Microsoft.Network güvenlik duvarıİlkeler 2023-09-01
- en son
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep kaynak tanımı
firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- kaynak grupları
- Bkz. kaynak grubu dağıtım komutları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.Network/firewallPolicies kaynağı oluşturmak için şablonunuza aşağıdaki Bicep'i ekleyin.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-09-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Özellik değerleri
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Ad | Açıklama | Değer |
|---|
DnsSettings
| Ad | Açıklama | Değer |
|---|---|---|
| enableProxy | Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. | Bool |
| requireProxyForNetworkRules | Ağ Kurallarındaki FQDN'ler true olarak ayarlandığında desteklenir. | Bool |
| Sunucu | Özel DNS Sunucularının Listesi. | string[] |
ExplicitProxy
| Ad | Açıklama | Değer |
|---|---|---|
| enableExplicitProxy | True olarak ayarlandığında, açık ara sunucu modu etkinleştirilir. | Bool |
| enablePacFile | True olarak ayarlandığında pac dosyası bağlantı noktası ve URL sağlanmalıdır. | Bool |
| httpPort | Açık ara sunucu http protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
| httpsPort | Açık ara sunucu https protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
| pacFile | PAC dosyası için SAS URL'si. | dizgi |
| pacFilePort | GÜVENLIK duvarının PAC dosyasına hizmet vermek için bağlantı noktası numarası. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
FirewallPolicyCertificateAuthority
| Ad | Açıklama | Değer |
|---|---|---|
| keyVaultSecretId | KeyVault'ta depolanan gizli dizi kimliği (base-64 kodlanmamış şifrelenmemiş pfx) 'Secret' veya 'Certificate' nesnesi. | dizgi |
| ad | CA sertifikasının adı. | dizgi |
FirewallPolicyInsights
| Ad | Açıklama | Değer |
|---|---|---|
| isEnabled | İlkede içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. | Bool |
| logAnalyticsResources | Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. | FirewallPolicyLogAnalyticsResources |
| retentionDays | İlkede içgörülerin etkinleştirilmesi gereken gün sayısı. | Int |
FirewallPolicyIntrusionDetection
| Ad | Açıklama | Değer |
|---|---|---|
| konfigürasyon | İzinsiz giriş algılama yapılandırma özellikleri. | FirewallPolicyIntrusionDetectionConfiguration |
| mod | İzinsiz giriş algılama genel durumu. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin IDPS modu ikisinin daha katı modudur. | 'Uyarı' 'Reddet' 'Kapalı' |
| profil | IDPS profil adı. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin profili üst ilkenin profil adıdır. | 'Gelişmiş' 'Temel' 'Genişletilmiş' 'Standart' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Ad | Açıklama | Değer |
|---|---|---|
| Açıklama | Trafiği atlama kuralının açıklaması. | dizgi |
| destinationAddresses | Bu kural için hedef IP adreslerinin veya aralıklarının listesi. | string[] |
| destinationIpGroups | Bu kural için hedef IpGroup'ların listesi. | string[] |
| destinationPorts | Hedef bağlantı noktalarının veya aralıkların listesi. | string[] |
| ad | Atlama trafiği kuralının adı. | dizgi |
| protokol | Kural atlama protokolü. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Bu kural için kaynak IP adreslerinin veya aralıklarının listesi. | string[] |
| sourceIpGroups | Bu kural için kaynak IpGroup'ların listesi. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Ad | Açıklama | Değer |
|---|---|---|
| bypassTrafficSettings | Atlayacak trafik kurallarının listesi. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS Özel IP adresi aralıkları trafik yönünü (gelen, giden vb.) tanımlamak için kullanılır. Varsayılan olarak, yalnızca IANA RFC 1918 tarafından tanımlanan aralıklar özel IP adresleri olarak kabul edilir. Varsayılan aralıkları değiştirmek için Bu özellik ile Özel IP adresi aralıklarınızı belirtin | string[] |
| signatureOverrides | Belirli imza durumlarının listesi. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | İmza kimliği. | dizgi |
| mod | İmza durumu. | 'Uyarı' 'Reddet' 'Kapalı' |
FirewallPolicyLogAnalyticsResources
| Ad | Açıklama | Değer |
|---|---|---|
| defaultWorkspaceId | Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. | AltKaynak |
| çalışma alanları | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Ad | Açıklama | Değer |
|---|---|---|
| bölge | Çalışma Alanını yapılandırmak için bölge. | dizgi |
| workspaceId | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. | AltKaynak |
FirewallPolicyPropertiesFormat
| Ad | Açıklama | Değer |
|---|---|---|
| basePolicy | Kuralların devralındığı üst güvenlik duvarı ilkesi. | AltKaynak |
| dnsSettings | DNS Proxy Ayarları tanımı. | dnssettings |
| explicitProxy | Açık Ara Sunucu Ayarları tanımı. | ExplicitProxy |
| Anlayış | Güvenlik Duvarı İlkesiyle ilgili içgörüler. | FirewallPolicyInsights |
| intrusionDetection | İzinsiz giriş algılama yapılandırması. | FirewallPolicyIntrusionDetection |
| Sku | Güvenlik Duvarı İlkesi SKU'su. | FirewallPolicySku |
| snat | Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. | FirewallPolicySnat |
| SQL | SQL Ayarları tanımı. | FirewallPolicySQL |
| threatIntelMode | Tehdit Analizi için işlem modu. | 'Uyarı' 'Reddet' 'Kapalı' |
| threatIntelWhitelist | Güvenlik Duvarı İlkesi için ThreatIntel Beyaz Listesi. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS Yapılandırma tanımı. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Ad | Açıklama | Değer |
|---|---|---|
| Katmanı | Güvenlik Duvarı İlkesi katmanı. | 'Temel' 'Premium' 'Standart' |
FirewallPolicySnat
| Ad | Açıklama | Değer |
|---|---|---|
| autoLearnPrivateRanges | Özel aralıkları otomatik olarak öğrenmenin SNAT olmaması için işlem modu | 'Devre Dışı' 'Etkin' |
| privateRanges | SNAT olmaması için özel IP adreslerinin/IP adresi aralıklarının listesi. | string[] |
FirewallPolicySQL
| Ad | Açıklama | Değer |
|---|---|---|
| allowSqlRedirect | SQL Yeniden Yönlendirme trafik filtrelemenin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bayrağı açmak için 11000-11999 numaralı bağlantı noktasını kullanan bir kural gerekmez. | Bool |
FirewallPolicyThreatIntelWhitelist
| Ad | Açıklama | Değer |
|---|---|---|
| fqdns | ThreatIntel Beyaz Listesi için FQDN'lerin listesi. | string[] |
| ipAddresses | ThreatIntel Beyaz Listesi için IP adreslerinin listesi. | string[] |
FirewallPolicyTransportSecurity
| Ad | Açıklama | Değer |
|---|---|---|
| certificateAuthority | Ara CA oluşturma için kullanılan CA. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan bir kimlik kümesini içerir. 'Hiçbiri' türü sanal makineden tüm kimlikleri kaldırır. | 'Hiçbiri' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Kaynakla ilişkilendirilmiş kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlük anahtarı başvuruları şu biçimde ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Ad | Açıklama | Değer |
|---|
Microsoft.Network/firewallİlkeler
| Ad | Açıklama | Değer |
|---|---|---|
| kimlik | Güvenlik duvarı ilkesinin kimliği. | ManagedServiceIdentity |
| yer | Kaynak konumu. | dizgi |
| ad | Kaynak adı | dize (gerekli) |
| Özellikler | Güvenlik duvarı ilkesinin özellikleri. | FirewallPolicyPropertiesFormat |
| Etiketler | Kaynak etiketleri | Etiket adları ve değerleri sözlüğü. Bkz. şablonlardaki Etiketleri |
ResourceTags
| Ad | Açıklama | Değer |
|---|
Alt Kaynak
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | Kaynak Kimliği. | dizgi |
Hızlı başlangıç örnekleri
Aşağıdaki hızlı başlangıç örnekleri bu kaynak türünü dağıtır.
| Bicep Dosyası | Açıklama |
|---|---|
| Kurallar ve Ip Grupları ile Güvenlik Duvarı ve Güvenlik Duvarıİlkesi Oluşturma | Bu şablon, uygulama ve ağ kurallarında IP Gruplarına başvuran bir Güvenlik Duvarı İlkesi (birden çok uygulama ve ağ kuralı dahil) ile bir Azure Güvenlik Duvarı dağıtır. |
| güvenli sanal hub'ları |
Bu şablon, İnternet'e yönlendirilen bulut ağ trafiğinizin güvenliğini sağlamak için Azure Güvenlik Duvarı'nı kullanarak güvenli bir sanal merkez oluşturur. |
| SharePoint Aboneliği / 2019 / 2016 tam olarak yapılandırılmış | Bir DC, bir SQL Server 2022 ve SharePoint Aboneliği barındıran 1 ile 5 sunucu / 2019 / 2016 grubu arasında güvenilir kimlik doğrulaması, kişisel sitelerle kullanıcı profilleri, OAuth güveni (sertifika kullanarak), yüksek güven eklentileri barındırmak için ayrılmış bir IIS sitesi vb. gibi kapsamlı bir yapılandırmayla oluşturun. Anahtar yazılımlarının en son sürümü (Fiddler, vscode, np++, 7zip, ULS Viewer dahil) yüklenir. SharePoint makinelerinin hemen kullanılabilir hale getirmek için ek ince ayarlamaları vardır (uzaktan yönetim araçları, Edge ve Chrome için özel ilkeler, kısayollar vb.). |
| Azure Güvenlik Duvarı Premium için |
Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS denetimi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur |
| Azure Güvenlik Duvarı'nı Merkez & Uç topolojisinde DNS Proxy'si olarak kullanma | Bu örnek, Azure Güvenlik Duvarı'nı kullanarak Azure'da merkez-uç topolojisinin nasıl dağıtılacağı gösterilmektedir. Merkez sanal ağı, sanal ağ eşlemesi aracılığıyla merkez sanal ağına bağlanan birçok uç sanal ağına merkezi bir bağlantı noktası işlevi görür. |
ARM şablonu kaynak tanımı
firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- kaynak grupları
- Bkz. kaynak grubu dağıtım komutları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.Network/firewallPolicies kaynağı oluşturmak için şablonunuza aşağıdaki JSON'u ekleyin.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-09-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Özellik değerleri
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Ad | Açıklama | Değer |
|---|
DnsSettings
| Ad | Açıklama | Değer |
|---|---|---|
| enableProxy | Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. | Bool |
| requireProxyForNetworkRules | Ağ Kurallarındaki FQDN'ler true olarak ayarlandığında desteklenir. | Bool |
| Sunucu | Özel DNS Sunucularının Listesi. | string[] |
ExplicitProxy
| Ad | Açıklama | Değer |
|---|---|---|
| enableExplicitProxy | True olarak ayarlandığında, açık ara sunucu modu etkinleştirilir. | Bool |
| enablePacFile | True olarak ayarlandığında pac dosyası bağlantı noktası ve URL sağlanmalıdır. | Bool |
| httpPort | Açık ara sunucu http protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
| httpsPort | Açık ara sunucu https protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
| pacFile | PAC dosyası için SAS URL'si. | dizgi |
| pacFilePort | GÜVENLIK duvarının PAC dosyasına hizmet vermek için bağlantı noktası numarası. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
FirewallPolicyCertificateAuthority
| Ad | Açıklama | Değer |
|---|---|---|
| keyVaultSecretId | KeyVault'ta depolanan gizli dizi kimliği (base-64 kodlanmamış şifrelenmemiş pfx) 'Secret' veya 'Certificate' nesnesi. | dizgi |
| ad | CA sertifikasının adı. | dizgi |
FirewallPolicyInsights
| Ad | Açıklama | Değer |
|---|---|---|
| isEnabled | İlkede içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. | Bool |
| logAnalyticsResources | Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. | FirewallPolicyLogAnalyticsResources |
| retentionDays | İlkede içgörülerin etkinleştirilmesi gereken gün sayısı. | Int |
FirewallPolicyIntrusionDetection
| Ad | Açıklama | Değer |
|---|---|---|
| konfigürasyon | İzinsiz giriş algılama yapılandırma özellikleri. | FirewallPolicyIntrusionDetectionConfiguration |
| mod | İzinsiz giriş algılama genel durumu. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin IDPS modu ikisinin daha katı modudur. | 'Uyarı' 'Reddet' 'Kapalı' |
| profil | IDPS profil adı. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin profili üst ilkenin profil adıdır. | 'Gelişmiş' 'Temel' 'Genişletilmiş' 'Standart' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Ad | Açıklama | Değer |
|---|---|---|
| Açıklama | Trafiği atlama kuralının açıklaması. | dizgi |
| destinationAddresses | Bu kural için hedef IP adreslerinin veya aralıklarının listesi. | string[] |
| destinationIpGroups | Bu kural için hedef IpGroup'ların listesi. | string[] |
| destinationPorts | Hedef bağlantı noktalarının veya aralıkların listesi. | string[] |
| ad | Atlama trafiği kuralının adı. | dizgi |
| protokol | Kural atlama protokolü. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Bu kural için kaynak IP adreslerinin veya aralıklarının listesi. | string[] |
| sourceIpGroups | Bu kural için kaynak IpGroup'ların listesi. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Ad | Açıklama | Değer |
|---|---|---|
| bypassTrafficSettings | Atlayacak trafik kurallarının listesi. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS Özel IP adresi aralıkları trafik yönünü (gelen, giden vb.) tanımlamak için kullanılır. Varsayılan olarak, yalnızca IANA RFC 1918 tarafından tanımlanan aralıklar özel IP adresleri olarak kabul edilir. Varsayılan aralıkları değiştirmek için Bu özellik ile Özel IP adresi aralıklarınızı belirtin | string[] |
| signatureOverrides | Belirli imza durumlarının listesi. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | İmza kimliği. | dizgi |
| mod | İmza durumu. | 'Uyarı' 'Reddet' 'Kapalı' |
FirewallPolicyLogAnalyticsResources
| Ad | Açıklama | Değer |
|---|---|---|
| defaultWorkspaceId | Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. | AltKaynak |
| çalışma alanları | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Ad | Açıklama | Değer |
|---|---|---|
| bölge | Çalışma Alanını yapılandırmak için bölge. | dizgi |
| workspaceId | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. | AltKaynak |
FirewallPolicyPropertiesFormat
| Ad | Açıklama | Değer |
|---|---|---|
| basePolicy | Kuralların devralındığı üst güvenlik duvarı ilkesi. | AltKaynak |
| dnsSettings | DNS Proxy Ayarları tanımı. | dnssettings |
| explicitProxy | Açık Ara Sunucu Ayarları tanımı. | ExplicitProxy |
| Anlayış | Güvenlik Duvarı İlkesiyle ilgili içgörüler. | FirewallPolicyInsights |
| intrusionDetection | İzinsiz giriş algılama yapılandırması. | FirewallPolicyIntrusionDetection |
| Sku | Güvenlik Duvarı İlkesi SKU'su. | FirewallPolicySku |
| snat | Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. | FirewallPolicySnat |
| SQL | SQL Ayarları tanımı. | FirewallPolicySQL |
| threatIntelMode | Tehdit Analizi için işlem modu. | 'Uyarı' 'Reddet' 'Kapalı' |
| threatIntelWhitelist | Güvenlik Duvarı İlkesi için ThreatIntel Beyaz Listesi. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS Yapılandırma tanımı. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Ad | Açıklama | Değer |
|---|---|---|
| Katmanı | Güvenlik Duvarı İlkesi katmanı. | 'Temel' 'Premium' 'Standart' |
FirewallPolicySnat
| Ad | Açıklama | Değer |
|---|---|---|
| autoLearnPrivateRanges | Özel aralıkları otomatik olarak öğrenmenin SNAT olmaması için işlem modu | 'Devre Dışı' 'Etkin' |
| privateRanges | SNAT olmaması için özel IP adreslerinin/IP adresi aralıklarının listesi. | string[] |
FirewallPolicySQL
| Ad | Açıklama | Değer |
|---|---|---|
| allowSqlRedirect | SQL Yeniden Yönlendirme trafik filtrelemenin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bayrağı açmak için 11000-11999 numaralı bağlantı noktasını kullanan bir kural gerekmez. | Bool |
FirewallPolicyThreatIntelWhitelist
| Ad | Açıklama | Değer |
|---|---|---|
| fqdns | ThreatIntel Beyaz Listesi için FQDN'lerin listesi. | string[] |
| ipAddresses | ThreatIntel Beyaz Listesi için IP adreslerinin listesi. | string[] |
FirewallPolicyTransportSecurity
| Ad | Açıklama | Değer |
|---|---|---|
| certificateAuthority | Ara CA oluşturma için kullanılan CA. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan bir kimlik kümesini içerir. 'Hiçbiri' türü sanal makineden tüm kimlikleri kaldırır. | 'Hiçbiri' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Kaynakla ilişkilendirilmiş kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlük anahtarı başvuruları şu biçimde ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Ad | Açıklama | Değer |
|---|
Microsoft.Network/firewallİlkeler
| Ad | Açıklama | Değer |
|---|---|---|
| apiVersion | API sürümü | '2023-09-01' |
| kimlik | Güvenlik duvarı ilkesinin kimliği. | ManagedServiceIdentity |
| yer | Kaynak konumu. | dizgi |
| ad | Kaynak adı | dize (gerekli) |
| Özellikler | Güvenlik duvarı ilkesinin özellikleri. | FirewallPolicyPropertiesFormat |
| Etiketler | Kaynak etiketleri | Etiket adları ve değerleri sözlüğü. Bkz. şablonlardaki Etiketleri |
| tür | Kaynak türü | 'Microsoft.Network/firewallPolicies' |
ResourceTags
| Ad | Açıklama | Değer |
|---|
Alt Kaynak
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | Kaynak Kimliği. | dizgi |
Hızlı başlangıç şablonları
Aşağıdaki hızlı başlangıç şablonları bu kaynak türünü dağıtır.
| Şablon | Açıklama |
|---|---|
Kurallar ve Ip Grupları ile Güvenlik Duvarı ve Güvenlik Duvarıİlkesi Oluşturma
'a dağıtma |
Bu şablon, uygulama ve ağ kurallarında IP Gruplarına başvuran bir Güvenlik Duvarı İlkesi (birden çok uygulama ve ağ kuralı dahil) ile bir Azure Güvenlik Duvarı dağıtır. |
|
FirewallPolicy ve IpGroups ile Güvenlik Duvarı Oluşturma
'a dağıtma |
Bu şablon, IpGroups ile Ağ Kurallarına başvuran FirewalllPolicy ile bir Azure Güvenlik Duvarı oluşturur. Ayrıca, Linux Jumpbox vm kurulumu içerir |
|
Açık Ara Sunucu Ile Güvenlik Duvarı, FirewallPolicy Oluşturma
'a dağıtma |
Bu şablon, Açık Ara Sunucu ile Bir Azure Güvenlik Duvarı, FirewalllPolicy ve IpGroups ile Ağ Kuralları oluşturur. Ayrıca, Linux Jumpbox vm kurulumu içerir |
|
Güvenlik Duvarı İlkesi ile korumalı alan kurulumu oluşturma
'a dağıtma |
Bu şablon, 3 alt ağa (sunucu alt ağı, sıçrama kutusu alt kümesi ve AzureFirewall alt ağı), genel IP'ye sahip bir sıçrama kutusu VM'sine, Sunucu Alt Ağı için Azure Güvenlik Duvarı'na ve 1 veya daha fazla Genel IP adresine sahip azure güvenlik duvarına işaret eden bir sunucu VM'sine, UDR yoluna sahip bir sanal ağ oluşturur. Ayrıca 1 örnek uygulama kuralı, 1 örnek ağ kuralı ve varsayılan özel aralıklarla bir Güvenlik Duvarı ilkesi oluşturur |
| güvenli sanal hub'ları
'a dağıtma |
Bu şablon, İnternet'e yönlendirilen bulut ağ trafiğinizin güvenliğini sağlamak için Azure Güvenlik Duvarı'nı kullanarak güvenli bir sanal merkez oluşturur. |
|
SharePoint Aboneliği / 2019 / 2016 tam olarak yapılandırılmış
'a dağıtma |
Bir DC, bir SQL Server 2022 ve SharePoint Aboneliği barındıran 1 ile 5 sunucu / 2019 / 2016 grubu arasında güvenilir kimlik doğrulaması, kişisel sitelerle kullanıcı profilleri, OAuth güveni (sertifika kullanarak), yüksek güven eklentileri barındırmak için ayrılmış bir IIS sitesi vb. gibi kapsamlı bir yapılandırmayla oluşturun. Anahtar yazılımlarının en son sürümü (Fiddler, vscode, np++, 7zip, ULS Viewer dahil) yüklenir. SharePoint makinelerinin hemen kullanılabilir hale getirmek için ek ince ayarlamaları vardır (uzaktan yönetim araçları, Edge ve Chrome için özel ilkeler, kısayollar vb.). |
| Azure Güvenlik Duvarı Premium için
'a dağıtma |
Bu şablon yetkisiz erişim denetimi algılama (IDPS), TLS denetimi ve Web Kategorisi filtreleme gibi premium özelliklere sahip bir Azure Güvenlik Duvarı Premium ve Güvenlik Duvarı İlkesi oluşturur |
|
Azure Güvenlik Duvarı'nı Merkez & Uç topolojisinde DNS Proxy'si olarak kullanma
'a dağıtma |
Bu örnek, Azure Güvenlik Duvarı'nı kullanarak Azure'da merkez-uç topolojisinin nasıl dağıtılacağı gösterilmektedir. Merkez sanal ağı, sanal ağ eşlemesi aracılığıyla merkez sanal ağına bağlanan birçok uç sanal ağına merkezi bir bağlantı noktası işlevi görür. |
Terraform (AzAPI sağlayıcısı) kaynak tanımı
firewallPolicies kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
- Kaynak grupları
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.Network/firewallPolicies kaynağı oluşturmak için şablonunuza aşağıdaki Terraform'u ekleyin.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-09-01"
name = "string"
identity = {
type = "string"
userAssignedIdentities = {
{customized property} = {
}
}
}
location = "string"
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
tags = {
{customized property} = "string"
}
}
Özellik değerleri
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Ad | Açıklama | Değer |
|---|
DnsSettings
| Ad | Açıklama | Değer |
|---|---|---|
| enableProxy | Güvenlik Duvarı İlkesi'ne bağlı Güvenlik Duvarlarında DNS Proxy'sini etkinleştirin. | Bool |
| requireProxyForNetworkRules | Ağ Kurallarındaki FQDN'ler true olarak ayarlandığında desteklenir. | Bool |
| Sunucu | Özel DNS Sunucularının Listesi. | string[] |
ExplicitProxy
| Ad | Açıklama | Değer |
|---|---|---|
| enableExplicitProxy | True olarak ayarlandığında, açık ara sunucu modu etkinleştirilir. | Bool |
| enablePacFile | True olarak ayarlandığında pac dosyası bağlantı noktası ve URL sağlanmalıdır. | Bool |
| httpPort | Açık ara sunucu http protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
| httpsPort | Açık ara sunucu https protokolü için bağlantı noktası numarası 64000'den büyük olamaz. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
| pacFile | PAC dosyası için SAS URL'si. | dizgi |
| pacFilePort | GÜVENLIK duvarının PAC dosyasına hizmet vermek için bağlantı noktası numarası. | Int Kısıtlama -ları: En düşük değer = 0 Maksimum değer = 64000 |
FirewallPolicyCertificateAuthority
| Ad | Açıklama | Değer |
|---|---|---|
| keyVaultSecretId | KeyVault'ta depolanan gizli dizi kimliği (base-64 kodlanmamış şifrelenmemiş pfx) 'Secret' veya 'Certificate' nesnesi. | dizgi |
| ad | CA sertifikasının adı. | dizgi |
FirewallPolicyInsights
| Ad | Açıklama | Değer |
|---|---|---|
| isEnabled | İlkede içgörülerin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. | Bool |
| logAnalyticsResources | Güvenlik Duvarı İlkesi İçgörülerini yapılandırmak için gereken çalışma alanları. | FirewallPolicyLogAnalyticsResources |
| retentionDays | İlkede içgörülerin etkinleştirilmesi gereken gün sayısı. | Int |
FirewallPolicyIntrusionDetection
| Ad | Açıklama | Değer |
|---|---|---|
| konfigürasyon | İzinsiz giriş algılama yapılandırma özellikleri. | FirewallPolicyIntrusionDetectionConfiguration |
| mod | İzinsiz giriş algılama genel durumu. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin IDPS modu ikisinin daha katı modudur. | 'Uyarı' 'Reddet' 'Kapalı' |
| profil | IDPS profil adı. Bir üst ilkeye eklendiğinde, güvenlik duvarının etkin profili üst ilkenin profil adıdır. | 'Gelişmiş' 'Temel' 'Genişletilmiş' 'Standart' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Ad | Açıklama | Değer |
|---|---|---|
| Açıklama | Trafiği atlama kuralının açıklaması. | dizgi |
| destinationAddresses | Bu kural için hedef IP adreslerinin veya aralıklarının listesi. | string[] |
| destinationIpGroups | Bu kural için hedef IpGroup'ların listesi. | string[] |
| destinationPorts | Hedef bağlantı noktalarının veya aralıkların listesi. | string[] |
| ad | Atlama trafiği kuralının adı. | dizgi |
| protokol | Kural atlama protokolü. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Bu kural için kaynak IP adreslerinin veya aralıklarının listesi. | string[] |
| sourceIpGroups | Bu kural için kaynak IpGroup'ların listesi. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Ad | Açıklama | Değer |
|---|---|---|
| bypassTrafficSettings | Atlayacak trafik kurallarının listesi. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS Özel IP adresi aralıkları trafik yönünü (gelen, giden vb.) tanımlamak için kullanılır. Varsayılan olarak, yalnızca IANA RFC 1918 tarafından tanımlanan aralıklar özel IP adresleri olarak kabul edilir. Varsayılan aralıkları değiştirmek için Bu özellik ile Özel IP adresi aralıklarınızı belirtin | string[] |
| signatureOverrides | Belirli imza durumlarının listesi. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | İmza kimliği. | dizgi |
| mod | İmza durumu. | 'Uyarı' 'Reddet' 'Kapalı' |
FirewallPolicyLogAnalyticsResources
| Ad | Açıklama | Değer |
|---|---|---|
| defaultWorkspaceId | Güvenlik Duvarı İlkesi İçgörüleri için varsayılan çalışma alanı kimliği. | AltKaynak |
| çalışma alanları | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanlarının listesi. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Ad | Açıklama | Değer |
|---|---|---|
| bölge | Çalışma Alanını yapılandırmak için bölge. | dizgi |
| workspaceId | Güvenlik Duvarı İlkesi İçgörüleri için çalışma alanı kimliği. | AltKaynak |
FirewallPolicyPropertiesFormat
| Ad | Açıklama | Değer |
|---|---|---|
| basePolicy | Kuralların devralındığı üst güvenlik duvarı ilkesi. | AltKaynak |
| dnsSettings | DNS Proxy Ayarları tanımı. | dnssettings |
| explicitProxy | Açık Ara Sunucu Ayarları tanımı. | ExplicitProxy |
| Anlayış | Güvenlik Duvarı İlkesiyle ilgili içgörüler. | FirewallPolicyInsights |
| intrusionDetection | İzinsiz giriş algılama yapılandırması. | FirewallPolicyIntrusionDetection |
| Sku | Güvenlik Duvarı İlkesi SKU'su. | FirewallPolicySku |
| snat | Trafiğin SNAT olmadığı özel IP adresleri/IP aralıkları. | FirewallPolicySnat |
| SQL | SQL Ayarları tanımı. | FirewallPolicySQL |
| threatIntelMode | Tehdit Analizi için işlem modu. | 'Uyarı' 'Reddet' 'Kapalı' |
| threatIntelWhitelist | Güvenlik Duvarı İlkesi için ThreatIntel Beyaz Listesi. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | TLS Yapılandırma tanımı. | FirewallPolicyTransportSecurity |
FirewallPolicySku
| Ad | Açıklama | Değer |
|---|---|---|
| Katmanı | Güvenlik Duvarı İlkesi katmanı. | 'Temel' 'Premium' 'Standart' |
FirewallPolicySnat
| Ad | Açıklama | Değer |
|---|---|---|
| autoLearnPrivateRanges | Özel aralıkları otomatik olarak öğrenmenin SNAT olmaması için işlem modu | 'Devre Dışı' 'Etkin' |
| privateRanges | SNAT olmaması için özel IP adreslerinin/IP adresi aralıklarının listesi. | string[] |
FirewallPolicySQL
| Ad | Açıklama | Değer |
|---|---|---|
| allowSqlRedirect | SQL Yeniden Yönlendirme trafik filtrelemenin etkinleştirilip etkinleştirilmediğini belirten bir bayrak. Bayrağı açmak için 11000-11999 numaralı bağlantı noktasını kullanan bir kural gerekmez. | Bool |
FirewallPolicyThreatIntelWhitelist
| Ad | Açıklama | Değer |
|---|---|---|
| fqdns | ThreatIntel Beyaz Listesi için FQDN'lerin listesi. | string[] |
| ipAddresses | ThreatIntel Beyaz Listesi için IP adreslerinin listesi. | string[] |
FirewallPolicyTransportSecurity
| Ad | Açıklama | Değer |
|---|---|---|
| certificateAuthority | Ara CA oluşturma için kullanılan CA. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentity
| Ad | Açıklama | Değer |
|---|---|---|
| tür | Kaynak için kullanılan kimlik türü. 'SystemAssigned, UserAssigned' türü hem örtük olarak oluşturulmuş bir kimliği hem de kullanıcı tarafından atanan bir kimlik kümesini içerir. 'Hiçbiri' türü sanal makineden tüm kimlikleri kaldırır. | 'Hiçbiri' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Kaynakla ilişkilendirilmiş kullanıcı kimliklerinin listesi. Kullanıcı kimliği sözlük anahtarı başvuruları şu biçimde ARM kaynak kimlikleri olacaktır: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Ad | Açıklama | Değer |
|---|
Microsoft.Network/firewallİlkeler
| Ad | Açıklama | Değer |
|---|---|---|
| kimlik | Güvenlik duvarı ilkesinin kimliği. | ManagedServiceIdentity |
| yer | Kaynak konumu. | dizgi |
| ad | Kaynak adı | dize (gerekli) |
| Özellikler | Güvenlik duvarı ilkesinin özellikleri. | FirewallPolicyPropertiesFormat |
| Etiketler | Kaynak etiketleri | Etiket adları ve değerleri sözlüğü. |
| tür | Kaynak türü | "Microsoft.Network/firewallPolicies@2023-09-01" |
ResourceTags
| Ad | Açıklama | Değer |
|---|
Alt Kaynak
| Ad | Açıklama | Değer |
|---|---|---|
| Kimliği | Kaynak Kimliği. | dizgi |