Microsoft.Network firewallPolicies

Bicep-Ressourcendefinition

Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie ihrer Vorlage die folgende Bicep hinzu.

resource symbolicname 'Microsoft.Network/firewallPolicies@2024-03-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
      profile: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Eigenschaftswerte

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Name Beschreibung Wert

DnsSettings

Name Beschreibung Wert
enableProxy Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. Bool
requireProxyForNetworkRules FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. Bool
Diener Liste der benutzerdefinierten DNS-Server. string[]

ExplicitProxy

Name Beschreibung Wert
enableExplicitProxy Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. Bool
enablePacFile Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. Bool
httpPort Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000
httpsPort Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000
pacFile SAS-URL für PAC-Datei. Schnur
pacFilePort Portnummer für firewall to serve PAC file. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000

FirewallPolicyCertificateAuthority

Name Beschreibung Wert
keyVaultSecretId Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. Schnur
Name Name des Zertifizierungsstellenzertifikats. Schnur

FirewallPolicyInsights

Name Beschreibung Wert
isEnabled Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. Bool
logAnalyticsResources Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. FirewallPolicyLogAnalyticsResources-
retentionDays Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. Int

FirewallPolicyIntrusionDetection

Name Beschreibung Wert
Konfiguration Eigenschaften der Angriffserkennungskonfiguration. FirewallPolicyIntrusionDetectionConfiguration
Modus Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. "Warnung"
"Ablehnen"
'Aus'
Profil IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. "Erweitert"
"Einfach"
"Erweitert"
"Standard"

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Name Beschreibung Wert
Beschreibung Beschreibung der Umgehungs-Datenverkehrsregel. Schnur
destinationAddresses Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. string[]
destinationIpGroups Liste der Ziel-IpGroups für diese Regel. string[]
destinationPorts Liste der Zielports oder -bereiche. string[]
Name Name der Umgehungs-Datenverkehrsregel. Schnur
Protokoll Das Regelumgehungsprotokoll. "ANY"
"ICMP"
"TCP"
"UDP"
sourceAddresses Liste der Quell-IP-Adressen oder Bereiche für diese Regel. string[]
sourceIpGroups Liste der Quell-IpGroups für diese Regel. string[]

FirewallPolicyIntrusionDetectionConfiguration

Name Beschreibung Wert
bypassTrafficSettings Liste der Regeln für die Umgehung von Datenverkehr. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an string[]
signatureOverrides Liste bestimmter Signaturenzustände. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Name Beschreibung Wert
id Signatur-ID. Schnur
Modus Der Signaturstatus. "Warnung"
"Ablehnen"
'Aus'

FirewallPolicyLogAnalyticsResources

Name Beschreibung Wert
defaultWorkspaceId Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. SubResource-
Arbeitsbereiche Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Name Beschreibung Wert
Region Region zum Konfigurieren des Arbeitsbereichs. Schnur
workspaceId Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. SubResource-

FirewallPolicyPropertiesFormat

Name Beschreibung Wert
basePolicy Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. SubResource-
dnsSettings DNS-Proxyeinstellungendefinition. DnsSettings-
explicitProxy Definition expliziter Proxyeinstellungen. ExplicitProxy-
Einblicke Einblicke in die Firewallrichtlinie. FirewallPolicyInsights-
IntrusionDetection Die Konfiguration für die Angriffserkennung. FirewallPolicyIntrusionDetection-
Sku Die Firewallrichtlinien-SKU. FirewallPolicySku-
snat Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. FirewallPolicySnat-
SQL SQL-Einstellungsdefinition. FirewallPolicySQL-
threatIntelMode Der Vorgangsmodus für Threat Intelligence. "Warnung"
"Ablehnen"
'Aus'
threatIntelWhitelist ThreatIntel Whitelist für Firewallrichtlinien. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-Konfigurationsdefinition. FirewallPolicyTransportSecurity

FirewallPolicySku

Name Beschreibung Wert
Rang Ebene der Firewallrichtlinie. "Einfach"
"Premium"
"Standard"

FirewallPolicySnat

Name Beschreibung Wert
autoLearnPrivateRanges Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein "Deaktiviert"
"Aktiviert"
privateRanges Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. string[]

FirewallPolicySQL

Name Beschreibung Wert
allowSqlRedirect Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Name Beschreibung Wert
fqdns Liste der FQDNs für die Whitelist "ThreatIntel". string[]
ipAddresses Liste der IP-Adressen für die ThreatIntel Whitelist. string[]

FirewallPolicyTransportSecurity

Name Beschreibung Wert
certificateAuthority Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. FirewallPolicyCertificateAuthority-

ManagedServiceIdentity

Name Beschreibung Wert
Art Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. 'None'
'SystemAssigned'
"SystemAssigned, UserAssigned"
"UserAssigned"
userAssignedIdentities Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". ManagedServiceIdentityUserAssignedIdentities-

ManagedServiceIdentityUserAssignedIdentities

Name Beschreibung Wert

Microsoft.Network/firewallPolicies

Name Beschreibung Wert
Identität Die Identität der Firewallrichtlinie. ManagedServiceIdentity-
Ort Ressourcenspeicherort. Schnur
Name Der Ressourcenname Zeichenfolge (erforderlich)
Eigenschaften Eigenschaften der Firewallrichtlinie. FirewallPolicyPropertiesFormat-
Schilder Ressourcentags Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen

ResourceTags

Name Beschreibung Wert

Unterressource

Name Beschreibung Wert
id Ressourcen-ID. Schnur

Schnellstartbeispiele

Die folgenden Schnellstartbeispiele stellen diesen Ressourcentyp bereit.

Bicep-Datei Beschreibung
Erstellen einer Firewall und FirewallPolicy mit Regeln und Ipgroups Diese Vorlage stellt eine Azure-Firewall mit Firewallrichtlinie (einschließlich mehrerer Anwendungs- und Netzwerkregeln) bereit, die auf IP-Gruppen in Anwendungs- und Netzwerkregeln verweisen.
Gesicherte virtuelle Hubs Diese Vorlage erstellt einen gesicherten virtuellen Hub mithilfe der Azure-Firewall, um Ihren Cloudnetzwerkdatenverkehr zu sichern, der an das Internet bestimmt ist.
SharePoint-Abonnement / 2019 / 2016 vollständig konfiguriert Erstellen Sie einen DC, einen SQL Server 2022 und von 1 bis 5 Servern, die ein SharePoint-Abonnement /2019/2016-Farm hosten, mit einer umfangreichen Konfiguration, einschließlich vertrauenswürdiger Authentifizierung, Benutzerprofile mit persönlichen Websites, einer OAuth-Vertrauensstellung (mithilfe eines Zertifikats), einer dedizierten IIS-Website zum Hosten besonders vertrauenswürdiger Add-Ins usw. Die neueste Version von Schlüsselsoftware (einschließlich Fiddler, vscode, np++, 7zip, ULS Viewer) wird installiert. SharePoint-Computer verfügen über zusätzliche Feinabstimmungen, um sie sofort nutzbar zu machen (Remoteverwaltungstools, benutzerdefinierte Richtlinien für Edge und Chrome, Tastenkombinationen usw.).
Testumgebung für Azure Firewall Premium Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung
Verwenden der Azure Firewall als DNS-Proxy in einer Hub-& Speichentopologie In diesem Beispiel wird gezeigt, wie Sie eine Hub-Spoke-Topologie in Azure mithilfe der Azure-Firewall bereitstellen. Das virtuelle Hubnetzwerk fungiert als zentraler Punkt der Konnektivität mit vielen speichen virtuellen Netzwerken, die über virtuelles Peering mit dem virtuellen Hubnetzwerk verbunden sind.

ARM-Vorlagenressourcendefinition

Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2024-03-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxy": {
      "enableExplicitProxy": "bool",
      "enablePacFile": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string",
      "profile": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "autoLearnPrivateRanges": "string",
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Eigenschaftswerte

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Name Beschreibung Wert

DnsSettings

Name Beschreibung Wert
enableProxy Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. Bool
requireProxyForNetworkRules FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. Bool
Diener Liste der benutzerdefinierten DNS-Server. string[]

ExplicitProxy

Name Beschreibung Wert
enableExplicitProxy Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. Bool
enablePacFile Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. Bool
httpPort Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000
httpsPort Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000
pacFile SAS-URL für PAC-Datei. Schnur
pacFilePort Portnummer für firewall to serve PAC file. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000

FirewallPolicyCertificateAuthority

Name Beschreibung Wert
keyVaultSecretId Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. Schnur
Name Name des Zertifizierungsstellenzertifikats. Schnur

FirewallPolicyInsights

Name Beschreibung Wert
isEnabled Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. Bool
logAnalyticsResources Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. FirewallPolicyLogAnalyticsResources-
retentionDays Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. Int

FirewallPolicyIntrusionDetection

Name Beschreibung Wert
Konfiguration Eigenschaften der Angriffserkennungskonfiguration. FirewallPolicyIntrusionDetectionConfiguration
Modus Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. "Warnung"
"Ablehnen"
'Aus'
Profil IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. "Erweitert"
"Einfach"
"Erweitert"
"Standard"

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Name Beschreibung Wert
Beschreibung Beschreibung der Umgehungs-Datenverkehrsregel. Schnur
destinationAddresses Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. string[]
destinationIpGroups Liste der Ziel-IpGroups für diese Regel. string[]
destinationPorts Liste der Zielports oder -bereiche. string[]
Name Name der Umgehungs-Datenverkehrsregel. Schnur
Protokoll Das Regelumgehungsprotokoll. "ANY"
"ICMP"
"TCP"
"UDP"
sourceAddresses Liste der Quell-IP-Adressen oder Bereiche für diese Regel. string[]
sourceIpGroups Liste der Quell-IpGroups für diese Regel. string[]

FirewallPolicyIntrusionDetectionConfiguration

Name Beschreibung Wert
bypassTrafficSettings Liste der Regeln für die Umgehung von Datenverkehr. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an string[]
signatureOverrides Liste bestimmter Signaturenzustände. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Name Beschreibung Wert
id Signatur-ID. Schnur
Modus Der Signaturstatus. "Warnung"
"Ablehnen"
'Aus'

FirewallPolicyLogAnalyticsResources

Name Beschreibung Wert
defaultWorkspaceId Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. SubResource-
Arbeitsbereiche Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Name Beschreibung Wert
Region Region zum Konfigurieren des Arbeitsbereichs. Schnur
workspaceId Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. SubResource-

FirewallPolicyPropertiesFormat

Name Beschreibung Wert
basePolicy Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. SubResource-
dnsSettings DNS-Proxyeinstellungendefinition. DnsSettings-
explicitProxy Definition expliziter Proxyeinstellungen. ExplicitProxy-
Einblicke Einblicke in die Firewallrichtlinie. FirewallPolicyInsights-
IntrusionDetection Die Konfiguration für die Angriffserkennung. FirewallPolicyIntrusionDetection-
Sku Die Firewallrichtlinien-SKU. FirewallPolicySku-
snat Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. FirewallPolicySnat-
SQL SQL-Einstellungsdefinition. FirewallPolicySQL-
threatIntelMode Der Vorgangsmodus für Threat Intelligence. "Warnung"
"Ablehnen"
'Aus'
threatIntelWhitelist ThreatIntel Whitelist für Firewallrichtlinien. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-Konfigurationsdefinition. FirewallPolicyTransportSecurity

FirewallPolicySku

Name Beschreibung Wert
Rang Ebene der Firewallrichtlinie. "Einfach"
"Premium"
"Standard"

FirewallPolicySnat

Name Beschreibung Wert
autoLearnPrivateRanges Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein "Deaktiviert"
"Aktiviert"
privateRanges Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. string[]

FirewallPolicySQL

Name Beschreibung Wert
allowSqlRedirect Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Name Beschreibung Wert
fqdns Liste der FQDNs für die Whitelist "ThreatIntel". string[]
ipAddresses Liste der IP-Adressen für die ThreatIntel Whitelist. string[]

FirewallPolicyTransportSecurity

Name Beschreibung Wert
certificateAuthority Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. FirewallPolicyCertificateAuthority-

ManagedServiceIdentity

Name Beschreibung Wert
Art Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. 'None'
'SystemAssigned'
"SystemAssigned, UserAssigned"
"UserAssigned"
userAssignedIdentities Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". ManagedServiceIdentityUserAssignedIdentities-

ManagedServiceIdentityUserAssignedIdentities

Name Beschreibung Wert

Microsoft.Network/firewallPolicies

Name Beschreibung Wert
apiVersion Die API-Version '2024-03-01'
Identität Die Identität der Firewallrichtlinie. ManagedServiceIdentity-
Ort Ressourcenspeicherort. Schnur
Name Der Ressourcenname Zeichenfolge (erforderlich)
Eigenschaften Eigenschaften der Firewallrichtlinie. FirewallPolicyPropertiesFormat-
Schilder Ressourcentags Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen
Art Der Ressourcentyp 'Microsoft.Network/firewallPolicies'

ResourceTags

Name Beschreibung Wert

Unterressource

Name Beschreibung Wert
id Ressourcen-ID. Schnur

Schnellstartvorlagen

Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.

Schablone Beschreibung
Erstellen einer Firewall und FirewallPolicy mit Regeln und Ipgroups

Bereitstellen in Azure
Diese Vorlage stellt eine Azure-Firewall mit Firewallrichtlinie (einschließlich mehrerer Anwendungs- und Netzwerkregeln) bereit, die auf IP-Gruppen in Anwendungs- und Netzwerkregeln verweisen.
Erstellen einer Firewall mit FirewallPolicy- und IpGroups-

Bereitstellen in Azure
Diese Vorlage erstellt eine Azure-Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält außerdem ein Linux-Jumpbox-VM-Setup
Erstellen einer Firewall, FirewallPolicy mit explizitem Proxy-

Bereitstellen in Azure
Diese Vorlage erstellt eine Azure Firewall, FirewalllPolicy mit expliziten Proxy- und Netzwerkregeln mit IpGroups. Enthält außerdem ein Linux-Jumpbox-VM-Setup
Erstellen eines Sandkastensetups mit Firewallrichtlinien-

Bereitstellen in Azure
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Server-Subnetz, Jumpbox-Subet und AzureFirewall-Subnetz), einer Jumpbox-VM mit öffentlicher IP, einer Server-VM, UDR-Route, die auf Azure Firewall für das Server-Subnetz und eine Azure-Firewall mit 1 oder mehr öffentlichen IP-Adressen verweist. Erstellt außerdem eine Firewallrichtlinie mit einer Beispielanwendungsregel, einer Beispiel-Netzwerkregel und standardmäßigen privaten Bereichen
Gesicherte virtuelle Hubs

Bereitstellen in Azure
Diese Vorlage erstellt einen gesicherten virtuellen Hub mithilfe der Azure-Firewall, um Ihren Cloudnetzwerkdatenverkehr zu sichern, der an das Internet bestimmt ist.
SharePoint-Abonnement / 2019 / 2016 vollständig konfiguriert

Bereitstellen in Azure
Erstellen Sie einen DC, einen SQL Server 2022 und von 1 bis 5 Servern, die ein SharePoint-Abonnement /2019/2016-Farm hosten, mit einer umfangreichen Konfiguration, einschließlich vertrauenswürdiger Authentifizierung, Benutzerprofile mit persönlichen Websites, einer OAuth-Vertrauensstellung (mithilfe eines Zertifikats), einer dedizierten IIS-Website zum Hosten besonders vertrauenswürdiger Add-Ins usw. Die neueste Version von Schlüsselsoftware (einschließlich Fiddler, vscode, np++, 7zip, ULS Viewer) wird installiert. SharePoint-Computer verfügen über zusätzliche Feinabstimmungen, um sie sofort nutzbar zu machen (Remoteverwaltungstools, benutzerdefinierte Richtlinien für Edge und Chrome, Tastenkombinationen usw.).
Testumgebung für Azure Firewall Premium

Bereitstellen in Azure
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung
Verwenden der Azure Firewall als DNS-Proxy in einer Hub-& Speichentopologie

Bereitstellen in Azure
In diesem Beispiel wird gezeigt, wie Sie eine Hub-Spoke-Topologie in Azure mithilfe der Azure-Firewall bereitstellen. Das virtuelle Hubnetzwerk fungiert als zentraler Punkt der Konnektivität mit vielen speichen virtuellen Netzwerken, die über virtuelles Peering mit dem virtuellen Hubnetzwerk verbunden sind.

Terraform -Ressourcendefinition (AzAPI-Anbieter)

Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

  • Ressourcengruppen

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2024-03-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxy = {
        enableExplicitProxy = bool
        enablePacFile = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
        profile = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        autoLearnPrivateRanges = "string"
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
  tags = {
    {customized property} = "string"
  }
}

Eigenschaftswerte

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Name Beschreibung Wert

DnsSettings

Name Beschreibung Wert
enableProxy Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. Bool
requireProxyForNetworkRules FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. Bool
Diener Liste der benutzerdefinierten DNS-Server. string[]

ExplicitProxy

Name Beschreibung Wert
enableExplicitProxy Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. Bool
enablePacFile Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. Bool
httpPort Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000
httpsPort Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000
pacFile SAS-URL für PAC-Datei. Schnur
pacFilePort Portnummer für firewall to serve PAC file. Int

Zwänge:
Min.-Wert = 0
Maximalwert = 64000

FirewallPolicyCertificateAuthority

Name Beschreibung Wert
keyVaultSecretId Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. Schnur
Name Name des Zertifizierungsstellenzertifikats. Schnur

FirewallPolicyInsights

Name Beschreibung Wert
isEnabled Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. Bool
logAnalyticsResources Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. FirewallPolicyLogAnalyticsResources-
retentionDays Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. Int

FirewallPolicyIntrusionDetection

Name Beschreibung Wert
Konfiguration Eigenschaften der Angriffserkennungskonfiguration. FirewallPolicyIntrusionDetectionConfiguration
Modus Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. "Warnung"
"Ablehnen"
'Aus'
Profil IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. "Erweitert"
"Einfach"
"Erweitert"
"Standard"

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Name Beschreibung Wert
Beschreibung Beschreibung der Umgehungs-Datenverkehrsregel. Schnur
destinationAddresses Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. string[]
destinationIpGroups Liste der Ziel-IpGroups für diese Regel. string[]
destinationPorts Liste der Zielports oder -bereiche. string[]
Name Name der Umgehungs-Datenverkehrsregel. Schnur
Protokoll Das Regelumgehungsprotokoll. "ANY"
"ICMP"
"TCP"
"UDP"
sourceAddresses Liste der Quell-IP-Adressen oder Bereiche für diese Regel. string[]
sourceIpGroups Liste der Quell-IpGroups für diese Regel. string[]

FirewallPolicyIntrusionDetectionConfiguration

Name Beschreibung Wert
bypassTrafficSettings Liste der Regeln für die Umgehung von Datenverkehr. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
privateRanges IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an string[]
signatureOverrides Liste bestimmter Signaturenzustände. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Name Beschreibung Wert
id Signatur-ID. Schnur
Modus Der Signaturstatus. "Warnung"
"Ablehnen"
'Aus'

FirewallPolicyLogAnalyticsResources

Name Beschreibung Wert
defaultWorkspaceId Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. SubResource-
Arbeitsbereiche Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Name Beschreibung Wert
Region Region zum Konfigurieren des Arbeitsbereichs. Schnur
workspaceId Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. SubResource-

FirewallPolicyPropertiesFormat

Name Beschreibung Wert
basePolicy Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. SubResource-
dnsSettings DNS-Proxyeinstellungendefinition. DnsSettings-
explicitProxy Definition expliziter Proxyeinstellungen. ExplicitProxy-
Einblicke Einblicke in die Firewallrichtlinie. FirewallPolicyInsights-
IntrusionDetection Die Konfiguration für die Angriffserkennung. FirewallPolicyIntrusionDetection-
Sku Die Firewallrichtlinien-SKU. FirewallPolicySku-
snat Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. FirewallPolicySnat-
SQL SQL-Einstellungsdefinition. FirewallPolicySQL-
threatIntelMode Der Vorgangsmodus für Threat Intelligence. "Warnung"
"Ablehnen"
'Aus'
threatIntelWhitelist ThreatIntel Whitelist für Firewallrichtlinien. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS-Konfigurationsdefinition. FirewallPolicyTransportSecurity

FirewallPolicySku

Name Beschreibung Wert
Rang Ebene der Firewallrichtlinie. "Einfach"
"Premium"
"Standard"

FirewallPolicySnat

Name Beschreibung Wert
autoLearnPrivateRanges Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein "Deaktiviert"
"Aktiviert"
privateRanges Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. string[]

FirewallPolicySQL

Name Beschreibung Wert
allowSqlRedirect Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Name Beschreibung Wert
fqdns Liste der FQDNs für die Whitelist "ThreatIntel". string[]
ipAddresses Liste der IP-Adressen für die ThreatIntel Whitelist. string[]

FirewallPolicyTransportSecurity

Name Beschreibung Wert
certificateAuthority Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. FirewallPolicyCertificateAuthority-

ManagedServiceIdentity

Name Beschreibung Wert
Art Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. 'None'
'SystemAssigned'
"SystemAssigned, UserAssigned"
"UserAssigned"
userAssignedIdentities Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". ManagedServiceIdentityUserAssignedIdentities-

ManagedServiceIdentityUserAssignedIdentities

Name Beschreibung Wert

Microsoft.Network/firewallPolicies

Name Beschreibung Wert
Identität Die Identität der Firewallrichtlinie. ManagedServiceIdentity-
Ort Ressourcenspeicherort. Schnur
Name Der Ressourcenname Zeichenfolge (erforderlich)
Eigenschaften Eigenschaften der Firewallrichtlinie. FirewallPolicyPropertiesFormat-
Schilder Ressourcentags Wörterbuch der Tagnamen und -werte.
Art Der Ressourcentyp "Microsoft.Network/firewallPolicies@2024-03-01"

ResourceTags

Name Beschreibung Wert

Unterressource

Name Beschreibung Wert
id Ressourcen-ID. Schnur