Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
- neueste
- 2025-01-01
- 2024-10-01
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep-Ressourcendefinition
Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie ihrer Vorlage die folgende Bicep hinzu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2025-03-01' = {
scope: resourceSymbolicName or scope
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Eigenschaftswerte
Microsoft.Network/firewallPolicies
| Name | Beschreibung | Wert |
|---|---|---|
| Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity- |
| Ort | Ressourcenspeicherort. | Schnur |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| Eigenschaften | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat- |
| scope | Verwenden Sie diese Verwendung beim Erstellen einer Ressource in einem Bereich, der sich von dem Bereitstellungsbereich unterscheidet. | Legen Sie diese Eigenschaft auf den symbolischen Namen einer Ressource fest, um die Erweiterungsressourceanzuwenden. |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
Komponenten1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Name | Beschreibung | Wert |
|---|
Dns-Einstellungen
| Name | Beschreibung | Wert |
|---|---|---|
| enableProxy | Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | Bool |
| requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. | Bool |
| Diener | Liste der benutzerdefinierten DNS-Server. | Zeichenfolge[] |
ExplicitProxy
| Name | Beschreibung | Wert |
|---|---|---|
| enableExplicitProxy | Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. | Bool |
| enablePacDatei | Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. | Bool |
| httpPort (Englisch) | Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
| https-Anschluss | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
| pacDatei | SAS-URL für PAC-Datei. | Schnur |
| pacFilePort | Portnummer für firewall to serve PAC file. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
FirewallPolicyCertificateAuthority
| Name | Beschreibung | Wert |
|---|---|---|
| keyVaultSecretId | Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. | Schnur |
| Name | Name des Zertifizierungsstellenzertifikats. | Schnur |
FirewallPolicyInsights
| Name | Beschreibung | Wert |
|---|---|---|
| isEnabled (Aktiviert) | Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. | Bool |
| logAnalyticsRessourcen | Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. | FirewallPolicyLogAnalyticsResources- |
| retentionDays | Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. | Int |
FirewallPolicyIntrusionDetection
| Name | Beschreibung | Wert |
|---|---|---|
| Konfiguration | Eigenschaften der Angriffserkennungskonfiguration. | FirewallPolicyIntrusionDetectionConfiguration |
| Modus | Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Ablehnen" 'Aus' |
| Profil | IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | "Erweitert" "Einfach" "Erweitert" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpezifikationen
| Name | Beschreibung | Wert |
|---|---|---|
| Beschreibung | Beschreibung der Umgehungs-Datenverkehrsregel. | Schnur |
| Zieladressen | Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. | Zeichenfolge[] |
| destinationIp-Gruppen | Liste der Ziel-IpGroups für diese Regel. | Zeichenfolge[] |
| destinationPorts | Liste der Zielports oder -bereiche. | Zeichenfolge[] |
| Name | Name der Umgehungs-Datenverkehrsregel. | Schnur |
| Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
| Quelladressen | Liste der Quell-IP-Adressen oder Bereiche für diese Regel. | Zeichenfolge[] |
| sourceIpGroups | Liste der Quell-IpGroups für diese Regel. | Zeichenfolge[] |
FirewallPolicyIntrusionDetectionConfiguration
| Name | Beschreibung | Wert |
|---|---|---|
| bypassTrafficEinstellungen | Liste der Regeln für die Umgehung von Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an | Zeichenfolge[] |
| signatureÜberschreibungen | Liste bestimmter Signaturenzustände. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Name | Beschreibung | Wert |
|---|---|---|
| id | Signatur-ID. | Schnur |
| Modus | Der Signaturstatus. | "Warnung" "Ablehnen" 'Aus' |
FirewallPolicyLogAnalyticsRessourcen
| Name | Beschreibung | Wert |
|---|---|---|
| defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
| Arbeitsbereiche | Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsArbeitsbereich
| Name | Beschreibung | Wert |
|---|---|---|
| Region | Region zum Konfigurieren des Arbeitsbereichs. | Schnur |
| Arbeitsbereichs-ID | Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
FirewallPolicyPropertiesFormat
| Name | Beschreibung | Wert |
|---|---|---|
| baseRichtlinie | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | SubResource- |
| dns-Einstellungen | DNS-Proxyeinstellungendefinition. | DnsSettings- |
| explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy- |
| Einblicke | Einblicke in die Firewallrichtlinie. | FirewallPolicyInsights- |
| IntrusionDetection | Die Konfiguration für die Angriffserkennung. | FirewallPolicyIntrusionDetection- |
| Sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku- |
| snat | Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. | FirewallPolicySnat- |
| SQL | SQL-Einstellungsdefinition. | FirewallPolicySQL- |
| bedrohIntelMode | Der Vorgangsmodus für Threat Intelligence. | "Warnung" "Ablehnen" 'Aus' |
| BedrohungIntelWhitelist | ThreatIntel Whitelist für Firewallrichtlinien. | FirewallRichtlinieBedrohungIntelWhitelist |
| TransportSicherheit | TLS-Konfigurationsdefinition. | FirewallRichtlinieTransportSicherheit |
FirewallPolicySku
| Name | Beschreibung | Wert |
|---|---|---|
| Rang | Ebene der Firewallrichtlinie. | "Einfach" "Premium" "Standard" |
FirewallPolicySnat
| Name | Beschreibung | Wert |
|---|---|---|
| autoLearnPrivateRanges | Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
| privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | Zeichenfolge[] |
FirewallPolicySQL
| Name | Beschreibung | Wert |
|---|---|---|
| allowSqlRedirect | Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. | Bool |
FirewallRichtlinieBedrohungIntelWhitelist
| Name | Beschreibung | Wert |
|---|---|---|
| FQDNS | Liste der FQDNs für die Whitelist "ThreatIntel". | Zeichenfolge[] |
| ip-Adressen | Liste der IP-Adressen für die ThreatIntel Whitelist. | Zeichenfolge[] |
FirewallRichtlinieTransportSicherheit
| Name | Beschreibung | Wert |
|---|---|---|
| certificateAuthority | Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. | FirewallPolicyCertificateAuthority- |
Verwaltete Dienstidentität
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | "Keine" 'SystemZugewiesen' "SystemAssigned, UserAssigned" "UserAssigned" |
| vom Benutzer zugewiesene Identitäten | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities- |
ManagedServiceIdentityUserAssignedIdentities
| Name | Beschreibung | Wert |
|---|
Ressourcen-Tags
| Name | Beschreibung | Wert |
|---|
Unterressource
| Name | Beschreibung | Wert |
|---|---|---|
| id | Ressourcen-ID. | Schnur |
Verwendungsbeispiele
Von Azure verifizierte Module
Die folgenden Azure Verified Modules können verwendet werden, um diesen Ressourcentyp bereitzustellen.
| Modul | Beschreibung |
|---|---|
| Firewallrichtlinie | AVM-Ressourcenmodul für Firewallrichtlinien |
Azure-Schnellstartbeispiele
Die folgenden Azure-Schnellstartvorlagen Bicep-Beispiele für die Bereitstellung dieses Ressourcentyps enthalten.
| Bicep-Datei | Beschreibung |
|---|---|
| Erstellen einer Firewall und FirewallPolicy mit Regeln und Ipgroups | Diese Vorlage stellt eine Azure-Firewall mit Firewallrichtlinie (einschließlich mehrerer Anwendungs- und Netzwerkregeln) bereit, die auf IP-Gruppen in Anwendungs- und Netzwerkregeln verweisen. |
| Gesicherte virtuelle Hubs | Diese Vorlage erstellt einen gesicherten virtuellen Hub mithilfe der Azure-Firewall, um Ihren Cloudnetzwerkdatenverkehr zu sichern, der an das Internet bestimmt ist. |
| SharePoint Abo / 2019 / 2016 fertig konfiguriert | Erstellen Sie einen Domänencontroller, einen SQL Server 2022 und 1 bis 5 Server, die eine SharePoint-Abonnementfarm / 2019 / 2016 mit einer umfangreichen Konfiguration hosten, einschließlich vertrauenswürdiger Authentifizierung, Benutzerprofilen mit persönlichen Websites, einer OAuth-Vertrauensstellung (unter Verwendung eines Zertifikats), einer dedizierten IIS-Website zum Hosten besonders vertrauenswürdiger Add-Ins usw. Die neueste Version der wichtigsten Software (einschließlich Fiddler, vscode, np++, 7zip, ULS Viewer) ist installiert. SharePoint-Computer verfügen über zusätzliche Feinabstimmungen, um sie sofort nutzbar zu machen (Remote-Verwaltungstools, benutzerdefinierte Richtlinien für Edge und Chrome, Verknüpfungen usw.). |
| Testumgebung für Azure Firewall Premium | Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung |
| Verwenden der Azure Firewall als DNS-Proxy in einer Hub-& Speichentopologie | In diesem Beispiel wird gezeigt, wie Sie eine Hub-Spoke-Topologie in Azure mithilfe der Azure-Firewall bereitstellen. Das virtuelle Hubnetzwerk fungiert als zentraler Punkt der Konnektivität mit vielen speichen virtuellen Netzwerken, die über virtuelles Peering mit dem virtuellen Hubnetzwerk verbunden sind. |
ARM-Vorlagenressourcendefinition
Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2025-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Eigenschaftswerte
Microsoft.Network/firewallPolicies
| Name | Beschreibung | Wert |
|---|---|---|
| apiVersion (Englisch) | Die API-Version | '2025-03-01' |
| Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity- |
| Ort | Ressourcenspeicherort. | Schnur |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| Eigenschaften | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat- |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
| Art | Der Ressourcentyp | 'Microsoft.Network/firewallPolicies' |
Komponenten1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Name | Beschreibung | Wert |
|---|
Dns-Einstellungen
| Name | Beschreibung | Wert |
|---|---|---|
| enableProxy | Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | Bool |
| requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. | Bool |
| Diener | Liste der benutzerdefinierten DNS-Server. | Zeichenfolge[] |
ExplicitProxy
| Name | Beschreibung | Wert |
|---|---|---|
| enableExplicitProxy | Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. | Bool |
| enablePacDatei | Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. | Bool |
| httpPort (Englisch) | Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
| https-Anschluss | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
| pacDatei | SAS-URL für PAC-Datei. | Schnur |
| pacFilePort | Portnummer für firewall to serve PAC file. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
FirewallPolicyCertificateAuthority
| Name | Beschreibung | Wert |
|---|---|---|
| keyVaultSecretId | Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. | Schnur |
| Name | Name des Zertifizierungsstellenzertifikats. | Schnur |
FirewallPolicyInsights
| Name | Beschreibung | Wert |
|---|---|---|
| isEnabled (Aktiviert) | Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. | Bool |
| logAnalyticsRessourcen | Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. | FirewallPolicyLogAnalyticsResources- |
| retentionDays | Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. | Int |
FirewallPolicyIntrusionDetection
| Name | Beschreibung | Wert |
|---|---|---|
| Konfiguration | Eigenschaften der Angriffserkennungskonfiguration. | FirewallPolicyIntrusionDetectionConfiguration |
| Modus | Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Ablehnen" 'Aus' |
| Profil | IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | "Erweitert" "Einfach" "Erweitert" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpezifikationen
| Name | Beschreibung | Wert |
|---|---|---|
| Beschreibung | Beschreibung der Umgehungs-Datenverkehrsregel. | Schnur |
| Zieladressen | Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. | Zeichenfolge[] |
| destinationIp-Gruppen | Liste der Ziel-IpGroups für diese Regel. | Zeichenfolge[] |
| destinationPorts | Liste der Zielports oder -bereiche. | Zeichenfolge[] |
| Name | Name der Umgehungs-Datenverkehrsregel. | Schnur |
| Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
| Quelladressen | Liste der Quell-IP-Adressen oder Bereiche für diese Regel. | Zeichenfolge[] |
| sourceIpGroups | Liste der Quell-IpGroups für diese Regel. | Zeichenfolge[] |
FirewallPolicyIntrusionDetectionConfiguration
| Name | Beschreibung | Wert |
|---|---|---|
| bypassTrafficEinstellungen | Liste der Regeln für die Umgehung von Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an | Zeichenfolge[] |
| signatureÜberschreibungen | Liste bestimmter Signaturenzustände. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Name | Beschreibung | Wert |
|---|---|---|
| id | Signatur-ID. | Schnur |
| Modus | Der Signaturstatus. | "Warnung" "Ablehnen" 'Aus' |
FirewallPolicyLogAnalyticsRessourcen
| Name | Beschreibung | Wert |
|---|---|---|
| defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
| Arbeitsbereiche | Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsArbeitsbereich
| Name | Beschreibung | Wert |
|---|---|---|
| Region | Region zum Konfigurieren des Arbeitsbereichs. | Schnur |
| Arbeitsbereichs-ID | Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
FirewallPolicyPropertiesFormat
| Name | Beschreibung | Wert |
|---|---|---|
| baseRichtlinie | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | SubResource- |
| dns-Einstellungen | DNS-Proxyeinstellungendefinition. | DnsSettings- |
| explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy- |
| Einblicke | Einblicke in die Firewallrichtlinie. | FirewallPolicyInsights- |
| IntrusionDetection | Die Konfiguration für die Angriffserkennung. | FirewallPolicyIntrusionDetection- |
| Sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku- |
| snat | Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. | FirewallPolicySnat- |
| SQL | SQL-Einstellungsdefinition. | FirewallPolicySQL- |
| bedrohIntelMode | Der Vorgangsmodus für Threat Intelligence. | "Warnung" "Ablehnen" 'Aus' |
| BedrohungIntelWhitelist | ThreatIntel Whitelist für Firewallrichtlinien. | FirewallRichtlinieBedrohungIntelWhitelist |
| TransportSicherheit | TLS-Konfigurationsdefinition. | FirewallRichtlinieTransportSicherheit |
FirewallPolicySku
| Name | Beschreibung | Wert |
|---|---|---|
| Rang | Ebene der Firewallrichtlinie. | "Einfach" "Premium" "Standard" |
FirewallPolicySnat
| Name | Beschreibung | Wert |
|---|---|---|
| autoLearnPrivateRanges | Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
| privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | Zeichenfolge[] |
FirewallPolicySQL
| Name | Beschreibung | Wert |
|---|---|---|
| allowSqlRedirect | Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. | Bool |
FirewallRichtlinieBedrohungIntelWhitelist
| Name | Beschreibung | Wert |
|---|---|---|
| FQDNS | Liste der FQDNs für die Whitelist "ThreatIntel". | Zeichenfolge[] |
| ip-Adressen | Liste der IP-Adressen für die ThreatIntel Whitelist. | Zeichenfolge[] |
FirewallRichtlinieTransportSicherheit
| Name | Beschreibung | Wert |
|---|---|---|
| certificateAuthority | Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. | FirewallPolicyCertificateAuthority- |
Verwaltete Dienstidentität
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | "Keine" 'SystemZugewiesen' "SystemAssigned, UserAssigned" "UserAssigned" |
| vom Benutzer zugewiesene Identitäten | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities- |
ManagedServiceIdentityUserAssignedIdentities
| Name | Beschreibung | Wert |
|---|
Ressourcen-Tags
| Name | Beschreibung | Wert |
|---|
Unterressource
| Name | Beschreibung | Wert |
|---|---|---|
| id | Ressourcen-ID. | Schnur |
Verwendungsbeispiele
Azure-Schnellstartvorlagen
Die folgenden Azure-Schnellstartvorlagen diesen Ressourcentyp bereitstellen.
| Schablone | Beschreibung |
|---|---|
Erstellen einer Firewall und FirewallPolicy mit Regeln und Ipgroups
|
Diese Vorlage stellt eine Azure-Firewall mit Firewallrichtlinie (einschließlich mehrerer Anwendungs- und Netzwerkregeln) bereit, die auf IP-Gruppen in Anwendungs- und Netzwerkregeln verweisen. |
|
Erstellen einer Firewall mit FirewallPolicy- und IpGroups-
|
Diese Vorlage erstellt eine Azure-Firewall mit FirewalllPolicy, die auf Netzwerkregeln mit IpGroups verweist. Enthält außerdem ein Linux-Jumpbox-VM-Setup |
|
Erstellen einer Firewall, FirewallPolicy mit explizitem Proxy-
|
Diese Vorlage erstellt eine Azure Firewall, FirewalllPolicy mit expliziten Proxy- und Netzwerkregeln mit IpGroups. Enthält außerdem ein Linux-Jumpbox-VM-Setup |
|
Erstellen eines Sandkastensetups mit Firewallrichtlinien-
|
Diese Vorlage erstellt ein virtuelles Netzwerk mit 3 Subnetzen (Server-Subnetz, Jumpbox-Subet und AzureFirewall-Subnetz), einer Jumpbox-VM mit öffentlicher IP, einer Server-VM, UDR-Route, die auf Azure Firewall für das Server-Subnetz und eine Azure-Firewall mit 1 oder mehr öffentlichen IP-Adressen verweist. Erstellt außerdem eine Firewallrichtlinie mit einer Beispielanwendungsregel, einer Beispiel-Netzwerkregel und standardmäßigen privaten Bereichen |
|
Gesicherte virtuelle Hubs
|
Diese Vorlage erstellt einen gesicherten virtuellen Hub mithilfe der Azure-Firewall, um Ihren Cloudnetzwerkdatenverkehr zu sichern, der an das Internet bestimmt ist. |
|
SharePoint Abo / 2019 / 2016 fertig konfiguriert
|
Erstellen Sie einen Domänencontroller, einen SQL Server 2022 und 1 bis 5 Server, die eine SharePoint-Abonnementfarm / 2019 / 2016 mit einer umfangreichen Konfiguration hosten, einschließlich vertrauenswürdiger Authentifizierung, Benutzerprofilen mit persönlichen Websites, einer OAuth-Vertrauensstellung (unter Verwendung eines Zertifikats), einer dedizierten IIS-Website zum Hosten besonders vertrauenswürdiger Add-Ins usw. Die neueste Version der wichtigsten Software (einschließlich Fiddler, vscode, np++, 7zip, ULS Viewer) ist installiert. SharePoint-Computer verfügen über zusätzliche Feinabstimmungen, um sie sofort nutzbar zu machen (Remote-Verwaltungstools, benutzerdefinierte Richtlinien für Edge und Chrome, Verknüpfungen usw.). |
|
Testumgebung für Azure Firewall Premium
|
Diese Vorlage erstellt eine Azure Firewall Premium- und Firewallrichtlinie mit Premium-Features wie Intrusion Inspection Detection (IDPS), TLS-Inspektion und Webkategoriefilterung |
|
Verwenden der Azure Firewall als DNS-Proxy in einer Hub-& Speichentopologie
|
In diesem Beispiel wird gezeigt, wie Sie eine Hub-Spoke-Topologie in Azure mithilfe der Azure-Firewall bereitstellen. Das virtuelle Hubnetzwerk fungiert als zentraler Punkt der Konnektivität mit vielen speichen virtuellen Netzwerken, die über virtuelles Peering mit dem virtuellen Hubnetzwerk verbunden sind. |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der Ressourcentyp "firewallPolicies" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/firewallPolicies-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2025-03-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
Eigenschaftswerte
Microsoft.Network/firewallPolicies
| Name | Beschreibung | Wert |
|---|---|---|
| Identität | Die Identität der Firewallrichtlinie. | ManagedServiceIdentity- |
| Ort | Ressourcenspeicherort. | Schnur |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| parent_id | Die ID der Ressource, auf die diese Erweiterungsressource angewendet werden soll. | Zeichenfolge (erforderlich) |
| Eigenschaften | Eigenschaften der Firewallrichtlinie. | FirewallPolicyPropertiesFormat- |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. |
| Art | Der Ressourcentyp | "Microsoft.Network/firewallPolicies@2025-03-01" |
Komponenten1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Name | Beschreibung | Wert |
|---|
Dns-Einstellungen
| Name | Beschreibung | Wert |
|---|---|---|
| enableProxy | Aktivieren Sie DEN DNS-Proxy für Firewalls, die an die Firewallrichtlinie angefügt sind. | Bool |
| requireProxyForNetworkRules | FQDNs in Netzwerkregeln werden unterstützt, wenn sie auf "true" festgelegt sind. | Bool |
| Diener | Liste der benutzerdefinierten DNS-Server. | Zeichenfolge[] |
ExplicitProxy
| Name | Beschreibung | Wert |
|---|---|---|
| enableExplicitProxy | Bei Festlegung auf "true" ist der explizite Proxymodus aktiviert. | Bool |
| enablePacDatei | Wenn dieser Wert auf "true" festgelegt ist, muss der PAC-Dateiport und die URL angegeben werden. | Bool |
| httpPort (Englisch) | Die Portnummer für das explizite Proxy-HTTP-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
| https-Anschluss | Portnummer für explizites Proxy-HTTPS-Protokoll darf nicht größer als 64000 sein. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
| pacDatei | SAS-URL für PAC-Datei. | Schnur |
| pacFilePort | Portnummer für firewall to serve PAC file. | Int Zwänge: Min.-Wert = 0 Maximalwert = 64000 |
FirewallPolicyCertificateAuthority
| Name | Beschreibung | Wert |
|---|---|---|
| keyVaultSecretId | Geheime ID (base-64-codiertes nicht verschlüsseltes PFX)-Objekt "Secret" oder "Certificate", das in KeyVault gespeichert ist. | Schnur |
| Name | Name des Zertifizierungsstellenzertifikats. | Schnur |
FirewallPolicyInsights
| Name | Beschreibung | Wert |
|---|---|---|
| isEnabled (Aktiviert) | Ein Kennzeichen, das angibt, ob die Einblicke in die Richtlinie aktiviert sind. | Bool |
| logAnalyticsRessourcen | Arbeitsbereiche, die zum Konfigurieren der Firewallrichtlinieneinblicke erforderlich sind. | FirewallPolicyLogAnalyticsResources- |
| retentionDays | Die Anzahl der Tage, an denen die Einblicke für die Richtlinie aktiviert werden sollen. | Int |
FirewallPolicyIntrusionDetection
| Name | Beschreibung | Wert |
|---|---|---|
| Konfiguration | Eigenschaften der Angriffserkennungskonfiguration. | FirewallPolicyIntrusionDetectionConfiguration |
| Modus | Allgemeiner Zustand der Angriffserkennung. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist der effektive IDPS-Modus der Firewall der strengere Modus der beiden. | "Warnung" "Ablehnen" 'Aus' |
| Profil | IDPS-Profilname. Wenn sie an eine übergeordnete Richtlinie angefügt ist, ist das effektive Profil der Firewall der Profilname der übergeordneten Richtlinie. | "Erweitert" "Einfach" "Erweitert" "Standard" |
FirewallPolicyIntrusionDetectionBypassTrafficSpezifikationen
| Name | Beschreibung | Wert |
|---|---|---|
| Beschreibung | Beschreibung der Umgehungs-Datenverkehrsregel. | Schnur |
| Zieladressen | Liste der Ziel-IP-Adressen oder Bereiche für diese Regel. | Zeichenfolge[] |
| destinationIp-Gruppen | Liste der Ziel-IpGroups für diese Regel. | Zeichenfolge[] |
| destinationPorts | Liste der Zielports oder -bereiche. | Zeichenfolge[] |
| Name | Name der Umgehungs-Datenverkehrsregel. | Schnur |
| Protokoll | Das Regelumgehungsprotokoll. | "ANY" "ICMP" "TCP" "UDP" |
| Quelladressen | Liste der Quell-IP-Adressen oder Bereiche für diese Regel. | Zeichenfolge[] |
| sourceIpGroups | Liste der Quell-IpGroups für diese Regel. | Zeichenfolge[] |
FirewallPolicyIntrusionDetectionConfiguration
| Name | Beschreibung | Wert |
|---|---|---|
| bypassTrafficEinstellungen | Liste der Regeln für die Umgehung von Datenverkehr. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS Private IP-Adressbereiche werden verwendet, um die Datenverkehrsrichtung (z. B. eingehend, ausgehend usw.) zu identifizieren. Standardmäßig werden nur von IANA RFC 1918 definierte Bereiche als private IP-Adressen betrachtet. Um Standardbereiche zu ändern, geben Sie Ihre privaten IP-Adressbereiche mit dieser Eigenschaft an | Zeichenfolge[] |
| signatureÜberschreibungen | Liste bestimmter Signaturenzustände. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Name | Beschreibung | Wert |
|---|---|---|
| id | Signatur-ID. | Schnur |
| Modus | Der Signaturstatus. | "Warnung" "Ablehnen" 'Aus' |
FirewallPolicyLogAnalyticsRessourcen
| Name | Beschreibung | Wert |
|---|---|---|
| defaultWorkspaceId | Die Standardarbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
| Arbeitsbereiche | Liste der Arbeitsbereiche für Firewallrichtlinieneinblicke. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsArbeitsbereich
| Name | Beschreibung | Wert |
|---|---|---|
| Region | Region zum Konfigurieren des Arbeitsbereichs. | Schnur |
| Arbeitsbereichs-ID | Die Arbeitsbereichs-ID für Firewallrichtlinieneinblicke. | SubResource- |
FirewallPolicyPropertiesFormat
| Name | Beschreibung | Wert |
|---|---|---|
| baseRichtlinie | Die übergeordnete Firewallrichtlinie, von der Regeln geerbt werden. | SubResource- |
| dns-Einstellungen | DNS-Proxyeinstellungendefinition. | DnsSettings- |
| explicitProxy | Definition expliziter Proxyeinstellungen. | ExplicitProxy- |
| Einblicke | Einblicke in die Firewallrichtlinie. | FirewallPolicyInsights- |
| IntrusionDetection | Die Konfiguration für die Angriffserkennung. | FirewallPolicyIntrusionDetection- |
| Sku | Die Firewallrichtlinien-SKU. | FirewallPolicySku- |
| snat | Die privaten IP-Adressen/IP-Bereiche, zu denen Datenverkehr nicht SNAT sein wird. | FirewallPolicySnat- |
| SQL | SQL-Einstellungsdefinition. | FirewallPolicySQL- |
| bedrohIntelMode | Der Vorgangsmodus für Threat Intelligence. | "Warnung" "Ablehnen" 'Aus' |
| BedrohungIntelWhitelist | ThreatIntel Whitelist für Firewallrichtlinien. | FirewallRichtlinieBedrohungIntelWhitelist |
| TransportSicherheit | TLS-Konfigurationsdefinition. | FirewallRichtlinieTransportSicherheit |
FirewallPolicySku
| Name | Beschreibung | Wert |
|---|---|---|
| Rang | Ebene der Firewallrichtlinie. | "Einfach" "Premium" "Standard" |
FirewallPolicySnat
| Name | Beschreibung | Wert |
|---|---|---|
| autoLearnPrivateRanges | Der Betriebsmodus für automatisches Lernen privater Bereiche, um nicht SNAT zu sein | "Deaktiviert" "Aktiviert" |
| privateRanges | Liste der privaten IP-Adressen/IP-Adressbereiche, die nicht SNAT sein sollen. | Zeichenfolge[] |
FirewallPolicySQL
| Name | Beschreibung | Wert |
|---|---|---|
| allowSqlRedirect | Ein Flag, das angibt, ob die SQL-Umleitungs-Datenverkehrsfilterung aktiviert ist. Das Aktivieren der Kennzeichnung erfordert keine Regel mit Port 11000-11999. | Bool |
FirewallRichtlinieBedrohungIntelWhitelist
| Name | Beschreibung | Wert |
|---|---|---|
| FQDNS | Liste der FQDNs für die Whitelist "ThreatIntel". | Zeichenfolge[] |
| ip-Adressen | Liste der IP-Adressen für die ThreatIntel Whitelist. | Zeichenfolge[] |
FirewallRichtlinieTransportSicherheit
| Name | Beschreibung | Wert |
|---|---|---|
| certificateAuthority | Die Zertifizierungsstelle, die für die Generierung zwischen der Zertifizierungsstelle verwendet wird. | FirewallPolicyCertificateAuthority- |
Verwaltete Dienstidentität
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Der Identitätstyp, der für die Ressource verwendet wird. Der Typ "SystemAssigned, UserAssigned" enthält sowohl eine implizit erstellte Identität als auch eine Gruppe von vom Benutzer zugewiesenen Identitäten. Der Typ "None" entfernt alle Identitäten vom virtuellen Computer. | "Keine" 'SystemZugewiesen' "SystemAssigned, UserAssigned" "UserAssigned" |
| vom Benutzer zugewiesene Identitäten | Die Liste der Benutzeridentitäten, die der Ressource zugeordnet sind. Die Benutzeridentitätswörterbuchschlüsselverweise sind ARM-Ressourcen-IDs im Formular: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities- |
ManagedServiceIdentityUserAssignedIdentities
| Name | Beschreibung | Wert |
|---|
Ressourcen-Tags
| Name | Beschreibung | Wert |
|---|
Unterressource
| Name | Beschreibung | Wert |
|---|---|---|
| id | Ressourcen-ID. | Schnur |
Verwendungsbeispiele
Terraform-Beispiele
Ein einfaches Beispiel für die Bereitstellung einer Firewall-Richtlinie.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "firewallPolicy" {
type = "Microsoft.Network/firewallPolicies@2022-07-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
threatIntelMode = "Alert"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Von Azure verifizierte Module
Die folgenden Azure Verified Modules können verwendet werden, um diesen Ressourcentyp bereitzustellen.
| Modul | Beschreibung |
|---|---|
| Azure Firewall-Richtlinie | AVM-Ressourcenmodul für Azure Firewall-Richtlinie |