Microsoft.Network firewallPolicies
- neueste
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep-Ressourcendefinition
Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie ihrer Vorlage die folgende Bicep hinzu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2024-05-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Eigenschaftswerte
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Name | Beschreibung | Wert |
---|
DnsSettings
Name | Beschreibung | Wert |
---|---|---|
enableProxy | Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | Bool |
requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. | Bool |
Diener | Liste der benutzerdefinierten DNS-Server. | string[] |
ExplicitProxy
Name | Beschreibung | Wert |
---|---|---|
enableExplicitProxy | Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. | Bool |
enablePacFile | Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. | Bool |
httpPort | Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
httpsPort | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
pacFile | SAS-URL für PAC-Datei. | Schnur |
pacFilePort | Portnummer für firewall to serve PAC file. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
FirewallPolicyCertificateAuthority
Name | Beschreibung | Wert |
---|---|---|
keyVaultSecretId | Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. | Schnur |
Name | Name des Zertifizierungsstellenzertifikats. | Schnur |
FirewallPolicyInsights
Name | Beschreibung | Wert |
---|---|---|
isEnabled | Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. | Bool |
logAnalyticsResources | Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. | FirewallPolicyLogAnalyticsResources- |
retentionDays | Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. | Int |
FirewallPolicyIntrusionDetection
Name | Beschreibung | Wert |
---|---|---|
Konfiguration | Eigenschaften der Angriffserkennungskonfiguration. | FirewallPolicyIntrusionDetectionConfiguration |
Modus | Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Ablehnen" 'Aus' |
Profil | IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | "Erweitert" "Einfach" "Erweitert" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Name | Beschreibung | Wert |
---|---|---|
Beschreibung | Beschreibung der Umgehungs-Datenverkehrsregel. | Schnur |
destinationAddresses | Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. | string[] |
destinationIpGroups | Liste der Ziel-IpGroups für diese Regel. | string[] |
destinationPorts | Liste der Zielports oder -bereiche. | string[] |
Name | Name der Umgehungs-Datenverkehrsregel. | Schnur |
Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Liste der Quell-IP-Adressen oder Bereiche für diese Regel. | string[] |
sourceIpGroups | Liste der Quell-IpGroups für diese Regel. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Name | Beschreibung | Wert |
---|---|---|
bypassTrafficSettings | Liste der Regeln für die Umgehung von Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an | string[] |
signatureOverrides | Liste bestimmter Signaturenzustände. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Name | Beschreibung | Wert |
---|---|---|
id | Signatur-ID. | Schnur |
Modus | Der Signaturstatus. | "Warnung" "Ablehnen" 'Aus' |
FirewallPolicyLogAnalyticsResources
Name | Beschreibung | Wert |
---|---|---|
defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
Arbeitsbereiche | Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | Beschreibung | Wert |
---|---|---|
Region | Region zum Konfigurieren des Arbeitsbereichs. | Schnur |
workspaceId | Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
FirewallPolicyPropertiesFormat
Name | Beschreibung | Wert |
---|---|---|
basePolicy | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | SubResource- |
dnsSettings | DNS-Proxyeinstellungendefinition. | DnsSettings- |
explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy- |
Einblicke | Einblicke in die Firewallrichtlinie. | FirewallPolicyInsights- |
IntrusionDetection | Die Konfiguration für die Angriffserkennung. | FirewallPolicyIntrusionDetection- |
Sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku- |
snat | Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. | FirewallPolicySnat- |
SQL | SQL-Einstellungsdefinition. | FirewallPolicySQL- |
threatIntelMode | Der Vorgangsmodus für Threat Intelligence. | "Warnung" "Ablehnen" 'Aus' |
threatIntelWhitelist | ThreatIntel Whitelist für Firewallrichtlinien. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-Konfigurationsdefinition. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Name | Beschreibung | Wert |
---|---|---|
Rang | Ebene der Firewallrichtlinie. | "Einfach" "Premium" "Standard" |
FirewallPolicySnat
Name | Beschreibung | Wert |
---|---|---|
autoLearnPrivateRanges | Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | string[] |
FirewallPolicySQL
Name | Beschreibung | Wert |
---|---|---|
allowSqlRedirect | Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Name | Beschreibung | Wert |
---|---|---|
fqdns | Liste der FQDNs für die Whitelist "ThreatIntel". | string[] |
ipAddresses | Liste der IP-Adressen für die ThreatIntel Whitelist. | string[] |
FirewallPolicyTransportSecurity
Name | Beschreibung | Wert |
---|---|---|
certificateAuthority | Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. | FirewallPolicyCertificateAuthority- |
ManagedServiceIdentity
Name | Beschreibung | Wert |
---|---|---|
Art | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | 'None' 'SystemAssigned' "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities- |
ManagedServiceIdentityUserAssignedIdentities
Name | Beschreibung | Wert |
---|
Microsoft.Network/firewallPolicies
Name | Beschreibung | Wert |
---|---|---|
Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity- |
Ort | Ressourcenspeicherort. | Schnur |
Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
Eigenschaften | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat- |
Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
ResourceTags
Name | Beschreibung | Wert |
---|
Unterressource
Name | Beschreibung | Wert |
---|---|---|
id | Ressourcen-ID. | Schnur |
Schnellstartbeispiele
Die folgenden Schnellstartbeispiele stellen diesen Ressourcentyp bereit.
Bicep-Datei | Beschreibung |
---|---|
Erstellen einer Firewall und FirewallPolicy mit Regeln und Ipgroups | Diese Vorlage stellt eine Azure-Firewall mit Firewallrichtlinie (einschließlich mehrerer Anwendungs- und Netzwerkregeln) bereit, die auf IP-Gruppen in Anwendungs- und Netzwerkregeln verweisen. |
Gesicherte virtuelle Hubs | Diese Vorlage erstellt einen gesicherten virtuellen Hub mithilfe der Azure-Firewall, um Ihren Cloudnetzwerkdatenverkehr zu sichern, der an das Internet bestimmt ist. |
SharePoint-Abonnement / 2019 / 2016 vollständig konfiguriert | Erstellen Sie einen DC, einen SQL Server 2022 und von 1 bis 5 Servern, die ein SharePoint-Abonnement /2019/2016-Farm hosten, mit einer umfangreichen Konfiguration, einschließlich vertrauenswürdiger Authentifizierung, Benutzerprofile mit persönlichen Websites, einer OAuth-Vertrauensstellung (mithilfe eines Zertifikats), einer dedizierten IIS-Website zum Hosten besonders vertrauenswürdiger Add-Ins usw. Die neueste Version von Schlüsselsoftware (einschließlich Fiddler, vscode, np++, 7zip, ULS Viewer) wird installiert. SharePoint-Computer verfügen über zusätzliche Feinabstimmungen, um sie sofort nutzbar zu machen (Remoteverwaltungstools, benutzerdefinierte Richtlinien für Edge und Chrome, Tastenkombinationen usw.). |
Testumgebung für Azure Firewall Premium | Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung |
Verwenden der Azure Firewall als DNS-Proxy in einer Hub-& Speichentopologie | In diesem Beispiel wird gezeigt, wie Sie eine Hub-Spoke-Topologie in Azure mithilfe der Azure-Firewall bereitstellen. Das virtuelle Hubnetzwerk fungiert als zentraler Punkt der Konnektivität mit vielen speichen virtuellen Netzwerken, die über virtuelles Peering mit dem virtuellen Hubnetzwerk verbunden sind. |
ARM-Vorlagenressourcendefinition
Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2024-05-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Eigenschaftswerte
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Name | Beschreibung | Wert |
---|
DnsSettings
Name | Beschreibung | Wert |
---|---|---|
enableProxy | Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | Bool |
requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. | Bool |
Diener | Liste der benutzerdefinierten DNS-Server. | string[] |
ExplicitProxy
Name | Beschreibung | Wert |
---|---|---|
enableExplicitProxy | Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. | Bool |
enablePacFile | Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. | Bool |
httpPort | Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
httpsPort | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
pacFile | SAS-URL für PAC-Datei. | Schnur |
pacFilePort | Portnummer für firewall to serve PAC file. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
FirewallPolicyCertificateAuthority
Name | Beschreibung | Wert |
---|---|---|
keyVaultSecretId | Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. | Schnur |
Name | Name des Zertifizierungsstellenzertifikats. | Schnur |
FirewallPolicyInsights
Name | Beschreibung | Wert |
---|---|---|
isEnabled | Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. | Bool |
logAnalyticsResources | Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. | FirewallPolicyLogAnalyticsResources- |
retentionDays | Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. | Int |
FirewallPolicyIntrusionDetection
Name | Beschreibung | Wert |
---|---|---|
Konfiguration | Eigenschaften der Angriffserkennungskonfiguration. | FirewallPolicyIntrusionDetectionConfiguration |
Modus | Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Ablehnen" 'Aus' |
Profil | IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | "Erweitert" "Einfach" "Erweitert" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Name | Beschreibung | Wert |
---|---|---|
Beschreibung | Beschreibung der Umgehungs-Datenverkehrsregel. | Schnur |
destinationAddresses | Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. | string[] |
destinationIpGroups | Liste der Ziel-IpGroups für diese Regel. | string[] |
destinationPorts | Liste der Zielports oder -bereiche. | string[] |
Name | Name der Umgehungs-Datenverkehrsregel. | Schnur |
Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Liste der Quell-IP-Adressen oder Bereiche für diese Regel. | string[] |
sourceIpGroups | Liste der Quell-IpGroups für diese Regel. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Name | Beschreibung | Wert |
---|---|---|
bypassTrafficSettings | Liste der Regeln für die Umgehung von Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an | string[] |
signatureOverrides | Liste bestimmter Signaturenzustände. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Name | Beschreibung | Wert |
---|---|---|
id | Signatur-ID. | Schnur |
Modus | Der Signaturstatus. | "Warnung" "Ablehnen" 'Aus' |
FirewallPolicyLogAnalyticsResources
Name | Beschreibung | Wert |
---|---|---|
defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
Arbeitsbereiche | Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | Beschreibung | Wert |
---|---|---|
Region | Region zum Konfigurieren des Arbeitsbereichs. | Schnur |
workspaceId | Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
FirewallPolicyPropertiesFormat
Name | Beschreibung | Wert |
---|---|---|
basePolicy | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | SubResource- |
dnsSettings | DNS-Proxyeinstellungendefinition. | DnsSettings- |
explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy- |
Einblicke | Einblicke in die Firewallrichtlinie. | FirewallPolicyInsights- |
IntrusionDetection | Die Konfiguration für die Angriffserkennung. | FirewallPolicyIntrusionDetection- |
Sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku- |
snat | Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. | FirewallPolicySnat- |
SQL | SQL-Einstellungsdefinition. | FirewallPolicySQL- |
threatIntelMode | Der Vorgangsmodus für Threat Intelligence. | "Warnung" "Ablehnen" 'Aus' |
threatIntelWhitelist | ThreatIntel Whitelist für Firewallrichtlinien. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-Konfigurationsdefinition. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Name | Beschreibung | Wert |
---|---|---|
Rang | Ebene der Firewallrichtlinie. | "Einfach" "Premium" "Standard" |
FirewallPolicySnat
Name | Beschreibung | Wert |
---|---|---|
autoLearnPrivateRanges | Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | string[] |
FirewallPolicySQL
Name | Beschreibung | Wert |
---|---|---|
allowSqlRedirect | Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Name | Beschreibung | Wert |
---|---|---|
fqdns | Liste der FQDNs für die Whitelist "ThreatIntel". | string[] |
ipAddresses | Liste der IP-Adressen für die ThreatIntel Whitelist. | string[] |
FirewallPolicyTransportSecurity
Name | Beschreibung | Wert |
---|---|---|
certificateAuthority | Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. | FirewallPolicyCertificateAuthority- |
ManagedServiceIdentity
Name | Beschreibung | Wert |
---|---|---|
Art | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | 'None' 'SystemAssigned' "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities- |
ManagedServiceIdentityUserAssignedIdentities
Name | Beschreibung | Wert |
---|
Microsoft.Network/firewallPolicies
Name | Beschreibung | Wert |
---|---|---|
apiVersion | Die API-Version | '2024-05-01' |
Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity- |
Ort | Ressourcenspeicherort. | Schnur |
Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
Eigenschaften | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat- |
Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
Art | Der Ressourcentyp | 'Microsoft.Network/firewallPolicies' |
ResourceTags
Name | Beschreibung | Wert |
---|
Unterressource
Name | Beschreibung | Wert |
---|---|---|
id | Ressourcen-ID. | Schnur |
Schnellstartvorlagen
Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.
Schablone | Beschreibung |
---|---|
Erstellen einer Firewall und FirewallPolicy mit Regeln und Ipgroups |
Diese Vorlage stellt eine Azure-Firewall mit Firewallrichtlinie (einschließlich mehrerer Anwendungs- und Netzwerkregeln) bereit, die auf IP-Gruppen in Anwendungs- und Netzwerkregeln verweisen. |
Erstellen einer Firewall mit FirewallPolicy- und IpGroups- |
Diese Vorlage erstellt eine Azure-Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält außerdem ein Linux-Jumpbox-VM-Setup |
Erstellen einer Firewall, FirewallPolicy mit explizitem Proxy- |
Diese Vorlage erstellt eine Azure Firewall, FirewalllPolicy mit expliziten Proxy- und Netzwerkregeln mit IpGroups. Enthält außerdem ein Linux-Jumpbox-VM-Setup |
Erstellen eines Sandkastensetups mit Firewallrichtlinien- |
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Server-Subnetz, Jumpbox-Subet und AzureFirewall-Subnetz), einer Jumpbox-VM mit öffentlicher IP, einer Server-VM, UDR-Route, die auf Azure Firewall für das Server-Subnetz und eine Azure-Firewall mit 1 oder mehr öffentlichen IP-Adressen verweist. Erstellt außerdem eine Firewallrichtlinie mit einer Beispielanwendungsregel, einer Beispiel-Netzwerkregel und standardmäßigen privaten Bereichen |
Gesicherte virtuelle Hubs |
Diese Vorlage erstellt einen gesicherten virtuellen Hub mithilfe der Azure-Firewall, um Ihren Cloudnetzwerkdatenverkehr zu sichern, der an das Internet bestimmt ist. |
SharePoint-Abonnement / 2019 / 2016 vollständig konfiguriert |
Erstellen Sie einen DC, einen SQL Server 2022 und von 1 bis 5 Servern, die ein SharePoint-Abonnement /2019/2016-Farm hosten, mit einer umfangreichen Konfiguration, einschließlich vertrauenswürdiger Authentifizierung, Benutzerprofile mit persönlichen Websites, einer OAuth-Vertrauensstellung (mithilfe eines Zertifikats), einer dedizierten IIS-Website zum Hosten besonders vertrauenswürdiger Add-Ins usw. Die neueste Version von Schlüsselsoftware (einschließlich Fiddler, vscode, np++, 7zip, ULS Viewer) wird installiert. SharePoint-Computer verfügen über zusätzliche Feinabstimmungen, um sie sofort nutzbar zu machen (Remoteverwaltungstools, benutzerdefinierte Richtlinien für Edge und Chrome, Tastenkombinationen usw.). |
Testumgebung für Azure Firewall Premium |
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung |
Verwenden der Azure Firewall als DNS-Proxy in einer Hub-& Speichentopologie |
In diesem Beispiel wird gezeigt, wie Sie eine Hub-Spoke-Topologie in Azure mithilfe der Azure-Firewall bereitstellen. Das virtuelle Hubnetzwerk fungiert als zentraler Punkt der Konnektivität mit vielen speichen virtuellen Netzwerken, die über virtuelles Peering mit dem virtuellen Hubnetzwerk verbunden sind. |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2024-05-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Eigenschaftswerte
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Name | Beschreibung | Wert |
---|
DnsSettings
Name | Beschreibung | Wert |
---|---|---|
enableProxy | Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | Bool |
requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. | Bool |
Diener | Liste der benutzerdefinierten DNS-Server. | string[] |
ExplicitProxy
Name | Beschreibung | Wert |
---|---|---|
enableExplicitProxy | Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. | Bool |
enablePacFile | Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. | Bool |
httpPort | Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
httpsPort | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
pacFile | SAS-URL für PAC-Datei. | Schnur |
pacFilePort | Portnummer für firewall to serve PAC file. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
FirewallPolicyCertificateAuthority
Name | Beschreibung | Wert |
---|---|---|
keyVaultSecretId | Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. | Schnur |
Name | Name des Zertifizierungsstellenzertifikats. | Schnur |
FirewallPolicyInsights
Name | Beschreibung | Wert |
---|---|---|
isEnabled | Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. | Bool |
logAnalyticsResources | Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. | FirewallPolicyLogAnalyticsResources- |
retentionDays | Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. | Int |
FirewallPolicyIntrusionDetection
Name | Beschreibung | Wert |
---|---|---|
Konfiguration | Eigenschaften der Angriffserkennungskonfiguration. | FirewallPolicyIntrusionDetectionConfiguration |
Modus | Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Ablehnen" 'Aus' |
Profil | IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | "Erweitert" "Einfach" "Erweitert" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
Name | Beschreibung | Wert |
---|---|---|
Beschreibung | Beschreibung der Umgehungs-Datenverkehrsregel. | Schnur |
destinationAddresses | Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. | string[] |
destinationIpGroups | Liste der Ziel-IpGroups für diese Regel. | string[] |
destinationPorts | Liste der Zielports oder -bereiche. | string[] |
Name | Name der Umgehungs-Datenverkehrsregel. | Schnur |
Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | Liste der Quell-IP-Adressen oder Bereiche für diese Regel. | string[] |
sourceIpGroups | Liste der Quell-IpGroups für diese Regel. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Name | Beschreibung | Wert |
---|---|---|
bypassTrafficSettings | Liste der Regeln für die Umgehung von Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
privateRanges | IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an | string[] |
signatureOverrides | Liste bestimmter Signaturenzustände. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Name | Beschreibung | Wert |
---|---|---|
id | Signatur-ID. | Schnur |
Modus | Der Signaturstatus. | "Warnung" "Ablehnen" 'Aus' |
FirewallPolicyLogAnalyticsResources
Name | Beschreibung | Wert |
---|---|---|
defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
Arbeitsbereiche | Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Name | Beschreibung | Wert |
---|---|---|
Region | Region zum Konfigurieren des Arbeitsbereichs. | Schnur |
workspaceId | Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
FirewallPolicyPropertiesFormat
Name | Beschreibung | Wert |
---|---|---|
basePolicy | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | SubResource- |
dnsSettings | DNS-Proxyeinstellungendefinition. | DnsSettings- |
explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy- |
Einblicke | Einblicke in die Firewallrichtlinie. | FirewallPolicyInsights- |
IntrusionDetection | Die Konfiguration für die Angriffserkennung. | FirewallPolicyIntrusionDetection- |
Sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku- |
snat | Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. | FirewallPolicySnat- |
SQL | SQL-Einstellungsdefinition. | FirewallPolicySQL- |
threatIntelMode | Der Vorgangsmodus für Threat Intelligence. | "Warnung" "Ablehnen" 'Aus' |
threatIntelWhitelist | ThreatIntel Whitelist für Firewallrichtlinien. | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS-Konfigurationsdefinition. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Name | Beschreibung | Wert |
---|---|---|
Rang | Ebene der Firewallrichtlinie. | "Einfach" "Premium" "Standard" |
FirewallPolicySnat
Name | Beschreibung | Wert |
---|---|---|
autoLearnPrivateRanges | Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | string[] |
FirewallPolicySQL
Name | Beschreibung | Wert |
---|---|---|
allowSqlRedirect | Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Name | Beschreibung | Wert |
---|---|---|
fqdns | Liste der FQDNs für die Whitelist "ThreatIntel". | string[] |
ipAddresses | Liste der IP-Adressen für die ThreatIntel Whitelist. | string[] |
FirewallPolicyTransportSecurity
Name | Beschreibung | Wert |
---|---|---|
certificateAuthority | Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. | FirewallPolicyCertificateAuthority- |
ManagedServiceIdentity
Name | Beschreibung | Wert |
---|---|---|
Art | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | 'None' 'SystemAssigned' "SystemAssigned, UserAssigned" "UserAssigned" |
userAssignedIdentities | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities- |
ManagedServiceIdentityUserAssignedIdentities
Name | Beschreibung | Wert |
---|
Microsoft.Network/firewallPolicies
Name | Beschreibung | Wert |
---|---|---|
Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity- |
Ort | Ressourcenspeicherort. | Schnur |
Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
Eigenschaften | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat- |
Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. |
Art | Der Ressourcentyp | "Microsoft.Network/firewallPolicies@2024-05-01" |
ResourceTags
Name | Beschreibung | Wert |
---|
Unterressource
Name | Beschreibung | Wert |
---|---|---|
id | Ressourcen-ID. | Schnur |