Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
- последние
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Определение ресурсов Bicep
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.Network/firewallPolicies@2024-01-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Значения свойств
Microsoft.Network/firewallPolicies
| Имя | Описание | Ценность |
|---|---|---|
| тождество | Удостоверение политики брандмауэра. | ManagedServiceIdentity (Управляемый сервисИдентификация) |
| местоположение | Расположение ресурса. | струна |
| имя | Имя ресурса | строка (обязательно) |
| свойства | Свойства политики брандмауэра. | Формат FirewallPolicyProperties |
| Теги | Теги ресурсов | Словарь имен и значений тегов. См. теги в шаблонах |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Имя | Описание | Ценность |
|---|
Настройки dns
| Имя | Описание | Ценность |
|---|---|---|
| enableProxy | Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. | булевая переменная (bool) |
| requireProxyForNetworkRules | Полные доменные имена в правилах сети поддерживаются при значении true. | булевая переменная (bool) |
| Серверов | Список настраиваемых DNS-серверов. | строка[] |
ЯвныйProxy
| Имя | Описание | Ценность |
|---|---|---|
| enableExplicitProxy | Если задано значение true, включен явный режим прокси-сервера. | булевая переменная (bool) |
| enablePacFile | Если задано значение true, необходимо указать порт файла pac и URL-адрес. | булевая переменная (bool) |
| httpPort | Номер порта для явного протокола http прокси-сервера не может превышать 64000. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
| Порт httpsPort | Номер порта для явного протокола https прокси-сервера не может превышать 64000. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
| pacFile | URL-адрес SAS для PAC-файла. | струна |
| pacFilePort | Номер порта для брандмауэра для обслуживания PAC-файла. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
Центр сертификации FirewallPolicyCertificate
| Имя | Описание | Ценность |
|---|---|---|
| keyVaultSecretId | Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. | струна |
| имя | Имя сертификата ЦС. | струна |
FirewallPolicyInsights
| Имя | Описание | Ценность |
|---|---|---|
| активировано | Флаг, указывающий, включены ли аналитические сведения в политике. | булевая переменная (bool) |
| Ресурсы logAnalytics | Рабочие области, необходимые для настройки аналитики политики брандмауэра. | БрандмауэрПолитикаLogAnalyticsResources |
| retentionDays | Количество дней, в которых должна быть включена аналитика политики. | инт |
FirewallPolicyIntrusionDetection (Обнаружение вторжений)
| Имя | Описание | Ценность |
|---|---|---|
| конфигурация | Свойства конфигурации обнаружения вторжений. | FirewallPolicyIntrusionDetectionConfiguration |
| режим | Общее состояние обнаружения вторжений. При присоединении к родительской политике эффективный режим поставщика удостоверений брандмауэра является более строгим режимом двух. | "Оповещение" "Запретить" "Выкл. |
| профиль | Имя профиля IDPS. При присоединении к родительской политике эффективный профиль брандмауэра — это имя профиля родительской политики. | «Продвинутый» "Базовый" "Расширенный" "Стандартный" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Имя | Описание | Ценность |
|---|---|---|
| описание | Описание правила обхода трафика. | струна |
| адреса назначения | Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. | строка[] |
| destinationIpGroups | Список целевых IpGroups для этого правила. | строка[] |
| Порты назначенияПорты | Список конечных портов или диапазонов. | строка[] |
| имя | Имя правила обхода трафика. | струна |
| протокол | Протокол обхода правила. | "ANY" "ICMP" "TCP" "UDP" |
| исходные адреса | Список исходных IP-адресов или диапазонов для этого правила. | строка[] |
| Группы sourceIp | Список исходных IPGroups для этого правила. | строка[] |
FirewallPolicyIntrusionDetectionConfiguration
| Имя | Описание | Ценность |
|---|---|---|
| bypassTrafficSettings | Список правил для обхода трафика. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| Диапазоны privateRanges | Диапазоны частных IP-адресов IDPS используются для определения направления трафика (т. е. входящих, исходящих и т. д.). По умолчанию только диапазоны, определенные IANA RFC 1918, считаются частными IP-адресами. Чтобы изменить диапазоны по умолчанию, укажите диапазоны частных IP-адресов с помощью этого свойства. | строка[] |
| signatureOverrides | Список определенных состояний подписей. | Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification[] |
Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Идентификатор подписи. | струна |
| режим | Состояние подписи. | "Оповещение" "Запретить" "Выкл. |
БрандмауэрПолитикаLogAnalyticsResources
| Имя | Описание | Ценность |
|---|---|---|
| defaultWorkspaceId | Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. | Подресурс |
| рабочие области | Список рабочих областей для аналитики политик брандмауэра. | FirewallPolicyLogAnalyticsWorkspace[] |
БрандмауэрПолитикаLogAnalyticsWorkspace
| Имя | Описание | Ценность |
|---|---|---|
| область | Регион для настройки рабочей области. | струна |
| WorkspaceId | Идентификатор рабочей области для аналитики политики брандмауэра. | Подресурс |
Формат FirewallPolicyProperties
| Имя | Описание | Ценность |
|---|---|---|
| базаПолитика | Родительская политика брандмауэра, из которой наследуются правила. | Подресурс |
| dnsНастройки | Определение параметров прокси-сервера DNS. | Настройки dns |
| explicitProxy | Явное определение параметров прокси-сервера. | ЯвныйProxy |
| Идеи | Аналитические сведения о политике брандмауэра. | FirewallPolicyInsights |
| вторжениеDetection | Конфигурация обнаружения вторжений. | FirewallPolicyIntrusionDetection (Обнаружение вторжений) |
| SKU | Номер SKU политики брандмауэра. | FirewallPolicySku |
| снат | Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет иметь SNAT. | БрандмауэрPolicySnat |
| SQL | Определение параметров SQL. | БрандмауэрPolicySQL (FirewallPolicySQL) |
| threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Запретить" "Выкл. |
| threatIntelWhitelist | Список разрешений ThreatIntel для политики брандмауэра. | БрандмауэрПолитикаУгрозыIntelБелый список |
| транспортБезопасность | Определение конфигурации TLS. | БрандмауэрПолитикаТранспортБезопасность |
FirewallPolicySku
| Имя | Описание | Ценность |
|---|---|---|
| ярус | Уровень политики брандмауэра. | "Базовый" "Премиум" "Стандартный" |
БрандмауэрPolicySnat
| Имя | Описание | Ценность |
|---|---|---|
| autoLearnPrivateRanges | Режим работы для автоматического обучения частных диапазонов не должен быть SNAT | "Отключено" "Включено" |
| Диапазоны privateRanges | Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. | строка[] |
БрандмауэрPolicySQL (FirewallPolicySQL)
| Имя | Описание | Ценность |
|---|---|---|
| allowSqlRedirect | Флаг, указывающий, включена ли фильтрация трафика перенаправления SQL. Включение флага не требует правила с помощью порта 11000-11999. | булевая переменная (bool) |
БрандмауэрПолитикаУгрозыIntelБелый список
| Имя | Описание | Ценность |
|---|---|---|
| Файловые доменные имена | Список полных доменных имен для списка разрешений ThreatIntel. | строка[] |
| ipАдреса | Список IP-адресов для списка разрешений ThreatIntel. | строка[] |
БрандмауэрПолитикаТранспортБезопасность
| Имя | Описание | Ценность |
|---|---|---|
| certificateAuthority | ЦС, используемый для промежуточного создания ЦС. | Центр сертификации FirewallPolicyCertificate |
Управляемая служебная идентичность
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. | "Нет" SystemAssigned SystemAssigned, UserAssigned UserAssigned |
| ИдентичностиНазначенныеПользователем | Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Имя | Описание | Ценность |
|---|
Теги ресурса
| Имя | Описание | Ценность |
|---|
Подресурс
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Идентификатор ресурса. | струна |
Примеры использования
Проверенные модули Azure
Следующие проверенные модули Azure можно использовать для развертывания этого типа ресурсов.
| Модуль | Описание |
|---|---|
| политики брандмауэра | Модуль ресурсов AVM для политики брандмауэра |
Примеры быстрого запуска Azure
Следующие шаблоны быстрого запуска Azure содержат примеры Bicep для развертывания этого типа ресурса.
| Bicep-файл | Описание |
|---|---|
| создание брандмауэра и брандмауэра с помощью правил и ipgroups | Этот шаблон развертывает брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающихся на группы IP-адресов в правилах приложений и сети. |
| Защищенные виртуальные центры | Этот шаблон создает защищенный виртуальный концентратор с помощью брандмауэра Azure для защиты облачного сетевого трафика, предназначенного для Интернета. |
| среда тестирования для брандмауэра Azure Premium | Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий |
| использовать брандмауэр Azure в качестве DNS-прокси в топологии & периферийных концентратора | В этом примере показано, как развернуть звездообразную топологию в Azure с помощью брандмауэра Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, подключенным к центральной виртуальной сети через пиринг между виртуальными сетями. |
Определение ресурса шаблона ARM
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:
- группы ресурсов . См. команды развертывания группы ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2024-01-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Значения свойств
Microsoft.Network/firewallPolicies
| Имя | Описание | Ценность |
|---|---|---|
| apiVersion | Версия API | '2024-01-01' |
| тождество | Удостоверение политики брандмауэра. | ManagedServiceIdentity (Управляемый сервисИдентификация) |
| местоположение | Расположение ресурса. | струна |
| имя | Имя ресурса | строка (обязательно) |
| свойства | Свойства политики брандмауэра. | Формат FirewallPolicyProperties |
| Теги | Теги ресурсов | Словарь имен и значений тегов. См. теги в шаблонах |
| тип | Тип ресурса | "Microsoft.Network/firewallPolicies" |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Имя | Описание | Ценность |
|---|
Настройки dns
| Имя | Описание | Ценность |
|---|---|---|
| enableProxy | Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. | булевая переменная (bool) |
| requireProxyForNetworkRules | Полные доменные имена в правилах сети поддерживаются при значении true. | булевая переменная (bool) |
| Серверов | Список настраиваемых DNS-серверов. | строка[] |
ЯвныйProxy
| Имя | Описание | Ценность |
|---|---|---|
| enableExplicitProxy | Если задано значение true, включен явный режим прокси-сервера. | булевая переменная (bool) |
| enablePacFile | Если задано значение true, необходимо указать порт файла pac и URL-адрес. | булевая переменная (bool) |
| httpPort | Номер порта для явного протокола http прокси-сервера не может превышать 64000. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
| Порт httpsPort | Номер порта для явного протокола https прокси-сервера не может превышать 64000. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
| pacFile | URL-адрес SAS для PAC-файла. | струна |
| pacFilePort | Номер порта для брандмауэра для обслуживания PAC-файла. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
Центр сертификации FirewallPolicyCertificate
| Имя | Описание | Ценность |
|---|---|---|
| keyVaultSecretId | Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. | струна |
| имя | Имя сертификата ЦС. | струна |
FirewallPolicyInsights
| Имя | Описание | Ценность |
|---|---|---|
| активировано | Флаг, указывающий, включены ли аналитические сведения в политике. | булевая переменная (bool) |
| Ресурсы logAnalytics | Рабочие области, необходимые для настройки аналитики политики брандмауэра. | БрандмауэрПолитикаLogAnalyticsResources |
| retentionDays | Количество дней, в которых должна быть включена аналитика политики. | инт |
FirewallPolicyIntrusionDetection (Обнаружение вторжений)
| Имя | Описание | Ценность |
|---|---|---|
| конфигурация | Свойства конфигурации обнаружения вторжений. | FirewallPolicyIntrusionDetectionConfiguration |
| режим | Общее состояние обнаружения вторжений. При присоединении к родительской политике эффективный режим поставщика удостоверений брандмауэра является более строгим режимом двух. | "Оповещение" "Запретить" "Выкл. |
| профиль | Имя профиля IDPS. При присоединении к родительской политике эффективный профиль брандмауэра — это имя профиля родительской политики. | «Продвинутый» "Базовый" "Расширенный" "Стандартный" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Имя | Описание | Ценность |
|---|---|---|
| описание | Описание правила обхода трафика. | струна |
| адреса назначения | Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. | строка[] |
| destinationIpGroups | Список целевых IpGroups для этого правила. | строка[] |
| Порты назначенияПорты | Список конечных портов или диапазонов. | строка[] |
| имя | Имя правила обхода трафика. | струна |
| протокол | Протокол обхода правила. | "ANY" "ICMP" "TCP" "UDP" |
| исходные адреса | Список исходных IP-адресов или диапазонов для этого правила. | строка[] |
| Группы sourceIp | Список исходных IPGroups для этого правила. | строка[] |
FirewallPolicyIntrusionDetectionConfiguration
| Имя | Описание | Ценность |
|---|---|---|
| bypassTrafficSettings | Список правил для обхода трафика. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| Диапазоны privateRanges | Диапазоны частных IP-адресов IDPS используются для определения направления трафика (т. е. входящих, исходящих и т. д.). По умолчанию только диапазоны, определенные IANA RFC 1918, считаются частными IP-адресами. Чтобы изменить диапазоны по умолчанию, укажите диапазоны частных IP-адресов с помощью этого свойства. | строка[] |
| signatureOverrides | Список определенных состояний подписей. | Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification[] |
Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Идентификатор подписи. | струна |
| режим | Состояние подписи. | "Оповещение" "Запретить" "Выкл. |
БрандмауэрПолитикаLogAnalyticsResources
| Имя | Описание | Ценность |
|---|---|---|
| defaultWorkspaceId | Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. | Подресурс |
| рабочие области | Список рабочих областей для аналитики политик брандмауэра. | FirewallPolicyLogAnalyticsWorkspace[] |
БрандмауэрПолитикаLogAnalyticsWorkspace
| Имя | Описание | Ценность |
|---|---|---|
| область | Регион для настройки рабочей области. | струна |
| WorkspaceId | Идентификатор рабочей области для аналитики политики брандмауэра. | Подресурс |
Формат FirewallPolicyProperties
| Имя | Описание | Ценность |
|---|---|---|
| базаПолитика | Родительская политика брандмауэра, из которой наследуются правила. | Подресурс |
| dnsНастройки | Определение параметров прокси-сервера DNS. | Настройки dns |
| explicitProxy | Явное определение параметров прокси-сервера. | ЯвныйProxy |
| Идеи | Аналитические сведения о политике брандмауэра. | FirewallPolicyInsights |
| вторжениеDetection | Конфигурация обнаружения вторжений. | FirewallPolicyIntrusionDetection (Обнаружение вторжений) |
| SKU | Номер SKU политики брандмауэра. | FirewallPolicySku |
| снат | Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет иметь SNAT. | БрандмауэрPolicySnat |
| SQL | Определение параметров SQL. | БрандмауэрPolicySQL (FirewallPolicySQL) |
| threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Запретить" "Выкл. |
| threatIntelWhitelist | Список разрешений ThreatIntel для политики брандмауэра. | БрандмауэрПолитикаУгрозыIntelБелый список |
| транспортБезопасность | Определение конфигурации TLS. | БрандмауэрПолитикаТранспортБезопасность |
FirewallPolicySku
| Имя | Описание | Ценность |
|---|---|---|
| ярус | Уровень политики брандмауэра. | "Базовый" "Премиум" "Стандартный" |
БрандмауэрPolicySnat
| Имя | Описание | Ценность |
|---|---|---|
| autoLearnPrivateRanges | Режим работы для автоматического обучения частных диапазонов не должен быть SNAT | "Отключено" "Включено" |
| Диапазоны privateRanges | Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. | строка[] |
БрандмауэрPolicySQL (FirewallPolicySQL)
| Имя | Описание | Ценность |
|---|---|---|
| allowSqlRedirect | Флаг, указывающий, включена ли фильтрация трафика перенаправления SQL. Включение флага не требует правила с помощью порта 11000-11999. | булевая переменная (bool) |
БрандмауэрПолитикаУгрозыIntelБелый список
| Имя | Описание | Ценность |
|---|---|---|
| Файловые доменные имена | Список полных доменных имен для списка разрешений ThreatIntel. | строка[] |
| ipАдреса | Список IP-адресов для списка разрешений ThreatIntel. | строка[] |
БрандмауэрПолитикаТранспортБезопасность
| Имя | Описание | Ценность |
|---|---|---|
| certificateAuthority | ЦС, используемый для промежуточного создания ЦС. | Центр сертификации FirewallPolicyCertificate |
Управляемая служебная идентичность
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. | "Нет" SystemAssigned SystemAssigned, UserAssigned UserAssigned |
| ИдентичностиНазначенныеПользователем | Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Имя | Описание | Ценность |
|---|
Теги ресурса
| Имя | Описание | Ценность |
|---|
Подресурс
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Идентификатор ресурса. | струна |
Примеры использования
Шаблоны быстрого запуска Azure
Следующие шаблоны быстрого запуска Azure развернуть этот тип ресурса.
| Шаблон | Описание |
|---|---|
|
создание брандмауэра и брандмауэра с помощью правил и ipgroups развертывание  |
Этот шаблон развертывает брандмауэр Azure с политикой брандмауэра (включая несколько правил приложения и сети), ссылающихся на группы IP-адресов в правилах приложений и сети. |
|
создание брандмауэра с помощью Брандмауэра и ipGroups развертывание |
Этот шаблон создает брандмауэр Azure с брандмауэром FirewalllPolicy, ссылающийся на правила сети с ipGroups. Кроме того, включает настройку виртуальной машины Для Linux Jumpbox |
|
создание брандмауэра, FirewallPolicy с явным прокси-сервера развертывание |
Этот шаблон создает брандмауэр Azure, FirewalllPolicy с явными правилами прокси-сервера и сети с ipGroups. Кроме того, включает настройку виртуальной машины Для Linux Jumpbox |
|
Создание настройки песочницы с помощью политики брандмауэра развертывание |
Этот шаблон создает виртуальную сеть с 3 подсетями (подсетью сервера, подсетью jumpbox и подсетью AzureFirewall), виртуальной машиной прыжка с общедоступным IP-адресом, виртуальной машиной сервера, маршрутом UDR для указания брандмауэра Azure для подсети сервера и брандмауэра Azure с 1 или несколькими общедоступными IP-адресами. Кроме того, создается политика брандмауэра с 1 примером правила приложения, 1 примером сетевого правила и частными диапазонами по умолчанию |
|
Защищенные виртуальные центры развертывание |
Этот шаблон создает защищенный виртуальный концентратор с помощью брандмауэра Azure для защиты облачного сетевого трафика, предназначенного для Интернета. |
| среда тестирования для брандмауэра Azure Premium развертывание |
Этот шаблон создает политику брандмауэра Azure premium и брандмауэра с такими функциями, как обнаружение вторжений (IDPS), проверка TLS и фильтрация веб-категорий |
|
использовать брандмауэр Azure в качестве DNS-прокси в топологии & периферийных концентратора развертывание |
В этом примере показано, как развернуть звездообразную топологию в Azure с помощью брандмауэра Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения ко многим периферийным виртуальным сетям, подключенным к центральной виртуальной сети через пиринг между виртуальными сетями. |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса firewallPolicies можно развернуть с помощью операций, предназначенных для следующих операций:
- групп ресурсов
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.Network/firewallPolicies, добавьте следующий объект Terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2024-01-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
Значения свойств
Microsoft.Network/firewallPolicies
| Имя | Описание | Ценность |
|---|---|---|
| тождество | Удостоверение политики брандмауэра. | ManagedServiceIdentity (Управляемый сервисИдентификация) |
| местоположение | Расположение ресурса. | струна |
| имя | Имя ресурса | строка (обязательно) |
| свойства | Свойства политики брандмауэра. | Формат FirewallPolicyProperties |
| Теги | Теги ресурсов | Словарь имен и значений тегов. |
| тип | Тип ресурса | "Microsoft.Network/firewallPolicies@2024-01-01" |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Имя | Описание | Ценность |
|---|
Настройки dns
| Имя | Описание | Ценность |
|---|---|---|
| enableProxy | Включите DNS-прокси на брандмауэрах, подключенных к политике брандмауэра. | булевая переменная (bool) |
| requireProxyForNetworkRules | Полные доменные имена в правилах сети поддерживаются при значении true. | булевая переменная (bool) |
| Серверов | Список настраиваемых DNS-серверов. | строка[] |
ЯвныйProxy
| Имя | Описание | Ценность |
|---|---|---|
| enableExplicitProxy | Если задано значение true, включен явный режим прокси-сервера. | булевая переменная (bool) |
| enablePacFile | Если задано значение true, необходимо указать порт файла pac и URL-адрес. | булевая переменная (bool) |
| httpPort | Номер порта для явного протокола http прокси-сервера не может превышать 64000. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
| Порт httpsPort | Номер порта для явного протокола https прокси-сервера не может превышать 64000. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
| pacFile | URL-адрес SAS для PAC-файла. | струна |
| pacFilePort | Номер порта для брандмауэра для обслуживания PAC-файла. | int Ограничения целостности: Минимальное значение = 0 Максимальное значение = 64000 |
Центр сертификации FirewallPolicyCertificate
| Имя | Описание | Ценность |
|---|---|---|
| keyVaultSecretId | Секретный идентификатор объекта (base-64, закодированный незашифрованный pfx) "Secret" или "Certificate", хранящийся в KeyVault. | струна |
| имя | Имя сертификата ЦС. | струна |
FirewallPolicyInsights
| Имя | Описание | Ценность |
|---|---|---|
| активировано | Флаг, указывающий, включены ли аналитические сведения в политике. | булевая переменная (bool) |
| Ресурсы logAnalytics | Рабочие области, необходимые для настройки аналитики политики брандмауэра. | БрандмауэрПолитикаLogAnalyticsResources |
| retentionDays | Количество дней, в которых должна быть включена аналитика политики. | инт |
FirewallPolicyIntrusionDetection (Обнаружение вторжений)
| Имя | Описание | Ценность |
|---|---|---|
| конфигурация | Свойства конфигурации обнаружения вторжений. | FirewallPolicyIntrusionDetectionConfiguration |
| режим | Общее состояние обнаружения вторжений. При присоединении к родительской политике эффективный режим поставщика удостоверений брандмауэра является более строгим режимом двух. | "Оповещение" "Запретить" "Выкл. |
| профиль | Имя профиля IDPS. При присоединении к родительской политике эффективный профиль брандмауэра — это имя профиля родительской политики. | «Продвинутый» "Базовый" "Расширенный" "Стандартный" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Имя | Описание | Ценность |
|---|---|---|
| описание | Описание правила обхода трафика. | струна |
| адреса назначения | Список КОНЕЧНЫх IP-адресов или диапазонов для этого правила. | строка[] |
| destinationIpGroups | Список целевых IpGroups для этого правила. | строка[] |
| Порты назначенияПорты | Список конечных портов или диапазонов. | строка[] |
| имя | Имя правила обхода трафика. | струна |
| протокол | Протокол обхода правила. | "ANY" "ICMP" "TCP" "UDP" |
| исходные адреса | Список исходных IP-адресов или диапазонов для этого правила. | строка[] |
| Группы sourceIp | Список исходных IPGroups для этого правила. | строка[] |
FirewallPolicyIntrusionDetectionConfiguration
| Имя | Описание | Ценность |
|---|---|---|
| bypassTrafficSettings | Список правил для обхода трафика. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| Диапазоны privateRanges | Диапазоны частных IP-адресов IDPS используются для определения направления трафика (т. е. входящих, исходящих и т. д.). По умолчанию только диапазоны, определенные IANA RFC 1918, считаются частными IP-адресами. Чтобы изменить диапазоны по умолчанию, укажите диапазоны частных IP-адресов с помощью этого свойства. | строка[] |
| signatureOverrides | Список определенных состояний подписей. | Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification[] |
Спецификация FirewallPolicyIntrusionDetectionSignatureSpecification
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Идентификатор подписи. | струна |
| режим | Состояние подписи. | "Оповещение" "Запретить" "Выкл. |
БрандмауэрПолитикаLogAnalyticsResources
| Имя | Описание | Ценность |
|---|---|---|
| defaultWorkspaceId | Идентификатор рабочей области по умолчанию для аналитики политики брандмауэра. | Подресурс |
| рабочие области | Список рабочих областей для аналитики политик брандмауэра. | FirewallPolicyLogAnalyticsWorkspace[] |
БрандмауэрПолитикаLogAnalyticsWorkspace
| Имя | Описание | Ценность |
|---|---|---|
| область | Регион для настройки рабочей области. | струна |
| WorkspaceId | Идентификатор рабочей области для аналитики политики брандмауэра. | Подресурс |
Формат FirewallPolicyProperties
| Имя | Описание | Ценность |
|---|---|---|
| базаПолитика | Родительская политика брандмауэра, из которой наследуются правила. | Подресурс |
| dnsНастройки | Определение параметров прокси-сервера DNS. | Настройки dns |
| explicitProxy | Явное определение параметров прокси-сервера. | ЯвныйProxy |
| Идеи | Аналитические сведения о политике брандмауэра. | FirewallPolicyInsights |
| вторжениеDetection | Конфигурация обнаружения вторжений. | FirewallPolicyIntrusionDetection (Обнаружение вторжений) |
| SKU | Номер SKU политики брандмауэра. | FirewallPolicySku |
| снат | Частные IP-адреса или диапазоны IP-адресов, к которым трафик не будет иметь SNAT. | БрандмауэрPolicySnat |
| SQL | Определение параметров SQL. | БрандмауэрPolicySQL (FirewallPolicySQL) |
| threatIntelMode | Режим работы для аналитики угроз. | "Оповещение" "Запретить" "Выкл. |
| threatIntelWhitelist | Список разрешений ThreatIntel для политики брандмауэра. | БрандмауэрПолитикаУгрозыIntelБелый список |
| транспортБезопасность | Определение конфигурации TLS. | БрандмауэрПолитикаТранспортБезопасность |
FirewallPolicySku
| Имя | Описание | Ценность |
|---|---|---|
| ярус | Уровень политики брандмауэра. | "Базовый" "Премиум" "Стандартный" |
БрандмауэрPolicySnat
| Имя | Описание | Ценность |
|---|---|---|
| autoLearnPrivateRanges | Режим работы для автоматического обучения частных диапазонов не должен быть SNAT | "Отключено" "Включено" |
| Диапазоны privateRanges | Список частных IP-адресов или диапазонов IP-адресов, которые не должны быть SNAT. | строка[] |
БрандмауэрPolicySQL (FirewallPolicySQL)
| Имя | Описание | Ценность |
|---|---|---|
| allowSqlRedirect | Флаг, указывающий, включена ли фильтрация трафика перенаправления SQL. Включение флага не требует правила с помощью порта 11000-11999. | булевая переменная (bool) |
БрандмауэрПолитикаУгрозыIntelБелый список
| Имя | Описание | Ценность |
|---|---|---|
| Файловые доменные имена | Список полных доменных имен для списка разрешений ThreatIntel. | строка[] |
| ipАдреса | Список IP-адресов для списка разрешений ThreatIntel. | строка[] |
БрандмауэрПолитикаТранспортБезопасность
| Имя | Описание | Ценность |
|---|---|---|
| certificateAuthority | ЦС, используемый для промежуточного создания ЦС. | Центр сертификации FirewallPolicyCertificate |
Управляемая служебная идентичность
| Имя | Описание | Ценность |
|---|---|---|
| тип | Тип удостоверения, используемого для ресурса. Тип SystemAssigned, UserAssigned включает как неявное созданное удостоверение, так и набор назначенных пользователем удостоверений. Тип "Нет" приведет к удалению удостоверений из виртуальной машины. | "Нет" SystemAssigned SystemAssigned, UserAssigned UserAssigned |
| ИдентичностиНазначенныеПользователем | Список удостоверений пользователей, связанных с ресурсом. Ссылки на ключ словаря удостоверений пользователя будут идентификаторами ресурсов ARM в форме: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Имя | Описание | Ценность |
|---|
Теги ресурса
| Имя | Описание | Ценность |
|---|
Подресурс
| Имя | Описание | Ценность |
|---|---|---|
| идентификатор | Идентификатор ресурса. | струна |
Примеры использования
Проверенные модули Azure
Следующие проверенные модули Azure можно использовать для развертывания этого типа ресурсов.
| Модуль | Описание |
|---|---|
| политика брандмауэра Azure | Модуль ресурсов AVM для политики брандмауэра Azure |