Partilhar via


Microsoft.Network firewallPolíticas 2023-05-01

Definição de recursos do bíceps

O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Bicep ao seu modelo.

resource symbolicname 'Microsoft.Network/firewallPolicies@2023-05-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Valores de propriedade

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Designação Descrição Valor

DnsSettings

Designação Descrição Valor
enableProxy Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. Bool
requireProxyForNetworkRules FQDNs em Regras de Rede são suportados quando definidos como true. Bool
servidores Lista de servidores DNS personalizados. string[]

ExplicitProxy

Designação Descrição Valor
enableExplicitProxy Quando definido como true, o modo de proxy explícito é habilitado. Bool
enablePacFile Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. Bool
Porta http O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
Porta https: O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
pacFile URL SAS para arquivo PAC. string
pacFilePort Número da porta do firewall para servir o arquivo PAC. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000

FirewallPolicyCertificateAuthority

Designação Descrição Valor
keyVaultSecretId ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. string
Designação Nome do certificado da autoridade de certificação. string

FirewallPolicyInsights

Designação Descrição Valor
isEnabled Um sinalizador para indicar se os insights estão habilitados na política. Bool
logAnalyticsRecursos Espaços de trabalho necessários para configurar o Firewall Policy Insights. FirewallPolicyLogAnalyticsResources
dias de retenção Número de dias em que os insights devem ser habilitados na política. Int

FirewallPolíticaIntrusãoDetecção

Designação Descrição Valor
configuração Propriedades de configuração de deteção de intrusão. FirewallPolicyIntrusionDetectionConfiguration
modo Estado geral de deteção de intrusão. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyIntrusionDetectionBypassTrafficEspecificações

Designação Descrição Valor
Descrição Descrição da regra de tráfego de desvio. string
destinationAddresses Lista de endereços IP de destino ou intervalos para esta regra. string[]
destinationIpGroups Lista de IpGroups de destino para esta regra. string[]
destinationPorts Lista de portas ou intervalos de destino. string[]
Designação Nome da regra de tráfego de desvio. string
protocolo O protocolo de desvio de regra. 'QUALQUER'
'ICMP'
'TCP'
'UDP'
sourceAddresses Lista de endereços IP de origem ou intervalos para esta regra. string[]
fonteIpGroups Lista de IpGroups de origem para esta regra. string[]

FirewallPolicyIntrusionDetectionConfiguration

Designação Descrição Valor
bypassTrafficSettings Lista de regras para o tráfego a ser contornado. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
intervalos privados Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade string[]
assinaturaSubstituições Lista de estados de assinaturas específicas. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Designação Descrição Valor
ID ID da assinatura. string
modo O estado da assinatura. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyLogAnalyticsResources

Designação Descrição Valor
defaultWorkspaceId A ID do espaço de trabalho padrão para Insights de Política de Firewall. SubResource
espaços de trabalho Lista de espaços de trabalho para Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Designação Descrição Valor
região Região para configurar o espaço de trabalho. string
workspaceId A ID do espaço de trabalho para Insights de Política de Firewall. SubResource

FirewallPolicyPropertiesFormat

Designação Descrição Valor
basePolicy A política de firewall pai da qual as regras são herdadas. SubResource
dnsConfigurações Definição de configurações de proxy DNS. DnsSettings
explicitProxy Definição explícita de configurações de proxy. ExplicitProxy
Informações Informações sobre a política de firewall. FirewallPolicyInsights
intrusãoDetecção A configuração para deteção de intrusão. FirewallPolicyIntrusionDetection
SKU A SKU da Política de Firewall. FirewallPolicySku
Snat Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. FirewallPolicySnat
SQL Definição de Configurações SQL. FirewallPolicySQL
threatIntelMode O modo de operação para Threat Intelligence. 'Alerta'
'Negar'
'Desligado'
ameaçaIntelWhitelist ThreatIntel Whitelist for Firewall Policy. FirewallPolicyThreatIntelWhitelist
transportesSegurança Definição de configuração TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Designação Descrição Valor
nível Nível da política de firewall. 'Básico'
'Premium'
'Padrão'

FirewallPolicySnat

Designação Descrição Valor
autoLearnPrivateRanges O modo de operação para aprender automaticamente intervalos privados para não ser SNAT 'Desativado'
'Habilitado'
intervalos privados Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. string[]

FirewallPolicySQL

Designação Descrição Valor
allowSqlRedirect Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Designação Descrição Valor
FQDNs Lista de FQDNs para a lista branca ThreatIntel. string[]
Endereços IP Lista de endereços IP para a lista branca ThreatIntel. string[]

FirewallPolíticaTransporteSegurança

Designação Descrição Valor
Autoridade de certificação A AC utilizada para a geração intermédia de AC. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Designação Descrição Valor
tipo O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'Nenhum' removerá todas as identidades da máquina virtual. 'Nenhuma'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Designação Descrição Valor

Microsoft.Network/firewallPolicies

Designação Descrição Valor
identidade A identidade da política de firewall. ManagedServiceIdentity
Localização Localização do recurso. string
Designação O nome do recurso string (obrigatório)
propriedades Propriedades da política de firewall. FirewallPolicyPropertiesFormat
Etiquetas Tags de recursos Dicionário de nomes e valores de tags. Consulte Tags em modelos

Tags de Recursos

Designação Descrição Valor

Subrecurso

Designação Descrição Valor
ID ID do recurso. string

Exemplos de início rápido

Os exemplos de início rápido a seguir implantam esse tipo de recurso.

Arquivo Bicep Descrição
Criar um Firewall e uma Política de Firewall com Regras e Ipgroups Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede.
Hubs virtuais seguros Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet.
SharePoint Subscription / 2019 / 2016 totalmente configurado Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...).
Ambiente de teste para o Azure Firewall Premium Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web
Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual.

Definição de recurso de modelo ARM

O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte JSON ao seu modelo.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2023-05-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxy": {
      "enableExplicitProxy": "bool",
      "enablePacFile": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "autoLearnPrivateRanges": "string",
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Valores de propriedade

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Designação Descrição Valor

DnsSettings

Designação Descrição Valor
enableProxy Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. Bool
requireProxyForNetworkRules FQDNs em Regras de Rede são suportados quando definidos como true. Bool
servidores Lista de servidores DNS personalizados. string[]

ExplicitProxy

Designação Descrição Valor
enableExplicitProxy Quando definido como true, o modo de proxy explícito é habilitado. Bool
enablePacFile Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. Bool
Porta http O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
Porta https: O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
pacFile URL SAS para arquivo PAC. string
pacFilePort Número da porta do firewall para servir o arquivo PAC. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000

FirewallPolicyCertificateAuthority

Designação Descrição Valor
keyVaultSecretId ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. string
Designação Nome do certificado da autoridade de certificação. string

FirewallPolicyInsights

Designação Descrição Valor
isEnabled Um sinalizador para indicar se os insights estão habilitados na política. Bool
logAnalyticsRecursos Espaços de trabalho necessários para configurar o Firewall Policy Insights. FirewallPolicyLogAnalyticsResources
dias de retenção Número de dias em que os insights devem ser habilitados na política. Int

FirewallPolíticaIntrusãoDetecção

Designação Descrição Valor
configuração Propriedades de configuração de deteção de intrusão. FirewallPolicyIntrusionDetectionConfiguration
modo Estado geral de deteção de intrusão. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyIntrusionDetectionBypassTrafficEspecificações

Designação Descrição Valor
Descrição Descrição da regra de tráfego de desvio. string
destinationAddresses Lista de endereços IP de destino ou intervalos para esta regra. string[]
destinationIpGroups Lista de IpGroups de destino para esta regra. string[]
destinationPorts Lista de portas ou intervalos de destino. string[]
Designação Nome da regra de tráfego de desvio. string
protocolo O protocolo de desvio de regra. 'QUALQUER'
'ICMP'
'TCP'
'UDP'
sourceAddresses Lista de endereços IP de origem ou intervalos para esta regra. string[]
fonteIpGroups Lista de IpGroups de origem para esta regra. string[]

FirewallPolicyIntrusionDetectionConfiguration

Designação Descrição Valor
bypassTrafficSettings Lista de regras para o tráfego a ser contornado. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
intervalos privados Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade string[]
assinaturaSubstituições Lista de estados de assinaturas específicas. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Designação Descrição Valor
ID ID da assinatura. string
modo O estado da assinatura. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyLogAnalyticsResources

Designação Descrição Valor
defaultWorkspaceId A ID do espaço de trabalho padrão para Insights de Política de Firewall. SubResource
espaços de trabalho Lista de espaços de trabalho para Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Designação Descrição Valor
região Região para configurar o espaço de trabalho. string
workspaceId A ID do espaço de trabalho para Insights de Política de Firewall. SubResource

FirewallPolicyPropertiesFormat

Designação Descrição Valor
basePolicy A política de firewall pai da qual as regras são herdadas. SubResource
dnsConfigurações Definição de configurações de proxy DNS. DnsSettings
explicitProxy Definição explícita de configurações de proxy. ExplicitProxy
Informações Informações sobre a política de firewall. FirewallPolicyInsights
intrusãoDetecção A configuração para deteção de intrusão. FirewallPolicyIntrusionDetection
SKU A SKU da Política de Firewall. FirewallPolicySku
Snat Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. FirewallPolicySnat
SQL Definição de Configurações SQL. FirewallPolicySQL
threatIntelMode O modo de operação para Threat Intelligence. 'Alerta'
'Negar'
'Desligado'
ameaçaIntelWhitelist ThreatIntel Whitelist for Firewall Policy. FirewallPolicyThreatIntelWhitelist
transportesSegurança Definição de configuração TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Designação Descrição Valor
nível Nível da política de firewall. 'Básico'
'Premium'
'Padrão'

FirewallPolicySnat

Designação Descrição Valor
autoLearnPrivateRanges O modo de operação para aprender automaticamente intervalos privados para não ser SNAT 'Desativado'
'Habilitado'
intervalos privados Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. string[]

FirewallPolicySQL

Designação Descrição Valor
allowSqlRedirect Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Designação Descrição Valor
FQDNs Lista de FQDNs para a lista branca ThreatIntel. string[]
Endereços IP Lista de endereços IP para a lista branca ThreatIntel. string[]

FirewallPolíticaTransporteSegurança

Designação Descrição Valor
Autoridade de certificação A AC utilizada para a geração intermédia de AC. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Designação Descrição Valor
tipo O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'Nenhum' removerá todas as identidades da máquina virtual. 'Nenhuma'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Designação Descrição Valor

Microsoft.Network/firewallPolicies

Designação Descrição Valor
apiVersion A versão api '2023-05-01'
identidade A identidade da política de firewall. ManagedServiceIdentity
Localização Localização do recurso. string
Designação O nome do recurso string (obrigatório)
propriedades Propriedades da política de firewall. FirewallPolicyPropertiesFormat
Etiquetas Tags de recursos Dicionário de nomes e valores de tags. Consulte Tags em modelos
tipo O tipo de recurso 'Microsoft.Network/firewallPolicies'

Tags de Recursos

Designação Descrição Valor

Subrecurso

Designação Descrição Valor
ID ID do recurso. string

Modelos de início rápido

Os modelos de início rápido a seguir implantam esse tipo de recurso.

Modelo Descrição
Criar um Firewall e uma Política de Firewall com Regras e Ipgroups

Implantar no Azure
Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede.
Criar um firewall com FirewallPolicy e IpGroups

Implantar no Azure
Este modelo cria um Firewall do Azure com FirewalllPolicy fazendo referência a Regras de Rede com IpGroups. Além disso, inclui uma configuração de vm Linux Jumpbox
Criar um firewall, FirewallPolicy com proxy explícito

Implantar no Azure
Este modelo cria um Firewall do Azure, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração de vm Linux Jumpbox
Criar uma configuração de área restrita com a Diretiva de Firewall

Implantar no Azure
Este modelo cria uma rede virtual com 3 sub-redes (sub-rede do servidor, subet jumpbox e sub-rede AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão
Hubs virtuais seguros

Implantar no Azure
Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet.
SharePoint Subscription / 2019 / 2016 totalmente configurado

Implantar no Azure
Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...).
Ambiente de teste para o Azure Firewall Premium

Implantar no Azure
Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web
Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke

Implantar no Azure
Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual.

Definição de recursos Terraform (provedor AzAPI)

O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:

  • Grupos de recursos

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Terraform ao seu modelo.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2023-05-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxy = {
        enableExplicitProxy = bool
        enablePacFile = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        autoLearnPrivateRanges = "string"
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
}

Valores de propriedade

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Designação Descrição Valor

DnsSettings

Designação Descrição Valor
enableProxy Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. Bool
requireProxyForNetworkRules FQDNs em Regras de Rede são suportados quando definidos como true. Bool
servidores Lista de servidores DNS personalizados. string[]

ExplicitProxy

Designação Descrição Valor
enableExplicitProxy Quando definido como true, o modo de proxy explícito é habilitado. Bool
enablePacFile Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. Bool
Porta http O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
Porta https: O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
pacFile URL SAS para arquivo PAC. string
pacFilePort Número da porta do firewall para servir o arquivo PAC. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000

FirewallPolicyCertificateAuthority

Designação Descrição Valor
keyVaultSecretId ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. string
Designação Nome do certificado da autoridade de certificação. string

FirewallPolicyInsights

Designação Descrição Valor
isEnabled Um sinalizador para indicar se os insights estão habilitados na política. Bool
logAnalyticsRecursos Espaços de trabalho necessários para configurar o Firewall Policy Insights. FirewallPolicyLogAnalyticsResources
dias de retenção Número de dias em que os insights devem ser habilitados na política. Int

FirewallPolíticaIntrusãoDetecção

Designação Descrição Valor
configuração Propriedades de configuração de deteção de intrusão. FirewallPolicyIntrusionDetectionConfiguration
modo Estado geral de deteção de intrusão. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyIntrusionDetectionBypassTrafficEspecificações

Designação Descrição Valor
Descrição Descrição da regra de tráfego de desvio. string
destinationAddresses Lista de endereços IP de destino ou intervalos para esta regra. string[]
destinationIpGroups Lista de IpGroups de destino para esta regra. string[]
destinationPorts Lista de portas ou intervalos de destino. string[]
Designação Nome da regra de tráfego de desvio. string
protocolo O protocolo de desvio de regra. 'QUALQUER'
'ICMP'
'TCP'
'UDP'
sourceAddresses Lista de endereços IP de origem ou intervalos para esta regra. string[]
fonteIpGroups Lista de IpGroups de origem para esta regra. string[]

FirewallPolicyIntrusionDetectionConfiguration

Designação Descrição Valor
bypassTrafficSettings Lista de regras para o tráfego a ser contornado. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
intervalos privados Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade string[]
assinaturaSubstituições Lista de estados de assinaturas específicas. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Designação Descrição Valor
ID ID da assinatura. string
modo O estado da assinatura. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyLogAnalyticsResources

Designação Descrição Valor
defaultWorkspaceId A ID do espaço de trabalho padrão para Insights de Política de Firewall. SubResource
espaços de trabalho Lista de espaços de trabalho para Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Designação Descrição Valor
região Região para configurar o espaço de trabalho. string
workspaceId A ID do espaço de trabalho para Insights de Política de Firewall. SubResource

FirewallPolicyPropertiesFormat

Designação Descrição Valor
basePolicy A política de firewall pai da qual as regras são herdadas. SubResource
dnsConfigurações Definição de configurações de proxy DNS. DnsSettings
explicitProxy Definição explícita de configurações de proxy. ExplicitProxy
Informações Informações sobre a política de firewall. FirewallPolicyInsights
intrusãoDetecção A configuração para deteção de intrusão. FirewallPolicyIntrusionDetection
SKU A SKU da Política de Firewall. FirewallPolicySku
Snat Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. FirewallPolicySnat
SQL Definição de Configurações SQL. FirewallPolicySQL
threatIntelMode O modo de operação para Threat Intelligence. 'Alerta'
'Negar'
'Desligado'
ameaçaIntelWhitelist ThreatIntel Whitelist for Firewall Policy. FirewallPolicyThreatIntelWhitelist
transportesSegurança Definição de configuração TLS. FirewallPolicyTransportSecurity

FirewallPolicySku

Designação Descrição Valor
nível Nível da política de firewall. 'Básico'
'Premium'
'Padrão'

FirewallPolicySnat

Designação Descrição Valor
autoLearnPrivateRanges O modo de operação para aprender automaticamente intervalos privados para não ser SNAT 'Desativado'
'Habilitado'
intervalos privados Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. string[]

FirewallPolicySQL

Designação Descrição Valor
allowSqlRedirect Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Designação Descrição Valor
FQDNs Lista de FQDNs para a lista branca ThreatIntel. string[]
Endereços IP Lista de endereços IP para a lista branca ThreatIntel. string[]

FirewallPolíticaTransporteSegurança

Designação Descrição Valor
Autoridade de certificação A AC utilizada para a geração intermédia de AC. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Designação Descrição Valor
tipo O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'Nenhum' removerá todas as identidades da máquina virtual. 'Nenhuma'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Designação Descrição Valor

Microsoft.Network/firewallPolicies

Designação Descrição Valor
identidade A identidade da política de firewall. ManagedServiceIdentity
Localização Localização do recurso. string
Designação O nome do recurso string (obrigatório)
propriedades Propriedades da política de firewall. FirewallPolicyPropertiesFormat
Etiquetas Tags de recursos Dicionário de nomes e valores de tags.
tipo O tipo de recurso "Microsoft.Network/firewallPolicies@2023-05-01"

Tags de Recursos

Designação Descrição Valor

Subrecurso

Designação Descrição Valor
ID ID do recurso. string