Microsoft.Network firewallPolicies 2022-01-01
Bicep リソース定義
firewallPolicies リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループ - リソース グループのデプロイ コマンドを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.Network/firewallPolicies リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.Network/firewallPolicies@2022-01-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
プロパティ値
firewallPolicies
名前 | 説明 | 値 |
---|---|---|
name | リソース名 | string (必須) 文字制限: 1 から 80 有効な文字: 英数字、アンダースコア、ピリオド、およびハイフン。 英数字で開始します。 英数字またはアンダースコアで終了します。 |
location | リソースの場所。 | string |
tags | リソース タグ。 | タグの名前と値のディクショナリ。 「テンプレート内のタグ」を参照してください |
identity | ファイアウォール ポリシーの ID。 | ManagedServiceIdentity |
properties | ファイアウォール ポリシーのプロパティ。 | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
名前 | 説明 | 値 |
---|---|---|
type | リソースに使用される ID の種類。 種類 "SystemAssigned、UserAssigned" には、暗黙的に作成された ID とユーザー割り当て ID のセットの両方が含まれます。 種類 'None' は、仮想マシンからすべての ID を削除します。 | 'None' 'SystemAssigned' 'SystemAssigned、UserAssigned' 'UserAssigned' |
userAssignedIdentities | リソースに関連付けられているユーザー ID の一覧。 ユーザー ID ディクショナリ キー参照は、"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}" という形式の ARM リソース ID になります。 | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
名前 | 説明 | 値 |
---|---|---|
{カスタマイズされたプロパティ} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
このオブジェクトには、デプロイ中に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。
FirewallPolicyPropertiesFormat
名前 | 説明 | 値 |
---|---|---|
basePolicy | ルールの継承元となる親ファイアウォール ポリシー。 | サブリソース |
dnsSettings | DNS プロキシ設定の定義。 | DnsSettings |
explicitProxy | 明示的なプロキシ設定の定義。 | ExplicitProxy |
insights | ファイアウォール ポリシーに関する分析情報。 | FirewallPolicyInsights |
intrusionDetection | 侵入検出の構成。 | FirewallPolicyIntrusionDetection |
sku | ファイアウォール ポリシー SKU。 | FirewallPolicySku |
Snat | トラフィックが SNAT にならないプライベート IP アドレス/IP 範囲。 | FirewallPolicySnat |
sql | SQL 設定の定義。 | FirewallPolicySQL |
threatIntelMode | 脅威インテリジェンスの操作モード。 | 'Alert' 'Deny' 'Off' |
threatIntelWhitelist | ファイアウォール ポリシーの ThreatIntel 許可リスト。 | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS 構成の定義。 | FirewallPolicyTransportSecurity |
サブリソース
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
DnsSettings
名前 | 説明 | 値 |
---|---|---|
enableProxy | ファイアウォール ポリシーにアタッチされているファイアウォールで DNS プロキシを有効にします。 | [bool] |
requireProxyForNetworkRules | ネットワーク 規則の FQDN は、true に設定されている場合にサポートされます。 | [bool] |
servers | カスタム DNS サーバーの一覧。 | string[] |
ExplicitProxy
名前 | 説明 | 値 |
---|---|---|
enableExplicitProxy | true に設定すると、明示的なプロキシ モードが有効になります。 | [bool] |
enablePacFile | true に設定すると、pac ファイルのポートと URL を指定する必要があります。 | [bool] |
httpPort | 明示的なプロキシ http プロトコルのポート番号は、64000 を超えることはできません。 | INT 制約: 最小値 = 0 最大値 = 64000 |
httpsPort | 明示的なプロキシ https プロトコルのポート番号は、64000 を超えることはできません。 | INT 制約: 最小値 = 0 最大値 = 64000 |
pacFile | PAC ファイルの SAS URL。 | string |
pacFilePort | PAC ファイルを提供するファイアウォールのポート番号。 | INT 制約: 最小値 = 0 最大値 = 64000 |
FirewallPolicyInsights
名前 | 説明 | 値 |
---|---|---|
isEnabled | ポリシーで分析情報が有効になっているかどうかを示すフラグ。 | [bool] |
logAnalyticsResources | ファイアウォール ポリシー分析情報を構成するために必要なワークスペース。 | FirewallPolicyLogAnalyticsResources |
retentionDays | ポリシーで分析情報を有効にする必要がある日数。 | INT |
FirewallPolicyLogAnalyticsResources
名前 | 説明 | 値 |
---|---|---|
defaultWorkspaceId | ファイアウォール ポリシー分析情報の既定のワークスペース ID。 | サブリソース |
workspaces | ファイアウォール ポリシー分析情報のワークスペースの一覧。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
名前 | 説明 | 値 |
---|---|---|
region | ワークスペースを構成するリージョン。 | string |
workspaceId | Firewall Policy Insights のワークスペース ID。 | サブリソース |
FirewallPolicyIntrusionDetection
名前 | 説明 | 値 |
---|---|---|
configuration | 侵入検出の構成プロパティ。 | FirewallPolicyIntrusionDetectionConfiguration |
mode | 侵入検出の一般的な状態。 | 'Alert' 'Deny' 'Off' |
FirewallPolicyIntrusionDetectionConfiguration
名前 | 説明 | 値 |
---|---|---|
bypassTrafficSettings | バイパスするトラフィックのルールの一覧。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | IDPS プライベート IP アドレス範囲は、トラフィックの方向 (受信、送信など) を識別するために使用されます。 既定では、IANA RFC 1918 で定義されている範囲のみがプライベート IP アドレスと見なされます。 既定の範囲を変更するには、このプロパティを使用してプライベート IP アドレス範囲を指定します | string[] |
signatureOverrides | 特定の署名の状態の一覧。 | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
名前 | 説明 | 値 |
---|---|---|
description | バイパス トラフィック ルールの説明。 | string |
destinationAddresses | この規則の宛先 IP アドレスまたは範囲の一覧。 | string[] |
destinationIpGroups | この規則の宛先 IpGroup の一覧。 | string[] |
destinationPorts | 宛先ポートまたは範囲の一覧。 | string[] |
name | バイパス トラフィック ルールの名前。 | string |
protocol | 規則バイパス プロトコル。 | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | この規則のソース IP アドレスまたは範囲の一覧。 | string[] |
sourceIpGroups | このルールのソース IpGroup の一覧。 | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
名前 | 説明 | 値 |
---|---|---|
id | 署名 ID。 | string |
mode | 署名の状態。 | 'Alert' 'Deny' 'Off' |
FirewallPolicySku
名前 | 説明 | 値 |
---|---|---|
レベル | ファイアウォール ポリシーの層。 | 'Basic' 'Premium' 'Standard' |
FirewallPolicySnat
名前 | 説明 | 値 |
---|---|---|
autoLearnPrivateRanges | プライベート範囲を自動的に学習する操作モードを SNAT にしない | 'Disabled' 'Enabled' |
privateRanges | SNAT ではないプライベート IP アドレス/IP アドレス範囲の一覧。 | string[] |
FirewallPolicySQL
名前 | 説明 | 値 |
---|---|---|
allowSqlRedirect | SQL リダイレクト トラフィックのフィルター処理が有効になっているかどうかを示すフラグ。 フラグをオンにしても、ポート 11000 から 11999 を使用する規則は必要ありません。 | [bool] |
FirewallPolicyThreatIntelWhitelist
名前 | 説明 | 値 |
---|---|---|
Fqdn | ThreatIntel 許可リストの FQDN の一覧。 | string[] |
ipAddresses | ThreatIntel 許可リストの IP アドレスの一覧。 | string[] |
FirewallPolicyTransportSecurity
名前 | 説明 | 値 |
---|---|---|
certificateAuthority | 中間 CA 生成に使用される CA。 | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
名前 | 説明 | 値 |
---|---|---|
keyVaultSecretId | KeyVault に格納されているシークレット ID (base-64 でエンコードされた暗号化されていない pfx) 'Secret' または 'Certificate' オブジェクト。 | string |
name | CA 証明書の名前。 | string |
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
Template | 説明 |
---|---|
ハブ & スポーク トポロジで DNS プロキシとしてAzure Firewallを使用する |
このサンプルでは、Azure Firewallを使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの中央接続ポイントとして機能します。 |
ルールと Ipgroups を使用してファイアウォールと FirewallPolicy を作成する |
このテンプレートは、ファイアウォール ポリシー (複数のアプリケーション規則とネットワーク規則を含む) を含むAzure Firewallをデプロイし、アプリケーション規則とネットワーク規則の IP グループを参照します。 |
ファイアウォール、FirewallPolicy と明示的プロキシのCreate |
このテンプレートでは、明示的プロキシを使用した FirewalllPolicy Azure Firewallと IpGroups を使用したネットワーク 規則を作成します。 また、Linux Jumpbox vm のセットアップも含まれています |
FirewallPolicy と IpGroups を使用してファイアウォールをCreateする |
このテンプレートでは、IpGroups を使用してネットワーク規則を参照する FirewalllPolicy を使用してAzure Firewallを作成します。 また、Linux Jumpbox vm のセットアップも含まれています |
Azure Firewall Premium のテスト環境 |
このテンプレートは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリフィルタリングなどの Premium 機能を備えたAzure Firewall Premium ポリシーとファイアウォール ポリシーを作成します |
ファイアウォール ポリシーを使用してサンドボックス設定をCreateする |
このテンプレートは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットのAzure Firewallを指す UDR ルート、および 1 つ以上のパブリック IP アドレスを持つAzure Firewallを持つ仮想ネットワークを作成します。 また、1 つのサンプル アプリケーション規則、1 つのサンプル ネットワーク規則、および既定のプライベート範囲を使用してファイアウォール ポリシーを作成します |
セキュリティ保護付き仮想ハブ |
このテンプレートでは、Azure Firewallを使用してセキュリティで保護された仮想ハブを作成し、インターネット宛てのクラウド ネットワーク トラフィックをセキュリティで保護します。 |
Azure Virtual WAN ルーティングの意図とポリシー |
このテンプレートは、ルーティングインテントとポリシー機能が有効になっている 2 つのハブを持つ Azure Virtual WANをプロビジョニングします。 |
ARM テンプレート リソース定義
firewallPolicies リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループ - リソース グループのデプロイ コマンドを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.Network/firewallPolicies リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2022-01-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
プロパティ値
firewallPolicies
名前 | 説明 | 値 |
---|---|---|
type | リソースの種類 | 'Microsoft.Network/firewallPolicies' |
apiVersion | リソース API のバージョン | '2022-01-01' |
name | リソース名 | string (必須) 文字制限: 1 から 80 有効な文字: 英数字、アンダースコア、ピリオド、およびハイフン。 英数字で開始します。 英数字またはアンダースコアで終了します。 |
location | リソースの場所。 | string |
tags | リソース タグ。 | タグの名前と値のディクショナリ。 「テンプレート内のタグ」を参照してください |
identity | ファイアウォール ポリシーの ID。 | ManagedServiceIdentity |
properties | ファイアウォール ポリシーのプロパティ。 | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
名前 | 説明 | 値 |
---|---|---|
type | リソースに使用される ID の種類。 種類 "SystemAssigned、UserAssigned" には、暗黙的に作成された ID とユーザー割り当て ID のセットの両方が含まれます。 種類 'None' は、仮想マシンからすべての ID を削除します。 | 'None' 'SystemAssigned' 'SystemAssigned、UserAssigned' 'UserAssigned' |
userAssignedIdentities | リソースに関連付けられているユーザー ID の一覧。 ユーザー ID ディクショナリ キー参照は、"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}" という形式の ARM リソース ID になります。 | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
名前 | 説明 | 値 |
---|---|---|
{カスタマイズされたプロパティ} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
このオブジェクトには、デプロイ中に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。
FirewallPolicyPropertiesFormat
名前 | 説明 | 値 |
---|---|---|
basePolicy | ルールの継承元となる親ファイアウォール ポリシー。 | サブリソース |
dnsSettings | DNS プロキシ設定の定義。 | DnsSettings |
explicitProxy | 明示的なプロキシ設定の定義。 | ExplicitProxy |
insights | ファイアウォール ポリシーに関する分析情報。 | FirewallPolicyInsights |
intrusionDetection | 侵入検出の構成。 | FirewallPolicyIntrusionDetection |
sku | ファイアウォール ポリシー SKU。 | FirewallPolicySku |
Snat | トラフィックが SNAT ではないプライベート IP アドレス/IP 範囲。 | FirewallPolicySnat |
sql | SQL 設定の定義。 | FirewallPolicySQL |
threatIntelMode | 脅威インテリジェンスの操作モード。 | 'Alert' 'Deny' 'Off' |
threatIntelWhitelist | ファイアウォール ポリシーの ThreatIntel 許可リスト。 | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS 構成の定義。 | FirewallPolicyTransportSecurity |
サブリソース
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
DnsSettings
名前 | 説明 | 値 |
---|---|---|
enableProxy | ファイアウォール ポリシーにアタッチされているファイアウォールで DNS プロキシを有効にします。 | [bool] |
requireProxyForNetworkRules | ネットワーク規則の FQDN は、true に設定するとサポートされます。 | [bool] |
servers | カスタム DNS サーバーの一覧。 | string[] |
ExplicitProxy
名前 | 説明 | 値 |
---|---|---|
enableExplicitProxy | true に設定すると、明示的なプロキシ モードが有効になります。 | [bool] |
enablePacFile | true に設定すると、pac ファイルのポートと URL を指定する必要があります。 | [bool] |
httpPort | 明示的なプロキシ http プロトコルのポート番号は、64000 を超えることはできません。 | INT 制約: 最小値 = 0 最大値 = 64000 |
httpsPort | 明示的なプロキシ https プロトコルのポート番号は、64000 を超えることはできません。 | INT 制約: 最小値 = 0 最大値 = 64000 |
pacFile | PAC ファイルの SAS URL。 | string |
pacFilePort | PAC ファイルを提供するファイアウォールのポート番号。 | INT 制約: 最小値 = 0 最大値 = 64000 |
FirewallPolicyInsights
名前 | 説明 | 値 |
---|---|---|
isEnabled | ポリシーで分析情報が有効になっているかどうかを示すフラグ。 | [bool] |
logAnalyticsResources | ファイアウォール ポリシー分析情報を構成するために必要なワークスペース。 | FirewallPolicyLogAnalyticsResources |
retentionDays | ポリシーで分析情報を有効にする必要がある日数。 | INT |
FirewallPolicyLogAnalyticsResources
名前 | 説明 | 値 |
---|---|---|
defaultWorkspaceId | ファイアウォール ポリシー分析情報の既定のワークスペース ID。 | サブリソース |
workspaces | ファイアウォール ポリシー分析情報のワークスペースの一覧。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
名前 | 説明 | 値 |
---|---|---|
region | ワークスペースを構成するリージョン。 | string |
workspaceId | ファイアウォール ポリシー分析情報のワークスペース ID。 | サブリソース |
FirewallPolicyIntrusionDetection
名前 | 説明 | 値 |
---|---|---|
configuration | 侵入検出の構成プロパティ。 | FirewallPolicyIntrusionDetectionConfiguration |
mode | 侵入検出の一般的な状態。 | 'Alert' 'Deny' 'Off' |
FirewallPolicyIntrusionDetectionConfiguration
名前 | 説明 | 値 |
---|---|---|
bypassTrafficSettings | バイパスするトラフィックのルールの一覧。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | IDPS プライベート IP アドレス範囲は、トラフィックの方向 (受信、送信など) を識別するために使用されます。 既定では、IANA RFC 1918 で定義されている範囲のみがプライベート IP アドレスと見なされます。 既定の範囲を変更するには、このプロパティを使用してプライベート IP アドレス範囲を指定します | string[] |
signatureOverrides | 特定の署名の状態の一覧。 | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
名前 | 説明 | 値 |
---|---|---|
description | バイパス トラフィック ルールの説明。 | string |
destinationAddresses | この規則の宛先 IP アドレスまたは範囲の一覧。 | string[] |
destinationIpGroups | この規則の宛先 IpGroup の一覧。 | string[] |
destinationPorts | 宛先ポートまたは範囲の一覧。 | string[] |
name | バイパス トラフィック ルールの名前。 | string |
protocol | 規則バイパス プロトコル。 | 'ANY' 'ICMP' 'TCP' 'UDP' |
sourceAddresses | この規則のソース IP アドレスまたは範囲の一覧。 | string[] |
sourceIpGroups | このルールのソース IpGroup の一覧。 | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
名前 | 説明 | 値 |
---|---|---|
id | 署名 ID。 | string |
mode | 署名の状態。 | 'Alert' 'Deny' 'Off' |
FirewallPolicySku
名前 | 説明 | 値 |
---|---|---|
レベル | ファイアウォール ポリシーの層。 | 'Basic' 'Premium' 'Standard' |
FirewallPolicySnat
名前 | 説明 | 値 |
---|---|---|
autoLearnPrivateRanges | プライベート範囲を自動的に学習する操作モードを SNAT にしない | 'Disabled' 'Enabled' |
privateRanges | SNAT ではないプライベート IP アドレス/IP アドレス範囲の一覧。 | string[] |
FirewallPolicySQL
名前 | 説明 | 値 |
---|---|---|
allowSqlRedirect | SQL リダイレクト トラフィックのフィルター処理が有効になっているかどうかを示すフラグ。 フラグをオンにしても、ポート 11000 から 11999 を使用する規則は必要ありません。 | [bool] |
FirewallPolicyThreatIntelWhitelist
名前 | 説明 | 値 |
---|---|---|
Fqdn | ThreatIntel 許可リストの FQDN の一覧。 | string[] |
ipAddresses | ThreatIntel 許可リストの IP アドレスの一覧。 | string[] |
FirewallPolicyTransportSecurity
名前 | 説明 | 値 |
---|---|---|
certificateAuthority | 中間 CA 生成に使用される CA。 | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
名前 | 説明 | 値 |
---|---|---|
keyVaultSecretId | KeyVault に格納されているシークレット ID (base-64 でエンコードされた暗号化されていない pfx) 'Secret' または 'Certificate' オブジェクト。 | string |
name | CA 証明書の名前。 | string |
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
Template | 説明 |
---|---|
ハブ & スポーク トポロジで DNS プロキシとしてAzure Firewallを使用する |
このサンプルでは、Azure Firewallを使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの中央接続ポイントとして機能します。 |
ルールと Ipgroups を使用してファイアウォールと FirewallPolicy を作成する |
このテンプレートは、ファイアウォール ポリシー (複数のアプリケーション規則とネットワーク規則を含む) を含むAzure Firewallをデプロイし、アプリケーション規則とネットワーク規則の IP グループを参照します。 |
ファイアウォール、FirewallPolicy と明示的プロキシのCreate |
このテンプレートでは、明示的プロキシを使用した FirewalllPolicy Azure Firewallと IpGroups を使用したネットワーク 規則を作成します。 また、Linux Jumpbox vm のセットアップも含まれています |
FirewallPolicy と IpGroups を使用してファイアウォールをCreateする |
このテンプレートでは、IpGroups を使用してネットワーク規則を参照する FirewalllPolicy を使用してAzure Firewallを作成します。 また、Linux Jumpbox vm のセットアップも含まれています |
Azure Firewall Premium のテスト環境 |
このテンプレートは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリフィルタリングなどの Premium 機能を備えたAzure Firewall Premium ポリシーとファイアウォール ポリシーを作成します |
ファイアウォール ポリシーを使用してサンドボックス設定をCreateする |
このテンプレートは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットのAzure Firewallを指す UDR ルート、および 1 つ以上のパブリック IP アドレスを持つAzure Firewallを持つ仮想ネットワークを作成します。 また、1 つのサンプル アプリケーション規則、1 つのサンプル ネットワーク規則、および既定のプライベート範囲を使用してファイアウォール ポリシーを作成します |
セキュリティ保護付き仮想ハブ |
このテンプレートでは、Azure Firewallを使用してセキュリティで保護された仮想ハブを作成し、インターネット宛てのクラウド ネットワーク トラフィックをセキュリティで保護します。 |
Azure Virtual WAN ルーティングの意図とポリシー |
このテンプレートでは、ルーティングインテントとポリシー機能が有効になっている 2 つのハブを使用して Azure Virtual WANをプロビジョニングします。 |
Terraform (AzAPI プロバイダー) リソース定義
firewallPolicies リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループ
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.Network/firewallPolicies リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2022-01-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
プロパティ値
firewallPolicies
名前 | 説明 | 値 |
---|---|---|
type | リソースの種類 | "Microsoft.Network/firewallPolicies@2022-01-01" |
name | リソース名 | string (必須) 文字数制限: 1 から 80 有効な文字: 英数字、アンダースコア、ピリオド、およびハイフン。 英数字で開始します。 英数字またはアンダースコアで終了します。 |
location | リソースの場所。 | string |
parent_id | リソース グループにデプロイするには、そのリソース グループの ID を使用します。 | string (必須) |
tags | リソース タグ。 | タグ名と値のディクショナリ。 |
identity | ファイアウォール ポリシーの ID。 | ManagedServiceIdentity |
properties | ファイアウォール ポリシーのプロパティ。 | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
名前 | 説明 | 値 |
---|---|---|
type | リソースに使用される ID の種類。 種類 "SystemAssigned、UserAssigned" には、暗黙的に作成された ID とユーザー割り当て ID のセットの両方が含まれます。 種類 'None' は、仮想マシンから ID を削除します。 | "SystemAssigned" "SystemAssigned、UserAssigned" "UserAssigned" |
identity_ids | リソースに関連付けられているユーザー ID の一覧。 ユーザー ID ディクショナリ キーの参照は、'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' という形式の ARM リソース ID になります。 | ユーザー ID ID の配列。 |
ManagedServiceIdentityUserAssignedIdentities
名前 | 説明 | 値 |
---|---|---|
{カスタマイズされたプロパティ} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
このオブジェクトには、デプロイ中に設定するプロパティは含まれません。 すべてのプロパティは ReadOnly です。
FirewallPolicyPropertiesFormat
名前 | 説明 | 値 |
---|---|---|
basePolicy | 規則の継承元の親ファイアウォール ポリシー。 | サブリソース |
dnsSettings | DNS プロキシ設定の定義。 | DnsSettings |
explicitProxy | 明示的なプロキシ設定の定義。 | ExplicitProxy |
insights | ファイアウォール ポリシーに関する分析情報。 | FirewallPolicyInsights |
intrusionDetection | 侵入検出の構成。 | FirewallPolicyIntrusionDetection |
sku | ファイアウォール ポリシー SKU。 | FirewallPolicySku |
Snat | トラフィックが SNAT にならないプライベート IP アドレス/IP 範囲。 | FirewallPolicySnat |
sql | SQL 設定の定義。 | FirewallPolicySQL |
threatIntelMode | 脅威インテリジェンスの操作モード。 | "アラート" "Deny" "Off" |
threatIntelWhitelist | ファイアウォール ポリシーの ThreatIntel 許可リスト。 | FirewallPolicyThreatIntelWhitelist |
transportSecurity | TLS 構成の定義。 | FirewallPolicyTransportSecurity |
サブリソース
名前 | 説明 | 値 |
---|---|---|
id | リソースの ID | string |
DnsSettings
名前 | 説明 | 値 |
---|---|---|
enableProxy | ファイアウォール ポリシーにアタッチされているファイアウォールで DNS プロキシを有効にします。 | [bool] |
requireProxyForNetworkRules | ネットワーク規則の FQDN は、true に設定するとサポートされます。 | [bool] |
servers | カスタム DNS サーバーの一覧。 | string[] |
ExplicitProxy
名前 | 説明 | 値 |
---|---|---|
enableExplicitProxy | true に設定すると、明示的なプロキシ モードが有効になります。 | [bool] |
enablePacFile | true に設定すると、pac ファイルのポートと URL を指定する必要があります。 | [bool] |
httpPort | 明示的なプロキシ http プロトコルのポート番号は、64000 を超えることはできません。 | INT 制約: 最小値 = 0 最大値 = 64000 |
httpsPort | 明示的なプロキシ https プロトコルのポート番号は、64000 を超えることはできません。 | INT 制約: 最小値 = 0 最大値 = 64000 |
pacFile | PAC ファイルの SAS URL。 | string |
pacFilePort | PAC ファイルを提供するファイアウォールのポート番号。 | INT 制約: 最小値 = 0 最大値 = 64000 |
FirewallPolicyInsights
名前 | 説明 | 値 |
---|---|---|
isEnabled | ポリシーで分析情報が有効になっているかどうかを示すフラグ。 | [bool] |
logAnalyticsResources | ファイアウォール ポリシー分析情報を構成するために必要なワークスペース。 | FirewallPolicyLogAnalyticsResources |
retentionDays | ポリシーで分析情報を有効にする必要がある日数。 | INT |
FirewallPolicyLogAnalyticsResources
名前 | 説明 | 値 |
---|---|---|
defaultWorkspaceId | ファイアウォール ポリシー分析情報の既定のワークスペース ID。 | サブリソース |
workspaces | ファイアウォール ポリシー分析情報のワークスペースの一覧。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
名前 | 説明 | 値 |
---|---|---|
region | ワークスペースを構成するリージョン。 | string |
workspaceId | ファイアウォール ポリシー分析情報のワークスペース ID。 | サブリソース |
FirewallPolicyIntrusionDetection
名前 | 説明 | 値 |
---|---|---|
configuration | 侵入検出の構成プロパティ。 | FirewallPolicyIntrusionDetectionConfiguration |
mode | 侵入検出の一般的な状態。 | "アラート" "Deny" "Off" |
FirewallPolicyIntrusionDetectionConfiguration
名前 | 説明 | 値 |
---|---|---|
bypassTrafficSettings | バイパスするトラフィックのルールの一覧。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
privateRanges | IDPS プライベート IP アドレス範囲は、トラフィックの方向 (受信、送信など) を識別するために使用されます。 既定では、IANA RFC 1918 で定義されている範囲のみがプライベート IP アドレスと見なされます。 既定の範囲を変更するには、このプロパティを使用してプライベート IP アドレス範囲を指定します | string[] |
signatureOverrides | 特定の署名の状態の一覧。 | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
名前 | 説明 | 値 |
---|---|---|
description | バイパス トラフィック ルールの説明。 | string |
destinationAddresses | この規則の宛先 IP アドレスまたは範囲の一覧。 | string[] |
destinationIpGroups | この規則の宛先 IpGroup の一覧。 | string[] |
destinationPorts | 宛先ポートまたは範囲の一覧。 | string[] |
name | バイパス トラフィック ルールの名前。 | string |
protocol | 規則バイパス プロトコル。 | "ANY" "ICMP" "TCP" "UDP" |
sourceAddresses | この規則のソース IP アドレスまたは範囲の一覧。 | string[] |
sourceIpGroups | このルールのソース IpGroup の一覧。 | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
名前 | 説明 | 値 |
---|---|---|
id | 署名 ID。 | string |
mode | 署名の状態。 | "アラート" "Deny" "Off" |
FirewallPolicySku
名前 | 説明 | 値 |
---|---|---|
レベル | ファイアウォール ポリシーの層。 | "Basic" "Premium" "Standard" |
FirewallPolicySnat
名前 | 説明 | 値 |
---|---|---|
autoLearnPrivateRanges | プライベート範囲を自動的に学習する操作モードを SNAT にしない | "無効" "有効" |
privateRanges | SNAT ではないプライベート IP アドレス/IP アドレス範囲の一覧。 | string[] |
FirewallPolicySQL
名前 | 説明 | 値 |
---|---|---|
allowSqlRedirect | SQL リダイレクト トラフィックのフィルター処理が有効になっているかどうかを示すフラグ。 フラグをオンにしても、ポート 11000 から 11999 を使用する規則は必要ありません。 | [bool] |
FirewallPolicyThreatIntelWhitelist
名前 | 説明 | 値 |
---|---|---|
Fqdn | ThreatIntel 許可リストの FQDN の一覧。 | string[] |
ipAddresses | ThreatIntel 許可リストの IP アドレスの一覧。 | string[] |
FirewallPolicyTransportSecurity
名前 | 説明 | 値 |
---|---|---|
certificateAuthority | 中間 CA 生成に使用される CA。 | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
名前 | 説明 | 値 |
---|---|---|
keyVaultSecretId | KeyVault に格納されているシークレット ID (base-64 でエンコードされた暗号化されていない pfx) 'Secret' または 'Certificate' オブジェクト。 | string |
name | CA 証明書の名前。 | string |