Partager via


Microsoft.Network firewallPolicies 2021-08-01

Définition de ressource Bicep

Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le bicep suivant à votre modèle.

resource symbolicname 'Microsoft.Network/firewallPolicies@2021-08-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxySettings: {
      enableExplicitProxy: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Valeurs de propriété

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Nom Description Valeur

DnsSettings

Nom Description Valeur
enableProxy Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. Bool
requireProxyForNetworkRules Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. Bool
Serveurs Liste des serveurs DNS personnalisés. string[]

ExplicitProxySettings

Nom Description Valeur
enableExplicitProxy Quand la valeur est true, le mode proxy explicite est activé. Bool
httpPort Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000
httpsPort Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000
pacFile URL SAS pour le fichier PAC. corde
pacFilePort Numéro de port pour que le pare-feu serve le fichier PAC. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000

FirewallPolicyCertificateAuthority

Nom Description Valeur
keyVaultSecretId ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. corde
nom Nom du certificat d’autorité de certification. corde

FirewallPolicyInsights

Nom Description Valeur
isEnabled Indicateur pour indiquer si les insights sont activés sur la stratégie. Bool
logAnalyticsResources Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. FirewallPolicyLogAnalyticsResources
retentionDays Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. Int

FirewallPolicyIntrusionDetection

Nom Description Valeur
configuration Propriétés de configuration de la détection d’intrusion. FirewallPolicyIntrusionDetectionConfiguration
mode État général de la détection des intrusions. 'Alerte'
'Refuser'
'Off'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Nom Description Valeur
description Description de la règle de contournement du trafic. corde
destinationAddresses Liste des adresses IP ou plages de destination pour cette règle. string[]
destinationIpGroups Liste des IpGroups de destination pour cette règle. string[]
destinationPorts Liste des ports ou plages de destination. string[]
nom Nom de la règle de contournement du trafic. corde
protocole Protocole de contournement de la règle. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses Liste des adresses IP ou plages sources pour cette règle. string[]
sourceIpGroups Liste des IpGroups sources pour cette règle. string[]

FirewallPolicyIntrusionDetectionConfiguration

Nom Description Valeur
bypassTrafficSettings Liste des règles pour le trafic à contourner. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété string[]
signatureOverrides Liste des états de signatures spécifiques. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Nom Description Valeur
id ID de signature. corde
mode État de signature. 'Alerte'
'Refuser'
'Off'

FirewallPolicyLogAnalyticsResources

Nom Description Valeur
defaultWorkspaceId ID d’espace de travail par défaut pour Firewall Policy Insights. SubResource
espaces de travail Liste des espaces de travail pour Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Nom Description Valeur
région Région pour configurer l’espace de travail. corde
workspaceId ID d’espace de travail pour Firewall Policy Insights. SubResource

FirewallPolicyPropertiesFormat

Nom Description Valeur
basePolicy Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. SubResource
dnsSettings Définition des paramètres du proxy DNS. dnsSettings
explicitProxySettings Définition explicite des paramètres du proxy. explicitProxySettings
Idées Insights sur la stratégie de pare-feu. FirewallPolicyInsights
intrusionDetection Configuration de la détection d’intrusion. FirewallPolicyIntrusionDetection
Sku Référence SKU de stratégie de pare-feu. FirewallPolicySku
snat Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. FirewallPolicySnat
SQL Définition des paramètres SQL. FirewallPolicySQL
threatIntelMode Mode d’opération pour Threat Intelligence. 'Alerte'
'Refuser'
'Off'
threatIntelWhitelist Liste verte ThreatIntel pour la stratégie de pare-feu. FirewallPolicyThreatIntelWhitelist
transportSecurity Définition de configuration TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Nom Description Valeur
niveau Niveau de stratégie de pare-feu. 'De base'
'Premium'
'Standard'

FirewallPolicySnat

Nom Description Valeur
privateRanges Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. string[]

FirewallPolicySQL

Nom Description Valeur
allowSqlRedirect Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Nom Description Valeur
fqdns Liste des noms de domaine complets pour la liste verte ThreatIntel. string[]
ipAddresses Liste des adresses IP de la liste verte ThreatIntel. string[]

FirewallPolicyTransportSecurity

Nom Description Valeur
certificateAuthority Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Nom Description Valeur
type Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Nom Description Valeur

Microsoft.Network/firewallPolicies

Nom Description Valeur
identité Identité de la stratégie de pare-feu. ManagedServiceIdentity
emplacement Emplacement des ressources. corde
nom Nom de la ressource chaîne (obligatoire)
Propriétés Propriétés de la stratégie de pare-feu. FirewallPolicyPropertiesFormat
étiquettes Balises de ressource Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles

ResourceTags

Nom Description Valeur

Sous-ressource

Nom Description Valeur
id ID de ressource. corde

Exemples de démarrage rapide

Les exemples de démarrage rapide suivants déploient ce type de ressource.

Fichier Bicep Description
créer un pare-feu et FirewallPolicy avec des règles et des ipgroups Ce modèle déploie un pare-feu Azure avec la stratégie de pare-feu (y compris plusieurs règles d’application et de réseau) référençant les groupes IP dans les règles d’application et de réseau.
hubs virtuels sécurisés Ce modèle crée un hub virtuel sécurisé à l’aide du Pare-feu Azure pour sécuriser votre trafic réseau cloud destiné à Internet.
abonnement SharePoint / 2019 / 2016 entièrement configuré Créez un contrôleur de domaine, un serveur SQL Server 2022 et de 1 à 5 serveurs hébergeant un abonnement SharePoint / 2019 / 2016 avec une configuration étendue, notamment l’authentification approuvée, les profils utilisateur avec des sites personnels, une approbation OAuth (à l’aide d’un certificat), un site IIS dédié pour l’hébergement de compléments à haut niveau de fiabilité, etc. La dernière version des logiciels clés (y compris Fiddler, vscode, np++, 7zip, ULS Viewer) est installée. Les machines SharePoint disposent d’un réglage précis supplémentaire pour les rendre immédiatement utilisables (outils d’administration à distance, stratégies personnalisées pour Edge et Chrome, raccourcis, etc.).
environnement de test pour le pare-feu Azure Premium Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web
utiliser le Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels.

Définition de ressource de modèle ARM

Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le code JSON suivant à votre modèle.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2021-08-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxySettings": {
      "enableExplicitProxy": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Valeurs de propriété

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Nom Description Valeur

DnsSettings

Nom Description Valeur
enableProxy Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. Bool
requireProxyForNetworkRules Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. Bool
Serveurs Liste des serveurs DNS personnalisés. string[]

ExplicitProxySettings

Nom Description Valeur
enableExplicitProxy Quand la valeur est true, le mode proxy explicite est activé. Bool
httpPort Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000
httpsPort Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000
pacFile URL SAS pour le fichier PAC. corde
pacFilePort Numéro de port pour que le pare-feu serve le fichier PAC. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000

FirewallPolicyCertificateAuthority

Nom Description Valeur
keyVaultSecretId ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. corde
nom Nom du certificat d’autorité de certification. corde

FirewallPolicyInsights

Nom Description Valeur
isEnabled Indicateur pour indiquer si les insights sont activés sur la stratégie. Bool
logAnalyticsResources Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. FirewallPolicyLogAnalyticsResources
retentionDays Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. Int

FirewallPolicyIntrusionDetection

Nom Description Valeur
configuration Propriétés de configuration de la détection d’intrusion. FirewallPolicyIntrusionDetectionConfiguration
mode État général de la détection des intrusions. 'Alerte'
'Refuser'
'Off'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Nom Description Valeur
description Description de la règle de contournement du trafic. corde
destinationAddresses Liste des adresses IP ou plages de destination pour cette règle. string[]
destinationIpGroups Liste des IpGroups de destination pour cette règle. string[]
destinationPorts Liste des ports ou plages de destination. string[]
nom Nom de la règle de contournement du trafic. corde
protocole Protocole de contournement de la règle. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses Liste des adresses IP ou plages sources pour cette règle. string[]
sourceIpGroups Liste des IpGroups sources pour cette règle. string[]

FirewallPolicyIntrusionDetectionConfiguration

Nom Description Valeur
bypassTrafficSettings Liste des règles pour le trafic à contourner. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété string[]
signatureOverrides Liste des états de signatures spécifiques. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Nom Description Valeur
id ID de signature. corde
mode État de signature. 'Alerte'
'Refuser'
'Off'

FirewallPolicyLogAnalyticsResources

Nom Description Valeur
defaultWorkspaceId ID d’espace de travail par défaut pour Firewall Policy Insights. SubResource
espaces de travail Liste des espaces de travail pour Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Nom Description Valeur
région Région pour configurer l’espace de travail. corde
workspaceId ID d’espace de travail pour Firewall Policy Insights. SubResource

FirewallPolicyPropertiesFormat

Nom Description Valeur
basePolicy Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. SubResource
dnsSettings Définition des paramètres du proxy DNS. dnsSettings
explicitProxySettings Définition explicite des paramètres du proxy. explicitProxySettings
Idées Insights sur la stratégie de pare-feu. FirewallPolicyInsights
intrusionDetection Configuration de la détection d’intrusion. FirewallPolicyIntrusionDetection
Sku Référence SKU de stratégie de pare-feu. FirewallPolicySku
snat Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. FirewallPolicySnat
SQL Définition des paramètres SQL. FirewallPolicySQL
threatIntelMode Mode d’opération pour Threat Intelligence. 'Alerte'
'Refuser'
'Off'
threatIntelWhitelist Liste verte ThreatIntel pour la stratégie de pare-feu. FirewallPolicyThreatIntelWhitelist
transportSecurity Définition de configuration TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Nom Description Valeur
niveau Niveau de stratégie de pare-feu. 'De base'
'Premium'
'Standard'

FirewallPolicySnat

Nom Description Valeur
privateRanges Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. string[]

FirewallPolicySQL

Nom Description Valeur
allowSqlRedirect Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Nom Description Valeur
fqdns Liste des noms de domaine complets pour la liste verte ThreatIntel. string[]
ipAddresses Liste des adresses IP de la liste verte ThreatIntel. string[]

FirewallPolicyTransportSecurity

Nom Description Valeur
certificateAuthority Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Nom Description Valeur
type Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Nom Description Valeur

Microsoft.Network/firewallPolicies

Nom Description Valeur
apiVersion Version de l’API '2021-08-01'
identité Identité de la stratégie de pare-feu. ManagedServiceIdentity
emplacement Emplacement des ressources. corde
nom Nom de la ressource chaîne (obligatoire)
Propriétés Propriétés de la stratégie de pare-feu. FirewallPolicyPropertiesFormat
étiquettes Balises de ressource Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles
type Type de ressource 'Microsoft.Network/firewallPolicies'

ResourceTags

Nom Description Valeur

Sous-ressource

Nom Description Valeur
id ID de ressource. corde

Modèles de démarrage rapide

Les modèles de démarrage rapide suivants déploient ce type de ressource.

Modèle Description
créer un pare-feu et FirewallPolicy avec des règles et des ipgroups

Déployer sur Azure
Ce modèle déploie un pare-feu Azure avec la stratégie de pare-feu (y compris plusieurs règles d’application et de réseau) référençant les groupes IP dans les règles d’application et de réseau.
créer un pare-feu avec FirewallPolicy et IpGroups

Déployer sur Azure
Ce modèle crée un pare-feu Azure avec FirewalllPolicy référençant des règles réseau avec IpGroups. Inclut également une configuration de machine virtuelle Linux Jumpbox
créer un pare-feu, FirewallPolicy avec proxy explicite

Déployer sur Azure
Ce modèle crée un pare-feu Azure, FirewalllPolicy avec un proxy explicite et des règles de réseau avec IpGroups. Inclut également une configuration de machine virtuelle Linux Jumpbox
Créer une configuration de bac à sable avec la stratégie de pare-feu

Déployer sur Azure
Ce modèle crée un réseau virtuel avec 3 sous-réseaux (sous-réseau de serveur, sous-ensemble de jumpbox et sous-réseau AzureFirewall), une machine virtuelle de jumpbox avec une adresse IP publique, une machine virtuelle de serveur, une route UDR pour pointer vers le pare-feu Azure pour le sous-réseau du serveur et un pare-feu Azure avec 1 ou plusieurs adresses IP publiques. Crée également une stratégie de pare-feu avec 1 exemple de règle d’application, 1 exemple de règle réseau et plages privées par défaut
hubs virtuels sécurisés

Déployer sur Azure
Ce modèle crée un hub virtuel sécurisé à l’aide du Pare-feu Azure pour sécuriser votre trafic réseau cloud destiné à Internet.
abonnement SharePoint / 2019 / 2016 entièrement configuré

Déployer sur Azure
Créez un contrôleur de domaine, un serveur SQL Server 2022 et de 1 à 5 serveurs hébergeant un abonnement SharePoint / 2019 / 2016 avec une configuration étendue, notamment l’authentification approuvée, les profils utilisateur avec des sites personnels, une approbation OAuth (à l’aide d’un certificat), un site IIS dédié pour l’hébergement de compléments à haut niveau de fiabilité, etc. La dernière version des logiciels clés (y compris Fiddler, vscode, np++, 7zip, ULS Viewer) est installée. Les machines SharePoint disposent d’un réglage précis supplémentaire pour les rendre immédiatement utilisables (outils d’administration à distance, stratégies personnalisées pour Edge et Chrome, raccourcis, etc.).
environnement de test pour le pare-feu Azure Premium

Déployer sur Azure
Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web
utiliser le Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke

Déployer sur Azure
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels.

Définition de ressource Terraform (fournisseur AzAPI)

Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :

  • groupes de ressources

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez terraform suivant à votre modèle.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2021-08-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxySettings = {
        enableExplicitProxy = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
  tags = {
    {customized property} = "string"
  }
}

Valeurs de propriété

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Nom Description Valeur

DnsSettings

Nom Description Valeur
enableProxy Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. Bool
requireProxyForNetworkRules Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. Bool
Serveurs Liste des serveurs DNS personnalisés. string[]

ExplicitProxySettings

Nom Description Valeur
enableExplicitProxy Quand la valeur est true, le mode proxy explicite est activé. Bool
httpPort Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000
httpsPort Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000
pacFile URL SAS pour le fichier PAC. corde
pacFilePort Numéro de port pour que le pare-feu serve le fichier PAC. Int

Contraintes:
Valeur minimale = 0
Valeur maximale = 64000

FirewallPolicyCertificateAuthority

Nom Description Valeur
keyVaultSecretId ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. corde
nom Nom du certificat d’autorité de certification. corde

FirewallPolicyInsights

Nom Description Valeur
isEnabled Indicateur pour indiquer si les insights sont activés sur la stratégie. Bool
logAnalyticsResources Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. FirewallPolicyLogAnalyticsResources
retentionDays Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. Int

FirewallPolicyIntrusionDetection

Nom Description Valeur
configuration Propriétés de configuration de la détection d’intrusion. FirewallPolicyIntrusionDetectionConfiguration
mode État général de la détection des intrusions. 'Alerte'
'Refuser'
'Off'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Nom Description Valeur
description Description de la règle de contournement du trafic. corde
destinationAddresses Liste des adresses IP ou plages de destination pour cette règle. string[]
destinationIpGroups Liste des IpGroups de destination pour cette règle. string[]
destinationPorts Liste des ports ou plages de destination. string[]
nom Nom de la règle de contournement du trafic. corde
protocole Protocole de contournement de la règle. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses Liste des adresses IP ou plages sources pour cette règle. string[]
sourceIpGroups Liste des IpGroups sources pour cette règle. string[]

FirewallPolicyIntrusionDetectionConfiguration

Nom Description Valeur
bypassTrafficSettings Liste des règles pour le trafic à contourner. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété string[]
signatureOverrides Liste des états de signatures spécifiques. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Nom Description Valeur
id ID de signature. corde
mode État de signature. 'Alerte'
'Refuser'
'Off'

FirewallPolicyLogAnalyticsResources

Nom Description Valeur
defaultWorkspaceId ID d’espace de travail par défaut pour Firewall Policy Insights. SubResource
espaces de travail Liste des espaces de travail pour Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Nom Description Valeur
région Région pour configurer l’espace de travail. corde
workspaceId ID d’espace de travail pour Firewall Policy Insights. SubResource

FirewallPolicyPropertiesFormat

Nom Description Valeur
basePolicy Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. SubResource
dnsSettings Définition des paramètres du proxy DNS. dnsSettings
explicitProxySettings Définition explicite des paramètres du proxy. explicitProxySettings
Idées Insights sur la stratégie de pare-feu. FirewallPolicyInsights
intrusionDetection Configuration de la détection d’intrusion. FirewallPolicyIntrusionDetection
Sku Référence SKU de stratégie de pare-feu. FirewallPolicySku
snat Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. FirewallPolicySnat
SQL Définition des paramètres SQL. FirewallPolicySQL
threatIntelMode Mode d’opération pour Threat Intelligence. 'Alerte'
'Refuser'
'Off'
threatIntelWhitelist Liste verte ThreatIntel pour la stratégie de pare-feu. FirewallPolicyThreatIntelWhitelist
transportSecurity Définition de configuration TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Nom Description Valeur
niveau Niveau de stratégie de pare-feu. 'De base'
'Premium'
'Standard'

FirewallPolicySnat

Nom Description Valeur
privateRanges Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. string[]

FirewallPolicySQL

Nom Description Valeur
allowSqlRedirect Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Nom Description Valeur
fqdns Liste des noms de domaine complets pour la liste verte ThreatIntel. string[]
ipAddresses Liste des adresses IP de la liste verte ThreatIntel. string[]

FirewallPolicyTransportSecurity

Nom Description Valeur
certificateAuthority Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Nom Description Valeur
type Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. 'None'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Nom Description Valeur

Microsoft.Network/firewallPolicies

Nom Description Valeur
identité Identité de la stratégie de pare-feu. ManagedServiceIdentity
emplacement Emplacement des ressources. corde
nom Nom de la ressource chaîne (obligatoire)
Propriétés Propriétés de la stratégie de pare-feu. FirewallPolicyPropertiesFormat
étiquettes Balises de ressource Dictionnaire de noms et de valeurs d’étiquettes.
type Type de ressource « Microsoft.Network/firewallPolicies@2021-08-01 »

ResourceTags

Nom Description Valeur

Sous-ressource

Nom Description Valeur
id ID de ressource. corde