Delen via


Microsoft.Network firewallPolicies 2024-03-01

Bicep-resourcedefinitie

Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:

Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.

Resource-indeling

Als u een Resource Microsoft.Network/firewallPolicies wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.

resource symbolicname 'Microsoft.Network/firewallPolicies@2024-03-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
      profile: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Eigenschapswaarden

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Naam Beschrijving Waarde

DnsSettings

Naam Beschrijving Waarde
enableProxy Schakel DNS-proxy in voor firewalls die zijn gekoppeld aan het firewallbeleid. Bool
requireProxyForNetworkRules FQDN's in netwerkregels worden ondersteund wanneer deze is ingesteld op waar. Bool
Servers Lijst met aangepaste DNS-servers. tekenreeks[]

ExplicitProxy

Naam Beschrijving Waarde
enableExplicitProxy Als deze optie is ingesteld op true, wordt de expliciete proxymodus ingeschakeld. Bool
enablePacFile Als deze is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. Bool
httpPort Poortnummer voor expliciet http-protocol voor proxy mag niet groter zijn dan 64000. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000
httpsPort Poortnummer voor expliciet https-protocol proxy, mag niet groter zijn dan 64000. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000
pacFile SAS-URL voor PAC-bestand. snaar
pacFilePort Poortnummer voor firewall voor pac-bestand. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000

FirewallPolicyCertificateAuthority

Naam Beschrijving Waarde
keyVaultSecretId Geheime id van (base-64 gecodeerde niet-versleutelde pfx) 'Geheim' of 'Certificaat'-object dat is opgeslagen in KeyVault. snaar
naam Naam van het CA-certificaat. snaar

FirewallPolicyInsights

Naam Beschrijving Waarde
isEnabled Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. Bool
logAnalyticsResources Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. FirewallPolicyLogAnalyticsResources
retentionDays Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. Int

FirewallPolicyIntrusionDetection

Naam Beschrijving Waarde
configuratie Configuratie-eigenschappen voor inbraakdetectie. FirewallPolicyIntrusionDetectionConfiguration
wijze Algemene status van inbraakdetectie. Wanneer deze is gekoppeld aan een bovenliggend beleid, is de effectieve IDPS-modus van de firewall de strengere modus van de twee. 'Waarschuwing'
'Weigeren'
'Uit'
profiel IdPS-profielnaam. Wanneer het is gekoppeld aan een bovenliggend beleid, is het effectieve profielprofiel van de firewall de profielnaam van het bovenliggende beleid. 'Geavanceerd'
'Basis'
'Uitgebreid'
'Standaard'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Naam Beschrijving Waarde
beschrijving Beschrijving van de regel voor het overslaan van verkeer. snaar
destinationAddresses Lijst met doel-IP-adressen of -bereiken voor deze regel. tekenreeks[]
destinationIpGroups Lijst met doel-IpGroups voor deze regel. tekenreeks[]
destinationPorts Lijst met doelpoorten of -bereiken. tekenreeks[]
naam Naam van de regel voor het omzeilen van verkeer. snaar
protocol Het protocol voor het overslaan van regels. 'ANY'
ICMP
'TCP'
'UDP'
sourceAddresses Lijst met bron-IP-adressen of -bereiken voor deze regel. tekenreeks[]
sourceIpGroups Lijst met bron-IpGroups voor deze regel. tekenreeks[]

FirewallPolicyIntrusionDetectionConfiguration

Naam Beschrijving Waarde
bypassTrafficSettings Lijst met regels voor verkeer om te omzeilen. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS Private IP-adresbereiken worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap tekenreeks[]
signatureOverrides Lijst met specifieke handtekeningenstatussen. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Naam Beschrijving Waarde
legitimatiebewijs Handtekening-id. snaar
wijze De handtekeningstatus. 'Waarschuwing'
'Weigeren'
'Uit'

FirewallPolicyLogAnalyticsResources

Naam Beschrijving Waarde
defaultWorkspaceId De standaardwerkruimte-id voor Inzichten in firewallbeleid. SubResource-
werkruimten Lijst met werkruimten voor Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Naam Beschrijving Waarde
regio Regio voor het configureren van de werkruimte. snaar
workspaceId De werkruimte-id voor inzichten in firewallbeleid. SubResource-

FirewallPolicyPropertiesFormat

Naam Beschrijving Waarde
basePolicy Het bovenliggende firewallbeleid waaruit regels worden overgenomen. SubResource-
dnsSettings Definitie van DNS-proxyinstellingen. DnsSettings
explicitProxy Expliciete definitie van proxy-instellingen. ExplicitProxy-
Inzichten Inzichten in firewallbeleid. FirewallPolicyInsights-
intrusionDetection De configuratie voor inbraakdetectie. FirewallPolicyIntrusionDetection-
Sku De SKU firewallbeleid. FirewallPolicySku
snat De privé-IP-adressen/IP-bereiken waarnaar verkeer geen SNAT is. FirewallPolicySnat-
SQL Definitie van SQL-instellingen. FirewallPolicySQL-
threatIntelMode De bewerkingsmodus voor bedreigingsinformatie. 'Waarschuwing'
'Weigeren'
'Uit'
threatIntelWhitelist ThreatIntel Whitelist voor firewallbeleid. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-configuratiedefinitie. FirewallPolicyTransportSecurity-

FirewallPolicySku

Naam Beschrijving Waarde
rang Laag van firewallbeleid. 'Basis'
'Premium'
'Standaard'

FirewallPolicySnat

Naam Beschrijving Waarde
autoLearnPrivateRanges De bewerkingsmodus voor het automatisch leren van privébereiken om geen SNAT te zijn 'Uitgeschakeld'
'Ingeschakeld'
privateRanges Lijst met privé-IP-adressen/IP-adresbereiken om geen SNAT te zijn. tekenreeks[]

FirewallPolicySQL

Naam Beschrijving Waarde
allowSqlRedirect Een vlag om aan te geven of het filteren van verkeer door SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist met poort 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Naam Beschrijving Waarde
fqdns Lijst met FQDN's voor de whitelist ThreatIntel. tekenreeks[]
ipAddresses Lijst met IP-adressen voor de whitelist threatIntel. tekenreeks[]

FirewallPolicyTransportSecurity

Naam Beschrijving Waarde
certificateAuthority De CA die wordt gebruikt voor het genereren van tussenliggende CA's. FirewallPolicyCertificateAuthority-

ManagedServiceIdentity

Naam Beschrijving Waarde
type Het type identiteit dat wordt gebruikt voor de resource. Het type SystemAssigned, UserAssigned bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type None worden alle identiteiten van de virtuele machine verwijderd. 'Geen'
'SystemAssigned'
'SystemAssigned, UserAssigned'
UserAssigned
userAssignedIdentities De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen voor de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Naam Beschrijving Waarde

Microsoft.Network/firewallPolicies

Naam Beschrijving Waarde
identiteit De identiteit van het firewallbeleid. ManagedServiceIdentity-
plaats Resourcelocatie. snaar
naam De resourcenaam tekenreeks (vereist)
Eigenschappen Eigenschappen van het firewallbeleid. FirewallPolicyPropertiesFormat
Tags Resourcetags Woordenlijst met tagnamen en -waarden. Zie Tags in sjablonen

ResourceTags

Naam Beschrijving Waarde

SubResource

Naam Beschrijving Waarde
legitimatiebewijs Resource-id. snaar

Quickstart-voorbeelden

In de volgende quickstartvoorbeelden wordt dit resourcetype geïmplementeerd.

Bicep-bestand Beschrijving
een firewall en firewallpolicy maken met regels en ip-groepen Met deze sjabloon wordt een Azure Firewall geïmplementeerd met firewallbeleid (inclusief meerdere toepassings- en netwerkregels) die verwijzen naar IP-groepen in toepassings- en netwerkregels.
beveiligde virtuele hubs Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw cloudnetwerkverkeer te beveiligen dat is bestemd voor internet.
SharePoint-abonnement / 2019 / 2016 volledig geconfigureerde Maak een DC, een SQL Server 2022 en van 1 tot 5 servers die als host fungeren voor een SharePoint-abonnement /2019/2016-farm met een uitgebreide configuratie, waaronder vertrouwde verificatie, gebruikersprofielen met persoonlijke sites, een OAuth-vertrouwensrelatie (met een certificaat), een toegewezen IIS-site voor het hosten van invoegtoepassingen met hoge vertrouwen, enzovoort... De nieuwste versie van sleutelsoftware (inclusief Fiddler, vscode, np++, 7zip, ULS Viewer) is geïnstalleerd. SharePoint-machines hebben extra afstemming om ze onmiddellijk bruikbaar te maken (hulpprogramma's voor extern beheer, aangepast beleid voor Edge en Chrome, snelkoppelingen, enzovoort).
testomgeving voor Azure Firewall Premium- Met deze sjabloon maakt u een Azure Firewall Premium- en Firewall-beleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie
Azure Firewall gebruiken als EEN DNS-proxy in een Hub & Spoke-topologie In dit voorbeeld ziet u hoe u een stertopologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal punt van connectiviteit met veel virtuele spoke-netwerken die zijn verbonden met het virtuele hubnetwerk via peering van virtuele netwerken.

Resourcedefinitie van ARM-sjabloon

Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:

Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.

Resource-indeling

Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende JSON toe aan uw sjabloon.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2024-03-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxy": {
      "enableExplicitProxy": "bool",
      "enablePacFile": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string",
      "profile": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "autoLearnPrivateRanges": "string",
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Eigenschapswaarden

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Naam Beschrijving Waarde

DnsSettings

Naam Beschrijving Waarde
enableProxy Schakel DNS-proxy in voor firewalls die zijn gekoppeld aan het firewallbeleid. Bool
requireProxyForNetworkRules FQDN's in netwerkregels worden ondersteund wanneer deze is ingesteld op waar. Bool
Servers Lijst met aangepaste DNS-servers. tekenreeks[]

ExplicitProxy

Naam Beschrijving Waarde
enableExplicitProxy Als deze optie is ingesteld op true, wordt de expliciete proxymodus ingeschakeld. Bool
enablePacFile Als deze is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. Bool
httpPort Poortnummer voor expliciet http-protocol voor proxy mag niet groter zijn dan 64000. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000
httpsPort Poortnummer voor expliciet https-protocol proxy, mag niet groter zijn dan 64000. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000
pacFile SAS-URL voor PAC-bestand. snaar
pacFilePort Poortnummer voor firewall voor pac-bestand. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000

FirewallPolicyCertificateAuthority

Naam Beschrijving Waarde
keyVaultSecretId Geheime id van (base-64 gecodeerde niet-versleutelde pfx) 'Geheim' of 'Certificaat'-object dat is opgeslagen in KeyVault. snaar
naam Naam van het CA-certificaat. snaar

FirewallPolicyInsights

Naam Beschrijving Waarde
isEnabled Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. Bool
logAnalyticsResources Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. FirewallPolicyLogAnalyticsResources
retentionDays Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. Int

FirewallPolicyIntrusionDetection

Naam Beschrijving Waarde
configuratie Configuratie-eigenschappen voor inbraakdetectie. FirewallPolicyIntrusionDetectionConfiguration
wijze Algemene status van inbraakdetectie. Wanneer deze is gekoppeld aan een bovenliggend beleid, is de effectieve IDPS-modus van de firewall de strengere modus van de twee. 'Waarschuwing'
'Weigeren'
'Uit'
profiel IdPS-profielnaam. Wanneer het is gekoppeld aan een bovenliggend beleid, is het effectieve profielprofiel van de firewall de profielnaam van het bovenliggende beleid. 'Geavanceerd'
'Basis'
'Uitgebreid'
'Standaard'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Naam Beschrijving Waarde
beschrijving Beschrijving van de regel voor het overslaan van verkeer. snaar
destinationAddresses Lijst met doel-IP-adressen of -bereiken voor deze regel. tekenreeks[]
destinationIpGroups Lijst met doel-IpGroups voor deze regel. tekenreeks[]
destinationPorts Lijst met doelpoorten of -bereiken. tekenreeks[]
naam Naam van de regel voor het omzeilen van verkeer. snaar
protocol Het protocol voor het overslaan van regels. 'ANY'
ICMP
'TCP'
'UDP'
sourceAddresses Lijst met bron-IP-adressen of -bereiken voor deze regel. tekenreeks[]
sourceIpGroups Lijst met bron-IpGroups voor deze regel. tekenreeks[]

FirewallPolicyIntrusionDetectionConfiguration

Naam Beschrijving Waarde
bypassTrafficSettings Lijst met regels voor verkeer om te omzeilen. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS Private IP-adresbereiken worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap tekenreeks[]
signatureOverrides Lijst met specifieke handtekeningenstatussen. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Naam Beschrijving Waarde
legitimatiebewijs Handtekening-id. snaar
wijze De handtekeningstatus. 'Waarschuwing'
'Weigeren'
'Uit'

FirewallPolicyLogAnalyticsResources

Naam Beschrijving Waarde
defaultWorkspaceId De standaardwerkruimte-id voor Inzichten in firewallbeleid. SubResource-
werkruimten Lijst met werkruimten voor Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Naam Beschrijving Waarde
regio Regio voor het configureren van de werkruimte. snaar
workspaceId De werkruimte-id voor inzichten in firewallbeleid. SubResource-

FirewallPolicyPropertiesFormat

Naam Beschrijving Waarde
basePolicy Het bovenliggende firewallbeleid waaruit regels worden overgenomen. SubResource-
dnsSettings Definitie van DNS-proxyinstellingen. DnsSettings
explicitProxy Expliciete definitie van proxy-instellingen. ExplicitProxy-
Inzichten Inzichten in firewallbeleid. FirewallPolicyInsights-
intrusionDetection De configuratie voor inbraakdetectie. FirewallPolicyIntrusionDetection-
Sku De SKU firewallbeleid. FirewallPolicySku
snat De privé-IP-adressen/IP-bereiken waarnaar verkeer geen SNAT is. FirewallPolicySnat-
SQL Definitie van SQL-instellingen. FirewallPolicySQL-
threatIntelMode De bewerkingsmodus voor bedreigingsinformatie. 'Waarschuwing'
'Weigeren'
'Uit'
threatIntelWhitelist ThreatIntel Whitelist voor firewallbeleid. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-configuratiedefinitie. FirewallPolicyTransportSecurity-

FirewallPolicySku

Naam Beschrijving Waarde
rang Laag van firewallbeleid. 'Basis'
'Premium'
'Standaard'

FirewallPolicySnat

Naam Beschrijving Waarde
autoLearnPrivateRanges De bewerkingsmodus voor het automatisch leren van privébereiken om geen SNAT te zijn 'Uitgeschakeld'
'Ingeschakeld'
privateRanges Lijst met privé-IP-adressen/IP-adresbereiken om geen SNAT te zijn. tekenreeks[]

FirewallPolicySQL

Naam Beschrijving Waarde
allowSqlRedirect Een vlag om aan te geven of het filteren van verkeer door SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist met poort 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Naam Beschrijving Waarde
fqdns Lijst met FQDN's voor de whitelist ThreatIntel. tekenreeks[]
ipAddresses Lijst met IP-adressen voor de whitelist threatIntel. tekenreeks[]

FirewallPolicyTransportSecurity

Naam Beschrijving Waarde
certificateAuthority De CA die wordt gebruikt voor het genereren van tussenliggende CA's. FirewallPolicyCertificateAuthority-

ManagedServiceIdentity

Naam Beschrijving Waarde
type Het type identiteit dat wordt gebruikt voor de resource. Het type SystemAssigned, UserAssigned bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type None worden alle identiteiten van de virtuele machine verwijderd. 'Geen'
'SystemAssigned'
'SystemAssigned, UserAssigned'
UserAssigned
userAssignedIdentities De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen voor de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Naam Beschrijving Waarde

Microsoft.Network/firewallPolicies

Naam Beschrijving Waarde
apiVersion De API-versie '2024-03-01'
identiteit De identiteit van het firewallbeleid. ManagedServiceIdentity-
plaats Resourcelocatie. snaar
naam De resourcenaam tekenreeks (vereist)
Eigenschappen Eigenschappen van het firewallbeleid. FirewallPolicyPropertiesFormat
Tags Resourcetags Woordenlijst met tagnamen en -waarden. Zie Tags in sjablonen
type Het resourcetype 'Microsoft.Network/firewallPolicies'

ResourceTags

Naam Beschrijving Waarde

SubResource

Naam Beschrijving Waarde
legitimatiebewijs Resource-id. snaar

Quickstart-sjablonen

Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.

Sjabloon Beschrijving
een firewall en firewallpolicy maken met regels en ip-groepen

implementeren in Azure
Met deze sjabloon wordt een Azure Firewall geïmplementeerd met firewallbeleid (inclusief meerdere toepassings- en netwerkregels) die verwijzen naar IP-groepen in toepassings- en netwerkregels.
Een firewall maken met FirewallPolicy en IpGroups

implementeren in Azure
Met deze sjabloon maakt u een Azure Firewall met FirewalllPolicy die verwijst naar netwerkregels met IpGroups. Bevat ook de installatie van een Virtuele Linux Jumpbox-machine
Een firewall maken, FirewallPolicy met expliciete proxy

implementeren in Azure
Met deze sjabloon maakt u een Azure Firewall, FirewalllPolicy met expliciete proxy- en netwerkregels met IpGroups. Bevat ook de installatie van een Virtuele Linux Jumpbox-machine
Een sandbox-installatie maken met firewallbeleid

implementeren in Azure
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met openbaar IP-adres, een server-VM, UDR-route die verwijst naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen. Maakt ook een firewallbeleid met 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken
beveiligde virtuele hubs

implementeren in Azure
Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw cloudnetwerkverkeer te beveiligen dat is bestemd voor internet.
SharePoint-abonnement / 2019 / 2016 volledig geconfigureerde

implementeren in Azure
Maak een DC, een SQL Server 2022 en van 1 tot 5 servers die als host fungeren voor een SharePoint-abonnement /2019/2016-farm met een uitgebreide configuratie, waaronder vertrouwde verificatie, gebruikersprofielen met persoonlijke sites, een OAuth-vertrouwensrelatie (met een certificaat), een toegewezen IIS-site voor het hosten van invoegtoepassingen met hoge vertrouwen, enzovoort... De nieuwste versie van sleutelsoftware (inclusief Fiddler, vscode, np++, 7zip, ULS Viewer) is geïnstalleerd. SharePoint-machines hebben extra afstemming om ze onmiddellijk bruikbaar te maken (hulpprogramma's voor extern beheer, aangepast beleid voor Edge en Chrome, snelkoppelingen, enzovoort).
testomgeving voor Azure Firewall Premium-

implementeren in Azure
Met deze sjabloon maakt u een Azure Firewall Premium- en Firewall-beleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie
Azure Firewall gebruiken als EEN DNS-proxy in een Hub & Spoke-topologie

implementeren in Azure
In dit voorbeeld ziet u hoe u een stertopologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal punt van connectiviteit met veel virtuele spoke-netwerken die zijn verbonden met het virtuele hubnetwerk via peering van virtuele netwerken.

Resourcedefinitie van Terraform (AzAPI-provider)

Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:

  • resourcegroepen

Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.

Resource-indeling

Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2024-03-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxy = {
        enableExplicitProxy = bool
        enablePacFile = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
        profile = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        autoLearnPrivateRanges = "string"
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
  tags = {
    {customized property} = "string"
  }
}

Eigenschapswaarden

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Naam Beschrijving Waarde

DnsSettings

Naam Beschrijving Waarde
enableProxy Schakel DNS-proxy in voor firewalls die zijn gekoppeld aan het firewallbeleid. Bool
requireProxyForNetworkRules FQDN's in netwerkregels worden ondersteund wanneer deze is ingesteld op waar. Bool
Servers Lijst met aangepaste DNS-servers. tekenreeks[]

ExplicitProxy

Naam Beschrijving Waarde
enableExplicitProxy Als deze optie is ingesteld op true, wordt de expliciete proxymodus ingeschakeld. Bool
enablePacFile Als deze is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. Bool
httpPort Poortnummer voor expliciet http-protocol voor proxy mag niet groter zijn dan 64000. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000
httpsPort Poortnummer voor expliciet https-protocol proxy, mag niet groter zijn dan 64000. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000
pacFile SAS-URL voor PAC-bestand. snaar
pacFilePort Poortnummer voor firewall voor pac-bestand. Int

Beperkingen:
Minimumwaarde = 0
Maximumwaarde = 64000

FirewallPolicyCertificateAuthority

Naam Beschrijving Waarde
keyVaultSecretId Geheime id van (base-64 gecodeerde niet-versleutelde pfx) 'Geheim' of 'Certificaat'-object dat is opgeslagen in KeyVault. snaar
naam Naam van het CA-certificaat. snaar

FirewallPolicyInsights

Naam Beschrijving Waarde
isEnabled Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. Bool
logAnalyticsResources Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. FirewallPolicyLogAnalyticsResources
retentionDays Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. Int

FirewallPolicyIntrusionDetection

Naam Beschrijving Waarde
configuratie Configuratie-eigenschappen voor inbraakdetectie. FirewallPolicyIntrusionDetectionConfiguration
wijze Algemene status van inbraakdetectie. Wanneer deze is gekoppeld aan een bovenliggend beleid, is de effectieve IDPS-modus van de firewall de strengere modus van de twee. 'Waarschuwing'
'Weigeren'
'Uit'
profiel IdPS-profielnaam. Wanneer het is gekoppeld aan een bovenliggend beleid, is het effectieve profielprofiel van de firewall de profielnaam van het bovenliggende beleid. 'Geavanceerd'
'Basis'
'Uitgebreid'
'Standaard'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Naam Beschrijving Waarde
beschrijving Beschrijving van de regel voor het overslaan van verkeer. snaar
destinationAddresses Lijst met doel-IP-adressen of -bereiken voor deze regel. tekenreeks[]
destinationIpGroups Lijst met doel-IpGroups voor deze regel. tekenreeks[]
destinationPorts Lijst met doelpoorten of -bereiken. tekenreeks[]
naam Naam van de regel voor het omzeilen van verkeer. snaar
protocol Het protocol voor het overslaan van regels. 'ANY'
ICMP
'TCP'
'UDP'
sourceAddresses Lijst met bron-IP-adressen of -bereiken voor deze regel. tekenreeks[]
sourceIpGroups Lijst met bron-IpGroups voor deze regel. tekenreeks[]

FirewallPolicyIntrusionDetectionConfiguration

Naam Beschrijving Waarde
bypassTrafficSettings Lijst met regels voor verkeer om te omzeilen. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS Private IP-adresbereiken worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap tekenreeks[]
signatureOverrides Lijst met specifieke handtekeningenstatussen. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Naam Beschrijving Waarde
legitimatiebewijs Handtekening-id. snaar
wijze De handtekeningstatus. 'Waarschuwing'
'Weigeren'
'Uit'

FirewallPolicyLogAnalyticsResources

Naam Beschrijving Waarde
defaultWorkspaceId De standaardwerkruimte-id voor Inzichten in firewallbeleid. SubResource-
werkruimten Lijst met werkruimten voor Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Naam Beschrijving Waarde
regio Regio voor het configureren van de werkruimte. snaar
workspaceId De werkruimte-id voor inzichten in firewallbeleid. SubResource-

FirewallPolicyPropertiesFormat

Naam Beschrijving Waarde
basePolicy Het bovenliggende firewallbeleid waaruit regels worden overgenomen. SubResource-
dnsSettings Definitie van DNS-proxyinstellingen. DnsSettings
explicitProxy Expliciete definitie van proxy-instellingen. ExplicitProxy-
Inzichten Inzichten in firewallbeleid. FirewallPolicyInsights-
intrusionDetection De configuratie voor inbraakdetectie. FirewallPolicyIntrusionDetection-
Sku De SKU firewallbeleid. FirewallPolicySku
snat De privé-IP-adressen/IP-bereiken waarnaar verkeer geen SNAT is. FirewallPolicySnat-
SQL Definitie van SQL-instellingen. FirewallPolicySQL-
threatIntelMode De bewerkingsmodus voor bedreigingsinformatie. 'Waarschuwing'
'Weigeren'
'Uit'
threatIntelWhitelist ThreatIntel Whitelist voor firewallbeleid. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-configuratiedefinitie. FirewallPolicyTransportSecurity-

FirewallPolicySku

Naam Beschrijving Waarde
rang Laag van firewallbeleid. 'Basis'
'Premium'
'Standaard'

FirewallPolicySnat

Naam Beschrijving Waarde
autoLearnPrivateRanges De bewerkingsmodus voor het automatisch leren van privébereiken om geen SNAT te zijn 'Uitgeschakeld'
'Ingeschakeld'
privateRanges Lijst met privé-IP-adressen/IP-adresbereiken om geen SNAT te zijn. tekenreeks[]

FirewallPolicySQL

Naam Beschrijving Waarde
allowSqlRedirect Een vlag om aan te geven of het filteren van verkeer door SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist met poort 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Naam Beschrijving Waarde
fqdns Lijst met FQDN's voor de whitelist ThreatIntel. tekenreeks[]
ipAddresses Lijst met IP-adressen voor de whitelist threatIntel. tekenreeks[]

FirewallPolicyTransportSecurity

Naam Beschrijving Waarde
certificateAuthority De CA die wordt gebruikt voor het genereren van tussenliggende CA's. FirewallPolicyCertificateAuthority-

ManagedServiceIdentity

Naam Beschrijving Waarde
type Het type identiteit dat wordt gebruikt voor de resource. Het type SystemAssigned, UserAssigned bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type None worden alle identiteiten van de virtuele machine verwijderd. 'Geen'
'SystemAssigned'
'SystemAssigned, UserAssigned'
UserAssigned
userAssignedIdentities De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen voor de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Naam Beschrijving Waarde

Microsoft.Network/firewallPolicies

Naam Beschrijving Waarde
identiteit De identiteit van het firewallbeleid. ManagedServiceIdentity-
plaats Resourcelocatie. snaar
naam De resourcenaam tekenreeks (vereist)
Eigenschappen Eigenschappen van het firewallbeleid. FirewallPolicyPropertiesFormat
Tags Resourcetags Woordenlijst met tagnamen en -waarden.
type Het resourcetype "Microsoft.Network/firewallPolicies@2024-03-01"

ResourceTags

Naam Beschrijving Waarde

SubResource

Naam Beschrijving Waarde
legitimatiebewijs Resource-id. snaar