다음을 통해 공유


Microsoft.Network firewallPolicies 2021-03-01

Bicep 리소스 정의

firewallPolicies 리소스 종류는 다음을 대상으로 하는 작업으로 배포할 수 있습니다.

각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.

리소스 형식

Microsoft.Network/firewallPolicies 리소스를 만들려면 템플릿에 다음 Bicep을 추가합니다.

resource symbolicname 'Microsoft.Network/firewallPolicies@2021-03-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxySettings: {
      enableExplicitProxy: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

속성 값

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

이름 묘사

DnsSettings

이름 묘사
enableProxy 방화벽 정책에 연결된 방화벽에서 DNS 프록시를 사용하도록 설정합니다. bool
requireProxyForNetworkRules 네트워크 규칙의 FQDN은 true로 설정하면 지원됩니다. bool
서버 사용자 지정 DNS 서버 목록입니다. string[]

ExplicitProxySettings

이름 묘사
enableExplicitProxy true로 설정하면 명시적 프록시 모드가 활성화됩니다. bool
httpPort 명시적 프록시 http 프로토콜의 포트 번호는 64000보다 클 수 없습니다. int

제약 조건:
최소값 = 0
최대값 = 64000
httpsPort 명시적 프록시 https 프로토콜의 포트 번호는 64000보다 클 수 없습니다. int

제약 조건:
최소값 = 0
최대값 = 64000
pacFile PAC 파일의 SAS URL입니다. 문자열
pacFilePort PAC 파일을 제공하는 방화벽의 포트 번호입니다. int

제약 조건:
최소값 = 0
최대값 = 64000

FirewallPolicyCertificateAuthority

이름 묘사
keyVaultSecretId KeyVault에 저장된 'Secret' 또는 'Certificate' 개체의 비밀 ID(base-64로 인코딩되지 않은 암호화되지 않은 pfx) 문자열
이름 CA 인증서의 이름입니다. 문자열

FirewallPolicyInsights

이름 묘사
isEnabled 정책에서 인사이트를 사용할 수 있는지 여부를 나타내는 플래그입니다. bool
logAnalyticsResources 방화벽 정책 인사이트를 구성하는 데 필요한 작업 영역입니다. FirewallPolicyLogAnalyticsResources
retentionDays 정책에서 인사이트를 사용하도록 설정해야 하는 일 수입니다. int

FirewallPolicyIntrusionDetection

이름 묘사
구성 침입 검색 구성 속성입니다. FirewallPolicyIntrusionDetectionConfiguration
모드 침입 감지 일반 상태입니다. '경고'
'거부'
'Off'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

이름 묘사
묘사 트래픽 우회 규칙에 대한 설명입니다. 문자열
destinationAddresses 이 규칙의 대상 IP 주소 또는 범위 목록입니다. string[]
destinationIpGroups 이 규칙의 대상 IpGroup 목록입니다. string[]
destinationPorts 대상 포트 또는 범위 목록입니다. string[]
이름 바이패스 트래픽 규칙의 이름입니다. 문자열
프로토콜 규칙 바이패스 프로토콜입니다. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses 이 규칙의 원본 IP 주소 또는 범위 목록입니다. string[]
sourceIpGroups 이 규칙의 원본 IpGroup 목록입니다. string[]

FirewallPolicyIntrusionDetectionConfiguration

이름 묘사
bypassTrafficSettings 바이패스할 트래픽에 대한 규칙 목록입니다. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
signatureOverrides 특정 서명 상태 목록입니다. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

이름 묘사
아이디 서명 ID입니다. 문자열
모드 서명 상태입니다. '경고'
'거부'
'Off'

FirewallPolicyLogAnalyticsResources

이름 묘사
defaultWorkspaceId 방화벽 정책 인사이트의 기본 작업 영역 ID입니다. SubResource
작업 영역 방화벽 정책 인사이트에 대한 작업 영역 목록입니다. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

이름 묘사
부위 작업 영역을 구성할 지역입니다. 문자열
workspaceId 방화벽 정책 인사이트의 작업 영역 ID입니다. SubResource

FirewallPolicyPropertiesFormat

이름 묘사
basePolicy 규칙이 상속되는 부모 방화벽 정책입니다. SubResource
dnsSettings DNS 프록시 설정 정의입니다. dnsSettings
explicitProxySettings 명시적 프록시 설정 정의입니다. explicitProxySettings
통찰력 방화벽 정책에 대한 인사이트. FirewallPolicyInsights
intrusionDetection 침입 검색에 대한 구성입니다. FirewallPolicyIntrusionDetection
sku 방화벽 정책 SKU입니다. FirewallPolicySku
snat 트래픽이 SNAT가 아닌 개인 IP 주소/IP 범위입니다. FirewallPolicySnat
sql SQL 설정 정의입니다. FirewallPolicySQL
threatIntelMode 위협 인텔리전스의 작업 모드입니다. '경고'
'거부'
'Off'
threatIntelWhitelist 방화벽 정책에 대한 ThreatIntel 허용 목록입니다. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS 구성 정의입니다. FirewallPolicyTransportSecurity

FirewallPolicySku

이름 묘사
계층 방화벽 정책 계층입니다. '프리미엄'
'Standard'

FirewallPolicySnat

이름 묘사
privateRanges SNAT가 아닌 개인 IP 주소/IP 주소 범위 목록입니다. string[]

FirewallPolicySQL

이름 묘사
allowSqlRedirect SQL 리디렉션 트래픽 필터링을 사용할 수 있는지 여부를 나타내는 플래그입니다. 플래그를 켜려면 포트 11000-11999를 사용하는 규칙이 필요하지 않습니다. bool

FirewallPolicyThreatIntelWhitelist

이름 묘사
fqdns ThreatIntel 허용 목록에 대한 FQDN 목록입니다. string[]
ipAddresses ThreatIntel 허용 목록에 대한 IP 주소 목록입니다. string[]

FirewallPolicyTransportSecurity

이름 묘사
certificateAuthority 중간 CA 생성에 사용되는 CA입니다. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

이름 묘사
리소스에 사용되는 ID의 형식입니다. 'SystemAssigned, UserAssigned' 형식에는 암시적으로 생성된 ID와 사용자 할당 ID 집합이 모두 포함됩니다. 'None' 형식은 가상 머신에서 모든 ID를 제거합니다. 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities 리소스와 연결된 사용자 ID 목록입니다. 사용자 ID 사전 키 참조는 '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' 형식의 ARM 리소스 ID입니다. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

이름 묘사

Microsoft.Network/firewallPolicies

이름 묘사
신원 방화벽 정책의 ID입니다. ManagedServiceIdentity
위치 리소스 위치입니다. 문자열
이름 리소스 이름 string(필수)
속성 방화벽 정책의 속성입니다. FirewallPolicyPropertiesFormat
태그 리소스 태그 태그 이름 및 값의 사전입니다. 템플릿 태그를 참조하세요.

ResourceTags

이름 묘사

SubResource

이름 묘사
아이디 리소스 ID입니다. 문자열

빠른 시작 샘플

다음 빠른 시작 샘플은 이 리소스 유형을 배포합니다.

Bicep 파일 묘사
규칙 및 ipgroups 사용하여 방화벽 및 FirewallPolicy 만들기 이 템플릿은 애플리케이션 및 네트워크 규칙의 IP 그룹을 참조하는 방화벽 정책(여러 애플리케이션 및 네트워크 규칙 포함)이 있는 Azure Firewall을 배포합니다.
보안 가상 허브 이 템플릿은 Azure Firewall을 사용하여 보안 가상 허브를 만들어 인터넷으로 향하는 클라우드 네트워크 트래픽을 보호합니다.
SharePoint 구독/2019/2016 완전히 구성된 신뢰할 수 있는 인증, 개인 사이트의 사용자 프로필, OAuth 트러스트(인증서 사용), 높은 신뢰 추가 기능을 호스팅하기 위한 전용 IIS 사이트 등 광범위한 구성으로 SharePoint 구독/2019/2016 팜을 호스트하는 DC, SQL Server 2022 및 1~5개 서버를 만듭니다. 최신 버전의 주요 소프트웨어(Fiddler, vscode, np++, 7zip, ULS Viewer 포함)가 설치됩니다. SharePoint 머신에는 즉시 사용할 수 있도록 추가 미세 조정이 있습니다(원격 관리 도구, Edge 및 Chrome에 대한 사용자 지정 정책, 바로 가기 등).
Azure Firewall Premium 대한 테스트 환경 이 템플릿은 IDPS(침입 검사 검색), TLS 검사 및 웹 범주 필터링과 같은 프리미엄 기능을 사용하여 Azure Firewall 프리미엄 및 방화벽 정책을 만듭니다.
허브 & 스포크 토폴로지 Azure Firewall을 DNS 프록시로 사용 이 샘플에서는 Azure Firewall을 사용하여 Azure에서 허브-스포크 토폴로지를 배포하는 방법을 보여 줍니다. 허브 가상 네트워크는 가상 네트워크 피어링을 통해 허브 가상 네트워크에 연결된 많은 스포크 가상 네트워크에 대한 연결의 중심 지점 역할을 합니다.

ARM 템플릿 리소스 정의

firewallPolicies 리소스 종류는 다음을 대상으로 하는 작업으로 배포할 수 있습니다.

각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.

리소스 형식

Microsoft.Network/firewallPolicies 리소스를 만들려면 템플릿에 다음 JSON을 추가합니다.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2021-03-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxySettings": {
      "enableExplicitProxy": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

속성 값

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

이름 묘사

DnsSettings

이름 묘사
enableProxy 방화벽 정책에 연결된 방화벽에서 DNS 프록시를 사용하도록 설정합니다. bool
requireProxyForNetworkRules 네트워크 규칙의 FQDN은 true로 설정하면 지원됩니다. bool
서버 사용자 지정 DNS 서버 목록입니다. string[]

ExplicitProxySettings

이름 묘사
enableExplicitProxy true로 설정하면 명시적 프록시 모드가 활성화됩니다. bool
httpPort 명시적 프록시 http 프로토콜의 포트 번호는 64000보다 클 수 없습니다. int

제약 조건:
최소값 = 0
최대값 = 64000
httpsPort 명시적 프록시 https 프로토콜의 포트 번호는 64000보다 클 수 없습니다. int

제약 조건:
최소값 = 0
최대값 = 64000
pacFile PAC 파일의 SAS URL입니다. 문자열
pacFilePort PAC 파일을 제공하는 방화벽의 포트 번호입니다. int

제약 조건:
최소값 = 0
최대값 = 64000

FirewallPolicyCertificateAuthority

이름 묘사
keyVaultSecretId KeyVault에 저장된 'Secret' 또는 'Certificate' 개체의 비밀 ID(base-64로 인코딩되지 않은 암호화되지 않은 pfx) 문자열
이름 CA 인증서의 이름입니다. 문자열

FirewallPolicyInsights

이름 묘사
isEnabled 정책에서 인사이트를 사용할 수 있는지 여부를 나타내는 플래그입니다. bool
logAnalyticsResources 방화벽 정책 인사이트를 구성하는 데 필요한 작업 영역입니다. FirewallPolicyLogAnalyticsResources
retentionDays 정책에서 인사이트를 사용하도록 설정해야 하는 일 수입니다. int

FirewallPolicyIntrusionDetection

이름 묘사
구성 침입 검색 구성 속성입니다. FirewallPolicyIntrusionDetectionConfiguration
모드 침입 감지 일반 상태입니다. '경고'
'거부'
'Off'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

이름 묘사
묘사 트래픽 우회 규칙에 대한 설명입니다. 문자열
destinationAddresses 이 규칙의 대상 IP 주소 또는 범위 목록입니다. string[]
destinationIpGroups 이 규칙의 대상 IpGroup 목록입니다. string[]
destinationPorts 대상 포트 또는 범위 목록입니다. string[]
이름 바이패스 트래픽 규칙의 이름입니다. 문자열
프로토콜 규칙 바이패스 프로토콜입니다. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses 이 규칙의 원본 IP 주소 또는 범위 목록입니다. string[]
sourceIpGroups 이 규칙의 원본 IpGroup 목록입니다. string[]

FirewallPolicyIntrusionDetectionConfiguration

이름 묘사
bypassTrafficSettings 바이패스할 트래픽에 대한 규칙 목록입니다. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
signatureOverrides 특정 서명 상태 목록입니다. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

이름 묘사
아이디 서명 ID입니다. 문자열
모드 서명 상태입니다. '경고'
'거부'
'Off'

FirewallPolicyLogAnalyticsResources

이름 묘사
defaultWorkspaceId 방화벽 정책 인사이트의 기본 작업 영역 ID입니다. SubResource
작업 영역 방화벽 정책 인사이트에 대한 작업 영역 목록입니다. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

이름 묘사
부위 작업 영역을 구성할 지역입니다. 문자열
workspaceId 방화벽 정책 인사이트의 작업 영역 ID입니다. SubResource

FirewallPolicyPropertiesFormat

이름 묘사
basePolicy 규칙이 상속되는 부모 방화벽 정책입니다. SubResource
dnsSettings DNS 프록시 설정 정의입니다. dnsSettings
explicitProxySettings 명시적 프록시 설정 정의입니다. explicitProxySettings
통찰력 방화벽 정책에 대한 인사이트. FirewallPolicyInsights
intrusionDetection 침입 검색에 대한 구성입니다. FirewallPolicyIntrusionDetection
sku 방화벽 정책 SKU입니다. FirewallPolicySku
snat 트래픽이 SNAT가 아닌 개인 IP 주소/IP 범위입니다. FirewallPolicySnat
sql SQL 설정 정의입니다. FirewallPolicySQL
threatIntelMode 위협 인텔리전스의 작업 모드입니다. '경고'
'거부'
'Off'
threatIntelWhitelist 방화벽 정책에 대한 ThreatIntel 허용 목록입니다. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS 구성 정의입니다. FirewallPolicyTransportSecurity

FirewallPolicySku

이름 묘사
계층 방화벽 정책 계층입니다. '프리미엄'
'Standard'

FirewallPolicySnat

이름 묘사
privateRanges SNAT가 아닌 개인 IP 주소/IP 주소 범위 목록입니다. string[]

FirewallPolicySQL

이름 묘사
allowSqlRedirect SQL 리디렉션 트래픽 필터링을 사용할 수 있는지 여부를 나타내는 플래그입니다. 플래그를 켜려면 포트 11000-11999를 사용하는 규칙이 필요하지 않습니다. bool

FirewallPolicyThreatIntelWhitelist

이름 묘사
fqdns ThreatIntel 허용 목록에 대한 FQDN 목록입니다. string[]
ipAddresses ThreatIntel 허용 목록에 대한 IP 주소 목록입니다. string[]

FirewallPolicyTransportSecurity

이름 묘사
certificateAuthority 중간 CA 생성에 사용되는 CA입니다. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

이름 묘사
리소스에 사용되는 ID의 형식입니다. 'SystemAssigned, UserAssigned' 형식에는 암시적으로 생성된 ID와 사용자 할당 ID 집합이 모두 포함됩니다. 'None' 형식은 가상 머신에서 모든 ID를 제거합니다. 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities 리소스와 연결된 사용자 ID 목록입니다. 사용자 ID 사전 키 참조는 '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' 형식의 ARM 리소스 ID입니다. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

이름 묘사

Microsoft.Network/firewallPolicies

이름 묘사
apiVersion api 버전 '2021-03-01'
신원 방화벽 정책의 ID입니다. ManagedServiceIdentity
위치 리소스 위치입니다. 문자열
이름 리소스 이름 string(필수)
속성 방화벽 정책의 속성입니다. FirewallPolicyPropertiesFormat
태그 리소스 태그 태그 이름 및 값의 사전입니다. 템플릿 태그를 참조하세요.
리소스 종류 'Microsoft.Network/firewallPolicies'

ResourceTags

이름 묘사

SubResource

이름 묘사
아이디 리소스 ID입니다. 문자열

빠른 시작 템플릿

다음 빠른 시작 템플릿은 이 리소스 유형을 배포합니다.

템플렛 묘사
규칙 및 ipgroups 사용하여 방화벽 및 FirewallPolicy 만들기

Azure 배포
이 템플릿은 애플리케이션 및 네트워크 규칙의 IP 그룹을 참조하는 방화벽 정책(여러 애플리케이션 및 네트워크 규칙 포함)이 있는 Azure Firewall을 배포합니다.
FirewallPolicy 및 IpGroups 사용하여 방화벽 만들기

Azure 배포
이 템플릿은 IpGroups를 사용하여 네트워크 규칙을 참조하는 FirewalllPolicy를 사용하여 Azure Firewall을 만듭니다. 또한 Linux Jumpbox vm 설정도 포함됩니다.
명시적 프록시를 사용하여 방화벽, FirewallPolicy 만들기

Azure 배포
이 템플릿은 IpGroups를 사용하여 명시적 프록시 및 네트워크 규칙을 사용하여 Azure Firewall, FirewalllPolicy를 만듭니다. 또한 Linux Jumpbox vm 설정도 포함됩니다.
방화벽 정책 사용하여 샌드박스 설정 만들기

Azure 배포
이 템플릿은 3개의 서브넷(서버 서브넷, jumpbox subet 및 AzureFirewall 서브넷), 공용 IP가 있는 jumpbox VM, 서버 서브넷에 대한 Azure Firewall을 가리키는 UDR 경로 및 1개 이상의 공용 IP 주소가 있는 Azure Firewall을 사용하여 가상 네트워크를 만듭니다. 또한 1개의 샘플 애플리케이션 규칙, 1개의 샘플 네트워크 규칙 및 기본 프라이빗 범위를 사용하여 방화벽 정책을 만듭니다.
보안 가상 허브

Azure
배포
이 템플릿은 Azure Firewall을 사용하여 보안 가상 허브를 만들어 인터넷으로 향하는 클라우드 네트워크 트래픽을 보호합니다.
SharePoint 구독/2019/2016 완전히 구성된

Azure 배포
신뢰할 수 있는 인증, 개인 사이트의 사용자 프로필, OAuth 트러스트(인증서 사용), 높은 신뢰 추가 기능을 호스팅하기 위한 전용 IIS 사이트 등 광범위한 구성으로 SharePoint 구독/2019/2016 팜을 호스트하는 DC, SQL Server 2022 및 1~5개 서버를 만듭니다. 최신 버전의 주요 소프트웨어(Fiddler, vscode, np++, 7zip, ULS Viewer 포함)가 설치됩니다. SharePoint 머신에는 즉시 사용할 수 있도록 추가 미세 조정이 있습니다(원격 관리 도구, Edge 및 Chrome에 대한 사용자 지정 정책, 바로 가기 등).
Azure Firewall Premium 대한 테스트 환경

Azure
배포
이 템플릿은 IDPS(침입 검사 검색), TLS 검사 및 웹 범주 필터링과 같은 프리미엄 기능을 사용하여 Azure Firewall 프리미엄 및 방화벽 정책을 만듭니다.
허브 & 스포크 토폴로지 Azure Firewall을 DNS 프록시로 사용

Azure 배포
이 샘플에서는 Azure Firewall을 사용하여 Azure에서 허브-스포크 토폴로지를 배포하는 방법을 보여 줍니다. 허브 가상 네트워크는 가상 네트워크 피어링을 통해 허브 가상 네트워크에 연결된 많은 스포크 가상 네트워크에 대한 연결의 중심 지점 역할을 합니다.

Terraform(AzAPI 공급자) 리소스 정의

firewallPolicies 리소스 종류는 다음을 대상으로 하는 작업으로 배포할 수 있습니다.

  • 리소스 그룹

각 API 버전에서 변경된 속성 목록은 변경 로그참조하세요.

리소스 형식

Microsoft.Network/firewallPolicies 리소스를 만들려면 템플릿에 다음 Terraform을 추가합니다.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2021-03-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxySettings = {
        enableExplicitProxy = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
  tags = {
    {customized property} = "string"
  }
}

속성 값

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

이름 묘사

DnsSettings

이름 묘사
enableProxy 방화벽 정책에 연결된 방화벽에서 DNS 프록시를 사용하도록 설정합니다. bool
requireProxyForNetworkRules 네트워크 규칙의 FQDN은 true로 설정하면 지원됩니다. bool
서버 사용자 지정 DNS 서버 목록입니다. string[]

ExplicitProxySettings

이름 묘사
enableExplicitProxy true로 설정하면 명시적 프록시 모드가 활성화됩니다. bool
httpPort 명시적 프록시 http 프로토콜의 포트 번호는 64000보다 클 수 없습니다. int

제약 조건:
최소값 = 0
최대값 = 64000
httpsPort 명시적 프록시 https 프로토콜의 포트 번호는 64000보다 클 수 없습니다. int

제약 조건:
최소값 = 0
최대값 = 64000
pacFile PAC 파일의 SAS URL입니다. 문자열
pacFilePort PAC 파일을 제공하는 방화벽의 포트 번호입니다. int

제약 조건:
최소값 = 0
최대값 = 64000

FirewallPolicyCertificateAuthority

이름 묘사
keyVaultSecretId KeyVault에 저장된 'Secret' 또는 'Certificate' 개체의 비밀 ID(base-64로 인코딩되지 않은 암호화되지 않은 pfx) 문자열
이름 CA 인증서의 이름입니다. 문자열

FirewallPolicyInsights

이름 묘사
isEnabled 정책에서 인사이트를 사용할 수 있는지 여부를 나타내는 플래그입니다. bool
logAnalyticsResources 방화벽 정책 인사이트를 구성하는 데 필요한 작업 영역입니다. FirewallPolicyLogAnalyticsResources
retentionDays 정책에서 인사이트를 사용하도록 설정해야 하는 일 수입니다. int

FirewallPolicyIntrusionDetection

이름 묘사
구성 침입 검색 구성 속성입니다. FirewallPolicyIntrusionDetectionConfiguration
모드 침입 감지 일반 상태입니다. '경고'
'거부'
'Off'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

이름 묘사
묘사 트래픽 우회 규칙에 대한 설명입니다. 문자열
destinationAddresses 이 규칙의 대상 IP 주소 또는 범위 목록입니다. string[]
destinationIpGroups 이 규칙의 대상 IpGroup 목록입니다. string[]
destinationPorts 대상 포트 또는 범위 목록입니다. string[]
이름 바이패스 트래픽 규칙의 이름입니다. 문자열
프로토콜 규칙 바이패스 프로토콜입니다. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses 이 규칙의 원본 IP 주소 또는 범위 목록입니다. string[]
sourceIpGroups 이 규칙의 원본 IpGroup 목록입니다. string[]

FirewallPolicyIntrusionDetectionConfiguration

이름 묘사
bypassTrafficSettings 바이패스할 트래픽에 대한 규칙 목록입니다. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
signatureOverrides 특정 서명 상태 목록입니다. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

이름 묘사
아이디 서명 ID입니다. 문자열
모드 서명 상태입니다. '경고'
'거부'
'Off'

FirewallPolicyLogAnalyticsResources

이름 묘사
defaultWorkspaceId 방화벽 정책 인사이트의 기본 작업 영역 ID입니다. SubResource
작업 영역 방화벽 정책 인사이트에 대한 작업 영역 목록입니다. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

이름 묘사
부위 작업 영역을 구성할 지역입니다. 문자열
workspaceId 방화벽 정책 인사이트의 작업 영역 ID입니다. SubResource

FirewallPolicyPropertiesFormat

이름 묘사
basePolicy 규칙이 상속되는 부모 방화벽 정책입니다. SubResource
dnsSettings DNS 프록시 설정 정의입니다. dnsSettings
explicitProxySettings 명시적 프록시 설정 정의입니다. explicitProxySettings
통찰력 방화벽 정책에 대한 인사이트. FirewallPolicyInsights
intrusionDetection 침입 검색에 대한 구성입니다. FirewallPolicyIntrusionDetection
sku 방화벽 정책 SKU입니다. FirewallPolicySku
snat 트래픽이 SNAT가 아닌 개인 IP 주소/IP 범위입니다. FirewallPolicySnat
sql SQL 설정 정의입니다. FirewallPolicySQL
threatIntelMode 위협 인텔리전스의 작업 모드입니다. '경고'
'거부'
'Off'
threatIntelWhitelist 방화벽 정책에 대한 ThreatIntel 허용 목록입니다. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS 구성 정의입니다. FirewallPolicyTransportSecurity

FirewallPolicySku

이름 묘사
계층 방화벽 정책 계층입니다. '프리미엄'
'Standard'

FirewallPolicySnat

이름 묘사
privateRanges SNAT가 아닌 개인 IP 주소/IP 주소 범위 목록입니다. string[]

FirewallPolicySQL

이름 묘사
allowSqlRedirect SQL 리디렉션 트래픽 필터링을 사용할 수 있는지 여부를 나타내는 플래그입니다. 플래그를 켜려면 포트 11000-11999를 사용하는 규칙이 필요하지 않습니다. bool

FirewallPolicyThreatIntelWhitelist

이름 묘사
fqdns ThreatIntel 허용 목록에 대한 FQDN 목록입니다. string[]
ipAddresses ThreatIntel 허용 목록에 대한 IP 주소 목록입니다. string[]

FirewallPolicyTransportSecurity

이름 묘사
certificateAuthority 중간 CA 생성에 사용되는 CA입니다. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

이름 묘사
리소스에 사용되는 ID의 형식입니다. 'SystemAssigned, UserAssigned' 형식에는 암시적으로 생성된 ID와 사용자 할당 ID 집합이 모두 포함됩니다. 'None' 형식은 가상 머신에서 모든 ID를 제거합니다. 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities 리소스와 연결된 사용자 ID 목록입니다. 사용자 ID 사전 키 참조는 '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' 형식의 ARM 리소스 ID입니다. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

이름 묘사

Microsoft.Network/firewallPolicies

이름 묘사
신원 방화벽 정책의 ID입니다. ManagedServiceIdentity
위치 리소스 위치입니다. 문자열
이름 리소스 이름 string(필수)
속성 방화벽 정책의 속성입니다. FirewallPolicyPropertiesFormat
태그 리소스 태그 태그 이름 및 값의 사전입니다.
리소스 종류 "Microsoft.Network/firewallPolicies@2021-03-01"

ResourceTags

이름 묘사

SubResource

이름 묘사
아이디 리소스 ID입니다. 문자열