你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn 。
Microsoft.Network firewallPolicies 2020-11-01
本文内容
Bicep 资源定义
可以使用目标操作部署 firewallPolicies 资源类型:
有关每个 API 版本中已更改属性的列表,请参阅 更改日志 。
若要创建 Microsoft.Network/firewallPolicies 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Network/firewallPolicies@2020-11-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
属性值
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
DnsSettings
名字
描述
价值
enableProxy
在附加到防火墙策略的防火墙上启用 DNS 代理。
bool
requireProxyForNetworkRules
当设置为 true 时,支持网络规则中的 FQDN。
bool
服务器
自定义 DNS 服务器列表。
string[]
FirewallPolicyCertificateAuthority
名字
描述
价值
keyVaultSecretId
存储在 KeyVault 中的“Secret”或“Certificate”对象的机密 ID(base-64 编码的未加密 pfx)。
字符串
名字
CA 证书的名称。
字符串
FirewallPolicyInsights
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
名字
描述
价值
描述
绕过流量规则的说明。
字符串
destinationAddresses
此规则的目标 IP 地址或范围列表。
string[]
destinationIpGroups
此规则的目标 IpGroup 列表。
string[]
destinationPorts
目标端口或范围的列表。
string[]
名字
绕过流量规则的名称。
字符串
协议
规则绕过协议。
“ANY” “ICMP” “TCP” “UDP”
sourceAddresses
此规则的源 IP 地址或范围列表。
string[]
sourceIpGroups
此规则的源 IpGroup 列表。
string[]
FirewallPolicyIntrusionDetectionConfiguration
FirewallPolicyIntrusionDetectionSignatureSpecification
名字
描述
价值
id
签名 ID。
字符串
模式
签名状态。
“Alert” “拒绝” “关闭”
FirewallPolicyLogAnalyticsResources
FirewallPolicyLogAnalyticsWorkspace
名字
描述
价值
地区
要配置工作区的区域。
字符串
workspaceId
防火墙策略见解的工作区 ID。
SubResource
FirewallPolicySku
名字
描述
价值
层
防火墙策略的层。
“Premium” “Standard”
FirewallPolicySnat
名字
描述
价值
privateRanges
非 SNAT 的专用 IP 地址/IP 地址范围列表。
string[]
FirewallPolicyThreatIntelWhitelist
名字
描述
价值
fqdns
ThreatIntel 允许列表的 FQDN 列表。
string[]
ipAddresses
ThreatIntel 允许列表的 IP 地址列表。
string[]
FirewallPolicyTransportSecurity
ManagedServiceIdentity
名字
描述
价值
类型
用于资源的标识类型。 类型“SystemAssigned,UserAssigned”包括隐式创建的标识和一组用户分配的标识。 类型“None”将从虚拟机中删除任何标识。
“None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned”
userAssignedIdentities
与资源关联的用户标识列表。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。
ManagedServiceIdentityUserAssignedIdentities
ManagedServiceIdentityUserAssignedIdentities
Microsoft.Network/firewallPolicies
SubResource
快速入门示例
以下快速入门示例部署此资源类型。
Bicep 文件
描述
使用规则和 Ipgroups 创建防火墙和 FirewallPolicy
此模板部署包含防火墙策略(包括多个应用程序和网络规则)的 Azure 防火墙,该防火墙引用了应用程序和网络规则中的 IP 组。
安全虚拟中心
此模板使用 Azure 防火墙创建安全的虚拟中心,以保护发往 Internet 的云网络流量。
SharePoint 订阅/ 2019 / 2016 完全配置
创建 DC、SQL Server 2022 和从 1 到 5 个服务器(s)托管 SharePoint 订阅/2019 / 2016 场,其中包含大量配置,包括受信任的身份验证、具有个人网站的用户配置文件、OAuth 信任(使用证书)、用于托管高信任外接程序的专用 IIS 站点,等等。已安装最新版本的密钥软件(包括 Fiddler、vscode、np++、7zip、ULS 查看器)。 SharePoint 计算机具有其他微调功能,使它们立即可用(远程管理工具、Edge 和 Chrome 的自定义策略、快捷方式等)。
Azure 防火墙高级版 的 测试环境
此模板创建具有高级功能(例如入侵检查检测(IDPS)、TLS 检查和 Web 类别筛选等高级功能的 Azure 防火墙高级和防火墙策略
使用 Azure 防火墙作为中心 & 辐射型拓扑中的 DNS 代理
此示例演示如何使用 Azure 防火墙在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多辐射虚拟网络的中心点。
ARM 模板资源定义
可以使用目标操作部署 firewallPolicies 资源类型:
有关每个 API 版本中已更改属性的列表,请参阅 更改日志 。
若要创建 Microsoft.Network/firewallPolicies 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2020-11-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
属性值
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
DnsSettings
名字
描述
价值
enableProxy
在附加到防火墙策略的防火墙上启用 DNS 代理。
bool
requireProxyForNetworkRules
当设置为 true 时,支持网络规则中的 FQDN。
bool
服务器
自定义 DNS 服务器列表。
string[]
FirewallPolicyCertificateAuthority
名字
描述
价值
keyVaultSecretId
存储在 KeyVault 中的“Secret”或“Certificate”对象的机密 ID(base-64 编码的未加密 pfx)。
字符串
名字
CA 证书的名称。
字符串
FirewallPolicyInsights
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
名字
描述
价值
描述
绕过流量规则的说明。
字符串
destinationAddresses
此规则的目标 IP 地址或范围列表。
string[]
destinationIpGroups
此规则的目标 IpGroup 列表。
string[]
destinationPorts
目标端口或范围的列表。
string[]
名字
绕过流量规则的名称。
字符串
协议
规则绕过协议。
“ANY” “ICMP” “TCP” “UDP”
sourceAddresses
此规则的源 IP 地址或范围列表。
string[]
sourceIpGroups
此规则的源 IpGroup 列表。
string[]
FirewallPolicyIntrusionDetectionConfiguration
FirewallPolicyIntrusionDetectionSignatureSpecification
名字
描述
价值
id
签名 ID。
字符串
模式
签名状态。
“Alert” “拒绝” “关闭”
FirewallPolicyLogAnalyticsResources
FirewallPolicyLogAnalyticsWorkspace
名字
描述
价值
地区
要配置工作区的区域。
字符串
workspaceId
防火墙策略见解的工作区 ID。
SubResource
FirewallPolicySku
名字
描述
价值
层
防火墙策略的层。
“Premium” “Standard”
FirewallPolicySnat
名字
描述
价值
privateRanges
非 SNAT 的专用 IP 地址/IP 地址范围列表。
string[]
FirewallPolicyThreatIntelWhitelist
名字
描述
价值
fqdns
ThreatIntel 允许列表的 FQDN 列表。
string[]
ipAddresses
ThreatIntel 允许列表的 IP 地址列表。
string[]
FirewallPolicyTransportSecurity
ManagedServiceIdentity
名字
描述
价值
类型
用于资源的标识类型。 类型“SystemAssigned,UserAssigned”包括隐式创建的标识和一组用户分配的标识。 类型“None”将从虚拟机中删除任何标识。
“None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned”
userAssignedIdentities
与资源关联的用户标识列表。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。
ManagedServiceIdentityUserAssignedIdentities
ManagedServiceIdentityUserAssignedIdentities
Microsoft.Network/firewallPolicies
SubResource
快速入门模板
以下快速入门模板部署此资源类型。
模板
描述
使用规则和 Ipgroups 创建防火墙和 FirewallPolicy
此模板部署包含防火墙策略(包括多个应用程序和网络规则)的 Azure 防火墙,该防火墙引用了应用程序和网络规则中的 IP 组。
使用 FirewallPolicy 和 IpGroups 创建防火墙
此模板创建一个包含 FirewalllPolicy 的 Azure 防火墙,该防火墙引用了 IpGroups 的网络规则。 此外,还包括 Linux Jumpbox vm 设置
使用显式代理创建防火墙、FirewallPolicy
此模板使用 IpGroups 的显式代理和网络规则创建 Azure 防火墙、FirewalllPolicy。 此外,还包括 Linux Jumpbox vm 设置
使用防火墙策略 创建沙盒设置
此模板创建包含 3 个子网(服务器子网、jumpbox 子集和 AzureFirewall 子网)的虚拟网络、具有公共 IP 的 jumpbox VM、服务器 VM、UDR 路由,以指向服务器子网的 Azure 防火墙以及具有 1 个或多个公共 IP 地址的 Azure 防火墙。 此外,还创建包含 1 个示例应用程序规则、1 个示例网络规则和默认专用范围的防火墙策略
安全虚拟中心
此模板使用 Azure 防火墙创建安全的虚拟中心,以保护发往 Internet 的云网络流量。
SharePoint 订阅/ 2019 / 2016 完全配置
创建 DC、SQL Server 2022 和从 1 到 5 个服务器(s)托管 SharePoint 订阅/2019 / 2016 场,其中包含大量配置,包括受信任的身份验证、具有个人网站的用户配置文件、OAuth 信任(使用证书)、用于托管高信任外接程序的专用 IIS 站点,等等。已安装最新版本的密钥软件(包括 Fiddler、vscode、np++、7zip、ULS 查看器)。 SharePoint 计算机具有其他微调功能,使它们立即可用(远程管理工具、Edge 和 Chrome 的自定义策略、快捷方式等)。
Azure 防火墙高级版 的 测试环境
此模板创建具有高级功能(例如入侵检查检测(IDPS)、TLS 检查和 Web 类别筛选等高级功能的 Azure 防火墙高级和防火墙策略
使用 Azure 防火墙作为中心 & 辐射型拓扑中的 DNS 代理
此示例演示如何使用 Azure 防火墙在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多辐射虚拟网络的中心点。
可以使用目标操作部署 firewallPolicies 资源类型:
有关每个 API 版本中已更改属性的列表,请参阅 更改日志 。
若要创建 Microsoft.Network/firewallPolicies 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2020-11-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
属性值
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
DnsSettings
名字
描述
价值
enableProxy
在附加到防火墙策略的防火墙上启用 DNS 代理。
bool
requireProxyForNetworkRules
当设置为 true 时,支持网络规则中的 FQDN。
bool
服务器
自定义 DNS 服务器列表。
string[]
FirewallPolicyCertificateAuthority
名字
描述
价值
keyVaultSecretId
存储在 KeyVault 中的“Secret”或“Certificate”对象的机密 ID(base-64 编码的未加密 pfx)。
字符串
名字
CA 证书的名称。
字符串
FirewallPolicyInsights
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
名字
描述
价值
描述
绕过流量规则的说明。
字符串
destinationAddresses
此规则的目标 IP 地址或范围列表。
string[]
destinationIpGroups
此规则的目标 IpGroup 列表。
string[]
destinationPorts
目标端口或范围的列表。
string[]
名字
绕过流量规则的名称。
字符串
协议
规则绕过协议。
“ANY” “ICMP” “TCP” “UDP”
sourceAddresses
此规则的源 IP 地址或范围列表。
string[]
sourceIpGroups
此规则的源 IpGroup 列表。
string[]
FirewallPolicyIntrusionDetectionConfiguration
FirewallPolicyIntrusionDetectionSignatureSpecification
名字
描述
价值
id
签名 ID。
字符串
模式
签名状态。
“Alert” “拒绝” “关闭”
FirewallPolicyLogAnalyticsResources
FirewallPolicyLogAnalyticsWorkspace
名字
描述
价值
地区
要配置工作区的区域。
字符串
workspaceId
防火墙策略见解的工作区 ID。
SubResource
FirewallPolicySku
名字
描述
价值
层
防火墙策略的层。
“Premium” “Standard”
FirewallPolicySnat
名字
描述
价值
privateRanges
非 SNAT 的专用 IP 地址/IP 地址范围列表。
string[]
FirewallPolicyThreatIntelWhitelist
名字
描述
价值
fqdns
ThreatIntel 允许列表的 FQDN 列表。
string[]
ipAddresses
ThreatIntel 允许列表的 IP 地址列表。
string[]
FirewallPolicyTransportSecurity
ManagedServiceIdentity
名字
描述
价值
类型
用于资源的标识类型。 类型“SystemAssigned,UserAssigned”包括隐式创建的标识和一组用户分配的标识。 类型“None”将从虚拟机中删除任何标识。
“None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned”
userAssignedIdentities
与资源关联的用户标识列表。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。
ManagedServiceIdentityUserAssignedIdentities
ManagedServiceIdentityUserAssignedIdentities
Microsoft.Network/firewallPolicies
SubResource