Sdílet prostřednictvím


Microsoft.Network firewallPolicies 2024-05-01

Definice prostředku Bicep

Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující bicep.

resource symbolicname 'Microsoft.Network/firewallPolicies@2024-05-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
      profile: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Hodnoty vlastností

Komponenty1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Jméno Popis Hodnota

DnsSettings

Jméno Popis Hodnota
enableProxy Povolte proxy server DNS na bránách firewall připojených k zásadám brány firewall. Bool
requireProxyForNetworkRules Plně kvalifikované názvy domén v pravidlech sítě se podporují, když je nastavená hodnota true. Bool
servery Seznam vlastních serverů DNS string[]

ExplicitProxy

Jméno Popis Hodnota
enableExplicitProxy Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. Bool
enablePacFile Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. Bool
httpPort Číslo portu pro explicitní protokol HTTP proxy nemůže být větší než 64000. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000
httpsPort Číslo portu pro explicitní protokol HTTPS proxy nemůže být větší než 64000. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000
pacFile Adresa URL SAS pro soubor PAC. řetězec
pacFilePort Číslo portu pro bránu firewall pro obsluhu souboru PAC. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000

FirewallPolicyCertificateAuthority

Jméno Popis Hodnota
keyVaultSecretId ID tajného kódu objektu (s kódováním base-64 bez šifrování pfx) Secret nebo Certificate uloženého ve službě KeyVault. řetězec
Jméno Název certifikátu certifikační autority. řetězec

FirewallPolicyInsights

Jméno Popis Hodnota
isEnabled Příznak označující, jestli jsou v zásadách povolené přehledy. Bool
LogAnalyticsResources Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall brány firewallPolicyLogAnalyticsResources
retentionDays Počet dnů, po které by měly být v zásadách povolené přehledy Int

FirewallPolicyIntrusionDetection

Jméno Popis Hodnota
konfigurace Vlastnosti konfigurace detekce neoprávněných vniknutí. firewallPolicyIntrusionDetectionConfiguration
režim Obecný stav detekce neoprávněných vniknutí Při připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou. Výstraha
"Odepřít"
"Vypnuto"
profil Název profilu IDPS. Při připojení k nadřazené zásadě je efektivní profil brány firewall názvem nadřazené zásady. Upřesnit
"Základní"
"Rozšířeno"
"Standardní"

FirewallPolicyIntrusionDetectionBypassTraffic Specifikace

Jméno Popis Hodnota
popis Popis pravidla obejití provozu řetězec
destinationAddresses Seznam cílových IP adres nebo rozsahů pro toto pravidlo string[]
destinationIpGroups Seznam cílových skupin IpGroup pro toto pravidlo string[]
destinationPorts Seznam cílových portů nebo rozsahů string[]
Jméno Název pravidla obejití provozu řetězec
protokol Protokol obejití pravidla. ANY
ICMP
TCP
UDP
sourceAddresses Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo string[]
sourceIpGroups Seznam zdrojových skupin IpGroup pro toto pravidlo string[]

FirewallPolicyIntrusionDetectionConfiguration

Jméno Popis Hodnota
bypassTrafficSettings Seznam pravidel pro obejití provozu FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozí, odchozí atd.). Ve výchozím nastavení se za privátní IP adresy považují pouze rozsahy definované IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres s touto vlastností. string[]
signatureOverrides Seznam konkrétních stavů podpisů FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Jméno Popis Hodnota
id ID podpisu. řetězec
režim Stav podpisu. Výstraha
"Odepřít"
"Vypnuto"

FirewallPolicyLogAnalyticsResources

Jméno Popis Hodnota
defaultWorkspaceId Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. subresource
pracovní prostory Seznam pracovních prostorů pro přehledy zásad brány firewall firewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Jméno Popis Hodnota
oblast Oblast pro konfiguraci pracovního prostoru řetězec
workspaceId ID pracovního prostoru pro přehledy zásad brány firewall. subresource

FirewallPolicyPropertiesFormat

Jméno Popis Hodnota
basePolicy Nadřazené zásady brány firewall, ze kterých se dědí pravidla. subresource
dnsSettings Definice nastavení proxy serveru DNS dnsSettings
explicitProxy Definice explicitního nastavení proxy serveru ExplicitProxy
vhledy Přehledy o zásadách brány firewall firewallPolicyInsights
vniknutíDetection Konfigurace detekce neoprávněných vniknutí. firewallPolicyIntrusionDetection
sku Skladová položka zásad brány firewall. firewallPolicySku
snat Privátní IP adresy nebo rozsahy IP adres, do kterých nebude provoz SNAT. firewallPolicySnat
sql Definice nastavení SQL firewallPolicySQL
threatIntelMode Režim operace analýzy hrozeb. Výstraha
"Odepřít"
"Vypnuto"
threatIntelWhitelist Seznam povolených hrozeb pro zásady brány firewall firewallPolicyThreatIntelWhitelist
transportSecurity Definice konfigurace protokolu TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Jméno Popis Hodnota
úroveň Úroveň zásad brány firewall "Základní"
Premium
"Standardní"

FirewallPolicySnat

Jméno Popis Hodnota
autoLearnPrivateRanges Režim provozu pro automatické učení privátních rozsahů, které nejsou SNAT Zakázáno
Povoleno
privateRanges Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. string[]

FirewallPolicySQL

Jméno Popis Hodnota
allowSqlRedirect Příznak označující, jestli je povolené filtrování provozu PŘESMĚROVÁNÍ SQL. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. Bool

FirewallPolicyThreatIntelWhitelist

Jméno Popis Hodnota
Plně kvalifikované názvy domén Seznam plně kvalifikovanýchnázvůch string[]
ipAddresses Seznam IP adres pro seznam povolených řešení ThreatIntel string[]

FirewallPolicyTransportSecurity

Jméno Popis Hodnota
certificateAuthority Certifikační autorita použitá pro generování zprostředkující certifikační autority. firewallPolicyCertificateAuthority

ManagedServiceIdentity

Jméno Popis Hodnota
typ Typ identity používané pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere všechny identity z virtuálního počítače. None (Žádný)
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned
userAssignedIdentities Seznam identit uživatelů přidružených k prostředku. Odkazy na klíč slovníku identit uživatele budou ID prostředků ARM ve formátu: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Jméno Popis Hodnota

Microsoft.Network/firewallPolicies

Jméno Popis Hodnota
identita Identita zásad brány firewall. ManagedServiceIdentity
umístění Umístění prostředku řetězec
Jméno Název prostředku string (povinné)
vlastnosti Vlastnosti zásad brány firewall firewallPolicyPropertiesFormat
visačky Značky prostředků Slovník názvů a hodnot značek Viz Značky v šablonách

Značky prostředků

Jméno Popis Hodnota

Podsourc

Jméno Popis Hodnota
id ID prostředku. řetězec

Ukázky rychlého startu

Následující ukázky rychlého startu nasadí tento typ prostředku.

Soubor Bicep Popis
vytvoření brány firewall a brány firewall pomocí pravidel a Ipgroups Tato šablona nasadí bránu Azure Firewall se zásadami brány firewall (včetně více pravidel aplikace a sítě) odkazující na skupiny IP adres v pravidlech aplikace a sítě.
zabezpečených virtuálních center Tato šablona vytvoří zabezpečené virtuální centrum pomocí služby Azure Firewall k zabezpečení cloudového síťového provozu určeného k internetu.
předplatné SharePointu / 2019 / 2016 plně nakonfigurované Vytvořte řadič domény, SQL Server 2022 a od 1 do 5 serverů, které hostují farmu předplatného SharePointu / 2019 / 2016 s rozsáhlou konfigurací, včetně důvěryhodného ověřování, profilů uživatelů s osobními weby, důvěryhodnosti OAuth (pomocí certifikátu), vyhrazeného webu IIS pro hostování doplňků s vysokou důvěryhodností atd... Nainstaluje se nejnovější verze klíčových softwaru (včetně Fiddler, vscode, np++, 7zip, ULS Viewer). Počítače SharePointu mají další vyladění, aby je bylo možné okamžitě použít (nástroje pro vzdálenou správu, vlastní zásady pro Edge a Chrome, klávesové zkratky atd.).
Testovací prostředí pro službu Azure Firewall Premium Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu.
použití služby Azure Firewall jako proxy serveru DNS v topologii hvězdicové & hvězdicové Tato ukázka ukazuje, jak nasadit hvězdicovou topologii v Azure pomocí služby Azure Firewall. Virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím připojeným k virtuální síti rozbočovače prostřednictvím partnerského vztahu virtuálních sítí.

Definice prostředku šablony ARM

Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující KÓD JSON.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2024-05-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxy": {
      "enableExplicitProxy": "bool",
      "enablePacFile": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string",
      "profile": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "autoLearnPrivateRanges": "string",
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Hodnoty vlastností

Komponenty1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Jméno Popis Hodnota

DnsSettings

Jméno Popis Hodnota
enableProxy Povolte proxy server DNS na bránách firewall připojených k zásadám brány firewall. Bool
requireProxyForNetworkRules Plně kvalifikované názvy domén v pravidlech sítě se podporují, když je nastavená hodnota true. Bool
servery Seznam vlastních serverů DNS string[]

ExplicitProxy

Jméno Popis Hodnota
enableExplicitProxy Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. Bool
enablePacFile Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. Bool
httpPort Číslo portu pro explicitní protokol HTTP proxy nemůže být větší než 64000. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000
httpsPort Číslo portu pro explicitní protokol HTTPS proxy nemůže být větší než 64000. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000
pacFile Adresa URL SAS pro soubor PAC. řetězec
pacFilePort Číslo portu pro bránu firewall pro obsluhu souboru PAC. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000

FirewallPolicyCertificateAuthority

Jméno Popis Hodnota
keyVaultSecretId ID tajného kódu objektu (s kódováním base-64 bez šifrování pfx) Secret nebo Certificate uloženého ve službě KeyVault. řetězec
Jméno Název certifikátu certifikační autority. řetězec

FirewallPolicyInsights

Jméno Popis Hodnota
isEnabled Příznak označující, jestli jsou v zásadách povolené přehledy. Bool
LogAnalyticsResources Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall brány firewallPolicyLogAnalyticsResources
retentionDays Počet dnů, po které by měly být v zásadách povolené přehledy Int

FirewallPolicyIntrusionDetection

Jméno Popis Hodnota
konfigurace Vlastnosti konfigurace detekce neoprávněných vniknutí. firewallPolicyIntrusionDetectionConfiguration
režim Obecný stav detekce neoprávněných vniknutí Při připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou. Výstraha
"Odepřít"
"Vypnuto"
profil Název profilu IDPS. Při připojení k nadřazené zásadě je efektivní profil brány firewall názvem nadřazené zásady. Upřesnit
"Základní"
"Rozšířeno"
"Standardní"

FirewallPolicyIntrusionDetectionBypassTraffic Specifikace

Jméno Popis Hodnota
popis Popis pravidla obejití provozu řetězec
destinationAddresses Seznam cílových IP adres nebo rozsahů pro toto pravidlo string[]
destinationIpGroups Seznam cílových skupin IpGroup pro toto pravidlo string[]
destinationPorts Seznam cílových portů nebo rozsahů string[]
Jméno Název pravidla obejití provozu řetězec
protokol Protokol obejití pravidla. ANY
ICMP
TCP
UDP
sourceAddresses Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo string[]
sourceIpGroups Seznam zdrojových skupin IpGroup pro toto pravidlo string[]

FirewallPolicyIntrusionDetectionConfiguration

Jméno Popis Hodnota
bypassTrafficSettings Seznam pravidel pro obejití provozu FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozí, odchozí atd.). Ve výchozím nastavení se za privátní IP adresy považují pouze rozsahy definované IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres s touto vlastností. string[]
signatureOverrides Seznam konkrétních stavů podpisů FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Jméno Popis Hodnota
id ID podpisu. řetězec
režim Stav podpisu. Výstraha
"Odepřít"
"Vypnuto"

FirewallPolicyLogAnalyticsResources

Jméno Popis Hodnota
defaultWorkspaceId Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. subresource
pracovní prostory Seznam pracovních prostorů pro přehledy zásad brány firewall firewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Jméno Popis Hodnota
oblast Oblast pro konfiguraci pracovního prostoru řetězec
workspaceId ID pracovního prostoru pro přehledy zásad brány firewall. subresource

FirewallPolicyPropertiesFormat

Jméno Popis Hodnota
basePolicy Nadřazené zásady brány firewall, ze kterých se dědí pravidla. subresource
dnsSettings Definice nastavení proxy serveru DNS dnsSettings
explicitProxy Definice explicitního nastavení proxy serveru ExplicitProxy
vhledy Přehledy o zásadách brány firewall firewallPolicyInsights
vniknutíDetection Konfigurace detekce neoprávněných vniknutí. firewallPolicyIntrusionDetection
sku Skladová položka zásad brány firewall. firewallPolicySku
snat Privátní IP adresy nebo rozsahy IP adres, do kterých nebude provoz SNAT. firewallPolicySnat
sql Definice nastavení SQL firewallPolicySQL
threatIntelMode Režim operace analýzy hrozeb. Výstraha
"Odepřít"
"Vypnuto"
threatIntelWhitelist Seznam povolených hrozeb pro zásady brány firewall firewallPolicyThreatIntelWhitelist
transportSecurity Definice konfigurace protokolu TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Jméno Popis Hodnota
úroveň Úroveň zásad brány firewall "Základní"
Premium
"Standardní"

FirewallPolicySnat

Jméno Popis Hodnota
autoLearnPrivateRanges Režim provozu pro automatické učení privátních rozsahů, které nejsou SNAT Zakázáno
Povoleno
privateRanges Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. string[]

FirewallPolicySQL

Jméno Popis Hodnota
allowSqlRedirect Příznak označující, jestli je povolené filtrování provozu PŘESMĚROVÁNÍ SQL. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. Bool

FirewallPolicyThreatIntelWhitelist

Jméno Popis Hodnota
Plně kvalifikované názvy domén Seznam plně kvalifikovanýchnázvůch string[]
ipAddresses Seznam IP adres pro seznam povolených řešení ThreatIntel string[]

FirewallPolicyTransportSecurity

Jméno Popis Hodnota
certificateAuthority Certifikační autorita použitá pro generování zprostředkující certifikační autority. firewallPolicyCertificateAuthority

ManagedServiceIdentity

Jméno Popis Hodnota
typ Typ identity používané pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere všechny identity z virtuálního počítače. None (Žádný)
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned
userAssignedIdentities Seznam identit uživatelů přidružených k prostředku. Odkazy na klíč slovníku identit uživatele budou ID prostředků ARM ve formátu: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Jméno Popis Hodnota

Microsoft.Network/firewallPolicies

Jméno Popis Hodnota
apiVersion Verze rozhraní API '2024-05-01'
identita Identita zásad brány firewall. ManagedServiceIdentity
umístění Umístění prostředku řetězec
Jméno Název prostředku string (povinné)
vlastnosti Vlastnosti zásad brány firewall firewallPolicyPropertiesFormat
visačky Značky prostředků Slovník názvů a hodnot značek Viz Značky v šablonách
typ Typ prostředku Microsoft.Network/firewallPolicies

Značky prostředků

Jméno Popis Hodnota

Podsourc

Jméno Popis Hodnota
id ID prostředku. řetězec

Šablony pro rychlý start

Následující šablony pro rychlý start nasazují tento typ prostředku.

Šablona Popis
vytvoření brány firewall a brány firewall pomocí pravidel a Ipgroups

nasazení do Azure
Tato šablona nasadí bránu Azure Firewall se zásadami brány firewall (včetně více pravidel aplikace a sítě) odkazující na skupiny IP adres v pravidlech aplikace a sítě.
vytvoření brány firewall s FirewallPolicy a IpGroups

nasazení do Azure
Tato šablona vytvoří bránu Azure Firewall s firewalllPolicy odkazujícími na pravidla sítě s IpGroups. Zahrnuje také nastavení virtuálního počítače jumpboxu s Linuxem.
vytvoření brány firewall, zásady firewallu s explicitním proxy

nasazení do Azure
Tato šablona vytvoří azure firewall, firewalllPolicy s explicitním proxy serverem a síťovými pravidly s IpGroups. Zahrnuje také nastavení virtuálního počítače jumpboxu s Linuxem.
Vytvoření nastavení sandboxu pomocí zásad brány firewall

nasazení do Azure
Tato šablona vytvoří virtuální síť se 3 podsítěmi (podsíť serveru, podsíť jumpboxu a podsítí AzureFirewall), virtuálním počítačem jumpboxu s veřejnou IP adresou, virtuálním počítačem serveru A serverem, trasou definovanou uživatelem, která odkazuje na Bránu Azure Firewall pro podsíť serveru a bránu Azure Firewall s 1 nebo více veřejnými IP adresami. Vytvoří také zásadu brány firewall s 1 ukázkovým pravidlem aplikace, 1 ukázkovým pravidlem sítě a výchozími privátními rozsahy.
zabezpečených virtuálních center

nasazení do Azure
Tato šablona vytvoří zabezpečené virtuální centrum pomocí služby Azure Firewall k zabezpečení cloudového síťového provozu určeného k internetu.
předplatné SharePointu / 2019 / 2016 plně nakonfigurované

nasazení do Azure
Vytvořte řadič domény, SQL Server 2022 a od 1 do 5 serverů, které hostují farmu předplatného SharePointu / 2019 / 2016 s rozsáhlou konfigurací, včetně důvěryhodného ověřování, profilů uživatelů s osobními weby, důvěryhodnosti OAuth (pomocí certifikátu), vyhrazeného webu IIS pro hostování doplňků s vysokou důvěryhodností atd... Nainstaluje se nejnovější verze klíčových softwaru (včetně Fiddler, vscode, np++, 7zip, ULS Viewer). Počítače SharePointu mají další vyladění, aby je bylo možné okamžitě použít (nástroje pro vzdálenou správu, vlastní zásady pro Edge a Chrome, klávesové zkratky atd.).
Testovací prostředí pro službu Azure Firewall Premium

nasazení do Azure
Tato šablona vytvoří zásady brány Azure Firewall Premium a brány firewall s prémiovými funkcemi, jako je detekce kontroly neoprávněných vniknutí (IDPS), kontrola protokolu TLS a filtrování kategorií webu.
použití služby Azure Firewall jako proxy serveru DNS v topologii hvězdicové & hvězdicové

nasazení do Azure
Tato ukázka ukazuje, jak nasadit hvězdicovou topologii v Azure pomocí služby Azure Firewall. Virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím připojeným k virtuální síti rozbočovače prostřednictvím partnerského vztahu virtuálních sítí.

Definice prostředku Terraformu (poskytovatel AzAPI)

Typ prostředku firewallPolicies je možné nasadit s operacemi, které cílí:

  • skupiny prostředků

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Network/firewallPolicies, přidejte do šablony následující Terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2024-05-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxy = {
        enableExplicitProxy = bool
        enablePacFile = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
        profile = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        autoLearnPrivateRanges = "string"
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
}

Hodnoty vlastností

Komponenty1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Jméno Popis Hodnota

DnsSettings

Jméno Popis Hodnota
enableProxy Povolte proxy server DNS na bránách firewall připojených k zásadám brány firewall. Bool
requireProxyForNetworkRules Plně kvalifikované názvy domén v pravidlech sítě se podporují, když je nastavená hodnota true. Bool
servery Seznam vlastních serverů DNS string[]

ExplicitProxy

Jméno Popis Hodnota
enableExplicitProxy Pokud je nastavená hodnota true, je povolený explicitní režim proxy serveru. Bool
enablePacFile Pokud je nastavená hodnota true, je potřeba zadat port souboru PAC a adresu URL. Bool
httpPort Číslo portu pro explicitní protokol HTTP proxy nemůže být větší než 64000. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000
httpsPort Číslo portu pro explicitní protokol HTTPS proxy nemůže být větší než 64000. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000
pacFile Adresa URL SAS pro soubor PAC. řetězec
pacFilePort Číslo portu pro bránu firewall pro obsluhu souboru PAC. Int

Omezení:
Minimální hodnota = 0
Maximální hodnota = 64000

FirewallPolicyCertificateAuthority

Jméno Popis Hodnota
keyVaultSecretId ID tajného kódu objektu (s kódováním base-64 bez šifrování pfx) Secret nebo Certificate uloženého ve službě KeyVault. řetězec
Jméno Název certifikátu certifikační autority. řetězec

FirewallPolicyInsights

Jméno Popis Hodnota
isEnabled Příznak označující, jestli jsou v zásadách povolené přehledy. Bool
LogAnalyticsResources Pracovní prostory potřebné ke konfiguraci přehledů zásad brány firewall brány firewallPolicyLogAnalyticsResources
retentionDays Počet dnů, po které by měly být v zásadách povolené přehledy Int

FirewallPolicyIntrusionDetection

Jméno Popis Hodnota
konfigurace Vlastnosti konfigurace detekce neoprávněných vniknutí. firewallPolicyIntrusionDetectionConfiguration
režim Obecný stav detekce neoprávněných vniknutí Při připojení k nadřazené zásadě je efektivní režim IDPS brány firewall přísnějším režimem těchto dvou. Výstraha
"Odepřít"
"Vypnuto"
profil Název profilu IDPS. Při připojení k nadřazené zásadě je efektivní profil brány firewall názvem nadřazené zásady. Upřesnit
"Základní"
"Rozšířeno"
"Standardní"

FirewallPolicyIntrusionDetectionBypassTraffic Specifikace

Jméno Popis Hodnota
popis Popis pravidla obejití provozu řetězec
destinationAddresses Seznam cílových IP adres nebo rozsahů pro toto pravidlo string[]
destinationIpGroups Seznam cílových skupin IpGroup pro toto pravidlo string[]
destinationPorts Seznam cílových portů nebo rozsahů string[]
Jméno Název pravidla obejití provozu řetězec
protokol Protokol obejití pravidla. ANY
ICMP
TCP
UDP
sourceAddresses Seznam zdrojových IP adres nebo rozsahů pro toto pravidlo string[]
sourceIpGroups Seznam zdrojových skupin IpGroup pro toto pravidlo string[]

FirewallPolicyIntrusionDetectionConfiguration

Jméno Popis Hodnota
bypassTrafficSettings Seznam pravidel pro obejití provozu FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Rozsahy privátních IP adres IDPS se používají k identifikaci směru provozu (tj. příchozí, odchozí atd.). Ve výchozím nastavení se za privátní IP adresy považují pouze rozsahy definované IANA RFC 1918. Pokud chcete upravit výchozí rozsahy, zadejte rozsahy privátních IP adres s touto vlastností. string[]
signatureOverrides Seznam konkrétních stavů podpisů FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Jméno Popis Hodnota
id ID podpisu. řetězec
režim Stav podpisu. Výstraha
"Odepřít"
"Vypnuto"

FirewallPolicyLogAnalyticsResources

Jméno Popis Hodnota
defaultWorkspaceId Výchozí ID pracovního prostoru pro přehledy zásad brány firewall. subresource
pracovní prostory Seznam pracovních prostorů pro přehledy zásad brány firewall firewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Jméno Popis Hodnota
oblast Oblast pro konfiguraci pracovního prostoru řetězec
workspaceId ID pracovního prostoru pro přehledy zásad brány firewall. subresource

FirewallPolicyPropertiesFormat

Jméno Popis Hodnota
basePolicy Nadřazené zásady brány firewall, ze kterých se dědí pravidla. subresource
dnsSettings Definice nastavení proxy serveru DNS dnsSettings
explicitProxy Definice explicitního nastavení proxy serveru ExplicitProxy
vhledy Přehledy o zásadách brány firewall firewallPolicyInsights
vniknutíDetection Konfigurace detekce neoprávněných vniknutí. firewallPolicyIntrusionDetection
sku Skladová položka zásad brány firewall. firewallPolicySku
snat Privátní IP adresy nebo rozsahy IP adres, do kterých nebude provoz SNAT. firewallPolicySnat
sql Definice nastavení SQL firewallPolicySQL
threatIntelMode Režim operace analýzy hrozeb. Výstraha
"Odepřít"
"Vypnuto"
threatIntelWhitelist Seznam povolených hrozeb pro zásady brány firewall firewallPolicyThreatIntelWhitelist
transportSecurity Definice konfigurace protokolu TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Jméno Popis Hodnota
úroveň Úroveň zásad brány firewall "Základní"
Premium
"Standardní"

FirewallPolicySnat

Jméno Popis Hodnota
autoLearnPrivateRanges Režim provozu pro automatické učení privátních rozsahů, které nejsou SNAT Zakázáno
Povoleno
privateRanges Seznam privátních IP adres nebo rozsahů IP adres, které nemají být SNAT. string[]

FirewallPolicySQL

Jméno Popis Hodnota
allowSqlRedirect Příznak označující, jestli je povolené filtrování provozu PŘESMĚROVÁNÍ SQL. Zapnutí příznaku nevyžaduje žádné pravidlo používající port 11000–11999. Bool

FirewallPolicyThreatIntelWhitelist

Jméno Popis Hodnota
Plně kvalifikované názvy domén Seznam plně kvalifikovanýchnázvůch string[]
ipAddresses Seznam IP adres pro seznam povolených řešení ThreatIntel string[]

FirewallPolicyTransportSecurity

Jméno Popis Hodnota
certificateAuthority Certifikační autorita použitá pro generování zprostředkující certifikační autority. firewallPolicyCertificateAuthority

ManagedServiceIdentity

Jméno Popis Hodnota
typ Typ identity používané pro prostředek. Typ SystemAssigned, UserAssigned zahrnuje implicitně vytvořenou identitu i sadu identit přiřazených uživatelem. Typ None odebere všechny identity z virtuálního počítače. None (Žádný)
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned
userAssignedIdentities Seznam identit uživatelů přidružených k prostředku. Odkazy na klíč slovníku identit uživatele budou ID prostředků ARM ve formátu: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Jméno Popis Hodnota

Microsoft.Network/firewallPolicies

Jméno Popis Hodnota
identita Identita zásad brány firewall. ManagedServiceIdentity
umístění Umístění prostředku řetězec
Jméno Název prostředku string (povinné)
vlastnosti Vlastnosti zásad brány firewall firewallPolicyPropertiesFormat
visačky Značky prostředků Slovník názvů a hodnot značek
typ Typ prostředku Microsoft.Network/firewallPolicies@2024-05-01

Značky prostředků

Jméno Popis Hodnota

Podsourc

Jméno Popis Hodnota
id ID prostředku. řetězec