Microsoft.Network firewallPolicies 2021-05-01
- najnowsze
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Definicja zasobu Bicep
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący element Bicep do szablonu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2021-05-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxySettings: {
enableExplicitProxy: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Wartości właściwości
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | string[] |
ExplicitProxySettings
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | struna |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | struna |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | struna |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| isEnabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | struna |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | string[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | string[] |
| destinationPorts | Lista portów docelowych lub zakresów. | string[] |
| nazwa | Nazwa reguły ruchu pomijania. | struna |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | string[] |
| sourceIpGroups | Lista źródłowych grup ip dla tej reguły. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| signatureOverrides | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | struna |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | struna |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| dnsSettings | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxySettings | Jawna definicja ustawień serwera proxy. | ExplicitProxySettings |
| Spostrzeżenia | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| kondygnacja | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | string[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | string[] |
| ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity |
| lokalizacja | Lokalizacja zasobu. | struna |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
Przykłady z przewodnika Szybki start
W poniższych przykładach szybkiego startu wdrożono ten typ zasobu.
| Plik Bicep | Opis |
|---|---|
| tworzenie zapory i zasad zapory przy użyciu reguł i grup ip | Ten szablon wdraża usługę Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do grup adresów IP w regułach aplikacji i sieci. |
| zabezpieczone koncentratory wirtualne | Ten szablon tworzy zabezpieczone centrum wirtualne przy użyciu usługi Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
| subskrypcja programu SharePoint / 2019 / 2016 w pełni skonfigurowane | Utwórz kontroler domeny, farmę programu SQL Server 2022 i od 1 do 5 serwerów hostująca subskrypcję programu SharePoint / 2019 / 2016 z rozbudowaną konfiguracją, w tym zaufane uwierzytelnianie, profile użytkowników z witrynami osobistymi, zaufanie OAuth (przy użyciu certyfikatu), dedykowaną witrynę usług IIS do hostowania dodatków o wysokim zaufaniu itp. Zainstalowano najnowszą wersję oprogramowania kluczy (w tym programu Fiddler, vscode, np++, 7zip, ULS Viewer). Maszyny programu SharePoint mają dodatkowe dostrajanie, aby były natychmiast użyteczne (narzędzia administracji zdalnej, niestandardowe zasady dla przeglądarki Edge i Chrome, skróty itp.). |
| środowisko testowe dla usługi Azure Firewall — wersja Premium | Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej |
| użyj usługi Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty | W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu usługi Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Definicja zasobu szablonu usługi ARM
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2021-05-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxySettings": {
"enableExplicitProxy": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Wartości właściwości
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | string[] |
ExplicitProxySettings
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | struna |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | struna |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | struna |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| isEnabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | struna |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | string[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | string[] |
| destinationPorts | Lista portów docelowych lub zakresów. | string[] |
| nazwa | Nazwa reguły ruchu pomijania. | struna |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | string[] |
| sourceIpGroups | Lista źródłowych grup ip dla tej reguły. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| signatureOverrides | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | struna |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | struna |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| dnsSettings | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxySettings | Jawna definicja ustawień serwera proxy. | ExplicitProxySettings |
| Spostrzeżenia | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| kondygnacja | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | string[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | string[] |
| ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| apiVersion | Wersja interfejsu API | '2021-05-01' |
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity |
| lokalizacja | Lokalizacja zasobu. | struna |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
| typ | Typ zasobu | "Microsoft.Network/firewallPolicies" |
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Szablon | Opis |
|---|---|
|
tworzenie zapory i zasad zapory przy użyciu reguł i grup ip wdrażanie  |
Ten szablon wdraża usługę Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do grup adresów IP w regułach aplikacji i sieci. |
|
tworzenie zapory przy użyciu zasad zapory i IpGroups wdrażanie |
Ten szablon tworzy usługę Azure Firewall z zasadami zapory odwołującymi się do reguł sieci za pomocą grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
tworzenie zapory, zaporaPolicy z jawnym serwerem proxy wdrażanie |
Ten szablon tworzy usługę Azure Firewall, FirewalllPolicy z jawnym serwerem proxy i regułami sieci z grupami IP. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
Tworzenie konfiguracji piaskownicy przy użyciu zasad zapory wdrażanie |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią przesiadki i podsiecią AzureFirewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać usługę Azure Firewall dla podsieci serwera i usługę Azure Firewall z co najmniej 1 publicznymi adresami IP. Tworzy również zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
|
zabezpieczone koncentratory wirtualne wdrażanie |
Ten szablon tworzy zabezpieczone centrum wirtualne przy użyciu usługi Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
|
subskrypcja programu SharePoint / 2019 / 2016 w pełni skonfigurowane wdrażanie |
Utwórz kontroler domeny, farmę programu SQL Server 2022 i od 1 do 5 serwerów hostująca subskrypcję programu SharePoint / 2019 / 2016 z rozbudowaną konfiguracją, w tym zaufane uwierzytelnianie, profile użytkowników z witrynami osobistymi, zaufanie OAuth (przy użyciu certyfikatu), dedykowaną witrynę usług IIS do hostowania dodatków o wysokim zaufaniu itp. Zainstalowano najnowszą wersję oprogramowania kluczy (w tym programu Fiddler, vscode, np++, 7zip, ULS Viewer). Maszyny programu SharePoint mają dodatkowe dostrajanie, aby były natychmiast użyteczne (narzędzia administracji zdalnej, niestandardowe zasady dla przeglądarki Edge i Chrome, skróty itp.). |
| środowisko testowe dla usługi Azure Firewall — wersja Premium wdrażanie |
Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej |
|
użyj usługi Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty wdrażanie |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu usługi Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2021-05-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxySettings = {
enableExplicitProxy = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Wartości właściwości
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | string[] |
ExplicitProxySettings
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | struna |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | struna |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | struna |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| isEnabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | struna |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | string[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | string[] |
| destinationPorts | Lista portów docelowych lub zakresów. | string[] |
| nazwa | Nazwa reguły ruchu pomijania. | struna |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | string[] |
| sourceIpGroups | Lista źródłowych grup ip dla tej reguły. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| signatureOverrides | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | struna |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | struna |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| dnsSettings | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxySettings | Jawna definicja ustawień serwera proxy. | ExplicitProxySettings |
| Spostrzeżenia | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| kondygnacja | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | string[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | string[] |
| ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity |
| lokalizacja | Lokalizacja zasobu. | struna |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. |
| typ | Typ zasobu | "Microsoft.Network/firewallPolicies@2021-05-01" |
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |