Microsoft.Network firewallPolicies
- Últimas
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Definição de recursos do bíceps
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos - Consulte comandos de implantação de grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.Network/firewallPolicies@2024-05-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Designação | Descrição | Valor |
---|
DnsSettings
Designação | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. | Bool |
requireProxyForNetworkRules | FQDNs em Regras de Rede são suportados quando definidos como true. | Bool |
servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Designação | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo de proxy explícito é habilitado. | Bool |
enablePacFile | Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. | Bool |
Porta http | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
Porta https: | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para arquivo PAC. | string |
pacFilePort | Número da porta do firewall para servir o arquivo PAC. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
Designação | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. | string |
Designação | Nome do certificado da autoridade de certificação. | string |
FirewallPolicyInsights
Designação | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
logAnalyticsRecursos | Espaços de trabalho necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
dias de retenção | Número de dias em que os insights devem ser habilitados na política. | Int |
FirewallPolíticaIntrusãoDetecção
Designação | Descrição | Valor |
---|---|---|
configuração | Propriedades de configuração de deteção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
modo | Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | 'Alerta' 'Negar' 'Desligado' |
perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | 'Avançado' 'Básico' 'Prorrogado' 'Padrão' |
FirewallPolicyIntrusionDetectionBypassTrafficEspecificações
Designação | Descrição | Valor |
---|---|---|
Descrição | Descrição da regra de tráfego de desvio. | string |
destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para esta regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
Designação | Nome da regra de tráfego de desvio. | string |
protocolo | O protocolo de desvio de regra. | 'QUALQUER' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | string[] |
fonteIpGroups | Lista de IpGroups de origem para esta regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Designação | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego a ser contornado. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
intervalos privados | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade | string[] |
assinaturaSubstituições | Lista de estados de assinaturas específicas. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Designação | Descrição | Valor |
---|---|---|
ID | ID da assinatura. | string |
modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicyLogAnalyticsResources
Designação | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do espaço de trabalho padrão para Insights de Política de Firewall. | SubResource |
espaços de trabalho | Lista de espaços de trabalho para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Designação | Descrição | Valor |
---|---|---|
região | Região para configurar o espaço de trabalho. | string |
workspaceId | A ID do espaço de trabalho para Insights de Política de Firewall. | SubResource |
FirewallPolicyPropertiesFormat
Designação | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
dnsConfigurações | Definição de configurações de proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de configurações de proxy. | ExplicitProxy |
Informações | Informações sobre a política de firewall. | FirewallPolicyInsights |
intrusãoDetecção | A configuração para deteção de intrusão. | FirewallPolicyIntrusionDetection |
SKU | A SKU da Política de Firewall. | FirewallPolicySku |
Snat | Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
SQL | Definição de Configurações SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação para Threat Intelligence. | 'Alerta' 'Negar' 'Desligado' |
ameaçaIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportesSegurança | Definição de configuração TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Designação | Descrição | Valor |
---|---|---|
nível | Nível da política de firewall. | 'Básico' 'Premium' 'Padrão' |
FirewallPolicySnat
Designação | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente intervalos privados para não ser SNAT | 'Desativado' 'Habilitado' |
intervalos privados | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Designação | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Designação | Descrição | Valor |
---|---|---|
FQDNs | Lista de FQDNs para a lista branca ThreatIntel. | string[] |
Endereços IP | Lista de endereços IP para a lista branca ThreatIntel. | string[] |
FirewallPolíticaTransporteSegurança
Designação | Descrição | Valor |
---|---|---|
Autoridade de certificação | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
ManagedServiceIdentityUserAssignedIdentities
Designação | Descrição | Valor |
---|
Microsoft.Network/firewallPolicies
Designação | Descrição | Valor |
---|---|---|
identidade | A identidade da política de firewall. | ManagedServiceIdentity |
Localização | Localização do recurso. | string |
Designação | O nome do recurso | string (obrigatório) |
propriedades | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
Etiquetas | Tags de recursos | Dicionário de nomes e valores de tags. Consulte Tags em modelos |
Tags de Recursos
Designação | Descrição | Valor |
---|
Subrecurso
Designação | Descrição | Valor |
---|---|---|
ID | ID do recurso. | string |
Exemplos de início rápido
Os exemplos de início rápido a seguir implantam esse tipo de recurso.
Arquivo Bicep | Descrição |
---|---|
Criar um Firewall e uma Política de Firewall com Regras e Ipgroups | Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede. |
Hubs virtuais seguros | Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet. |
SharePoint Subscription / 2019 / 2016 totalmente configurado | Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...). |
Ambiente de teste para o Azure Firewall Premium | Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web |
Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke | Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
Definição de recurso de modelo ARM
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos - Consulte comandos de implantação de grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte JSON ao seu modelo.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2024-05-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Designação | Descrição | Valor |
---|
DnsSettings
Designação | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. | Bool |
requireProxyForNetworkRules | FQDNs em Regras de Rede são suportados quando definidos como true. | Bool |
servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Designação | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo de proxy explícito é habilitado. | Bool |
enablePacFile | Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. | Bool |
Porta http | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
Porta https: | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para arquivo PAC. | string |
pacFilePort | Número da porta do firewall para servir o arquivo PAC. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
Designação | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. | string |
Designação | Nome do certificado da autoridade de certificação. | string |
FirewallPolicyInsights
Designação | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
logAnalyticsRecursos | Espaços de trabalho necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
dias de retenção | Número de dias em que os insights devem ser habilitados na política. | Int |
FirewallPolíticaIntrusãoDetecção
Designação | Descrição | Valor |
---|---|---|
configuração | Propriedades de configuração de deteção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
modo | Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | 'Alerta' 'Negar' 'Desligado' |
perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | 'Avançado' 'Básico' 'Prorrogado' 'Padrão' |
FirewallPolicyIntrusionDetectionBypassTrafficEspecificações
Designação | Descrição | Valor |
---|---|---|
Descrição | Descrição da regra de tráfego de desvio. | string |
destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para esta regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
Designação | Nome da regra de tráfego de desvio. | string |
protocolo | O protocolo de desvio de regra. | 'QUALQUER' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | string[] |
fonteIpGroups | Lista de IpGroups de origem para esta regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Designação | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego a ser contornado. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
intervalos privados | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade | string[] |
assinaturaSubstituições | Lista de estados de assinaturas específicas. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Designação | Descrição | Valor |
---|---|---|
ID | ID da assinatura. | string |
modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicyLogAnalyticsResources
Designação | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do espaço de trabalho padrão para Insights de Política de Firewall. | SubResource |
espaços de trabalho | Lista de espaços de trabalho para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Designação | Descrição | Valor |
---|---|---|
região | Região para configurar o espaço de trabalho. | string |
workspaceId | A ID do espaço de trabalho para Insights de Política de Firewall. | SubResource |
FirewallPolicyPropertiesFormat
Designação | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
dnsConfigurações | Definição de configurações de proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de configurações de proxy. | ExplicitProxy |
Informações | Informações sobre a política de firewall. | FirewallPolicyInsights |
intrusãoDetecção | A configuração para deteção de intrusão. | FirewallPolicyIntrusionDetection |
SKU | A SKU da Política de Firewall. | FirewallPolicySku |
Snat | Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
SQL | Definição de Configurações SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação para Threat Intelligence. | 'Alerta' 'Negar' 'Desligado' |
ameaçaIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportesSegurança | Definição de configuração TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Designação | Descrição | Valor |
---|---|---|
nível | Nível da política de firewall. | 'Básico' 'Premium' 'Padrão' |
FirewallPolicySnat
Designação | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente intervalos privados para não ser SNAT | 'Desativado' 'Habilitado' |
intervalos privados | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Designação | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Designação | Descrição | Valor |
---|---|---|
FQDNs | Lista de FQDNs para a lista branca ThreatIntel. | string[] |
Endereços IP | Lista de endereços IP para a lista branca ThreatIntel. | string[] |
FirewallPolíticaTransporteSegurança
Designação | Descrição | Valor |
---|---|---|
Autoridade de certificação | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
ManagedServiceIdentityUserAssignedIdentities
Designação | Descrição | Valor |
---|
Microsoft.Network/firewallPolicies
Designação | Descrição | Valor |
---|---|---|
apiVersion | A versão api | '2024-05-01' |
identidade | A identidade da política de firewall. | ManagedServiceIdentity |
Localização | Localização do recurso. | string |
Designação | O nome do recurso | string (obrigatório) |
propriedades | Propriedades da política de firewall. | FirewallPolicyPropertiesFormat |
Etiquetas | Tags de recursos | Dicionário de nomes e valores de tags. Consulte Tags em modelos |
tipo | O tipo de recurso | 'Microsoft.Network/firewallPolicies' |
Tags de Recursos
Designação | Descrição | Valor |
---|
Subrecurso
Designação | Descrição | Valor |
---|---|---|
ID | ID do recurso. | string |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
Modelo | Descrição |
---|---|
Criar um Firewall e uma Política de Firewall com Regras e Ipgroups |
Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede. |
Criar um firewall com FirewallPolicy e IpGroups |
Este modelo cria um Firewall do Azure com FirewalllPolicy fazendo referência a Regras de Rede com IpGroups. Além disso, inclui uma configuração de vm Linux Jumpbox |
Criar um firewall, FirewallPolicy com proxy explícito |
Este modelo cria um Firewall do Azure, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração de vm Linux Jumpbox |
Criar uma configuração de área restrita com a Diretiva de Firewall |
Este modelo cria uma rede virtual com 3 sub-redes (sub-rede do servidor, subet jumpbox e sub-rede AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão |
Hubs virtuais seguros |
Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet. |
SharePoint Subscription / 2019 / 2016 totalmente configurado |
Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...). |
Ambiente de teste para o Azure Firewall Premium |
Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web |
Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke |
Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
Definição de recursos Terraform (provedor AzAPI)
O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:
- Grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Terraform ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2024-05-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Valores de propriedade
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
Designação | Descrição | Valor |
---|
DnsSettings
Designação | Descrição | Valor |
---|---|---|
enableProxy | Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. | Bool |
requireProxyForNetworkRules | FQDNs em Regras de Rede são suportados quando definidos como true. | Bool |
servidores | Lista de servidores DNS personalizados. | string[] |
ExplicitProxy
Designação | Descrição | Valor |
---|---|---|
enableExplicitProxy | Quando definido como true, o modo de proxy explícito é habilitado. | Bool |
enablePacFile | Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. | Bool |
Porta http | O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
Porta https: | O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
pacFile | URL SAS para arquivo PAC. | string |
pacFilePort | Número da porta do firewall para servir o arquivo PAC. | Int Restrições: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
Designação | Descrição | Valor |
---|---|---|
keyVaultSecretId | ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. | string |
Designação | Nome do certificado da autoridade de certificação. | string |
FirewallPolicyInsights
Designação | Descrição | Valor |
---|---|---|
isEnabled | Um sinalizador para indicar se os insights estão habilitados na política. | Bool |
logAnalyticsRecursos | Espaços de trabalho necessários para configurar o Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
dias de retenção | Número de dias em que os insights devem ser habilitados na política. | Int |
FirewallPolíticaIntrusãoDetecção
Designação | Descrição | Valor |
---|---|---|
configuração | Propriedades de configuração de deteção de intrusão. | FirewallPolicyIntrusionDetectionConfiguration |
modo | Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. | 'Alerta' 'Negar' 'Desligado' |
perfil | Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. | 'Avançado' 'Básico' 'Prorrogado' 'Padrão' |
FirewallPolicyIntrusionDetectionBypassTrafficEspecificações
Designação | Descrição | Valor |
---|---|---|
Descrição | Descrição da regra de tráfego de desvio. | string |
destinationAddresses | Lista de endereços IP de destino ou intervalos para esta regra. | string[] |
destinationIpGroups | Lista de IpGroups de destino para esta regra. | string[] |
destinationPorts | Lista de portas ou intervalos de destino. | string[] |
Designação | Nome da regra de tráfego de desvio. | string |
protocolo | O protocolo de desvio de regra. | 'QUALQUER' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | Lista de endereços IP de origem ou intervalos para esta regra. | string[] |
fonteIpGroups | Lista de IpGroups de origem para esta regra. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
Designação | Descrição | Valor |
---|---|---|
bypassTrafficSettings | Lista de regras para o tráfego a ser contornado. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
intervalos privados | Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade | string[] |
assinaturaSubstituições | Lista de estados de assinaturas específicas. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
Designação | Descrição | Valor |
---|---|---|
ID | ID da assinatura. | string |
modo | O estado da assinatura. | 'Alerta' 'Negar' 'Desligado' |
FirewallPolicyLogAnalyticsResources
Designação | Descrição | Valor |
---|---|---|
defaultWorkspaceId | A ID do espaço de trabalho padrão para Insights de Política de Firewall. | SubResource |
espaços de trabalho | Lista de espaços de trabalho para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
Designação | Descrição | Valor |
---|---|---|
região | Região para configurar o espaço de trabalho. | string |
workspaceId | A ID do espaço de trabalho para Insights de Política de Firewall. | SubResource |
FirewallPolicyPropertiesFormat
Designação | Descrição | Valor |
---|---|---|
basePolicy | A política de firewall pai da qual as regras são herdadas. | SubResource |
dnsConfigurações | Definição de configurações de proxy DNS. | DnsSettings |
explicitProxy | Definição explícita de configurações de proxy. | ExplicitProxy |
Informações | Informações sobre a política de firewall. | FirewallPolicyInsights |
intrusãoDetecção | A configuração para deteção de intrusão. | FirewallPolicyIntrusionDetection |
SKU | A SKU da Política de Firewall. | FirewallPolicySku |
Snat | Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. | FirewallPolicySnat |
SQL | Definição de Configurações SQL. | FirewallPolicySQL |
threatIntelMode | O modo de operação para Threat Intelligence. | 'Alerta' 'Negar' 'Desligado' |
ameaçaIntelWhitelist | ThreatIntel Whitelist for Firewall Policy. | FirewallPolicyThreatIntelWhitelist |
transportesSegurança | Definição de configuração TLS. | FirewallPolicyTransportSecurity |
FirewallPolicySku
Designação | Descrição | Valor |
---|---|---|
nível | Nível da política de firewall. | 'Básico' 'Premium' 'Padrão' |
FirewallPolicySnat
Designação | Descrição | Valor |
---|---|---|
autoLearnPrivateRanges | O modo de operação para aprender automaticamente intervalos privados para não ser SNAT | 'Desativado' 'Habilitado' |
intervalos privados | Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. | string[] |
FirewallPolicySQL
Designação | Descrição | Valor |
---|---|---|
allowSqlRedirect | Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. | Bool |
FirewallPolicyThreatIntelWhitelist
Designação | Descrição | Valor |
---|---|---|
FQDNs | Lista de FQDNs para a lista branca ThreatIntel. | string[] |
Endereços IP | Lista de endereços IP para a lista branca ThreatIntel. | string[] |
FirewallPolíticaTransporteSegurança
Designação | Descrição | Valor |
---|---|---|
Autoridade de certificação | A AC utilizada para a geração intermédia de AC. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
ManagedServiceIdentityUserAssignedIdentities
Designação | Descrição | Valor |
---|
Microsoft.Network/firewallPolicies
Tags de Recursos
Designação | Descrição | Valor |
---|
Subrecurso
Designação | Descrição | Valor |
---|---|---|
ID | ID do recurso. | string |