Microsoft.Network firewallPolicies
- meest recente
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep-resourcedefinitie
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor de implementatie van resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Resource Microsoft.Network/firewallPolicies wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.
resource symbolicname 'Microsoft.Network/firewallPolicies@2024-03-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Eigenschapswaarden
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Naam | Beschrijving | Waarde |
---|
DnsSettings
Naam | Beschrijving | Waarde |
---|---|---|
enableProxy | Schakel DNS-proxy in voor firewalls die zijn gekoppeld aan het firewallbeleid. | Bool |
requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze is ingesteld op waar. | Bool |
Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxy
Naam | Beschrijving | Waarde |
---|---|---|
enableExplicitProxy | Als deze optie is ingesteld op true, wordt de expliciete proxymodus ingeschakeld. | Bool |
enablePacFile | Als deze is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. | Bool |
httpPort | Poortnummer voor expliciet http-protocol voor proxy mag niet groter zijn dan 64000. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
httpsPort | Poortnummer voor expliciet https-protocol proxy, mag niet groter zijn dan 64000. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
pacFile | SAS-URL voor PAC-bestand. | snaar |
pacFilePort | Poortnummer voor firewall voor pac-bestand. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
FirewallPolicyCertificateAuthority
Naam | Beschrijving | Waarde |
---|---|---|
keyVaultSecretId | Geheime id van (base-64 gecodeerde niet-versleutelde pfx) 'Geheim' of 'Certificaat'-object dat is opgeslagen in KeyVault. | snaar |
naam | Naam van het CA-certificaat. | snaar |
FirewallPolicyInsights
Naam | Beschrijving | Waarde |
---|---|---|
isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | Bool |
logAnalyticsResources | Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. | FirewallPolicyLogAnalyticsResources |
retentionDays | Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | Int |
FirewallPolicyIntrusionDetection
Naam | Beschrijving | Waarde |
---|---|---|
configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
wijze | Algemene status van inbraakdetectie. Wanneer deze is gekoppeld aan een bovenliggend beleid, is de effectieve IDPS-modus van de firewall de strengere modus van de twee. | 'Waarschuwing' 'Weigeren' 'Uit' |
profiel | IdPS-profielnaam. Wanneer het is gekoppeld aan een bovenliggend beleid, is het effectieve profielprofiel van de firewall de profielnaam van het bovenliggende beleid. | 'Geavanceerd' 'Basis' 'Uitgebreid' 'Standaard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Naam | Beschrijving | Waarde |
---|---|---|
beschrijving | Beschrijving van de regel voor het overslaan van verkeer. | snaar |
destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
destinationIpGroups | Lijst met doel-IpGroups voor deze regel. | tekenreeks[] |
destinationPorts | Lijst met doelpoorten of -bereiken. | tekenreeks[] |
naam | Naam van de regel voor het omzeilen van verkeer. | snaar |
protocol | Het protocol voor het overslaan van regels. | 'ANY' ICMP 'TCP' 'UDP' |
sourceAddresses | Lijst met bron-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
bypassTrafficSettings | Lijst met regels voor verkeer om te omzeilen. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | IDPS Private IP-adresbereiken worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
signatureOverrides | Lijst met specifieke handtekeningenstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Handtekening-id. | snaar |
wijze | De handtekeningstatus. | 'Waarschuwing' 'Weigeren' 'Uit' |
FirewallPolicyLogAnalyticsResources
Naam | Beschrijving | Waarde |
---|---|---|
defaultWorkspaceId | De standaardwerkruimte-id voor Inzichten in firewallbeleid. | SubResource- |
werkruimten | Lijst met werkruimten voor Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Naam | Beschrijving | Waarde |
---|---|---|
regio | Regio voor het configureren van de werkruimte. | snaar |
workspaceId | De werkruimte-id voor inzichten in firewallbeleid. | SubResource- |
FirewallPolicyPropertiesFormat
Naam | Beschrijving | Waarde |
---|---|---|
basePolicy | Het bovenliggende firewallbeleid waaruit regels worden overgenomen. | SubResource- |
dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
explicitProxy | Expliciete definitie van proxy-instellingen. | ExplicitProxy- |
Inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights- |
intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection- |
Sku | De SKU firewallbeleid. | FirewallPolicySku |
snat | De privé-IP-adressen/IP-bereiken waarnaar verkeer geen SNAT is. | FirewallPolicySnat- |
SQL | Definitie van SQL-instellingen. | FirewallPolicySQL- |
threatIntelMode | De bewerkingsmodus voor bedreigingsinformatie. | 'Waarschuwing' 'Weigeren' 'Uit' |
threatIntelWhitelist | ThreatIntel Whitelist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-configuratiedefinitie. | FirewallPolicyTransportSecurity- |
FirewallPolicySku
Naam | Beschrijving | Waarde |
---|---|---|
rang | Laag van firewallbeleid. | 'Basis' 'Premium' 'Standaard' |
FirewallPolicySnat
Naam | Beschrijving | Waarde |
---|---|---|
autoLearnPrivateRanges | De bewerkingsmodus voor het automatisch leren van privébereiken om geen SNAT te zijn | 'Uitgeschakeld' 'Ingeschakeld' |
privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken om geen SNAT te zijn. | tekenreeks[] |
FirewallPolicySQL
Naam | Beschrijving | Waarde |
---|---|---|
allowSqlRedirect | Een vlag om aan te geven of het filteren van verkeer door SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist met poort 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Naam | Beschrijving | Waarde |
---|---|---|
fqdns | Lijst met FQDN's voor de whitelist ThreatIntel. | tekenreeks[] |
ipAddresses | Lijst met IP-adressen voor de whitelist threatIntel. | tekenreeks[] |
FirewallPolicyTransportSecurity
Naam | Beschrijving | Waarde |
---|---|---|
certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority- |
ManagedServiceIdentity
Naam | Beschrijving | Waarde |
---|---|---|
type | Het type identiteit dat wordt gebruikt voor de resource. Het type SystemAssigned, UserAssigned bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type None worden alle identiteiten van de virtuele machine verwijderd. | 'Geen' 'SystemAssigned' 'SystemAssigned, UserAssigned' UserAssigned |
userAssignedIdentities | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen voor de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Naam | Beschrijving | Waarde |
---|
Microsoft.Network/firewallPolicies
Naam | Beschrijving | Waarde |
---|---|---|
identiteit | De identiteit van het firewallbeleid. | ManagedServiceIdentity- |
plaats | Resourcelocatie. | snaar |
naam | De resourcenaam | tekenreeks (vereist) |
Eigenschappen | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
Tags | Resourcetags | Woordenlijst met tagnamen en -waarden. Zie Tags in sjablonen |
ResourceTags
Naam | Beschrijving | Waarde |
---|
SubResource
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Resource-id. | snaar |
Quickstart-voorbeelden
In de volgende quickstartvoorbeelden wordt dit resourcetype geïmplementeerd.
Bicep-bestand | Beschrijving |
---|---|
een firewall en firewallpolicy maken met regels en ip-groepen | Met deze sjabloon wordt een Azure Firewall geïmplementeerd met firewallbeleid (inclusief meerdere toepassings- en netwerkregels) die verwijzen naar IP-groepen in toepassings- en netwerkregels. |
beveiligde virtuele hubs | Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw cloudnetwerkverkeer te beveiligen dat is bestemd voor internet. |
SharePoint-abonnement / 2019 / 2016 volledig geconfigureerde | Maak een DC, een SQL Server 2022 en van 1 tot 5 servers die als host fungeren voor een SharePoint-abonnement /2019/2016-farm met een uitgebreide configuratie, waaronder vertrouwde verificatie, gebruikersprofielen met persoonlijke sites, een OAuth-vertrouwensrelatie (met een certificaat), een toegewezen IIS-site voor het hosten van invoegtoepassingen met hoge vertrouwen, enzovoort... De nieuwste versie van sleutelsoftware (inclusief Fiddler, vscode, np++, 7zip, ULS Viewer) is geïnstalleerd. SharePoint-machines hebben extra afstemming om ze onmiddellijk bruikbaar te maken (hulpprogramma's voor extern beheer, aangepast beleid voor Edge en Chrome, snelkoppelingen, enzovoort). |
testomgeving voor Azure Firewall Premium- | Met deze sjabloon maakt u een Azure Firewall Premium- en Firewall-beleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie |
Azure Firewall gebruiken als EEN DNS-proxy in een Hub & Spoke-topologie | In dit voorbeeld ziet u hoe u een stertopologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal punt van connectiviteit met veel virtuele spoke-netwerken die zijn verbonden met het virtuele hubnetwerk via peering van virtuele netwerken. |
Resourcedefinitie van ARM-sjabloon
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor de implementatie van resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende JSON toe aan uw sjabloon.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2024-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Eigenschapswaarden
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Naam | Beschrijving | Waarde |
---|
DnsSettings
Naam | Beschrijving | Waarde |
---|---|---|
enableProxy | Schakel DNS-proxy in voor firewalls die zijn gekoppeld aan het firewallbeleid. | Bool |
requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze is ingesteld op waar. | Bool |
Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxy
Naam | Beschrijving | Waarde |
---|---|---|
enableExplicitProxy | Als deze optie is ingesteld op true, wordt de expliciete proxymodus ingeschakeld. | Bool |
enablePacFile | Als deze is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. | Bool |
httpPort | Poortnummer voor expliciet http-protocol voor proxy mag niet groter zijn dan 64000. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
httpsPort | Poortnummer voor expliciet https-protocol proxy, mag niet groter zijn dan 64000. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
pacFile | SAS-URL voor PAC-bestand. | snaar |
pacFilePort | Poortnummer voor firewall voor pac-bestand. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
FirewallPolicyCertificateAuthority
Naam | Beschrijving | Waarde |
---|---|---|
keyVaultSecretId | Geheime id van (base-64 gecodeerde niet-versleutelde pfx) 'Geheim' of 'Certificaat'-object dat is opgeslagen in KeyVault. | snaar |
naam | Naam van het CA-certificaat. | snaar |
FirewallPolicyInsights
Naam | Beschrijving | Waarde |
---|---|---|
isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | Bool |
logAnalyticsResources | Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. | FirewallPolicyLogAnalyticsResources |
retentionDays | Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | Int |
FirewallPolicyIntrusionDetection
Naam | Beschrijving | Waarde |
---|---|---|
configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
wijze | Algemene status van inbraakdetectie. Wanneer deze is gekoppeld aan een bovenliggend beleid, is de effectieve IDPS-modus van de firewall de strengere modus van de twee. | 'Waarschuwing' 'Weigeren' 'Uit' |
profiel | IdPS-profielnaam. Wanneer het is gekoppeld aan een bovenliggend beleid, is het effectieve profielprofiel van de firewall de profielnaam van het bovenliggende beleid. | 'Geavanceerd' 'Basis' 'Uitgebreid' 'Standaard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Naam | Beschrijving | Waarde |
---|---|---|
beschrijving | Beschrijving van de regel voor het overslaan van verkeer. | snaar |
destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
destinationIpGroups | Lijst met doel-IpGroups voor deze regel. | tekenreeks[] |
destinationPorts | Lijst met doelpoorten of -bereiken. | tekenreeks[] |
naam | Naam van de regel voor het omzeilen van verkeer. | snaar |
protocol | Het protocol voor het overslaan van regels. | 'ANY' ICMP 'TCP' 'UDP' |
sourceAddresses | Lijst met bron-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
bypassTrafficSettings | Lijst met regels voor verkeer om te omzeilen. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | IDPS Private IP-adresbereiken worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
signatureOverrides | Lijst met specifieke handtekeningenstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Handtekening-id. | snaar |
wijze | De handtekeningstatus. | 'Waarschuwing' 'Weigeren' 'Uit' |
FirewallPolicyLogAnalyticsResources
Naam | Beschrijving | Waarde |
---|---|---|
defaultWorkspaceId | De standaardwerkruimte-id voor Inzichten in firewallbeleid. | SubResource- |
werkruimten | Lijst met werkruimten voor Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Naam | Beschrijving | Waarde |
---|---|---|
regio | Regio voor het configureren van de werkruimte. | snaar |
workspaceId | De werkruimte-id voor inzichten in firewallbeleid. | SubResource- |
FirewallPolicyPropertiesFormat
Naam | Beschrijving | Waarde |
---|---|---|
basePolicy | Het bovenliggende firewallbeleid waaruit regels worden overgenomen. | SubResource- |
dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
explicitProxy | Expliciete definitie van proxy-instellingen. | ExplicitProxy- |
Inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights- |
intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection- |
Sku | De SKU firewallbeleid. | FirewallPolicySku |
snat | De privé-IP-adressen/IP-bereiken waarnaar verkeer geen SNAT is. | FirewallPolicySnat- |
SQL | Definitie van SQL-instellingen. | FirewallPolicySQL- |
threatIntelMode | De bewerkingsmodus voor bedreigingsinformatie. | 'Waarschuwing' 'Weigeren' 'Uit' |
threatIntelWhitelist | ThreatIntel Whitelist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-configuratiedefinitie. | FirewallPolicyTransportSecurity- |
FirewallPolicySku
Naam | Beschrijving | Waarde |
---|---|---|
rang | Laag van firewallbeleid. | 'Basis' 'Premium' 'Standaard' |
FirewallPolicySnat
Naam | Beschrijving | Waarde |
---|---|---|
autoLearnPrivateRanges | De bewerkingsmodus voor het automatisch leren van privébereiken om geen SNAT te zijn | 'Uitgeschakeld' 'Ingeschakeld' |
privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken om geen SNAT te zijn. | tekenreeks[] |
FirewallPolicySQL
Naam | Beschrijving | Waarde |
---|---|---|
allowSqlRedirect | Een vlag om aan te geven of het filteren van verkeer door SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist met poort 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Naam | Beschrijving | Waarde |
---|---|---|
fqdns | Lijst met FQDN's voor de whitelist ThreatIntel. | tekenreeks[] |
ipAddresses | Lijst met IP-adressen voor de whitelist threatIntel. | tekenreeks[] |
FirewallPolicyTransportSecurity
Naam | Beschrijving | Waarde |
---|---|---|
certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority- |
ManagedServiceIdentity
Naam | Beschrijving | Waarde |
---|---|---|
type | Het type identiteit dat wordt gebruikt voor de resource. Het type SystemAssigned, UserAssigned bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type None worden alle identiteiten van de virtuele machine verwijderd. | 'Geen' 'SystemAssigned' 'SystemAssigned, UserAssigned' UserAssigned |
userAssignedIdentities | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen voor de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Naam | Beschrijving | Waarde |
---|
Microsoft.Network/firewallPolicies
Naam | Beschrijving | Waarde |
---|---|---|
apiVersion | De API-versie | '2024-03-01' |
identiteit | De identiteit van het firewallbeleid. | ManagedServiceIdentity- |
plaats | Resourcelocatie. | snaar |
naam | De resourcenaam | tekenreeks (vereist) |
Eigenschappen | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
Tags | Resourcetags | Woordenlijst met tagnamen en -waarden. Zie Tags in sjablonen |
type | Het resourcetype | 'Microsoft.Network/firewallPolicies' |
ResourceTags
Naam | Beschrijving | Waarde |
---|
SubResource
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Resource-id. | snaar |
Quickstart-sjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
Sjabloon | Beschrijving |
---|---|
een firewall en firewallpolicy maken met regels en ip-groepen |
Met deze sjabloon wordt een Azure Firewall geïmplementeerd met firewallbeleid (inclusief meerdere toepassings- en netwerkregels) die verwijzen naar IP-groepen in toepassings- en netwerkregels. |
Een firewall maken met FirewallPolicy en IpGroups |
Met deze sjabloon maakt u een Azure Firewall met FirewalllPolicy die verwijst naar netwerkregels met IpGroups. Bevat ook de installatie van een Virtuele Linux Jumpbox-machine |
Een firewall maken, FirewallPolicy met expliciete proxy |
Met deze sjabloon maakt u een Azure Firewall, FirewalllPolicy met expliciete proxy- en netwerkregels met IpGroups. Bevat ook de installatie van een Virtuele Linux Jumpbox-machine |
Een sandbox-installatie maken met firewallbeleid |
Met deze sjabloon maakt u een virtueel netwerk met drie subnetten (serversubnet, jumpbox-subet en AzureFirewall-subnet), een jumpbox-VM met openbaar IP-adres, een server-VM, UDR-route die verwijst naar Azure Firewall voor het serversubnet en een Azure Firewall met 1 of meer openbare IP-adressen. Maakt ook een firewallbeleid met 1 voorbeeldtoepassingsregel, 1 voorbeeldnetwerkregel en standaard privébereiken |
beveiligde virtuele hubs |
Met deze sjabloon maakt u een beveiligde virtuele hub met behulp van Azure Firewall om uw cloudnetwerkverkeer te beveiligen dat is bestemd voor internet. |
SharePoint-abonnement / 2019 / 2016 volledig geconfigureerde |
Maak een DC, een SQL Server 2022 en van 1 tot 5 servers die als host fungeren voor een SharePoint-abonnement /2019/2016-farm met een uitgebreide configuratie, waaronder vertrouwde verificatie, gebruikersprofielen met persoonlijke sites, een OAuth-vertrouwensrelatie (met een certificaat), een toegewezen IIS-site voor het hosten van invoegtoepassingen met hoge vertrouwen, enzovoort... De nieuwste versie van sleutelsoftware (inclusief Fiddler, vscode, np++, 7zip, ULS Viewer) is geïnstalleerd. SharePoint-machines hebben extra afstemming om ze onmiddellijk bruikbaar te maken (hulpprogramma's voor extern beheer, aangepast beleid voor Edge en Chrome, snelkoppelingen, enzovoort). |
testomgeving voor Azure Firewall Premium- |
Met deze sjabloon maakt u een Azure Firewall Premium- en Firewall-beleid met premium-functies zoals Inbraakinspectiedetectie (IDPS), TLS-inspectie en filteren op webcategorie |
Azure Firewall gebruiken als EEN DNS-proxy in een Hub & Spoke-topologie |
In dit voorbeeld ziet u hoe u een stertopologie in Azure implementeert met behulp van de Azure Firewall. Het virtuele hubnetwerk fungeert als een centraal punt van connectiviteit met veel virtuele spoke-netwerken die zijn verbonden met het virtuele hubnetwerk via peering van virtuele netwerken. |
Resourcedefinitie van Terraform (AzAPI-provider)
Het resourcetype firewallPolicies kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Network/firewallPolicies-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2024-03-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
tags = {
{customized property} = "string"
}
}
Eigenschapswaarden
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Naam | Beschrijving | Waarde |
---|
DnsSettings
Naam | Beschrijving | Waarde |
---|---|---|
enableProxy | Schakel DNS-proxy in voor firewalls die zijn gekoppeld aan het firewallbeleid. | Bool |
requireProxyForNetworkRules | FQDN's in netwerkregels worden ondersteund wanneer deze is ingesteld op waar. | Bool |
Servers | Lijst met aangepaste DNS-servers. | tekenreeks[] |
ExplicitProxy
Naam | Beschrijving | Waarde |
---|---|---|
enableExplicitProxy | Als deze optie is ingesteld op true, wordt de expliciete proxymodus ingeschakeld. | Bool |
enablePacFile | Als deze is ingesteld op true, moeten de pac-bestandspoort en -URL worden opgegeven. | Bool |
httpPort | Poortnummer voor expliciet http-protocol voor proxy mag niet groter zijn dan 64000. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
httpsPort | Poortnummer voor expliciet https-protocol proxy, mag niet groter zijn dan 64000. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
pacFile | SAS-URL voor PAC-bestand. | snaar |
pacFilePort | Poortnummer voor firewall voor pac-bestand. | Int Beperkingen: Minimumwaarde = 0 Maximumwaarde = 64000 |
FirewallPolicyCertificateAuthority
Naam | Beschrijving | Waarde |
---|---|---|
keyVaultSecretId | Geheime id van (base-64 gecodeerde niet-versleutelde pfx) 'Geheim' of 'Certificaat'-object dat is opgeslagen in KeyVault. | snaar |
naam | Naam van het CA-certificaat. | snaar |
FirewallPolicyInsights
Naam | Beschrijving | Waarde |
---|---|---|
isEnabled | Een vlag om aan te geven of de inzichten zijn ingeschakeld voor het beleid. | Bool |
logAnalyticsResources | Werkruimten die nodig zijn om de firewallbeleidsinzichten te configureren. | FirewallPolicyLogAnalyticsResources |
retentionDays | Het aantal dagen dat de inzichten moeten worden ingeschakeld voor het beleid. | Int |
FirewallPolicyIntrusionDetection
Naam | Beschrijving | Waarde |
---|---|---|
configuratie | Configuratie-eigenschappen voor inbraakdetectie. | FirewallPolicyIntrusionDetectionConfiguration |
wijze | Algemene status van inbraakdetectie. Wanneer deze is gekoppeld aan een bovenliggend beleid, is de effectieve IDPS-modus van de firewall de strengere modus van de twee. | 'Waarschuwing' 'Weigeren' 'Uit' |
profiel | IdPS-profielnaam. Wanneer het is gekoppeld aan een bovenliggend beleid, is het effectieve profielprofiel van de firewall de profielnaam van het bovenliggende beleid. | 'Geavanceerd' 'Basis' 'Uitgebreid' 'Standaard' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Naam | Beschrijving | Waarde |
---|---|---|
beschrijving | Beschrijving van de regel voor het overslaan van verkeer. | snaar |
destinationAddresses | Lijst met doel-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
destinationIpGroups | Lijst met doel-IpGroups voor deze regel. | tekenreeks[] |
destinationPorts | Lijst met doelpoorten of -bereiken. | tekenreeks[] |
naam | Naam van de regel voor het omzeilen van verkeer. | snaar |
protocol | Het protocol voor het overslaan van regels. | 'ANY' ICMP 'TCP' 'UDP' |
sourceAddresses | Lijst met bron-IP-adressen of -bereiken voor deze regel. | tekenreeks[] |
sourceIpGroups | Lijst met bron-IpGroups voor deze regel. | tekenreeks[] |
FirewallPolicyIntrusionDetectionConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
bypassTrafficSettings | Lijst met regels voor verkeer om te omzeilen. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | IDPS Private IP-adresbereiken worden gebruikt om de richting van het verkeer te identificeren (bijvoorbeeld binnenkomend, uitgaand, enzovoort). Standaard worden alleen bereiken gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Als u standaardbereiken wilt wijzigen, geeft u uw privé-IP-adresbereiken op met deze eigenschap | tekenreeks[] |
signatureOverrides | Lijst met specifieke handtekeningenstatussen. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Handtekening-id. | snaar |
wijze | De handtekeningstatus. | 'Waarschuwing' 'Weigeren' 'Uit' |
FirewallPolicyLogAnalyticsResources
Naam | Beschrijving | Waarde |
---|---|---|
defaultWorkspaceId | De standaardwerkruimte-id voor Inzichten in firewallbeleid. | SubResource- |
werkruimten | Lijst met werkruimten voor Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Naam | Beschrijving | Waarde |
---|---|---|
regio | Regio voor het configureren van de werkruimte. | snaar |
workspaceId | De werkruimte-id voor inzichten in firewallbeleid. | SubResource- |
FirewallPolicyPropertiesFormat
Naam | Beschrijving | Waarde |
---|---|---|
basePolicy | Het bovenliggende firewallbeleid waaruit regels worden overgenomen. | SubResource- |
dnsSettings | Definitie van DNS-proxyinstellingen. | DnsSettings |
explicitProxy | Expliciete definitie van proxy-instellingen. | ExplicitProxy- |
Inzichten | Inzichten in firewallbeleid. | FirewallPolicyInsights- |
intrusionDetection | De configuratie voor inbraakdetectie. | FirewallPolicyIntrusionDetection- |
Sku | De SKU firewallbeleid. | FirewallPolicySku |
snat | De privé-IP-adressen/IP-bereiken waarnaar verkeer geen SNAT is. | FirewallPolicySnat- |
SQL | Definitie van SQL-instellingen. | FirewallPolicySQL- |
threatIntelMode | De bewerkingsmodus voor bedreigingsinformatie. | 'Waarschuwing' 'Weigeren' 'Uit' |
threatIntelWhitelist | ThreatIntel Whitelist voor firewallbeleid. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-configuratiedefinitie. | FirewallPolicyTransportSecurity- |
FirewallPolicySku
Naam | Beschrijving | Waarde |
---|---|---|
rang | Laag van firewallbeleid. | 'Basis' 'Premium' 'Standaard' |
FirewallPolicySnat
Naam | Beschrijving | Waarde |
---|---|---|
autoLearnPrivateRanges | De bewerkingsmodus voor het automatisch leren van privébereiken om geen SNAT te zijn | 'Uitgeschakeld' 'Ingeschakeld' |
privateRanges | Lijst met privé-IP-adressen/IP-adresbereiken om geen SNAT te zijn. | tekenreeks[] |
FirewallPolicySQL
Naam | Beschrijving | Waarde |
---|---|---|
allowSqlRedirect | Een vlag om aan te geven of het filteren van verkeer door SQL-omleiding is ingeschakeld. Voor het inschakelen van de vlag is geen regel vereist met poort 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Naam | Beschrijving | Waarde |
---|---|---|
fqdns | Lijst met FQDN's voor de whitelist ThreatIntel. | tekenreeks[] |
ipAddresses | Lijst met IP-adressen voor de whitelist threatIntel. | tekenreeks[] |
FirewallPolicyTransportSecurity
Naam | Beschrijving | Waarde |
---|---|---|
certificateAuthority | De CA die wordt gebruikt voor het genereren van tussenliggende CA's. | FirewallPolicyCertificateAuthority- |
ManagedServiceIdentity
Naam | Beschrijving | Waarde |
---|---|---|
type | Het type identiteit dat wordt gebruikt voor de resource. Het type SystemAssigned, UserAssigned bevat zowel een impliciet gemaakte identiteit als een set door de gebruiker toegewezen identiteiten. Met het type None worden alle identiteiten van de virtuele machine verwijderd. | 'Geen' 'SystemAssigned' 'SystemAssigned, UserAssigned' UserAssigned |
userAssignedIdentities | De lijst met gebruikersidentiteiten die zijn gekoppeld aan de resource. De sleutelverwijzingen voor de gebruikersidentiteitswoordenlijst zijn ARM-resource-id's in de vorm: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Naam | Beschrijving | Waarde |
---|
Microsoft.Network/firewallPolicies
Naam | Beschrijving | Waarde |
---|---|---|
identiteit | De identiteit van het firewallbeleid. | ManagedServiceIdentity- |
plaats | Resourcelocatie. | snaar |
naam | De resourcenaam | tekenreeks (vereist) |
Eigenschappen | Eigenschappen van het firewallbeleid. | FirewallPolicyPropertiesFormat |
Tags | Resourcetags | Woordenlijst met tagnamen en -waarden. |
type | Het resourcetype | "Microsoft.Network/firewallPolicies@2024-03-01" |
ResourceTags
Naam | Beschrijving | Waarde |
---|
SubResource
Naam | Beschrijving | Waarde |
---|---|---|
legitimatiebewijs | Resource-id. | snaar |