你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

az network firewall policy rule-collection-group draft collection

注意

此参考是 Azure CLI(版本 2.61.0 或更高版本)的 Azure 防火墙扩展的一部分。 该扩展将在首次运行 az network firewall policy rule-collection-group draft collection 命令时自动安装。 详细了解扩展。

在规则集合组草稿中管理和配置 Azure 防火墙策略规则集合。

目前,Azure 防火墙策略支持两种类型的规则集合,即筛选器集合和 NAT 集合。 有三种类型的规则是应用程序规则、网络规则和 nat 规则。 NAT 集合支持具有 nat 规则列表。 筛选器集合支持,包括其中的规则列表(网络规则或应用程序规则)。 但所有规则都应是相同的类型。

命令

名称 说明 类型 Status
az network firewall policy rule-collection-group draft collection add-filter-collection

将筛选器集合添加到 Azure 防火墙策略规则收集组草稿中。

扩展 预览
az network firewall policy rule-collection-group draft collection add-nat-collection

将 NAT 集合添加到 Azure 防火墙策略规则收集组草稿中。

扩展 预览
az network firewall policy rule-collection-group draft collection list

列出 Azure 防火墙策略规则收集组草稿的所有规则集合。

扩展 预览
az network firewall policy rule-collection-group draft collection remove

从 Azure 防火墙策略规则收集组草稿中删除规则集合。

扩展 预览
az network firewall policy rule-collection-group draft collection rule

在 Azure 防火墙策略的规则集合组中管理和配置筛选器集合的规则。

扩展 GA
az network firewall policy rule-collection-group draft collection rule add

将规则添加到 Azure 防火墙策略草稿规则集合中。

扩展 预览
az network firewall policy rule-collection-group draft collection rule remove

从 Azure 防火墙策略规则集合草稿中删除规则。

扩展 预览
az network firewall policy rule-collection-group draft collection rule update

更新 Azure 防火墙策略规则集合的规则。

扩展 预览

az network firewall policy rule-collection-group draft collection add-filter-collection

预览

此命令处于预览阶段,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus

将筛选器集合添加到 Azure 防火墙策略规则收集组草稿中。

az network firewall policy rule-collection-group draft collection add-filter-collection --collection-priority
                                                                                        --name
                                                                                        --policy-name
                                                                                        --resource-group
                                                                                        --rule-collection-group-name
                                                                                        [--action {Allow, Deny}]
                                                                                        [--add]
                                                                                        [--description]
                                                                                        [--dest-addr]
                                                                                        [--dest-ipg]
                                                                                        [--destination-fqdns]
                                                                                        [--destination-ports]
                                                                                        [--enable-tls-insp {0, 1, f, false, n, no, t, true, y, yes}]
                                                                                        [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                                                                                        [--fqdn-tags]
                                                                                        [--ip-protocols]
                                                                                        [--no-wait {0, 1, f, false, n, no, t, true, y, yes}]
                                                                                        [--protocols]
                                                                                        [--remove]
                                                                                        [--rule-name]
                                                                                        [--rule-type {ApplicationRule, NatRule, NetworkRule}]
                                                                                        [--set]
                                                                                        [--source-addresses]
                                                                                        [--source-ip-groups]
                                                                                        [--target-fqdns]
                                                                                        [--target-urls]
                                                                                        [--web-categories]

示例

使用网络规则将筛选器集合添加到规则集合组草稿中

az network firewall policy rule-collection-group draft collection add-filter-collection -g {rg}
--policy-name {policy} --rule-collection-group-name {collectiongroup} --name
filter_collection --action Allow --rule-name network_rule --rule-type NetworkRule
--description "test" --destination-addresses "202.120.36.15" --source-addresses
"202.120.36.13" "202.120.36.14" --destination-ports 12003 12004 --ip-protocols TCP UDP
--collection-priority 11002

使用应用程序规则将筛选器集合添加到规则集合组草稿中

az network firewall policy rule-collection-group draft collection add-filter-collection -g {rg}
--policy-name {policy} --rule-collection-group-name {collectiongroup} --name
filter_collection --action Allow --rule-name application_rule --rule-type ApplicationRule
--description "test" --destination-addresses "202.120.36.15" "202.120.36.16" --source-
addresses "202.120.36.13" "202.120.36.14" --protocols Http=12800 Https=12801 --fqdn-tags
AzureBackup HDInsight --collection-priority 11100

必需参数

--collection-priority

防火墙策略规则收集组中规则的优先级。

--name -n

防火墙策略规则收集组的名称。

--policy-name

防火墙策略的名称。

--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

--rule-collection-group-name

FirewallPolicyRuleCollectionGroup 的名称。

可选参数

--action

规则集合的操作类型。

接受的值: Allow, Deny
--add

通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value、string 或 JSON 字符串>。

--description

规则的说明。

--dest-addr --destination-addresses

目标 IP 地址的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--dest-ipg --destination-ip-groups

目标 IpGroups 的名称或资源 ID 的空格分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--destination-fqdns

目标 FQDN 的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--destination-ports

目标端口的空间分隔列表。 Nat 和网络规则支持此参数。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--enable-tls-insp --enable-tls-inspection

启用标志以终止此规则的 TLS 连接。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
默认值: False
--force-string

使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--fqdn-tags

此规则的 FQDN 标记的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--ip-protocols

IP 协议的空间分隔列表。 Nat 和网络规则支持此参数。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--no-wait

不等待长时间运行的操作完成。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--protocols

要使用的协议和端口号的空格分隔列表,采用 PROTOCOL=PORT 格式。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--remove

从列表中删除属性或元素。 示例:--remove property.list OR --remove propertyToRemove。

--rule-name

规则的名称。

--rule-type

规则的类型。

接受的值: ApplicationRule, NatRule, NetworkRule
--set

通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=。

--source-addresses

源 IP ddresses 的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--source-ip-groups

源 IpGroups 的名称或资源 ID 的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--target-fqdns

此规则的 FQDN 的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--target-urls

此规则的目标 URL 的空格分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--web-categories

此规则的 Web 类别的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az network firewall policy rule-collection-group draft collection add-nat-collection

预览

此命令处于预览阶段,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus

将 NAT 集合添加到 Azure 防火墙策略规则收集组草稿中。

az network firewall policy rule-collection-group draft collection add-nat-collection --collection-priority
                                                                                     --ip-protocols
                                                                                     --name
                                                                                     --policy-name
                                                                                     --resource-group
                                                                                     --rule-collection-group-name
                                                                                     [--action {DNAT, SNAT}]
                                                                                     [--add]
                                                                                     [--description]
                                                                                     [--dest-addr]
                                                                                     [--destination-ports]
                                                                                     [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                                                                                     [--no-wait {0, 1, f, false, n, no, t, true, y, yes}]
                                                                                     [--remove]
                                                                                     [--rule-name]
                                                                                     [--set]
                                                                                     [--source-addresses]
                                                                                     [--source-ip-groups]
                                                                                     [--translated-address]
                                                                                     [--translated-fqdn]
                                                                                     [--translated-port]

示例

将 NAT 集合添加到规则集合组草稿中

az network firewall policy rule-collection-group draft collection add-nat-collection -n
nat_collection --collection-priority 10003 --policy-name {policy} -g {rg} --rule-collection-
group-name {collectiongroup} --action DNAT --rule-name network_rule --description "test"
--destination-addresses "202.120.36.15" --source-addresses "202.120.36.13" "202.120.36.14"
--translated-address 128.1.1.1 --translated-port 1234 --destination-ports 12000 12001 --ip-
protocols TCP UDP

必需参数

--collection-priority

防火墙策略规则收集组中规则的优先级。

--ip-protocols

IP 协议的空间分隔列表。 Nat 和网络规则支持此参数。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--name -n

防火墙策略规则收集组的名称。

--policy-name

防火墙策略的名称。

--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

--rule-collection-group-name

FirewallPolicyRuleCollectionGroup 的名称。

可选参数

--action

规则集合的操作类型。

接受的值: DNAT, SNAT
--add

通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value、string 或 JSON 字符串>。

--description

规则的说明。

--dest-addr --destination-addresses

目标 IP 地址的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--destination-ports

目标端口的空间分隔列表。 Nat 和网络规则支持此参数。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--force-string

使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--no-wait

不等待长时间运行的操作完成。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--remove

从列表中删除属性或元素。 示例:--remove property.list OR --remove propertyToRemove。

--rule-name

规则的名称。

--set

通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=。

--source-addresses

源 IP ddresses 的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--source-ip-groups

源 IpGroups 的名称或资源 ID 的空间分隔列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。

--translated-address

此 NAT 规则集合的已转换地址。

--translated-fqdn

此 NAT 规则集合的已翻译 FQDN。

--translated-port

此 NAT 规则集合的已转换端口。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az network firewall policy rule-collection-group draft collection list

预览

此命令处于预览阶段,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus

列出 Azure 防火墙策略规则收集组草稿的所有规则集合。

az network firewall policy rule-collection-group draft collection list --policy-name
                                                                       --rcg-name
                                                                       --resource-group

必需参数

--policy-name

防火墙策略的名称。

--rcg-name --rule-collection-group-name

防火墙策略规则收集组的名称。

--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az network firewall policy rule-collection-group draft collection remove

预览

此命令处于预览阶段,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus

从 Azure 防火墙策略规则收集组草稿中删除规则集合。

az network firewall policy rule-collection-group draft collection remove --name
                                                                         --policy-name
                                                                         --resource-group
                                                                         --rule-collection-group-name
                                                                         [--add]
                                                                         [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                                                                         [--no-wait {0, 1, f, false, n, no, t, true, y, yes}]
                                                                         [--remove]
                                                                         [--set]

必需参数

--name -n

防火墙策略规则收集组的名称。

--policy-name

防火墙策略的名称。

--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

--rule-collection-group-name

FirewallPolicyRuleCollectionGroup 的名称。

可选参数

--add

通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value、string 或 JSON 字符串>。

--force-string

使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--no-wait

不等待长时间运行的操作完成。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--remove

从列表中删除属性或元素。 示例:--remove property.list OR --remove propertyToRemove。

--set

通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。