 IpGroups 的网络规则。 此外,还包括 Linux Jumpbox vm 设置
Azure 防火墙 Premium 的测试环境

部署到 Azure
此模板创建具有高级功能的 Azure 防火墙 Premium 和防火墙策略,例如入侵检查检测 (IDPS) 、TLS 检查和 Web 类别筛选

部署到 Azure
此模板使用 Azure 防火墙 创建安全的虚拟中心,以保护发往 Internet 的云网络流量。
Azure 虚拟 WAN 路由意向和策略

部署到 Azure
此模板预配 Azure 虚拟 WAN,其中包含启用了路由意向和策略功能的两个中心。

ARM 模板资源定义

firewallPolicies/ruleCollectionGroups 资源类型可以使用以下目标操作进行部署:

有关每个 API 版本中已更改属性的列表,请参阅 更改日志


若要创建 Microsoft.Network/firewallPolicies/ruleCollectionGroups 资源,请将以下 JSON 添加到模板。

  "type": "Microsoft.Network/firewallPolicies/ruleCollectionGroups",
  "apiVersion": "2022-05-01",
  "name": "string",
  "properties": {
    "priority": "int",
    "ruleCollections": [
        "name": "string",
        "priority": "int",
        "ruleCollectionType": "string"
        // For remaining properties, see FirewallPolicyRuleCollection objects

FirewallPolicyRuleCollection 对象

设置 ruleCollectionType 属性以指定对象的类型。

对于 FirewallPolicyFilterRuleCollection,请使用:

  "ruleCollectionType": "FirewallPolicyFilterRuleCollection",
  "action": {
    "type": "string"
  "rules": [
      "description": "string",
      "name": "string",
      "ruleType": "string"
      // For remaining properties, see FirewallPolicyRule objects

对于 FirewallPolicyNatRuleCollection,请使用:

  "ruleCollectionType": "FirewallPolicyNatRuleCollection",
  "action": {
    "type": "DNAT"
  "rules": [
      "description": "string",
      "name": "string",
      "ruleType": "string"
      // For remaining properties, see FirewallPolicyRule objects

FirewallPolicyRule 对象

设置 ruleType 属性以指定对象的类型。

对于 ApplicationRule,请使用:

  "ruleType": "ApplicationRule",
  "destinationAddresses": [ "string" ],
  "fqdnTags": [ "string" ],
  "protocols": [
      "port": "int",
      "protocolType": "string"
  "sourceAddresses": [ "string" ],
  "sourceIpGroups": [ "string" ],
  "targetFqdns": [ "string" ],
  "targetUrls": [ "string" ],
  "terminateTLS": "bool",
  "webCategories": [ "string" ]

对于 NatRule,请使用:

  "ruleType": "NatRule",
  "destinationAddresses": [ "string" ],
  "destinationPorts": [ "string" ],
  "ipProtocols": [ "string" ],
  "sourceAddresses": [ "string" ],
  "sourceIpGroups": [ "string" ],
  "translatedAddress": "string",
  "translatedFqdn": "string",
  "translatedPort": "string"

对于 NetworkRule,请使用:

  "ruleType": "NetworkRule",
  "destinationAddresses": [ "string" ],
  "destinationFqdns": [ "string" ],
  "destinationIpGroups": [ "string" ],
  "destinationPorts": [ "string" ],
  "ipProtocols": [ "string" ],
  "sourceAddresses": [ "string" ],
  "sourceIpGroups": [ "string" ]



名称 说明 Value
type 资源类型 “Microsoft.Network/firewallPolicies/ruleCollectionGroups”
apiVersion 资源 API 版本 '2022-05-01'
name 资源名称

了解如何在 JSON ARM 模板中设置子资源的名称和类型。
字符串 (必需)
properties 防火墙策略规则集合组的属性。 FirewallPolicyRuleCollectionGroupProperties


名称 说明
priority 防火墙策略规则集合组资源的优先级。 int

最小值 = 100
最大值 = 65000
ruleCollections 防火墙策略规则集合的组。 FirewallPolicyRuleCollection[]


名称 说明
name 规则集合的名称。 字符串
priority 防火墙策略规则集合资源的优先级。 int

最小值 = 100
最大值 = 65000
ruleCollectionType 设置对象类型 FirewallPolicyFilterRuleCollection
FirewallPolicyNatRuleCollection (必需)


名称 说明
ruleCollectionType 规则集合的类型。 需要“FirewallPolicyFilterRuleCollection” ()
action 筛选器规则集合的操作类型。 FirewallPolicyFilterRuleCollectionAction
规则 规则集合中包含的规则列表。 FirewallPolicyRule[]


名称 说明 Value
type 操作的类型。 “允许”


名称 说明
description 规则的说明。 字符串
name 规则名称。 字符串
ruleType 设置对象类型 ApplicationRule
需要 NetworkRule ()


名称 说明
ruleType 规则类型。 “ApplicationRule” (必需)
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
fqdnTags 此规则的 FQDN 标记列表。 string[]
protocols 应用程序协议数组。 FirewallPolicyRuleApplicationProtocol[]
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]
targetFqdns 此规则的 FQDN 列表。 string[]
targetUrls 此规则条件的 URL 列表。 string[]
terminateTLS 终止此规则的 TLS 连接。 bool
webCategories 目标 Azure Web 类别的列表。 string[]


名称 说明
port 协议的端口号不能大于 64000。 int

最小值 = 0
最大值 = 64000
protocolType 协议类型。 'Http'


名称 说明
ruleType 规则类型。 “NatRule” ()
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
destinationPorts 目标端口列表。 string[]
ipProtocols FirewallPolicyRuleNetworkProtocols 数组。 包含任何一项的字符串数组:
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]
translatedAddress 此 NAT 规则的已转换地址。 字符串
translatedFqdn 此 NAT 规则的已转换 FQDN。 字符串
translatedPort 此 NAT 规则的已转换端口。 字符串


名称 说明
ruleType 规则类型。 “NetworkRule” (必需)
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
destinationFqdns 目标 FQDN 列表。 string[]
destinationIpGroups 此规则的目标 IpGroup 列表。 string[]
destinationPorts 目标端口列表。 string[]
ipProtocols FirewallPolicyRuleNetworkProtocols 数组。 包含任何一项的字符串数组:
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]


名称 说明
ruleCollectionType 规则集合的类型。 “FirewallPolicyNatRuleCollection” (必需)
action Nat 规则集合的操作类型。 FirewallPolicyNatRuleCollectionAction
规则 规则集合中包含的规则列表。 FirewallPolicyRule[]


名称 说明 Value
type 操作的类型。 “DNAT”



模板 说明
在中心 & 辐射型拓扑中使用 Azure 防火墙 作为 DNS 代理

部署到 Azure
此示例演示如何使用 Azure 防火墙 在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当与通过虚拟网络对等互连连接到中心虚拟网络的许多辐射虚拟网络的中心连接点。
创建使用规则和 Ipgroups 的防火墙和防火墙策略

部署到 Azure
此模板使用防火墙策略 (部署Azure 防火墙,包括多个应用程序和网络规则,) 在应用程序和网络规则中引用 IP 组。
Create防火墙,使用显式代理的 FirewallPolicy

部署到 Azure
此模板使用显式代理创建Azure 防火墙 FirewalllPolicy 和 IpGroups 网络规则。 此外,还包括 Linux Jumpbox vm 设置
使用 FirewallPolicy 和 IpGroups Create防火墙

部署到 Azure
此模板创建一个Azure 防火墙,其中 FirewalllPolicy 引用了 IpGroup 的网络规则。 此外,还包括 Linux Jumpbox vm 设置
Azure 防火墙 Premium 的测试环境

部署到 Azure
此模板创建具有高级功能的Azure 防火墙高级和防火墙策略,例如入侵检查 (IDPS) 、TLS 检查和 Web 类别筛选

部署到 Azure
此模板使用 Azure 防火墙 创建安全的虚拟中心,以保护发往 Internet 的云网络流量。
Azure 虚拟 WAN路由意向和策略

部署到 Azure
此模板预配 Azure 虚拟 WAN,其中两个中心启用了路由意向和策略功能。

Terraform (AzAPI 提供程序) 资源定义

firewallPolicies/ruleCollectionGroups 资源类型可以使用以下目标操作进行部署:

  • 资源组

有关每个 API 版本中更改的属性的列表,请参阅 更改日志


若要创建 Microsoft.Network/firewallPolicies/ruleCollectionGroups 资源,请将以下 Terraform 添加到模板。

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies/ruleCollectionGroups@2022-05-01"
  name = "string"
  parent_id = "string"
  body = jsonencode({
    properties = {
      priority = int
      ruleCollections = [
          name = "string"
          priority = int
          ruleCollectionType = "string"
          // For remaining properties, see FirewallPolicyRuleCollection objects

FirewallPolicyRuleCollection 对象

设置 ruleCollectionType 属性以指定对象的类型。

对于 FirewallPolicyFilterRuleCollection,请使用:

  ruleCollectionType = "FirewallPolicyFilterRuleCollection"
  action = {
    type = "string"
  rules = [
      description = "string"
      name = "string"
      ruleType = "string"
      // For remaining properties, see FirewallPolicyRule objects

对于 FirewallPolicyNatRuleCollection,请使用:

  ruleCollectionType = "FirewallPolicyNatRuleCollection"
  action = {
    type = "DNAT"
  rules = [
      description = "string"
      name = "string"
      ruleType = "string"
      // For remaining properties, see FirewallPolicyRule objects

FirewallPolicyRule 对象

设置 ruleType 属性以指定对象的类型。

对于 ApplicationRule,请使用:

  ruleType = "ApplicationRule"
  destinationAddresses = [
  fqdnTags = [
  protocols = [
      port = int
      protocolType = "string"
  sourceAddresses = [
  sourceIpGroups = [
  targetFqdns = [
  targetUrls = [
  terminateTLS = bool
  webCategories = [

对于 NatRule,请使用:

  ruleType = "NatRule"
  destinationAddresses = [
  destinationPorts = [
  ipProtocols = [
  sourceAddresses = [
  sourceIpGroups = [
  translatedAddress = "string"
  translatedFqdn = "string"
  translatedPort = "string"

对于 NetworkRule,请使用:

  ruleType = "NetworkRule"
  destinationAddresses = [
  destinationFqdns = [
  destinationIpGroups = [
  destinationPorts = [
  ipProtocols = [
  sourceAddresses = [
  sourceIpGroups = [



名称 说明 Value
type 资源类型 “Microsoft.Network/firewallPolicies/ruleCollectionGroups@2022-05-01”
name 资源名称 字符串 (必需)
parent_id 此资源的父资源 ID。 类型为:firewallPolicies 的资源的 ID
properties 防火墙策略规则集合组的属性。 FirewallPolicyRuleCollectionGroupProperties


名称 说明
priority 防火墙策略规则集合组资源的优先级。 int

最小值 = 100
最大值 = 65000
ruleCollections 防火墙策略规则集合的组。 FirewallPolicyRuleCollection[]


名称 说明
name 规则集合的名称。 字符串
priority 防火墙策略规则集合资源的优先级。 int

最小值 = 100
最大值 = 65000
ruleCollectionType 设置对象类型 FirewallPolicyFilterRuleCollection
FirewallPolicyNatRuleCollection (必需)


名称 说明
ruleCollectionType 规则集合的类型。 需要“FirewallPolicyFilterRuleCollection” ()
action 筛选器规则集合的操作类型。 FirewallPolicyFilterRuleCollectionAction
规则 规则集合中包含的规则列表。 FirewallPolicyRule[]


名称 说明 Value
type 操作的类型。 “允许”


名称 说明
description 规则的说明。 字符串
name 规则名称。 字符串
ruleType 设置对象类型 ApplicationRule
需要 NetworkRule ()


名称 说明
ruleType 规则类型。 需要“ApplicationRule” ()
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
fqdnTags 此规则的 FQDN 标记列表。 string[]
protocols 应用程序协议数组。 FirewallPolicyRuleApplicationProtocol[]
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]
targetFqdns 此规则的 FQDN 列表。 string[]
targetUrls 此规则条件的 URL 列表。 string[]
terminateTLS 终止此规则的 TLS 连接。 bool
webCategories 目标 Azure Web 类别的列表。 string[]


名称 说明
port 协议的端口号不能大于 64000。 int

最小值 = 0
最大值 = 64000
protocolType 协议类型。 “Http”


名称 说明
ruleType 规则类型。 需要“NatRule” ()
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
destinationPorts 目标端口列表。 string[]
ipProtocols FirewallPolicyRuleNetworkProtocols 数组。 包含任何一项的字符串数组:
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]
translatedAddress 此 NAT 规则的已转换地址。 字符串
translatedFqdn 此 NAT 规则的已转换 FQDN。 字符串
translatedPort 此 NAT 规则的已转换端口。 字符串


名称 说明
ruleType 规则类型。 “NetworkRule” (必需)
destinationAddresses 目标 IP 地址或服务标记的列表。 string[]
destinationFqdns 目标 FQDN 列表。 string[]
destinationIpGroups 此规则的目标 IpGroup 列表。 string[]
destinationPorts 目标端口列表。 string[]
ipProtocols FirewallPolicyRuleNetworkProtocols 数组。 包含任何一项的字符串数组:
sourceAddresses 此规则的源 IP 地址列表。 string[]
sourceIpGroups 此规则的源 IpGroup 列表。 string[]


名称 说明
ruleCollectionType 规则集合的类型。 需要“FirewallPolicyNatRuleCollection” ()
action Nat 规则集合的操作类型。 FirewallPolicyNatRuleCollectionAction
规则 规则集合中包含的规则列表。 FirewallPolicyRule[]


名称 说明 Value
type 操作的类型。 “DNAT”