Microsoft.網路防火牆原則 2020-11-01
本文內容
Bicep 資源定義
firewallPolicies 資源類型可以使用目標作業來部署:
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔 。
若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.Network/firewallPolicies@2020-11-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
屬性值
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
DnsSettings
名字
描述
價值
enableProxy
在連結至防火牆原則的防火牆上啟用 DNS Proxy。
bool
requireProxyForNetworkRules
當設定為 true 時,支援網路規則中的 FQDN。
bool
伺服器
自訂 DNS 伺服器清單。
string[]
FirewallPolicyCertificateAuthority
名字
描述
價值
keyVaultSecretId
秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。
字串
名字
CA 憑證的名稱。
字串
FirewallPolicyInsights
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
名字
描述
價值
描述
略過流量規則的描述。
字串
destinationAddresses
此規則的目的地IP位址或範圍清單。
string[]
destinationIpGroups
此規則的目的地 IpGroup 清單。
string[]
destinationPorts
目的地埠或範圍的清單。
string[]
名字
略過流量規則的名稱。
字串
協定
規則略過通訊協定。
'ANY'
sourceAddresses
此規則的來源IP位址或範圍清單。
string[]
sourceIpGroups
此規則的來源 IpGroup 清單。
string[]
FirewallPolicyIntrusionDetectionConfiguration
FirewallPolicyIntrusionDetectionSignatureSpecification
名字
描述
價值
id
簽章標識碼。
字串
模式
簽章狀態。
'Alert'
FirewallPolicyLogAnalyticsResources
FirewallPolicyLogAnalyticsWorkspace
名字
描述
價值
地區
要設定工作區的區域。
字串
workspaceId
防火牆原則深入解析的工作區標識符。
SubResource
FirewallPolicySku
名字
描述
價值
層
防火牆原則的層級。
'Premium'
FirewallPolicySnat
名字
描述
價值
privateRanges
非 SNAT 的私人 IP 位址/IP 位址範圍清單。
string[]
FirewallPolicyThreatIntelWhitelist
名字
描述
價值
fqdns
ThreatIntel 允許清單的 FQDN 清單。
string[]
ipAddresses
ThreatIntel 允許清單的IP位址清單。
string[]
FirewallPolicyTransportSecurity
ManagedServiceIdentity
名字
描述
價值
類型
用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。
'None'
userAssignedIdentities
與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。
ManagedServiceIdentityUserAssignedIdentities
ManagedServiceIdentityUserAssignedIdentities
Microsoft.Network/firewallPolicies
SubResource
使用範例
Azure 已驗證的模組
下列 Azure 驗證模組 可用來部署此資源類型。
模組
描述
防火牆原則
防火牆原則的AVM資源模組
Azure 快速入門範例
下列 Azure 快速入門範本 包含用於部署此資源類型的 Bicep 範例。
Bicep 檔案
描述
使用規則和 Ipgroups 建立防火牆和 FirewallPolicy
此範本會部署具有防火牆原則的 Azure 防火牆(包括多個應用程式和網路規則),以參考應用程式和網路規則中的 IP 群組。
安全虛擬中樞
此範本會使用 Azure 防火牆建立安全的虛擬中樞,以保護目的地為因特網的雲端網路流量。
SharePoint 訂閱 / 2019 / 2016 完整設定
建立 DC、SQL Server 2022,以及從 1 到 5 部伺服器(s)裝載 SharePoint 訂閱 /2019 / 2016 伺服器數位,其中包含廣泛的設定,包括受信任的驗證、具有個人網站的使用者配置檔、OAuth 信任(使用憑證)、裝載高信任載入巨集的專用 IIS 網站等等...已安裝最新版本的密鑰軟體(包括 Fiddler、vscode、np++、7zip、ULS Viewer)。 SharePoint 機器有額外的微調,使其立即可供使用(遠端管理工具、Edge 和 Chrome 的自定義原則、快捷方式等等...)。
適用於 Azure 防火牆進階 測試環境
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選
使用 Azure 防火牆作為中樞 & 輪輻拓撲中的 DNS Proxy
此範例示範如何使用 Azure 防火牆在 Azure 中部署中樞輪輻拓撲。 中樞虛擬網路可作為透過虛擬網路對等互連連線到中樞虛擬網路之許多輪輻虛擬網路的中央點。
ARM 樣本資源定義
firewallPolicies 資源類型可以使用目標作業來部署:
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔 。
若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2020-11-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
屬性值
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
DnsSettings
名字
描述
價值
enableProxy
在連結至防火牆原則的防火牆上啟用 DNS Proxy。
bool
requireProxyForNetworkRules
當設定為 true 時,支援網路規則中的 FQDN。
bool
伺服器
自訂 DNS 伺服器清單。
string[]
FirewallPolicyCertificateAuthority
名字
描述
價值
keyVaultSecretId
秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。
字串
名字
CA 憑證的名稱。
字串
FirewallPolicyInsights
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
名字
描述
價值
描述
略過流量規則的描述。
字串
destinationAddresses
此規則的目的地IP位址或範圍清單。
string[]
destinationIpGroups
此規則的目的地 IpGroup 清單。
string[]
destinationPorts
目的地埠或範圍的清單。
string[]
名字
略過流量規則的名稱。
字串
協定
規則略過通訊協定。
'ANY'
sourceAddresses
此規則的來源IP位址或範圍清單。
string[]
sourceIpGroups
此規則的來源 IpGroup 清單。
string[]
FirewallPolicyIntrusionDetectionConfiguration
FirewallPolicyIntrusionDetectionSignatureSpecification
名字
描述
價值
id
簽章標識碼。
字串
模式
簽章狀態。
'Alert'
FirewallPolicyLogAnalyticsResources
FirewallPolicyLogAnalyticsWorkspace
名字
描述
價值
地區
要設定工作區的區域。
字串
workspaceId
防火牆原則深入解析的工作區標識符。
SubResource
FirewallPolicySku
名字
描述
價值
層
防火牆原則的層級。
'Premium'
FirewallPolicySnat
名字
描述
價值
privateRanges
非 SNAT 的私人 IP 位址/IP 位址範圍清單。
string[]
FirewallPolicyThreatIntelWhitelist
名字
描述
價值
fqdns
ThreatIntel 允許清單的 FQDN 清單。
string[]
ipAddresses
ThreatIntel 允許清單的IP位址清單。
string[]
FirewallPolicyTransportSecurity
ManagedServiceIdentity
名字
描述
價值
類型
用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。
'None'
userAssignedIdentities
與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。
ManagedServiceIdentityUserAssignedIdentities
ManagedServiceIdentityUserAssignedIdentities
Microsoft.Network/firewallPolicies
SubResource
使用範例
Azure 快速入門範本
下列 Azure 快速入門範本 部署此資源類型。
範本
描述
使用規則和 Ipgroups 建立防火牆和 FirewallPolicy
此範本會部署具有防火牆原則的 Azure 防火牆(包括多個應用程式和網路規則),以參考應用程式和網路規則中的 IP 群組。
使用 FirewallPolicy 和 IpGroups 建立防火牆
此範本會建立具有 FirewalllPolicy 的 Azure 防火牆,並參考 IpGroups 的網路規則。 此外,也包含Linux Jumpbox vm安裝程式
使用明確 Proxy 建立防火牆、FirewallPolicy
此範本會使用 IpGroups 建立具有明確 Proxy 的 Azure 防火牆、FirewalllPolicy 和網路規則。 此外,也包含Linux Jumpbox vm安裝程式
使用防火牆原則建立沙箱設定
此範本會建立具有 3 個子網的虛擬網路(伺服器子網、Jumpbox 子集和 AzureFirewall 子網)、具有公用 IP、伺服器 VM、UDR 路由的 Jumpbox VM,以指向伺服器子網的 Azure 防火牆,以及具有 1 個以上公用 IP 位址的 Azure 防火牆。 同時建立具有 1 個範例應用程式規則、1 個範例網路規則和預設私人範圍的防火牆原則
安全虛擬中樞
此範本會使用 Azure 防火牆建立安全的虛擬中樞,以保護目的地為因特網的雲端網路流量。
SharePoint 訂閱 / 2019 / 2016 完整設定
建立 DC、SQL Server 2022,以及從 1 到 5 部伺服器(s)裝載 SharePoint 訂閱 /2019 / 2016 伺服器數位,其中包含廣泛的設定,包括受信任的驗證、具有個人網站的使用者配置檔、OAuth 信任(使用憑證)、裝載高信任載入巨集的專用 IIS 網站等等...已安裝最新版本的密鑰軟體(包括 Fiddler、vscode、np++、7zip、ULS Viewer)。 SharePoint 機器有額外的微調,使其立即可供使用(遠端管理工具、Edge 和 Chrome 的自定義原則、快捷方式等等...)。
適用於 Azure 防火牆進階 測試環境
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選
使用 Azure 防火牆作為中樞 & 輪輻拓撲中的 DNS Proxy
此範例示範如何使用 Azure 防火牆在 Azure 中部署中樞輪輻拓撲。 中樞虛擬網路可作為透過虛擬網路對等互連連線到中樞虛擬網路之許多輪輻虛擬網路的中央點。
firewallPolicies 資源類型可以使用目標作業來部署:
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔 。
若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 Terraform 新增至範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2020-11-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
屬性值
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
DnsSettings
名字
描述
價值
enableProxy
在連結至防火牆原則的防火牆上啟用 DNS Proxy。
bool
requireProxyForNetworkRules
當設定為 true 時,支援網路規則中的 FQDN。
bool
伺服器
自訂 DNS 伺服器清單。
string[]
FirewallPolicyCertificateAuthority
名字
描述
價值
keyVaultSecretId
秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。
字串
名字
CA 憑證的名稱。
字串
FirewallPolicyInsights
FirewallPolicyIntrusionDetection
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
名字
描述
價值
描述
略過流量規則的描述。
字串
destinationAddresses
此規則的目的地IP位址或範圍清單。
string[]
destinationIpGroups
此規則的目的地 IpGroup 清單。
string[]
destinationPorts
目的地埠或範圍的清單。
string[]
名字
略過流量規則的名稱。
字串
協定
規則略過通訊協定。
'ANY'
sourceAddresses
此規則的來源IP位址或範圍清單。
string[]
sourceIpGroups
此規則的來源 IpGroup 清單。
string[]
FirewallPolicyIntrusionDetectionConfiguration
FirewallPolicyIntrusionDetectionSignatureSpecification
名字
描述
價值
id
簽章標識碼。
字串
模式
簽章狀態。
'Alert'
FirewallPolicyLogAnalyticsResources
FirewallPolicyLogAnalyticsWorkspace
名字
描述
價值
地區
要設定工作區的區域。
字串
workspaceId
防火牆原則深入解析的工作區標識符。
SubResource
FirewallPolicySku
名字
描述
價值
層
防火牆原則的層級。
'Premium'
FirewallPolicySnat
名字
描述
價值
privateRanges
非 SNAT 的私人 IP 位址/IP 位址範圍清單。
string[]
FirewallPolicyThreatIntelWhitelist
名字
描述
價值
fqdns
ThreatIntel 允許清單的 FQDN 清單。
string[]
ipAddresses
ThreatIntel 允許清單的IP位址清單。
string[]
FirewallPolicyTransportSecurity
ManagedServiceIdentity
名字
描述
價值
類型
用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。
'None'
userAssignedIdentities
與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。
ManagedServiceIdentityUserAssignedIdentities
ManagedServiceIdentityUserAssignedIdentities
Microsoft.Network/firewallPolicies
SubResource
使用範例
Azure 已驗證的模組
下列 Azure 驗證模組 可用來部署此資源類型。
