Microsoft.Network güvenlik duvarıİlkeler 2020-11-01

  • Makale

Bicep kaynak tanımı

firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:

  • kaynak grupları - Bkz. kaynak grubu dağıtım komutları

Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.

Kaynak biçimi

Microsoft.Network/firewallPolicies kaynağı oluşturmak için şablonunuza aşağıdaki Bicep'i ekleyin.

resource symbolicname 'Microsoft.Network/firewallPolicies@2020-11-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      privateRanges: [
        'string'
      ]
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Özellik değerleri

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Ad Açıklama Değer

DnsSettings

Ad Açıklama Değer
enableProxy Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. Bool
requireProxyForNetworkRules Ağ Kurallarındaki FQDN'ler true olarak ayarlandığında desteklenir. Bool
Sunucu Özel DNS Sunucularının Listesi. string[]

FirewallPolicyCertificateAuthority

Ad Açıklama Değer
keyVaultSecretId KeyVault'ta depolanan gizli dizi kimliği (base-64 kodlanmamış şifrelenmemiş pfx) 'Secret' veya 'Certificate' nesnesi. dizgi
ad CA sertifikasının adı. dizgi

FirewallPolicyInsights

Ad Açıklama Değer
isEnabled İlkede içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bool
logAnalyticsResources Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. FirewallPolicyLogAnalyticsResources
retentionDays İlkede içgörülerin etkinleştirilmesi gereken gün sayısı. Int

FirewallPolicyIntrusionDetection

Ad Açıklama Değer
konfigürasyon İzinsiz giriş algılama yapılandırma özellikleri. FirewallPolicyIntrusionDetectionConfiguration
mod İzinsiz giriş algılama genel durumu. 'Uyarı'
'Reddet'
'Kapalı'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Ad Açıklama Değer
Açıklama Trafiği atlama kuralının açıklaması. dizgi
destinationAddresses Bu kural için hedef IP adreslerinin veya aralıklarının listesi. string[]
destinationIpGroups Bu kural için hedef IpGroup'ların listesi. string[]
destinationPorts Hedef bağlantı noktalarının veya aralıkların listesi. string[]
ad Atlama trafiği kuralının adı. dizgi
protokol Kural atlama protokolü. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses Bu kural için kaynak IP adreslerinin veya aralıklarının listesi. string[]
sourceIpGroups Bu kural için kaynak IpGroup'ların listesi. string[]

FirewallPolicyIntrusionDetectionConfiguration

Ad Açıklama Değer
bypassTrafficSettings Atlayacak trafik kurallarının listesi. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
signatureOverrides Belirli imza durumlarının listesi. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Ad Açıklama Değer
Kimliği İmza kimliği. dizgi
mod İmza durumu. 'Uyarı'
'Reddet'
'Kapalı'

FirewallPolicyLogAnalyticsResources

Ad Açıklama Değer
defaultWorkspaceId Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. AltKaynak
çalışma alanları Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Ad Açıklama Değer
bölge Çalışma Alanını yapılandırmak için bölge. dizgi
workspaceId Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. AltKaynak

FirewallPolicyPropertiesFormat

Ad Açıklama Değer
basePolicy Kuralların devralındığı üst güvenlik duvarı ilkesi. AltKaynak
dnsSettings DNS Proxy Ayarları tanımı. dnssettings
Anlayış Güvenlik Duvarı İlkesiyle ilgili içgörüler. FirewallPolicyInsights
intrusionDetection İzinsiz giriş algılama yapılandırması. FirewallPolicyIntrusionDetection
Sku Güvenlik Duvarı İlkesi SKU'su. FirewallPolicySku
snat Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. FirewallPolicySnat
threatIntelMode Tehdit Analizi için işlem modu. 'Uyarı'
'Reddet'
'Kapalı'
threatIntelWhitelist Güvenlik Duvarı İlkesi için ThreatIntel Beyaz Listesi. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS Yapılandırma tanımı. FirewallPolicyTransportSecurity

FirewallPolicySku

Ad Açıklama Değer
Katmanı Güvenlik Duvarı İlkesi katmanı. 'Premium'
'Standart'

FirewallPolicySnat

Ad Açıklama Değer
privateRanges SNAT olmaması için özel IP adreslerinin/IP adresi aralıklarının listesi. string[]

FirewallPolicyThreatIntelWhitelist

Ad Açıklama Değer
fqdns ThreatIntel Beyaz Listesi için FQDN'lerin listesi. string[]
ipAddresses ThreatIntel Beyaz Listesi için IP adreslerinin listesi. string[]

FirewallPolicyTransportSecurity

Ad Açıklama Değer
certificateAuthority Ara CA oluşturma için kullanılan CA. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Ad Açıklama Değer
tür Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan bir kimlik kümesini içerir. 'Hiçbiri' türü sanal makineden tüm kimlikleri kaldırır. 'Hiçbiri'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities Kaynakla ilişkilendirilmiş kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlük anahtarı başvuruları şu biçimde ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Ad Açıklama Değer

Microsoft.Network/firewallİlkeler

Ad Açıklama Değer
kimlik Güvenlik duvarı ilkesinin kimliği. ManagedServiceIdentity
yer Kaynak konumu. dizgi
ad Kaynak adı dize (gerekli)
Özellikler Güvenlik duvarı ilkesinin özellikleri. FirewallPolicyPropertiesFormat
Etiketler Kaynak etiketleri Etiket adları ve değerleri sözlüğü. Bkz. şablonlardaki Etiketleri

ResourceTags

Ad Açıklama Değer

Alt Kaynak

Ad Açıklama Değer
Kimliği Kaynak Kimliği. dizgi

Hızlı başlangıç örnekleri

Aşağıdaki hızlı başlangıç örnekleri bu kaynak türünü dağıtır.

Bicep Dosyası Açıklama
Kurallar ve Ip Grupları ile Güvenlik Duvarı ve Güvenlik Duvarıİlkesi Oluşturma Bu şablon, uygulama ve ağ kurallarında IP Gruplarına başvuran bir Güvenlik Duvarı İlkesi (birden çok uygulama ve ağ kuralı dahil) ile bir Azure Güvenlik Duvarı dağıtır.
güvenli sanal hub'ları Bu şablon, İnternet'e yönlendirilen bulut ağ trafiğinizin güvenliğini sağlamak için Azure Güvenlik Duvarı'nı kullanarak güvenli bir sanal merkez oluşturur.
SharePoint Aboneliği / 2019 / 2016 tam olarak yapılandırılmış Bir DC, bir SQL Server 2022 ve SharePoint Aboneliği barındıran 1 ile 5 sunucu / 2019 / 2016 grubu arasında güvenilir kimlik doğrulaması, kişisel sitelerle kullanıcı profilleri, OAuth güveni (sertifika kullanarak), yüksek güven eklentileri barındırmak için ayrılmış bir IIS sitesi vb. gibi kapsamlı bir yapılandırmayla oluşturun. Anahtar yazılımlarının en son sürümü (Fiddler, vscode, np++, 7zip, ULS Viewer dahil) yüklenir. SharePoint makinelerinin hemen kullanılabilir hale getirmek için ek ince ayarlamaları vardır (uzaktan yönetim araçları, Edge ve Chrome için özel ilkeler, kısayollar vb.).
Azure Güvenlik Duvarı Premium için Test ortamı Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS denetimi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur
Azure Güvenlik Duvarı'nı Merkez & Uç topolojisinde DNS Proxy'si olarak kullanma Bu örnek, Azure Güvenlik Duvarı'nı kullanarak Azure'da merkez-uç topolojisinin nasıl dağıtılacağı gösterilmektedir. Merkez sanal ağı, sanal ağ eşlemesi aracılığıyla merkez sanal ağına bağlanan birçok uç sanal ağına merkezi bir bağlantı noktası işlevi görür.

ARM şablonu kaynak tanımı

firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:

  • kaynak grupları - Bkz. kaynak grubu dağıtım komutları

Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.

Kaynak biçimi

Microsoft.Network/firewallPolicies kaynağı oluşturmak için şablonunuza aşağıdaki JSON'u ekleyin.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2020-11-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "privateRanges": [ "string" ]
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Özellik değerleri

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Ad Açıklama Değer

DnsSettings

Ad Açıklama Değer
enableProxy Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. Bool
requireProxyForNetworkRules Ağ Kurallarındaki FQDN'ler true olarak ayarlandığında desteklenir. Bool
Sunucu Özel DNS Sunucularının Listesi. string[]

FirewallPolicyCertificateAuthority

Ad Açıklama Değer
keyVaultSecretId KeyVault'ta depolanan gizli dizi kimliği (base-64 kodlanmamış şifrelenmemiş pfx) 'Secret' veya 'Certificate' nesnesi. dizgi
ad CA sertifikasının adı. dizgi

FirewallPolicyInsights

Ad Açıklama Değer
isEnabled İlkede içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bool
logAnalyticsResources Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. FirewallPolicyLogAnalyticsResources
retentionDays İlkede içgörülerin etkinleştirilmesi gereken gün sayısı. Int

FirewallPolicyIntrusionDetection

Ad Açıklama Değer
konfigürasyon İzinsiz giriş algılama yapılandırma özellikleri. FirewallPolicyIntrusionDetectionConfiguration
mod İzinsiz giriş algılama genel durumu. 'Uyarı'
'Reddet'
'Kapalı'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Ad Açıklama Değer
Açıklama Trafiği atlama kuralının açıklaması. dizgi
destinationAddresses Bu kural için hedef IP adreslerinin veya aralıklarının listesi. string[]
destinationIpGroups Bu kural için hedef IpGroup'ların listesi. string[]
destinationPorts Hedef bağlantı noktalarının veya aralıkların listesi. string[]
ad Atlama trafiği kuralının adı. dizgi
protokol Kural atlama protokolü. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses Bu kural için kaynak IP adreslerinin veya aralıklarının listesi. string[]
sourceIpGroups Bu kural için kaynak IpGroup'ların listesi. string[]

FirewallPolicyIntrusionDetectionConfiguration

Ad Açıklama Değer
bypassTrafficSettings Atlayacak trafik kurallarının listesi. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
signatureOverrides Belirli imza durumlarının listesi. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Ad Açıklama Değer
Kimliği İmza kimliği. dizgi
mod İmza durumu. 'Uyarı'
'Reddet'
'Kapalı'

FirewallPolicyLogAnalyticsResources

Ad Açıklama Değer
defaultWorkspaceId Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. AltKaynak
çalışma alanları Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Ad Açıklama Değer
bölge Çalışma Alanını yapılandırmak için bölge. dizgi
workspaceId Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. AltKaynak

FirewallPolicyPropertiesFormat

Ad Açıklama Değer
basePolicy Kuralların devralındığı üst güvenlik duvarı ilkesi. AltKaynak
dnsSettings DNS Proxy Ayarları tanımı. dnssettings
Anlayış Güvenlik Duvarı İlkesiyle ilgili içgörüler. FirewallPolicyInsights
intrusionDetection İzinsiz giriş algılama yapılandırması. FirewallPolicyIntrusionDetection
Sku Güvenlik Duvarı İlkesi SKU'su. FirewallPolicySku
snat Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. FirewallPolicySnat
threatIntelMode Tehdit Analizi için işlem modu. 'Uyarı'
'Reddet'
'Kapalı'
threatIntelWhitelist Güvenlik Duvarı İlkesi için ThreatIntel Beyaz Listesi. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS Yapılandırma tanımı. FirewallPolicyTransportSecurity

FirewallPolicySku

Ad Açıklama Değer
Katmanı Güvenlik Duvarı İlkesi katmanı. 'Premium'
'Standart'

FirewallPolicySnat

Ad Açıklama Değer
privateRanges SNAT olmaması için özel IP adreslerinin/IP adresi aralıklarının listesi. string[]

FirewallPolicyThreatIntelWhitelist

Ad Açıklama Değer
fqdns ThreatIntel Beyaz Listesi için FQDN'lerin listesi. string[]
ipAddresses ThreatIntel Beyaz Listesi için IP adreslerinin listesi. string[]

FirewallPolicyTransportSecurity

Ad Açıklama Değer
certificateAuthority Ara CA oluşturma için kullanılan CA. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Ad Açıklama Değer
tür Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan bir kimlik kümesini içerir. 'Hiçbiri' türü sanal makineden tüm kimlikleri kaldırır. 'Hiçbiri'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities Kaynakla ilişkilendirilmiş kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlük anahtarı başvuruları şu biçimde ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Ad Açıklama Değer

Microsoft.Network/firewallİlkeler

Ad Açıklama Değer
apiVersion API sürümü '2020-11-01'
kimlik Güvenlik duvarı ilkesinin kimliği. ManagedServiceIdentity
yer Kaynak konumu. dizgi
ad Kaynak adı dize (gerekli)
Özellikler Güvenlik duvarı ilkesinin özellikleri. FirewallPolicyPropertiesFormat
Etiketler Kaynak etiketleri Etiket adları ve değerleri sözlüğü. Bkz. şablonlardaki Etiketleri
tür Kaynak türü 'Microsoft.Network/firewallPolicies'

ResourceTags

Ad Açıklama Değer

Alt Kaynak

Ad Açıklama Değer
Kimliği Kaynak Kimliği. dizgi

Hızlı başlangıç şablonları

Aşağıdaki hızlı başlangıç şablonları bu kaynak türünü dağıtır.

Şablon Açıklama
Kurallar ve Ip Grupları ile Güvenlik Duvarı ve Güvenlik Duvarıİlkesi Oluşturma

Azure 'a dağıtma		 Bu şablon, uygulama ve ağ kurallarında IP Gruplarına başvuran bir Güvenlik Duvarı İlkesi (birden çok uygulama ve ağ kuralı dahil) ile bir Azure Güvenlik Duvarı dağıtır.
FirewallPolicy ve IpGroups ile Güvenlik Duvarı Oluşturma

Azure 'a dağıtma		 Bu şablon, IpGroups ile Ağ Kurallarına başvuran FirewalllPolicy ile bir Azure Güvenlik Duvarı oluşturur. Ayrıca, Linux Jumpbox vm kurulumu içerir
Açık Ara Sunucu Ile Güvenlik Duvarı, FirewallPolicy Oluşturma

Azure 'a dağıtma		 Bu şablon, Açık Ara Sunucu ile Bir Azure Güvenlik Duvarı, FirewalllPolicy ve IpGroups ile Ağ Kuralları oluşturur. Ayrıca, Linux Jumpbox vm kurulumu içerir
Güvenlik Duvarı İlkesi ile korumalı alan kurulumu oluşturma

Azure 'a dağıtma		 Bu şablon, 3 alt ağa (sunucu alt ağı, sıçrama kutusu alt kümesi ve AzureFirewall alt ağı), genel IP'ye sahip bir sıçrama kutusu VM'sine, Sunucu Alt Ağı için Azure Güvenlik Duvarı'na ve 1 veya daha fazla Genel IP adresine sahip azure güvenlik duvarına işaret eden bir sunucu VM'sine, UDR yoluna sahip bir sanal ağ oluşturur. Ayrıca 1 örnek uygulama kuralı, 1 örnek ağ kuralı ve varsayılan özel aralıklarla bir Güvenlik Duvarı ilkesi oluşturur
güvenli sanal hub'ları

Azure 'a dağıtma		 Bu şablon, İnternet'e yönlendirilen bulut ağ trafiğinizin güvenliğini sağlamak için Azure Güvenlik Duvarı'nı kullanarak güvenli bir sanal merkez oluşturur.
SharePoint Aboneliği / 2019 / 2016 tam olarak yapılandırılmış

Azure 'a dağıtma		 Bir DC, bir SQL Server 2022 ve SharePoint Aboneliği barındıran 1 ile 5 sunucu / 2019 / 2016 grubu arasında güvenilir kimlik doğrulaması, kişisel sitelerle kullanıcı profilleri, OAuth güveni (sertifika kullanarak), yüksek güven eklentileri barındırmak için ayrılmış bir IIS sitesi vb. gibi kapsamlı bir yapılandırmayla oluşturun. Anahtar yazılımlarının en son sürümü (Fiddler, vscode, np++, 7zip, ULS Viewer dahil) yüklenir. SharePoint makinelerinin hemen kullanılabilir hale getirmek için ek ince ayarlamaları vardır (uzaktan yönetim araçları, Edge ve Chrome için özel ilkeler, kısayollar vb.).
Azure Güvenlik Duvarı Premium için Test ortamı

Azure 'a dağıtma		 Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS denetimi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur
Azure Güvenlik Duvarı'nı Merkez & Uç topolojisinde DNS Proxy'si olarak kullanma

Azure 'a dağıtma		 Bu örnek, Azure Güvenlik Duvarı'nı kullanarak Azure'da merkez-uç topolojisinin nasıl dağıtılacağı gösterilmektedir. Merkez sanal ağı, sanal ağ eşlemesi aracılığıyla merkez sanal ağına bağlanan birçok uç sanal ağına merkezi bir bağlantı noktası işlevi görür.

Terraform (AzAPI sağlayıcısı) kaynak tanımı

firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:

  • Kaynak grupları

Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.

Kaynak biçimi

Microsoft.Network/firewallPolicies kaynağı oluşturmak için şablonunuza aşağıdaki Terraform'u ekleyin.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2020-11-01"
  name = "string"
  identity = {
    type = "string"
    userAssignedIdentities = {
      {customized property} = {
      }
    }
  }
  location = "string"
  body = jsonencode({
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        privateRanges = [
          "string"
        ]
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  })
  tags = {
    {customized property} = "string"
  }
}

Özellik değerleri

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Ad Açıklama Değer

DnsSettings

Ad Açıklama Değer
enableProxy Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. Bool
requireProxyForNetworkRules Ağ Kurallarındaki FQDN'ler true olarak ayarlandığında desteklenir. Bool
Sunucu Özel DNS Sunucularının Listesi. string[]

FirewallPolicyCertificateAuthority

Ad Açıklama Değer
keyVaultSecretId KeyVault'ta depolanan gizli dizi kimliği (base-64 kodlanmamış şifrelenmemiş pfx) 'Secret' veya 'Certificate' nesnesi. dizgi
ad CA sertifikasının adı. dizgi

FirewallPolicyInsights

Ad Açıklama Değer
isEnabled İlkede içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bool
logAnalyticsResources Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. FirewallPolicyLogAnalyticsResources
retentionDays İlkede içgörülerin etkinleştirilmesi gereken gün sayısı. Int

FirewallPolicyIntrusionDetection

Ad Açıklama Değer
konfigürasyon İzinsiz giriş algılama yapılandırma özellikleri. FirewallPolicyIntrusionDetectionConfiguration
mod İzinsiz giriş algılama genel durumu. 'Uyarı'
'Reddet'
'Kapalı'

FirewallPolicyIntrusionDetectionBypassTrafficSpecifications

Ad Açıklama Değer
Açıklama Trafiği atlama kuralının açıklaması. dizgi
destinationAddresses Bu kural için hedef IP adreslerinin veya aralıklarının listesi. string[]
destinationIpGroups Bu kural için hedef IpGroup'ların listesi. string[]
destinationPorts Hedef bağlantı noktalarının veya aralıkların listesi. string[]
ad Atlama trafiği kuralının adı. dizgi
protokol Kural atlama protokolü. 'ANY'
'ICMP'
'TCP'
'UDP'
sourceAddresses Bu kural için kaynak IP adreslerinin veya aralıklarının listesi. string[]
sourceIpGroups Bu kural için kaynak IpGroup'ların listesi. string[]

FirewallPolicyIntrusionDetectionConfiguration

Ad Açıklama Değer
bypassTrafficSettings Atlayacak trafik kurallarının listesi. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
signatureOverrides Belirli imza durumlarının listesi. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Ad Açıklama Değer
Kimliği İmza kimliği. dizgi
mod İmza durumu. 'Uyarı'
'Reddet'
'Kapalı'

FirewallPolicyLogAnalyticsResources

Ad Açıklama Değer
defaultWorkspaceId Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. AltKaynak
çalışma alanları Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Ad Açıklama Değer
bölge Çalışma Alanını yapılandırmak için bölge. dizgi
workspaceId Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. AltKaynak

FirewallPolicyPropertiesFormat

Ad Açıklama Değer
basePolicy Kuralların devralındığı üst güvenlik duvarı ilkesi. AltKaynak
dnsSettings DNS Proxy Ayarları tanımı. dnssettings
Anlayış Güvenlik Duvarı İlkesiyle ilgili içgörüler. FirewallPolicyInsights
intrusionDetection İzinsiz giriş algılama yapılandırması. FirewallPolicyIntrusionDetection
Sku Güvenlik Duvarı İlkesi SKU'su. FirewallPolicySku
snat Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. FirewallPolicySnat
threatIntelMode Tehdit Analizi için işlem modu. 'Uyarı'
'Reddet'
'Kapalı'
threatIntelWhitelist Güvenlik Duvarı İlkesi için ThreatIntel Beyaz Listesi. FirewallPolicyThreatIntelWhitelist
transportSecurity TLS Yapılandırma tanımı. FirewallPolicyTransportSecurity

FirewallPolicySku

Ad Açıklama Değer
Katmanı Güvenlik Duvarı İlkesi katmanı. 'Premium'
'Standart'

FirewallPolicySnat

Ad Açıklama Değer
privateRanges SNAT olmaması için özel IP adreslerinin/IP adresi aralıklarının listesi. string[]

FirewallPolicyThreatIntelWhitelist

Ad Açıklama Değer
fqdns ThreatIntel Beyaz Listesi için FQDN'lerin listesi. string[]
ipAddresses ThreatIntel Beyaz Listesi için IP adreslerinin listesi. string[]

FirewallPolicyTransportSecurity

Ad Açıklama Değer
certificateAuthority Ara CA oluşturma için kullanılan CA. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Ad Açıklama Değer
tür Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan bir kimlik kümesini içerir. 'Hiçbiri' türü sanal makineden tüm kimlikleri kaldırır. 'Hiçbiri'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
userAssignedIdentities Kaynakla ilişkilendirilmiş kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlük anahtarı başvuruları şu biçimde ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Ad Açıklama Değer

Microsoft.Network/firewallİlkeler

Ad Açıklama Değer
kimlik Güvenlik duvarı ilkesinin kimliği. ManagedServiceIdentity
yer Kaynak konumu. dizgi
ad Kaynak adı dize (gerekli)
Özellikler Güvenlik duvarı ilkesinin özellikleri. FirewallPolicyPropertiesFormat
Etiketler Kaynak etiketleri Etiket adları ve değerleri sözlüğü.
tür Kaynak türü "Microsoft.Network/firewallPolicies@2020-11-01"

ResourceTags

Ad Açıklama Değer

Alt Kaynak

Ad Açıklama Değer
Kimliği Kaynak Kimliği. dizgi