共用方式為


Microsoft.Network firewallPolicies 2023-11-01

Bicep 資源定義

firewallPolicies 資源類型可以使用目標作業來部署:

如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔

資源格式

若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 Bicep 新增至範本。

resource symbolicname 'Microsoft.Network/firewallPolicies@2023-11-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
      profile: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

屬性值

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

名字 描述 價值

DnsSettings

名字 描述 價值
enableProxy 在連結至防火牆原則的防火牆上啟用 DNS Proxy。 bool
requireProxyForNetworkRules 當設定為 true 時,支援網路規則中的 FQDN。 bool
伺服器 自訂 DNS 伺服器清單。 string[]

ExplicitProxy

名字 描述 價值
enableExplicitProxy 設定為 true 時,會啟用明確 Proxy 模式。 bool
enablePacFile 當設定為 true 時,必須提供 pac 檔案埠和 URL。 bool
httpPort 明確 Proxy HTTP 通訊協定的埠號碼不能大於 64000。 int

約束:
最小值 = 0
最大值 = 64000
httpsPort 明確 Proxy https 通訊協定的埠號碼不能大於 64000。 int

約束:
最小值 = 0
最大值 = 64000
pacFile PAC 檔案的SAS URL。 字串
pacFilePort 要提供 PAC 檔案之防火牆的埠號碼。 int

約束:
最小值 = 0
最大值 = 64000

FirewallPolicyCertificateAuthority

名字 描述 價值
keyVaultSecretId 秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。 字串
名字 CA 憑證的名稱。 字串

FirewallPolicyInsights

名字 描述 價值
isEnabled 旗標,指出是否在原則上啟用深入解析。 bool
logAnalyticsResources 設定防火牆原則深入解析所需的工作區。 FirewallPolicyLogAnalyticsResources
retentionDays 應在原則上啟用深入解析的天數。 int

FirewallPolicyIntrusionDetection

名字 描述 價值
配置 入侵檢測組態屬性。 FirewallPolicyIntrusionDetectionConfiguration
模式 入侵檢測一般狀態。 附加至父原則時,防火牆的有效IDPS模式是兩者更嚴格的模式。 'Alert'
'Deny'
'Off'
輪廓 IDPS 設定檔名稱。 附加至父原則時,防火牆的有效配置檔是父原則的配置檔名稱。 'Advanced'
'Basic'
'Extended'
'Standard'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

名字 描述 價值
描述 略過流量規則的描述。 字串
destinationAddresses 此規則的目的地IP位址或範圍清單。 string[]
destinationIpGroups 此規則的目的地 IpGroup 清單。 string[]
destinationPorts 目的地埠或範圍的清單。 string[]
名字 略過流量規則的名稱。 字串
協定 規則略過通訊協定。 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses 此規則的來源IP位址或範圍清單。 string[]
sourceIpGroups 此規則的來源 IpGroup 清單。 string[]

FirewallPolicyIntrusionDetectionConfiguration

名字 描述 價值
bypassTrafficSettings 要略過流量的規則清單。 FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS 私人IP位址範圍可用來識別流量方向(例如輸入、輸出等)。 根據預設,只有 IANA RFC 1918 所定義的範圍會被視為私人 IP 位址。 若要修改預設範圍,請使用此屬性指定您的私人IP位址範圍 string[]
signatureOverrides 特定簽章狀態的清單。 FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

名字 描述 價值
id 簽章標識碼。 字串
模式 簽章狀態。 'Alert'
'Deny'
'Off'

FirewallPolicyLogAnalyticsResources

名字 描述 價值
defaultWorkspaceId 防火牆原則深入解析的預設工作區標識符。 SubResource
工作區 防火牆原則深入解析的工作區清單。 FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

名字 描述 價值
地區 要設定工作區的區域。 字串
workspaceId 防火牆原則深入解析的工作區標識符。 SubResource

FirewallPolicyPropertiesFormat

名字 描述 價值
basePolicy 繼承規則的來源父防火牆原則。 SubResource
dnsSettings DNS Proxy 設定定義。 DnsSettings
explicitProxy 明確 Proxy 設定定義。 ExplicitProxy
見解 防火牆原則的深入解析。 FirewallPolicyInsights
intrusionDetection 入侵檢測的組態。 FirewallPolicyIntrusionDetection
sku 防火牆原則 SKU。 FirewallPolicySku
snat 流量不會是 SNAT 的私人 IP 位址/IP 範圍。 FirewallPolicySnat
sql SQL 設定定義。 FirewallPolicySQL
threatIntelMode 威脅情報的作業模式。 'Alert'
'Deny'
'Off'
threatIntelWhitelist 防火牆原則的 ThreatIntel 允許清單。 FirewallPolicyThreatIntelWhitelist
transportSecurity TLS 組態定義。 FirewallPolicyTransportSecurity

FirewallPolicySku

名字 描述 價值
防火牆原則的層級。 'Basic'
'Premium'
'Standard'

FirewallPolicySnat

名字 描述 價值
autoLearnPrivateRanges 自動學習私人範圍的作業模式不是 SNAT 'Disabled'
'Enabled'
privateRanges 非 SNAT 的私人 IP 位址/IP 位址範圍清單。 string[]

FirewallPolicySQL

名字 描述 價值
allowSqlRedirect 旗標,指出是否已啟用 SQL 重新導向流量篩選。 開啟旗標不需要使用埠 11000-11999。 bool

FirewallPolicyThreatIntelWhitelist

名字 描述 價值
fqdns ThreatIntel 允許清單的 FQDN 清單。 string[]
ipAddresses ThreatIntel 允許清單的IP位址清單。 string[]

FirewallPolicyTransportSecurity

名字 描述 價值
certificateAuthority 用於中繼 CA 產生的 CA。 FirewallPolicyCertificateAuthority

ManagedServiceIdentity

名字 描述 價值
類型 用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities 與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。 ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

名字 描述 價值

Microsoft.Network/firewallPolicies

名字 描述 價值
身份 防火牆原則的身分識別。 ManagedServiceIdentity
位置 資源位置。 字串
名字 資源名稱 字串 (必要)
性能 防火牆原則的屬性。 FirewallPolicyPropertiesFormat
標籤 資源標籤 標記名稱和值的字典。 請參閱範本中的 標籤

ResourceTags

名字 描述 價值

SubResource

名字 描述 價值
id 資源標識碼。 字串

快速入門範例

下列快速入門範例會部署此資源類型。

Bicep 檔案 描述
使用規則和 Ipgroups 建立防火牆和 FirewallPolicy 此範本會部署具有防火牆原則的 Azure 防火牆(包括多個應用程式和網路規則),以參考應用程式和網路規則中的 IP 群組。
安全虛擬中樞 此範本會使用 Azure 防火牆建立安全的虛擬中樞,以保護目的地為因特網的雲端網路流量。
SharePoint 訂閱 / 2019 / 2016 完整設定 建立 DC、SQL Server 2022,以及從 1 到 5 部伺服器(s)裝載 SharePoint 訂閱 /2019 / 2016 伺服器數位,其中包含廣泛的設定,包括受信任的驗證、具有個人網站的使用者配置檔、OAuth 信任(使用憑證)、裝載高信任載入巨集的專用 IIS 網站等等...已安裝最新版本的密鑰軟體(包括 Fiddler、vscode、np++、7zip、ULS Viewer)。 SharePoint 機器有額外的微調,使其立即可供使用(遠端管理工具、Edge 和 Chrome 的自定義原則、快捷方式等等...)。
適用於 Azure 防火牆進階 測試環境 此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選
使用 Azure 防火牆作為中樞 & 輪輻拓撲中的 DNS Proxy 此範例示範如何使用 Azure 防火牆在 Azure 中部署中樞輪輻拓撲。 中樞虛擬網路可作為透過虛擬網路對等互連連線到中樞虛擬網路之許多輪輻虛擬網路的中央點。

ARM 樣本資源定義

firewallPolicies 資源類型可以使用目標作業來部署:

如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔

資源格式

若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 JSON 新增至範本。

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2023-11-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxy": {
      "enableExplicitProxy": "bool",
      "enablePacFile": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string",
      "profile": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "autoLearnPrivateRanges": "string",
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

屬性值

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

名字 描述 價值

DnsSettings

名字 描述 價值
enableProxy 在連結至防火牆原則的防火牆上啟用 DNS Proxy。 bool
requireProxyForNetworkRules 當設定為 true 時,支援網路規則中的 FQDN。 bool
伺服器 自訂 DNS 伺服器清單。 string[]

ExplicitProxy

名字 描述 價值
enableExplicitProxy 設定為 true 時,會啟用明確 Proxy 模式。 bool
enablePacFile 當設定為 true 時,必須提供 pac 檔案埠和 URL。 bool
httpPort 明確 Proxy HTTP 通訊協定的埠號碼不能大於 64000。 int

約束:
最小值 = 0
最大值 = 64000
httpsPort 明確 Proxy https 通訊協定的埠號碼不能大於 64000。 int

約束:
最小值 = 0
最大值 = 64000
pacFile PAC 檔案的SAS URL。 字串
pacFilePort 要提供 PAC 檔案之防火牆的埠號碼。 int

約束:
最小值 = 0
最大值 = 64000

FirewallPolicyCertificateAuthority

名字 描述 價值
keyVaultSecretId 秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。 字串
名字 CA 憑證的名稱。 字串

FirewallPolicyInsights

名字 描述 價值
isEnabled 旗標,指出是否在原則上啟用深入解析。 bool
logAnalyticsResources 設定防火牆原則深入解析所需的工作區。 FirewallPolicyLogAnalyticsResources
retentionDays 應在原則上啟用深入解析的天數。 int

FirewallPolicyIntrusionDetection

名字 描述 價值
配置 入侵檢測組態屬性。 FirewallPolicyIntrusionDetectionConfiguration
模式 入侵檢測一般狀態。 附加至父原則時,防火牆的有效IDPS模式是兩者更嚴格的模式。 'Alert'
'Deny'
'Off'
輪廓 IDPS 設定檔名稱。 附加至父原則時,防火牆的有效配置檔是父原則的配置檔名稱。 'Advanced'
'Basic'
'Extended'
'Standard'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

名字 描述 價值
描述 略過流量規則的描述。 字串
destinationAddresses 此規則的目的地IP位址或範圍清單。 string[]
destinationIpGroups 此規則的目的地 IpGroup 清單。 string[]
destinationPorts 目的地埠或範圍的清單。 string[]
名字 略過流量規則的名稱。 字串
協定 規則略過通訊協定。 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses 此規則的來源IP位址或範圍清單。 string[]
sourceIpGroups 此規則的來源 IpGroup 清單。 string[]

FirewallPolicyIntrusionDetectionConfiguration

名字 描述 價值
bypassTrafficSettings 要略過流量的規則清單。 FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS 私人IP位址範圍可用來識別流量方向(例如輸入、輸出等)。 根據預設,只有 IANA RFC 1918 所定義的範圍會被視為私人 IP 位址。 若要修改預設範圍,請使用此屬性指定您的私人IP位址範圍 string[]
signatureOverrides 特定簽章狀態的清單。 FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

名字 描述 價值
id 簽章標識碼。 字串
模式 簽章狀態。 'Alert'
'Deny'
'Off'

FirewallPolicyLogAnalyticsResources

名字 描述 價值
defaultWorkspaceId 防火牆原則深入解析的預設工作區標識符。 SubResource
工作區 防火牆原則深入解析的工作區清單。 FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

名字 描述 價值
地區 要設定工作區的區域。 字串
workspaceId 防火牆原則深入解析的工作區標識符。 SubResource

FirewallPolicyPropertiesFormat

名字 描述 價值
basePolicy 繼承規則的來源父防火牆原則。 SubResource
dnsSettings DNS Proxy 設定定義。 DnsSettings
explicitProxy 明確 Proxy 設定定義。 ExplicitProxy
見解 防火牆原則的深入解析。 FirewallPolicyInsights
intrusionDetection 入侵檢測的組態。 FirewallPolicyIntrusionDetection
sku 防火牆原則 SKU。 FirewallPolicySku
snat 流量不會是 SNAT 的私人 IP 位址/IP 範圍。 FirewallPolicySnat
sql SQL 設定定義。 FirewallPolicySQL
threatIntelMode 威脅情報的作業模式。 'Alert'
'Deny'
'Off'
threatIntelWhitelist 防火牆原則的 ThreatIntel 允許清單。 FirewallPolicyThreatIntelWhitelist
transportSecurity TLS 組態定義。 FirewallPolicyTransportSecurity

FirewallPolicySku

名字 描述 價值
防火牆原則的層級。 'Basic'
'Premium'
'Standard'

FirewallPolicySnat

名字 描述 價值
autoLearnPrivateRanges 自動學習私人範圍的作業模式不是 SNAT 'Disabled'
'Enabled'
privateRanges 非 SNAT 的私人 IP 位址/IP 位址範圍清單。 string[]

FirewallPolicySQL

名字 描述 價值
allowSqlRedirect 旗標,指出是否已啟用 SQL 重新導向流量篩選。 開啟旗標不需要使用埠 11000-11999。 bool

FirewallPolicyThreatIntelWhitelist

名字 描述 價值
fqdns ThreatIntel 允許清單的 FQDN 清單。 string[]
ipAddresses ThreatIntel 允許清單的IP位址清單。 string[]

FirewallPolicyTransportSecurity

名字 描述 價值
certificateAuthority 用於中繼 CA 產生的 CA。 FirewallPolicyCertificateAuthority

ManagedServiceIdentity

名字 描述 價值
類型 用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities 與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。 ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

名字 描述 價值

Microsoft.Network/firewallPolicies

名字 描述 價值
apiVersion API 版本 '2023-11-01'
身份 防火牆原則的身分識別。 ManagedServiceIdentity
位置 資源位置。 字串
名字 資源名稱 字串 (必要)
性能 防火牆原則的屬性。 FirewallPolicyPropertiesFormat
標籤 資源標籤 標記名稱和值的字典。 請參閱範本中的 標籤
類型 資源類型 'Microsoft.Network/firewallPolicies'

ResourceTags

名字 描述 價值

SubResource

名字 描述 價值
id 資源標識碼。 字串

快速入門範本

下列快速入門範本會部署此資源類型。

範本 描述
使用規則和 Ipgroups 建立防火牆和 FirewallPolicy

部署至 Azure
此範本會部署具有防火牆原則的 Azure 防火牆(包括多個應用程式和網路規則),以參考應用程式和網路規則中的 IP 群組。
使用 FirewallPolicy 和 IpGroups 建立防火牆

部署至 Azure
此範本會建立具有 FirewalllPolicy 的 Azure 防火牆,並參考 IpGroups 的網路規則。 此外,也包含Linux Jumpbox vm安裝程式
使用明確 Proxy 建立防火牆、FirewallPolicy

部署至 Azure
此範本會使用 IpGroups 建立具有明確 Proxy 的 Azure 防火牆、FirewalllPolicy 和網路規則。 此外,也包含Linux Jumpbox vm安裝程式
使用防火牆原則建立沙箱設定

部署至 Azure
此範本會建立具有 3 個子網的虛擬網路(伺服器子網、Jumpbox 子集和 AzureFirewall 子網)、具有公用 IP、伺服器 VM、UDR 路由的 Jumpbox VM,以指向伺服器子網的 Azure 防火牆,以及具有 1 個以上公用 IP 位址的 Azure 防火牆。 同時建立具有 1 個範例應用程式規則、1 個範例網路規則和預設私人範圍的防火牆原則
安全虛擬中樞

部署至 Azure
此範本會使用 Azure 防火牆建立安全的虛擬中樞,以保護目的地為因特網的雲端網路流量。
SharePoint 訂閱 / 2019 / 2016 完整設定

部署至 Azure
建立 DC、SQL Server 2022,以及從 1 到 5 部伺服器(s)裝載 SharePoint 訂閱 /2019 / 2016 伺服器數位,其中包含廣泛的設定,包括受信任的驗證、具有個人網站的使用者配置檔、OAuth 信任(使用憑證)、裝載高信任載入巨集的專用 IIS 網站等等...已安裝最新版本的密鑰軟體(包括 Fiddler、vscode、np++、7zip、ULS Viewer)。 SharePoint 機器有額外的微調,使其立即可供使用(遠端管理工具、Edge 和 Chrome 的自定義原則、快捷方式等等...)。
適用於 Azure 防火牆進階 測試環境

部署至 Azure
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選
使用 Azure 防火牆作為中樞 & 輪輻拓撲中的 DNS Proxy

部署至 Azure
此範例示範如何使用 Azure 防火牆在 Azure 中部署中樞輪輻拓撲。 中樞虛擬網路可作為透過虛擬網路對等互連連線到中樞虛擬網路之許多輪輻虛擬網路的中央點。

Terraform (AzAPI 提供者) 資源定義

firewallPolicies 資源類型可以使用目標作業來部署:

  • 資源群組

如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔

資源格式

若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 Terraform 新增至範本。

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2023-11-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxy = {
        enableExplicitProxy = bool
        enablePacFile = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
        profile = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        autoLearnPrivateRanges = "string"
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
  tags = {
    {customized property} = "string"
  }
}

屬性值

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

名字 描述 價值

DnsSettings

名字 描述 價值
enableProxy 在連結至防火牆原則的防火牆上啟用 DNS Proxy。 bool
requireProxyForNetworkRules 當設定為 true 時,支援網路規則中的 FQDN。 bool
伺服器 自訂 DNS 伺服器清單。 string[]

ExplicitProxy

名字 描述 價值
enableExplicitProxy 設定為 true 時,會啟用明確 Proxy 模式。 bool
enablePacFile 當設定為 true 時,必須提供 pac 檔案埠和 URL。 bool
httpPort 明確 Proxy HTTP 通訊協定的埠號碼不能大於 64000。 int

約束:
最小值 = 0
最大值 = 64000
httpsPort 明確 Proxy https 通訊協定的埠號碼不能大於 64000。 int

約束:
最小值 = 0
最大值 = 64000
pacFile PAC 檔案的SAS URL。 字串
pacFilePort 要提供 PAC 檔案之防火牆的埠號碼。 int

約束:
最小值 = 0
最大值 = 64000

FirewallPolicyCertificateAuthority

名字 描述 價值
keyVaultSecretId 秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。 字串
名字 CA 憑證的名稱。 字串

FirewallPolicyInsights

名字 描述 價值
isEnabled 旗標,指出是否在原則上啟用深入解析。 bool
logAnalyticsResources 設定防火牆原則深入解析所需的工作區。 FirewallPolicyLogAnalyticsResources
retentionDays 應在原則上啟用深入解析的天數。 int

FirewallPolicyIntrusionDetection

名字 描述 價值
配置 入侵檢測組態屬性。 FirewallPolicyIntrusionDetectionConfiguration
模式 入侵檢測一般狀態。 附加至父原則時,防火牆的有效IDPS模式是兩者更嚴格的模式。 'Alert'
'Deny'
'Off'
輪廓 IDPS 設定檔名稱。 附加至父原則時,防火牆的有效配置檔是父原則的配置檔名稱。 'Advanced'
'Basic'
'Extended'
'Standard'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

名字 描述 價值
描述 略過流量規則的描述。 字串
destinationAddresses 此規則的目的地IP位址或範圍清單。 string[]
destinationIpGroups 此規則的目的地 IpGroup 清單。 string[]
destinationPorts 目的地埠或範圍的清單。 string[]
名字 略過流量規則的名稱。 字串
協定 規則略過通訊協定。 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses 此規則的來源IP位址或範圍清單。 string[]
sourceIpGroups 此規則的來源 IpGroup 清單。 string[]

FirewallPolicyIntrusionDetectionConfiguration

名字 描述 價值
bypassTrafficSettings 要略過流量的規則清單。 FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS 私人IP位址範圍可用來識別流量方向(例如輸入、輸出等)。 根據預設,只有 IANA RFC 1918 所定義的範圍會被視為私人 IP 位址。 若要修改預設範圍,請使用此屬性指定您的私人IP位址範圍 string[]
signatureOverrides 特定簽章狀態的清單。 FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

名字 描述 價值
id 簽章標識碼。 字串
模式 簽章狀態。 'Alert'
'Deny'
'Off'

FirewallPolicyLogAnalyticsResources

名字 描述 價值
defaultWorkspaceId 防火牆原則深入解析的預設工作區標識符。 SubResource
工作區 防火牆原則深入解析的工作區清單。 FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

名字 描述 價值
地區 要設定工作區的區域。 字串
workspaceId 防火牆原則深入解析的工作區標識符。 SubResource

FirewallPolicyPropertiesFormat

名字 描述 價值
basePolicy 繼承規則的來源父防火牆原則。 SubResource
dnsSettings DNS Proxy 設定定義。 DnsSettings
explicitProxy 明確 Proxy 設定定義。 ExplicitProxy
見解 防火牆原則的深入解析。 FirewallPolicyInsights
intrusionDetection 入侵檢測的組態。 FirewallPolicyIntrusionDetection
sku 防火牆原則 SKU。 FirewallPolicySku
snat 流量不會是 SNAT 的私人 IP 位址/IP 範圍。 FirewallPolicySnat
sql SQL 設定定義。 FirewallPolicySQL
threatIntelMode 威脅情報的作業模式。 'Alert'
'Deny'
'Off'
threatIntelWhitelist 防火牆原則的 ThreatIntel 允許清單。 FirewallPolicyThreatIntelWhitelist
transportSecurity TLS 組態定義。 FirewallPolicyTransportSecurity

FirewallPolicySku

名字 描述 價值
防火牆原則的層級。 'Basic'
'Premium'
'Standard'

FirewallPolicySnat

名字 描述 價值
autoLearnPrivateRanges 自動學習私人範圍的作業模式不是 SNAT 'Disabled'
'Enabled'
privateRanges 非 SNAT 的私人 IP 位址/IP 位址範圍清單。 string[]

FirewallPolicySQL

名字 描述 價值
allowSqlRedirect 旗標,指出是否已啟用 SQL 重新導向流量篩選。 開啟旗標不需要使用埠 11000-11999。 bool

FirewallPolicyThreatIntelWhitelist

名字 描述 價值
fqdns ThreatIntel 允許清單的 FQDN 清單。 string[]
ipAddresses ThreatIntel 允許清單的IP位址清單。 string[]

FirewallPolicyTransportSecurity

名字 描述 價值
certificateAuthority 用於中繼 CA 產生的 CA。 FirewallPolicyCertificateAuthority

ManagedServiceIdentity

名字 描述 價值
類型 用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities 與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。 ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

名字 描述 價值

Microsoft.Network/firewallPolicies

名字 描述 價值
身份 防火牆原則的身分識別。 ManagedServiceIdentity
位置 資源位置。 字串
名字 資源名稱 字串 (必要)
性能 防火牆原則的屬性。 FirewallPolicyPropertiesFormat
標籤 資源標籤 標記名稱和值的字典。
類型 資源類型 “Microsoft.Network/firewallPolicies@2023-11-01”

ResourceTags

名字 描述 價值

SubResource

名字 描述 價值
id 資源標識碼。 字串