Microsoft.Network firewallPolicies 2023-11-01
- dernière
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Définition de ressource Bicep
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-11-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Valeurs de propriété
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Nom | Description | Valeur |
---|
DnsSettings
Nom | Description | Valeur |
---|---|---|
enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | Bool |
requireProxyForNetworkRules | Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. | Bool |
Serveurs | Liste des serveurs DNS personnalisés. | string[] |
ExplicitProxy
Nom | Description | Valeur |
---|---|---|
enableExplicitProxy | Quand la valeur est true, le mode proxy explicite est activé. | Bool |
enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | Bool |
httpPort | Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
httpsPort | Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
pacFile | URL SAS pour le fichier PAC. | corde |
pacFilePort | Numéro de port pour que le pare-feu serve le fichier PAC. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyCertificateAuthority
Nom | Description | Valeur |
---|---|---|
keyVaultSecretId | ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. | corde |
nom | Nom du certificat d’autorité de certification. | corde |
FirewallPolicyInsights
Nom | Description | Valeur |
---|---|---|
isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | Bool |
logAnalyticsResources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | FirewallPolicyLogAnalyticsResources |
retentionDays | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | Int |
FirewallPolicyIntrusionDetection
Nom | Description | Valeur |
---|---|---|
configuration | Propriétés de configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetectionConfiguration |
mode | État général de la détection des intrusions. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode plus strict des deux. | 'Alerte' 'Refuser' 'Off' |
profil | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom du profil de la stratégie parente. | 'Avancé' 'De base' 'Étendu' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Nom | Description | Valeur |
---|---|---|
description | Description de la règle de contournement du trafic. | corde |
destinationAddresses | Liste des adresses IP ou plages de destination pour cette règle. | string[] |
destinationIpGroups | Liste des IpGroups de destination pour cette règle. | string[] |
destinationPorts | Liste des ports ou plages de destination. | string[] |
nom | Nom de la règle de contournement du trafic. | corde |
protocole | Protocole de contournement de la règle. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Liste des adresses IP ou plages sources pour cette règle. | string[] |
sourceIpGroups | Liste des IpGroups sources pour cette règle. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Nom | Description | Valeur |
---|---|---|
bypassTrafficSettings | Liste des règles pour le trafic à contourner. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | string[] |
signatureOverrides | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Nom | Description | Valeur |
---|---|---|
id | ID de signature. | corde |
mode | État de signature. | 'Alerte' 'Refuser' 'Off' |
FirewallPolicyLogAnalyticsResources
Nom | Description | Valeur |
---|---|---|
defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | SubResource |
espaces de travail | Liste des espaces de travail pour Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nom | Description | Valeur |
---|---|---|
région | Région pour configurer l’espace de travail. | corde |
workspaceId | ID d’espace de travail pour Firewall Policy Insights. | SubResource |
FirewallPolicyPropertiesFormat
Nom | Description | Valeur |
---|---|---|
basePolicy | Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. | SubResource |
dnsSettings | Définition des paramètres du proxy DNS. | dnsSettings |
explicitProxy | Définition explicite des paramètres du proxy. | ExplicitProxy |
Idées | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
intrusionDetection | Configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetection |
Sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySku |
snat | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
SQL | Définition des paramètres SQL. | FirewallPolicySQL |
threatIntelMode | Mode d’opération pour Threat Intelligence. | 'Alerte' 'Refuser' 'Off' |
threatIntelWhitelist | Liste verte ThreatIntel pour la stratégie de pare-feu. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Définition de configuration TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Nom | Description | Valeur |
---|---|---|
niveau | Niveau de stratégie de pare-feu. | 'De base' 'Premium' 'Standard' |
FirewallPolicySnat
Nom | Description | Valeur |
---|---|---|
autoLearnPrivateRanges | Mode d’opération pour apprendre automatiquement les plages privées à ne pas être SNAT | 'Désactivé' 'Activé' |
privateRanges | Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. | string[] |
FirewallPolicySQL
Nom | Description | Valeur |
---|---|---|
allowSqlRedirect | Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Nom | Description | Valeur |
---|---|---|
fqdns | Liste des noms de domaine complets pour la liste verte ThreatIntel. | string[] |
ipAddresses | Liste des adresses IP de la liste verte ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Nom | Description | Valeur |
---|---|---|
certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
Nom | Description | Valeur |
---|---|---|
type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nom | Description | Valeur |
---|
Microsoft.Network/firewallPolicies
Nom | Description | Valeur |
---|---|---|
identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
emplacement | Emplacement des ressources. | corde |
nom | Nom de la ressource | chaîne (obligatoire) |
Propriétés | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
ResourceTags
Nom | Description | Valeur |
---|
Sous-ressource
Nom | Description | Valeur |
---|---|---|
id | ID de ressource. | corde |
Exemples de démarrage rapide
Les exemples de démarrage rapide suivants déploient ce type de ressource.
Fichier Bicep | Description |
---|---|
créer un pare-feu et FirewallPolicy avec des règles et des ipgroups | Ce modèle déploie un pare-feu Azure avec la stratégie de pare-feu (y compris plusieurs règles d’application et de réseau) référençant les groupes IP dans les règles d’application et de réseau. |
hubs virtuels sécurisés | Ce modèle crée un hub virtuel sécurisé à l’aide du Pare-feu Azure pour sécuriser votre trafic réseau cloud destiné à Internet. |
abonnement SharePoint / 2019 / 2016 entièrement configuré | Créez un contrôleur de domaine, un serveur SQL Server 2022 et de 1 à 5 serveurs hébergeant un abonnement SharePoint / 2019 / 2016 avec une configuration étendue, notamment l’authentification approuvée, les profils utilisateur avec des sites personnels, une approbation OAuth (à l’aide d’un certificat), un site IIS dédié pour l’hébergement de compléments à haut niveau de fiabilité, etc. La dernière version des logiciels clés (y compris Fiddler, vscode, np++, 7zip, ULS Viewer) est installée. Les machines SharePoint disposent d’un réglage précis supplémentaire pour les rendre immédiatement utilisables (outils d’administration à distance, stratégies personnalisées pour Edge et Chrome, raccourcis, etc.). |
environnement de test pour le pare-feu Azure Premium | Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
utiliser le Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke | Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
Définition de ressource de modèle ARM
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
- groupes de ressources - Consultez commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-11-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Valeurs de propriété
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Nom | Description | Valeur |
---|
DnsSettings
Nom | Description | Valeur |
---|---|---|
enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | Bool |
requireProxyForNetworkRules | Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. | Bool |
Serveurs | Liste des serveurs DNS personnalisés. | string[] |
ExplicitProxy
Nom | Description | Valeur |
---|---|---|
enableExplicitProxy | Quand la valeur est true, le mode proxy explicite est activé. | Bool |
enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | Bool |
httpPort | Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
httpsPort | Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
pacFile | URL SAS pour le fichier PAC. | corde |
pacFilePort | Numéro de port pour que le pare-feu serve le fichier PAC. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyCertificateAuthority
Nom | Description | Valeur |
---|---|---|
keyVaultSecretId | ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. | corde |
nom | Nom du certificat d’autorité de certification. | corde |
FirewallPolicyInsights
Nom | Description | Valeur |
---|---|---|
isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | Bool |
logAnalyticsResources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | FirewallPolicyLogAnalyticsResources |
retentionDays | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | Int |
FirewallPolicyIntrusionDetection
Nom | Description | Valeur |
---|---|---|
configuration | Propriétés de configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetectionConfiguration |
mode | État général de la détection des intrusions. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode plus strict des deux. | 'Alerte' 'Refuser' 'Off' |
profil | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom du profil de la stratégie parente. | 'Avancé' 'De base' 'Étendu' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Nom | Description | Valeur |
---|---|---|
description | Description de la règle de contournement du trafic. | corde |
destinationAddresses | Liste des adresses IP ou plages de destination pour cette règle. | string[] |
destinationIpGroups | Liste des IpGroups de destination pour cette règle. | string[] |
destinationPorts | Liste des ports ou plages de destination. | string[] |
nom | Nom de la règle de contournement du trafic. | corde |
protocole | Protocole de contournement de la règle. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Liste des adresses IP ou plages sources pour cette règle. | string[] |
sourceIpGroups | Liste des IpGroups sources pour cette règle. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Nom | Description | Valeur |
---|---|---|
bypassTrafficSettings | Liste des règles pour le trafic à contourner. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | string[] |
signatureOverrides | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Nom | Description | Valeur |
---|---|---|
id | ID de signature. | corde |
mode | État de signature. | 'Alerte' 'Refuser' 'Off' |
FirewallPolicyLogAnalyticsResources
Nom | Description | Valeur |
---|---|---|
defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | SubResource |
espaces de travail | Liste des espaces de travail pour Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nom | Description | Valeur |
---|---|---|
région | Région pour configurer l’espace de travail. | corde |
workspaceId | ID d’espace de travail pour Firewall Policy Insights. | SubResource |
FirewallPolicyPropertiesFormat
Nom | Description | Valeur |
---|---|---|
basePolicy | Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. | SubResource |
dnsSettings | Définition des paramètres du proxy DNS. | dnsSettings |
explicitProxy | Définition explicite des paramètres du proxy. | ExplicitProxy |
Idées | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
intrusionDetection | Configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetection |
Sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySku |
snat | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
SQL | Définition des paramètres SQL. | FirewallPolicySQL |
threatIntelMode | Mode d’opération pour Threat Intelligence. | 'Alerte' 'Refuser' 'Off' |
threatIntelWhitelist | Liste verte ThreatIntel pour la stratégie de pare-feu. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Définition de configuration TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Nom | Description | Valeur |
---|---|---|
niveau | Niveau de stratégie de pare-feu. | 'De base' 'Premium' 'Standard' |
FirewallPolicySnat
Nom | Description | Valeur |
---|---|---|
autoLearnPrivateRanges | Mode d’opération pour apprendre automatiquement les plages privées à ne pas être SNAT | 'Désactivé' 'Activé' |
privateRanges | Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. | string[] |
FirewallPolicySQL
Nom | Description | Valeur |
---|---|---|
allowSqlRedirect | Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Nom | Description | Valeur |
---|---|---|
fqdns | Liste des noms de domaine complets pour la liste verte ThreatIntel. | string[] |
ipAddresses | Liste des adresses IP de la liste verte ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Nom | Description | Valeur |
---|---|---|
certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
Nom | Description | Valeur |
---|---|---|
type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nom | Description | Valeur |
---|
Microsoft.Network/firewallPolicies
Nom | Description | Valeur |
---|---|---|
apiVersion | Version de l’API | '2023-11-01' |
identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
emplacement | Emplacement des ressources. | corde |
nom | Nom de la ressource | chaîne (obligatoire) |
Propriétés | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
type | Type de ressource | 'Microsoft.Network/firewallPolicies' |
ResourceTags
Nom | Description | Valeur |
---|
Sous-ressource
Nom | Description | Valeur |
---|---|---|
id | ID de ressource. | corde |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
Modèle | Description |
---|---|
créer un pare-feu et FirewallPolicy avec des règles et des ipgroups |
Ce modèle déploie un pare-feu Azure avec la stratégie de pare-feu (y compris plusieurs règles d’application et de réseau) référençant les groupes IP dans les règles d’application et de réseau. |
créer un pare-feu avec FirewallPolicy et IpGroups |
Ce modèle crée un pare-feu Azure avec FirewalllPolicy référençant des règles réseau avec IpGroups. Inclut également une configuration de machine virtuelle Linux Jumpbox |
créer un pare-feu, FirewallPolicy avec proxy explicite |
Ce modèle crée un pare-feu Azure, FirewalllPolicy avec un proxy explicite et des règles de réseau avec IpGroups. Inclut également une configuration de machine virtuelle Linux Jumpbox |
Créer une configuration de bac à sable avec la stratégie de pare-feu |
Ce modèle crée un réseau virtuel avec 3 sous-réseaux (sous-réseau de serveur, sous-ensemble de jumpbox et sous-réseau AzureFirewall), une machine virtuelle de jumpbox avec une adresse IP publique, une machine virtuelle de serveur, une route UDR pour pointer vers le pare-feu Azure pour le sous-réseau du serveur et un pare-feu Azure avec 1 ou plusieurs adresses IP publiques. Crée également une stratégie de pare-feu avec 1 exemple de règle d’application, 1 exemple de règle réseau et plages privées par défaut |
hubs virtuels sécurisés |
Ce modèle crée un hub virtuel sécurisé à l’aide du Pare-feu Azure pour sécuriser votre trafic réseau cloud destiné à Internet. |
abonnement SharePoint / 2019 / 2016 entièrement configuré |
Créez un contrôleur de domaine, un serveur SQL Server 2022 et de 1 à 5 serveurs hébergeant un abonnement SharePoint / 2019 / 2016 avec une configuration étendue, notamment l’authentification approuvée, les profils utilisateur avec des sites personnels, une approbation OAuth (à l’aide d’un certificat), un site IIS dédié pour l’hébergement de compléments à haut niveau de fiabilité, etc. La dernière version des logiciels clés (y compris Fiddler, vscode, np++, 7zip, ULS Viewer) est installée. Les machines SharePoint disposent d’un réglage précis supplémentaire pour les rendre immédiatement utilisables (outils d’administration à distance, stratégies personnalisées pour Edge et Chrome, raccourcis, etc.). |
environnement de test pour le pare-feu Azure Premium |
Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
utiliser le Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke |
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
- groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-11-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Valeurs de propriété
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Nom | Description | Valeur |
---|
DnsSettings
Nom | Description | Valeur |
---|---|---|
enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | Bool |
requireProxyForNetworkRules | Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. | Bool |
Serveurs | Liste des serveurs DNS personnalisés. | string[] |
ExplicitProxy
Nom | Description | Valeur |
---|---|---|
enableExplicitProxy | Quand la valeur est true, le mode proxy explicite est activé. | Bool |
enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | Bool |
httpPort | Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
httpsPort | Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
pacFile | URL SAS pour le fichier PAC. | corde |
pacFilePort | Numéro de port pour que le pare-feu serve le fichier PAC. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyCertificateAuthority
Nom | Description | Valeur |
---|---|---|
keyVaultSecretId | ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. | corde |
nom | Nom du certificat d’autorité de certification. | corde |
FirewallPolicyInsights
Nom | Description | Valeur |
---|---|---|
isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | Bool |
logAnalyticsResources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | FirewallPolicyLogAnalyticsResources |
retentionDays | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | Int |
FirewallPolicyIntrusionDetection
Nom | Description | Valeur |
---|---|---|
configuration | Propriétés de configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetectionConfiguration |
mode | État général de la détection des intrusions. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode plus strict des deux. | 'Alerte' 'Refuser' 'Off' |
profil | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom du profil de la stratégie parente. | 'Avancé' 'De base' 'Étendu' 'Standard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Nom | Description | Valeur |
---|---|---|
description | Description de la règle de contournement du trafic. | corde |
destinationAddresses | Liste des adresses IP ou plages de destination pour cette règle. | string[] |
destinationIpGroups | Liste des IpGroups de destination pour cette règle. | string[] |
destinationPorts | Liste des ports ou plages de destination. | string[] |
nom | Nom de la règle de contournement du trafic. | corde |
protocole | Protocole de contournement de la règle. | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Liste des adresses IP ou plages sources pour cette règle. | string[] |
sourceIpGroups | Liste des IpGroups sources pour cette règle. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Nom | Description | Valeur |
---|---|---|
bypassTrafficSettings | Liste des règles pour le trafic à contourner. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | string[] |
signatureOverrides | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Nom | Description | Valeur |
---|---|---|
id | ID de signature. | corde |
mode | État de signature. | 'Alerte' 'Refuser' 'Off' |
FirewallPolicyLogAnalyticsResources
Nom | Description | Valeur |
---|---|---|
defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | SubResource |
espaces de travail | Liste des espaces de travail pour Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Nom | Description | Valeur |
---|---|---|
région | Région pour configurer l’espace de travail. | corde |
workspaceId | ID d’espace de travail pour Firewall Policy Insights. | SubResource |
FirewallPolicyPropertiesFormat
Nom | Description | Valeur |
---|---|---|
basePolicy | Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. | SubResource |
dnsSettings | Définition des paramètres du proxy DNS. | dnsSettings |
explicitProxy | Définition explicite des paramètres du proxy. | ExplicitProxy |
Idées | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
intrusionDetection | Configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetection |
Sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySku |
snat | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
SQL | Définition des paramètres SQL. | FirewallPolicySQL |
threatIntelMode | Mode d’opération pour Threat Intelligence. | 'Alerte' 'Refuser' 'Off' |
threatIntelWhitelist | Liste verte ThreatIntel pour la stratégie de pare-feu. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | Définition de configuration TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Nom | Description | Valeur |
---|---|---|
niveau | Niveau de stratégie de pare-feu. | 'De base' 'Premium' 'Standard' |
FirewallPolicySnat
Nom | Description | Valeur |
---|---|---|
autoLearnPrivateRanges | Mode d’opération pour apprendre automatiquement les plages privées à ne pas être SNAT | 'Désactivé' 'Activé' |
privateRanges | Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. | string[] |
FirewallPolicySQL
Nom | Description | Valeur |
---|---|---|
allowSqlRedirect | Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Nom | Description | Valeur |
---|---|---|
fqdns | Liste des noms de domaine complets pour la liste verte ThreatIntel. | string[] |
ipAddresses | Liste des adresses IP de la liste verte ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
Nom | Description | Valeur |
---|---|---|
certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
Nom | Description | Valeur |
---|---|---|
type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
userAssignedIdentities | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Nom | Description | Valeur |
---|
Microsoft.Network/firewallPolicies
Nom | Description | Valeur |
---|---|---|
identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
emplacement | Emplacement des ressources. | corde |
nom | Nom de la ressource | chaîne (obligatoire) |
Propriétés | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. |
type | Type de ressource | « Microsoft.Network/firewallPolicies@2023-11-01 » |
ResourceTags
Nom | Description | Valeur |
---|
Sous-ressource
Nom | Description | Valeur |
---|---|---|
id | ID de ressource. | corde |