Microsoft.Network firewallPolicies 2023-06-01
- najnowsze
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Definicja zasobu Bicep
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący element Bicep do szablonu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-06-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Wartości właściwości
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | string[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| enablePacFile | W przypadku ustawienia wartości true należy podać port i adres URL pliku pac. | Bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | struna |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | struna |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | struna |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| isEnabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. W przypadku dołączenia do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu dostawcy tożsamości. Po dołączeniu do zasad nadrzędnych obowiązujący profil zapory to nazwa profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzony" "Standardowa" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | struna |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | string[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | string[] |
| destinationPorts | Lista portów docelowych lub zakresów. | string[] |
| nazwa | Nazwa reguły ruchu pomijania. | struna |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | string[] |
| sourceIpGroups | Lista źródłowych grup ip dla tej reguły. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są uznawane za prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | string[] |
| signatureOverrides | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | struna |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | struna |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| dnsSettings | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxy | Jawna definicja ustawień serwera proxy. | jawneproxy |
| Spostrzeżenia | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| kondygnacja | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges | Tryb operacji automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | string[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | string[] |
| ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity |
| lokalizacja | Lokalizacja zasobu. | struna |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
Przykłady z przewodnika Szybki start
W poniższych przykładach szybkiego startu wdrożono ten typ zasobu.
| Plik Bicep | Opis |
|---|---|
| tworzenie zapory i zasad zapory przy użyciu reguł i grup ip | Ten szablon wdraża usługę Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do grup adresów IP w regułach aplikacji i sieci. |
| zabezpieczone koncentratory wirtualne | Ten szablon tworzy zabezpieczone centrum wirtualne przy użyciu usługi Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
| subskrypcja programu SharePoint / 2019 / 2016 w pełni skonfigurowane | Utwórz kontroler domeny, farmę programu SQL Server 2022 i od 1 do 5 serwerów hostująca subskrypcję programu SharePoint / 2019 / 2016 z rozbudowaną konfiguracją, w tym zaufane uwierzytelnianie, profile użytkowników z witrynami osobistymi, zaufanie OAuth (przy użyciu certyfikatu), dedykowaną witrynę usług IIS do hostowania dodatków o wysokim zaufaniu itp. Zainstalowano najnowszą wersję oprogramowania kluczy (w tym programu Fiddler, vscode, np++, 7zip, ULS Viewer). Maszyny programu SharePoint mają dodatkowe dostrajanie, aby były natychmiast użyteczne (narzędzia administracji zdalnej, niestandardowe zasady dla przeglądarki Edge i Chrome, skróty itp.). |
| środowisko testowe dla usługi Azure Firewall — wersja Premium | Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej |
| użyj usługi Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty | W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu usługi Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Definicja zasobu szablonu usługi ARM
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów — zobacz polecenia wdrażania grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-06-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Wartości właściwości
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | string[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| enablePacFile | W przypadku ustawienia wartości true należy podać port i adres URL pliku pac. | Bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | struna |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | struna |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | struna |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| isEnabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. W przypadku dołączenia do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu dostawcy tożsamości. Po dołączeniu do zasad nadrzędnych obowiązujący profil zapory to nazwa profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzony" "Standardowa" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | struna |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | string[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | string[] |
| destinationPorts | Lista portów docelowych lub zakresów. | string[] |
| nazwa | Nazwa reguły ruchu pomijania. | struna |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | string[] |
| sourceIpGroups | Lista źródłowych grup ip dla tej reguły. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są uznawane za prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | string[] |
| signatureOverrides | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | struna |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | struna |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| dnsSettings | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxy | Jawna definicja ustawień serwera proxy. | jawneproxy |
| Spostrzeżenia | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| kondygnacja | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges | Tryb operacji automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | string[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | string[] |
| ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| apiVersion | Wersja interfejsu API | '2023-06-01' |
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity |
| lokalizacja | Lokalizacja zasobu. | struna |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
| typ | Typ zasobu | "Microsoft.Network/firewallPolicies" |
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |
Szablony szybkiego startu
Następujące szablony szybkiego startu wdrażają ten typ zasobu.
| Szablon | Opis |
|---|---|
|
tworzenie zapory i zasad zapory przy użyciu reguł i grup ip wdrażanie  |
Ten szablon wdraża usługę Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do grup adresów IP w regułach aplikacji i sieci. |
|
tworzenie zapory przy użyciu zasad zapory i IpGroups wdrażanie |
Ten szablon tworzy usługę Azure Firewall z zasadami zapory odwołującymi się do reguł sieci za pomocą grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
tworzenie zapory, zaporaPolicy z jawnym serwerem proxy wdrażanie |
Ten szablon tworzy usługę Azure Firewall, FirewalllPolicy z jawnym serwerem proxy i regułami sieci z grupami IP. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
Tworzenie konfiguracji piaskownicy przy użyciu zasad zapory wdrażanie |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią przesiadki i podsiecią AzureFirewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać usługę Azure Firewall dla podsieci serwera i usługę Azure Firewall z co najmniej 1 publicznymi adresami IP. Tworzy również zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
|
zabezpieczone koncentratory wirtualne wdrażanie |
Ten szablon tworzy zabezpieczone centrum wirtualne przy użyciu usługi Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
|
subskrypcja programu SharePoint / 2019 / 2016 w pełni skonfigurowane wdrażanie |
Utwórz kontroler domeny, farmę programu SQL Server 2022 i od 1 do 5 serwerów hostująca subskrypcję programu SharePoint / 2019 / 2016 z rozbudowaną konfiguracją, w tym zaufane uwierzytelnianie, profile użytkowników z witrynami osobistymi, zaufanie OAuth (przy użyciu certyfikatu), dedykowaną witrynę usług IIS do hostowania dodatków o wysokim zaufaniu itp. Zainstalowano najnowszą wersję oprogramowania kluczy (w tym programu Fiddler, vscode, np++, 7zip, ULS Viewer). Maszyny programu SharePoint mają dodatkowe dostrajanie, aby były natychmiast użyteczne (narzędzia administracji zdalnej, niestandardowe zasady dla przeglądarki Edge i Chrome, skróty itp.). |
| środowisko testowe dla usługi Azure Firewall — wersja Premium wdrażanie |
Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej |
|
użyj usługi Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty wdrażanie |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu usługi Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
- grupy zasobów
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-06-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Wartości właściwości
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | string[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| enablePacFile | W przypadku ustawienia wartości true należy podać port i adres URL pliku pac. | Bool |
| httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| httpsPort | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | struna |
| pacFilePort | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | struna |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | struna |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| isEnabled | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. W przypadku dołączenia do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu dostawcy tożsamości. Po dołączeniu do zasad nadrzędnych obowiązujący profil zapory to nazwa profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzony" "Standardowa" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | struna |
| destinationAddresses | Lista docelowych adresów IP lub zakresów dla tej reguły. | string[] |
| destinationIpGroups | Lista docelowych grup IpGroup dla tej reguły. | string[] |
| destinationPorts | Lista portów docelowych lub zakresów. | string[] |
| nazwa | Nazwa reguły ruchu pomijania. | struna |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Lista źródłowych adresów IP lub zakresów dla tej reguły. | string[] |
| sourceIpGroups | Lista źródłowych grup ip dla tej reguły. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są uznawane za prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | string[] |
| signatureOverrides | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | struna |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | struna |
| workspaceId | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| dnsSettings | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxy | Jawna definicja ustawień serwera proxy. | jawneproxy |
| Spostrzeżenia | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| intrusionDetection | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL |
| threatIntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelWhitelist | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definicja konfiguracji protokołu TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| kondygnacja | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges | Tryb operacji automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | string[] |
FirewallPolicySQL
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | string[] |
| ipAddresses | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| userAssignedIdentities | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity |
| lokalizacja | Lokalizacja zasobu. | struna |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. |
| typ | Typ zasobu | "Microsoft.Network/firewallPolicies@2023-06-01" |
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | struna |