Определение ресурсов Bicep
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.Network/firewallPolicies@2020-11-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Значения свойств
Microsoft.Network/firewallPolicies
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Настройки dns
| Имя |
Описание |
Ценность |
| enableProxy |
Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. |
булевая переменная (bool) |
| requireProxyForNetworkRules |
Полные доменные имена в правилах сети поддерживаются при значении true. |
булевая переменная (bool) |
| Серверов |
Список настраиваемых DNS-серверов. |
строка[] |
Центр сертификации FirewallPolicyCertificate
| Имя |
Описание |
Ценность |
| keyVaultSecretId |
Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. |
струна |
| имя |
Имя сертификата ЦС. |
струна |
FirewallPolicyInsights
| Имя |
Описание |
Ценность |
| активировано |
Флаг, указывающий, включены ли аналитические сведения в политике. |
булевая переменная (bool) |
| Ресурсы logAnalytics |
Рабочие области, необходимые для настройки аналитики политики брандмауэра. |
БрандмауэрПолитикаLogAnalyticsResources |
| retentionDays |
Количество дней, в которых должна быть включена аналитика политики. |
инт |
FirewallPolicyIntrusionDetection (Обнаружение вторжений)
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Имя |
Описание |
Ценность |
| описание |
Описание правила обхода трафика. |
струна |
| адреса назначения |
Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. |
строка[] |
| destinationIpGroups |
Список целевых IpGroups для этого правила. |
строка[] |
| Порты назначенияПорты |
Список конечных портов или диапазонов. |
строка[] |
| имя |
Имя правила обхода трафика. |
струна |
| протокол |
Протокол обхода правила. |
"ANY"
"ICMP"
"TCP"
"UDP" |
| исходные адреса |
Список исходных IP-адресов или диапазонов для этого правила. |
строка[] |
| Группы sourceIp |
Список исходных IPGroups для этого правила. |
строка[] |
FirewallPolicyIntrusionDetectionConfiguration
Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification
| Имя |
Описание |
Ценность |
| идентификатор |
Идентификатор подписи. |
струна |
| режим |
Состояние подписи. |
"Оповещение"
"Запретить"
"Выкл. |
БрандмауэрПолитикаLogAnalyticsResources
| Имя |
Описание |
Ценность |
| defaultWorkspaceId |
Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. |
Подресурс |
| рабочие области |
Список рабочих областей для аналитики политик брандмауэра. |
FirewallPolicyLogAnalyticsWorkspace[] |
БрандмауэрПолитикаLogAnalyticsWorkspace
| Имя |
Описание |
Ценность |
| область |
Регион для настройки рабочей области. |
струна |
| WorkspaceId |
Идентификатор рабочей области для аналитики политики брандмауэра. |
Подресурс |
FirewallPolicySku
| Имя |
Описание |
Ценность |
| ярус |
Уровень политики брандмауэра. |
"Премиум"
"Стандартный" |
БрандмауэрPolicySnat
| Имя |
Описание |
Ценность |
| Диапазоны privateRanges |
Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. |
строка[] |
БрандмауэрПолитикаУгрозыIntelБелый список
| Имя |
Описание |
Ценность |
| Файловые доменные имена |
Список полных доменных имен для списка разрешений ThreatIntel. |
строка[] |
| ipАдреса |
Список IP-адресов для списка разрешений ThreatIntel. |
строка[] |
БрандмауэрПолитикаТранспортБезопасность
Управляемая служебная идентичность
| Имя |
Описание |
Ценность |
| тип |
Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. |
"Нет"
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned |
| ИдентичностиНазначенныеПользователем |
Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". |
ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Подресурс
| Имя |
Описание |
Ценность |
| идентификатор |
Идентификатор ресурса. |
струна |
Примеры использования
Проверенные модули Azure
Следующие проверенные модули Azure можно использовать для развертывания этого типа ресурсов.
Примеры быстрого запуска Azure
Следующие шаблоны быстрого запуска Azure содержат примеры Bicep для развертывания этого типа ресурса.
| Bicep-файл |
Описание |
|
создание брандмауэра и брандмауэра с помощью правил и ipgroups |
Этот шаблон развертывает брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающихся на группы IP-адресов в правилах приложений и сети. |
|
Защищенные виртуальные центры |
Этот шаблон создает защищенный виртуальный концентратор с помощью брандмауэра Azure для защиты облачного сетевого трафика, предназначенного для Интернета. |
| среда тестирования для брандмауэра Azure Premium |
Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий |
|
использовать брандмауэр Azure в качестве DNS-прокси в топологии & периферийных концентратора |
В этом примере показано, как развернуть звездообразную топологию в Azure с помощью брандмауэра Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, подключенным к центральной виртуальной сети через пиринг между виртуальными сетями. |
Определение ресурса шаблона ARM
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2020-11-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Значения свойств
Microsoft.Network/firewallPolicies
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Настройки dns
| Имя |
Описание |
Ценность |
| enableProxy |
Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. |
булевая переменная (bool) |
| requireProxyForNetworkRules |
Полные доменные имена в правилах сети поддерживаются при значении true. |
булевая переменная (bool) |
| Серверов |
Список настраиваемых DNS-серверов. |
строка[] |
Центр сертификации FirewallPolicyCertificate
| Имя |
Описание |
Ценность |
| keyVaultSecretId |
Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. |
струна |
| имя |
Имя сертификата ЦС. |
струна |
FirewallPolicyInsights
| Имя |
Описание |
Ценность |
| активировано |
Флаг, указывающий, включены ли аналитические сведения в политике. |
булевая переменная (bool) |
| Ресурсы logAnalytics |
Рабочие области, необходимые для настройки аналитики политики брандмауэра. |
БрандмауэрПолитикаLogAnalyticsResources |
| retentionDays |
Количество дней, в которых должна быть включена аналитика политики. |
инт |
FirewallPolicyIntrusionDetection (Обнаружение вторжений)
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Имя |
Описание |
Ценность |
| описание |
Описание правила обхода трафика. |
струна |
| адреса назначения |
Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. |
строка[] |
| destinationIpGroups |
Список целевых IpGroups для этого правила. |
строка[] |
| Порты назначенияПорты |
Список конечных портов или диапазонов. |
строка[] |
| имя |
Имя правила обхода трафика. |
струна |
| протокол |
Протокол обхода правила. |
"ANY"
"ICMP"
"TCP"
"UDP" |
| исходные адреса |
Список исходных IP-адресов или диапазонов для этого правила. |
строка[] |
| Группы sourceIp |
Список исходных IPGroups для этого правила. |
строка[] |
FirewallPolicyIntrusionDetectionConfiguration
Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification
| Имя |
Описание |
Ценность |
| идентификатор |
Идентификатор подписи. |
струна |
| режим |
Состояние подписи. |
"Оповещение"
"Запретить"
"Выкл. |
БрандмауэрПолитикаLogAnalyticsResources
| Имя |
Описание |
Ценность |
| defaultWorkspaceId |
Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. |
Подресурс |
| рабочие области |
Список рабочих областей для аналитики политик брандмауэра. |
FirewallPolicyLogAnalyticsWorkspace[] |
БрандмауэрПолитикаLogAnalyticsWorkspace
| Имя |
Описание |
Ценность |
| область |
Регион для настройки рабочей области. |
струна |
| WorkspaceId |
Идентификатор рабочей области для аналитики политики брандмауэра. |
Подресурс |
FirewallPolicySku
| Имя |
Описание |
Ценность |
| ярус |
Уровень политики брандмауэра. |
"Премиум"
"Стандартный" |
БрандмауэрPolicySnat
| Имя |
Описание |
Ценность |
| Диапазоны privateRanges |
Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. |
строка[] |
БрандмауэрПолитикаУгрозыIntelБелый список
| Имя |
Описание |
Ценность |
| Файловые доменные имена |
Список полных доменных имен для списка разрешений ThreatIntel. |
строка[] |
| ipАдреса |
Список IP-адресов для списка разрешений ThreatIntel. |
строка[] |
БрандмауэрПолитикаТранспортБезопасность
Управляемая служебная идентичность
| Имя |
Описание |
Ценность |
| тип |
Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. |
"Нет"
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned |
| ИдентичностиНазначенныеПользователем |
Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". |
ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Подресурс
| Имя |
Описание |
Ценность |
| идентификатор |
Идентификатор ресурса. |
струна |
Примеры использования
Шаблоны быстрого запуска Azure
Следующие шаблоны быстрого запуска Azure развернуть этот тип ресурса.
| Шаблон |
Описание |
создание брандмауэра и брандмауэра с помощью правил и ipgroups
развертывание  |
Этот шаблон развертывает брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающихся на группы IP-адресов в правилах приложений и сети. |
создание брандмауэра с помощью Брандмауэра и ipGroups
развертывание |
Этот шаблон создает брандмауэр Azure с брандмауэром FirewalllPolicy, ссылающийся на правила сети с ipGroups. Кроме того, включает настройку виртуальной машины Для Linux Jumpbox |
создание брандмауэра, FirewallPolicy с явным прокси-сервера
развертывание |
Этот шаблон создает брандмауэр Azure, FirewalllPolicy с явными правилами прокси-сервера и сети с ipGroups. Кроме того, включает настройку виртуальной машины Для Linux Jumpbox |
Создание настройки песочницы с помощью политики брандмауэра
развертывание |
Этот шаблон создает виртуальную сеть с 3 подсетями (подсетью сервера, подсетью jumpbox и подсетью AzureFirewall), виртуальной машиной прыжка с общедоступным IP-адресом, виртуальной машиной сервера, маршрутом UDR для указания брандмауэра Azure для подсети сервера и брандмауэра Azure с 1 или несколькими общедоступными IP-адресами. Кроме того, создается политика брандмауэра с 1 примером правила приложения, 1 примером сетевого правила и частными диапазонами по умолчанию |
Защищенные виртуальные центры
развертывание |
Этот шаблон создает защищенный виртуальный концентратор с помощью брандмауэра Azure для защиты облачного сетевого трафика, предназначенного для Интернета. |
среда тестирования для брандмауэра Azure Premium
развертывание |
Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий |
использовать брандмауэр Azure в качестве DNS-прокси в топологии & периферийных концентратора
развертывание |
В этом примере показано, как развернуть звездообразную топологию в Azure с помощью брандмауэра Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, подключенным к центральной виртуальной сети через пиринг между виртуальными сетями. |
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий объект Terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2020-11-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
Значения свойств
Microsoft.Network/firewallPolicies
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Настройки dns
| Имя |
Описание |
Ценность |
| enableProxy |
Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. |
булевая переменная (bool) |
| requireProxyForNetworkRules |
Полные доменные имена в правилах сети поддерживаются при значении true. |
булевая переменная (bool) |
| Серверов |
Список настраиваемых DNS-серверов. |
строка[] |
Центр сертификации FirewallPolicyCertificate
| Имя |
Описание |
Ценность |
| keyVaultSecretId |
Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. |
струна |
| имя |
Имя сертификата ЦС. |
струна |
FirewallPolicyInsights
| Имя |
Описание |
Ценность |
| активировано |
Флаг, указывающий, включены ли аналитические сведения в политике. |
булевая переменная (bool) |
| Ресурсы logAnalytics |
Рабочие области, необходимые для настройки аналитики политики брандмауэра. |
БрандмауэрПолитикаLogAnalyticsResources |
| retentionDays |
Количество дней, в которых должна быть включена аналитика политики. |
инт |
FirewallPolicyIntrusionDetection (Обнаружение вторжений)
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Имя |
Описание |
Ценность |
| описание |
Описание правила обхода трафика. |
струна |
| адреса назначения |
Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. |
строка[] |
| destinationIpGroups |
Список целевых IpGroups для этого правила. |
строка[] |
| Порты назначенияПорты |
Список конечных портов или диапазонов. |
строка[] |
| имя |
Имя правила обхода трафика. |
струна |
| протокол |
Протокол обхода правила. |
"ANY"
"ICMP"
"TCP"
"UDP" |
| исходные адреса |
Список исходных IP-адресов или диапазонов для этого правила. |
строка[] |
| Группы sourceIp |
Список исходных IPGroups для этого правила. |
строка[] |
FirewallPolicyIntrusionDetectionConfiguration
Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification
| Имя |
Описание |
Ценность |
| идентификатор |
Идентификатор подписи. |
струна |
| режим |
Состояние подписи. |
"Оповещение"
"Запретить"
"Выкл. |
БрандмауэрПолитикаLogAnalyticsResources
| Имя |
Описание |
Ценность |
| defaultWorkspaceId |
Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. |
Подресурс |
| рабочие области |
Список рабочих областей для аналитики политик брандмауэра. |
FirewallPolicyLogAnalyticsWorkspace[] |
БрандмауэрПолитикаLogAnalyticsWorkspace
| Имя |
Описание |
Ценность |
| область |
Регион для настройки рабочей области. |
струна |
| WorkspaceId |
Идентификатор рабочей области для аналитики политики брандмауэра. |
Подресурс |
FirewallPolicySku
| Имя |
Описание |
Ценность |
| ярус |
Уровень политики брандмауэра. |
"Премиум"
"Стандартный" |
БрандмауэрPolicySnat
| Имя |
Описание |
Ценность |
| Диапазоны privateRanges |
Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. |
строка[] |
БрандмауэрПолитикаУгрозыIntelБелый список
| Имя |
Описание |
Ценность |
| Файловые доменные имена |
Список полных доменных имен для списка разрешений ThreatIntel. |
строка[] |
| ipАдреса |
Список IP-адресов для списка разрешений ThreatIntel. |
строка[] |
БрандмауэрПолитикаТранспортБезопасность
Управляемая служебная идентичность
| Имя |
Описание |
Ценность |
| тип |
Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. |
"Нет"
SystemAssigned
SystemAssigned, UserAssigned
UserAssigned |
| ИдентичностиНазначенныеПользователем |
Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". |
ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
Подресурс
| Имя |
Описание |
Ценность |
| идентификатор |
Идентификатор ресурса. |
струна |
Примеры использования
Проверенные модули Azure
Следующие проверенные модули Azure можно использовать для развертывания этого типа ресурсов.