Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
- dernière
- 2025-03-01
- 2025-01-01
- 2024-10-01
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Définition de ressource Bicep
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.Network/firewallPolicies@2025-03-01' = {
scope: resourceSymbolicName or scope
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Valeurs de propriété
Microsoft.Network/firewallPolicies
| Nom | Descriptif | Valeur |
|---|---|---|
| identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
| emplacement | Emplacement des ressources. | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| Propriétés | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
| portée | Utilisez-la lors de la création d’une ressource dans une étendue différente de l’étendue de déploiement. | Définissez cette propriété sur le nom symbolique d’une ressource pour appliquer la ressource d’extension . |
| étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nom | Descriptif | Valeur |
|---|
DnsSettings
| Nom | Descriptif | Valeur |
|---|---|---|
| enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | Bool |
| requireProxyForNetworkRules | Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. | Bool |
| Serveurs | Liste des serveurs DNS personnalisés. | chaîne[] |
ExplicitProxy
| Nom | Descriptif | Valeur |
|---|---|---|
| enableExplicitProxy | Quand la valeur est true, le mode proxy explicite est activé. | Bool |
| enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | Bool |
| httpPort | Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
| httpsPort (en anglais) | Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
| pacFile | URL SAS pour le fichier PAC. | corde |
| pacFilePort | Numéro de port pour que le pare-feu serve le fichier PAC. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyCertificateAuthority
| Nom | Descriptif | Valeur |
|---|---|---|
| keyVaultSecretId | ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. | corde |
| nom | Nom du certificat d’autorité de certification. | corde |
FirewallPolicyInsights
| Nom | Descriptif | Valeur |
|---|---|---|
| isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | Bool |
| logAnalyticsRessources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | Pare-feuPolitiqueLogAnalyticsRessources |
| rétentionJours | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | Int |
Pare-feuPolitiqueDétection d’intrusion
| Nom | Descriptif | Valeur |
|---|---|---|
| paramétrage | Propriétés de configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | État général de la détection des intrusions. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode plus strict des deux. | 'Alerte' 'Refuser' 'Éteint' |
| profil | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom du profil de la stratégie parente. | 'Avancé' 'De base' 'Étendu' « Standard » |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nom | Descriptif | Valeur |
|---|---|---|
| descriptif | Description de la règle de contournement du trafic. | corde |
| adresses de destination | Liste des adresses IP ou plages de destination pour cette règle. | chaîne[] |
| destinationIpGroups | Liste des IpGroups de destination pour cette règle. | chaîne[] |
| destinationPorts | Liste des ports ou plages de destination. | chaîne[] |
| nom | Nom de la règle de contournement du trafic. | corde |
| protocole | Protocole de contournement de la règle. | 'N’importe lequel' « ICMP » « TCP » « UDP » |
| sourceAdresses | Liste des adresses IP ou plages sources pour cette règle. | chaîne[] |
| sourceIpGroups | Liste des IpGroups sources pour cette règle. | chaîne[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nom | Descriptif | Valeur |
|---|---|---|
| bypassTrafficSettings | Liste des règles pour le trafic à contourner. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | chaîne[] |
| signatureRemplacements | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nom | Descriptif | Valeur |
|---|---|---|
| pièce d'identité | ID de signature. | corde |
| mode | État de signature. | 'Alerte' 'Refuser' 'Éteint' |
Pare-feuPolitiqueLogAnalyticsRessources
| Nom | Descriptif | Valeur |
|---|---|---|
| defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | Sous-ressource |
| espaces de travail | Liste des espaces de travail pour Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
Pare-feuPolitiqueLogAnalyticsEspace de travail
| Nom | Descriptif | Valeur |
|---|---|---|
| région | Région pour configurer l’espace de travail. | corde |
| ID d'espace de travail | ID d’espace de travail pour Firewall Policy Insights. | Sous-ressource |
FirewallPolicyPropertiesFormat
| Nom | Descriptif | Valeur |
|---|---|---|
| basePolicy | Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. | Sous-ressource |
| dnsSettings | Définition des paramètres du proxy DNS. | dnsSettings |
| explicitProxy | Définition explicite des paramètres du proxy. | ExplicitProxy |
| Idées | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
| intrusionDétection | Configuration de la détection d’intrusion. | Pare-feuPolitiqueDétection d’intrusion |
| Sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySKU |
| Craquement | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
| SQL | Définition des paramètres SQL. | FirewallPolicySQL |
| menaceIntelMode | Mode d’opération pour Threat Intelligence. | 'Alerte' 'Refuser' 'Éteint' |
| menaceIntelWhitelist | Liste verte ThreatIntel pour la stratégie de pare-feu. | Pare-feuPolitiqueMenaceIntelListe blanche |
| transportSécurité | Définition de configuration TLS. | Pare-feuPolitiqueTransportSécurité |
FirewallPolicySKU
| Nom | Descriptif | Valeur |
|---|---|---|
| niveau | Niveau de stratégie de pare-feu. | 'De base' « Haut de gamme » « Standard » |
FirewallPolicySnat
| Nom | Descriptif | Valeur |
|---|---|---|
| autoLearnPrivateRanges | Mode d’opération pour apprendre automatiquement les plages privées à ne pas être SNAT | 'Désactivé' 'Activé' |
| privateRanges | Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. | chaîne[] |
pare-feupolitiqueSQL
| Nom | Descriptif | Valeur |
|---|---|---|
| allowSqlRedirect | Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | Bool |
Pare-feuPolitiqueMenaceIntelListe blanche
| Nom | Descriptif | Valeur |
|---|---|---|
| FQDNS | Liste des noms de domaine complets pour la liste verte ThreatIntel. | chaîne[] |
| adresses IP | Liste des adresses IP de la liste verte ThreatIntel. | chaîne[] |
Pare-feuPolitiqueTransportSécurité
| Nom | Descriptif | Valeur |
|---|---|---|
| certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
Identité de Service Gérée (ManagedServiceIdentity)
| Nom | Descriptif | Valeur |
|---|---|---|
| type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | « Aucun » 'SystemAssigned' « SystemAssigned, UserAssigned » 'UserAssigned' |
| Identités attribuées par l'utilisateur | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nom | Descriptif | Valeur |
|---|
ResourceTags
| Nom | Descriptif | Valeur |
|---|
Sous-ressource
| Nom | Descriptif | Valeur |
|---|---|---|
| pièce d'identité | ID de ressource. | corde |
Exemples d’utilisation
Modules vérifiés Azure
Les modules vérifiés Azure suivants peuvent être utilisés pour déployer ce type de ressource.
| Module | Descriptif |
|---|---|
| stratégie de pare-feu | Module de ressources AVM pour la stratégie de pare-feu |
Exemples de démarrage rapide Azure
Les modèles de démarrage rapide Azure suivants contiennent des exemples Bicep pour le déploiement de ce type de ressource.
| Fichier Bicep | Descriptif |
|---|---|
| créer un pare-feu et FirewallPolicy avec des règles et des ipgroups | Ce modèle déploie un pare-feu Azure avec la stratégie de pare-feu (y compris plusieurs règles d’application et de réseau) référençant les groupes IP dans les règles d’application et de réseau. |
| hubs virtuels sécurisés | Ce modèle crée un hub virtuel sécurisé à l’aide du Pare-feu Azure pour sécuriser votre trafic réseau cloud destiné à Internet. |
| Abonnement SharePoint / 2019 / 2016 entièrement configuré | Créez un DC, un SQL Server 2022, et de 1 à 5 serveur(s) hébergeant une batterie de serveurs d’abonnement SharePoint / 2019 / 2016 avec une configuration étendue, incluant l’authentification de confiance, des profils d’utilisateurs avec des sites personnels, une approbation OAuth (à l’aide d’un certificat), un site IIS dédié pour l’hébergement de compléments de haute fiabilité, etc... La dernière version des logiciels clés (y compris Fiddler, vscode, np++, 7zip, ULS Viewer) est installée. Les machines SharePoint disposent d’améliorations supplémentaires pour les rendre immédiatement utilisables (outils d’administration à distance, stratégies personnalisées pour Edge et Chrome, raccourcis, etc...). |
| environnement de test pour le pare-feu Azure Premium | Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
| utiliser le Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke | Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
Définition de ressource de modèle ARM
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2025-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Valeurs de propriété
Microsoft.Network/firewallPolicies
| Nom | Descriptif | Valeur |
|---|---|---|
| apiVersion | Version de l’API | '2025-03-01' |
| identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
| emplacement | Emplacement des ressources. | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| Propriétés | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
| étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. Consultez les balises dans les modèles |
| type | Type de ressource | 'Microsoft.Network/firewallPolicies' |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nom | Descriptif | Valeur |
|---|
DnsSettings
| Nom | Descriptif | Valeur |
|---|---|---|
| enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | Bool |
| requireProxyForNetworkRules | Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. | Bool |
| Serveurs | Liste des serveurs DNS personnalisés. | chaîne[] |
ExplicitProxy
| Nom | Descriptif | Valeur |
|---|---|---|
| enableExplicitProxy | Quand la valeur est true, le mode proxy explicite est activé. | Bool |
| enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | Bool |
| httpPort | Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
| httpsPort (en anglais) | Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
| pacFile | URL SAS pour le fichier PAC. | corde |
| pacFilePort | Numéro de port pour que le pare-feu serve le fichier PAC. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyCertificateAuthority
| Nom | Descriptif | Valeur |
|---|---|---|
| keyVaultSecretId | ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. | corde |
| nom | Nom du certificat d’autorité de certification. | corde |
FirewallPolicyInsights
| Nom | Descriptif | Valeur |
|---|---|---|
| isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | Bool |
| logAnalyticsRessources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | Pare-feuPolitiqueLogAnalyticsRessources |
| rétentionJours | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | Int |
Pare-feuPolitiqueDétection d’intrusion
| Nom | Descriptif | Valeur |
|---|---|---|
| paramétrage | Propriétés de configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | État général de la détection des intrusions. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode plus strict des deux. | 'Alerte' 'Refuser' 'Éteint' |
| profil | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom du profil de la stratégie parente. | 'Avancé' 'De base' 'Étendu' « Standard » |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nom | Descriptif | Valeur |
|---|---|---|
| descriptif | Description de la règle de contournement du trafic. | corde |
| adresses de destination | Liste des adresses IP ou plages de destination pour cette règle. | chaîne[] |
| destinationIpGroups | Liste des IpGroups de destination pour cette règle. | chaîne[] |
| destinationPorts | Liste des ports ou plages de destination. | chaîne[] |
| nom | Nom de la règle de contournement du trafic. | corde |
| protocole | Protocole de contournement de la règle. | 'N’importe lequel' « ICMP » « TCP » « UDP » |
| sourceAdresses | Liste des adresses IP ou plages sources pour cette règle. | chaîne[] |
| sourceIpGroups | Liste des IpGroups sources pour cette règle. | chaîne[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nom | Descriptif | Valeur |
|---|---|---|
| bypassTrafficSettings | Liste des règles pour le trafic à contourner. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | chaîne[] |
| signatureRemplacements | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nom | Descriptif | Valeur |
|---|---|---|
| pièce d'identité | ID de signature. | corde |
| mode | État de signature. | 'Alerte' 'Refuser' 'Éteint' |
Pare-feuPolitiqueLogAnalyticsRessources
| Nom | Descriptif | Valeur |
|---|---|---|
| defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | Sous-ressource |
| espaces de travail | Liste des espaces de travail pour Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
Pare-feuPolitiqueLogAnalyticsEspace de travail
| Nom | Descriptif | Valeur |
|---|---|---|
| région | Région pour configurer l’espace de travail. | corde |
| ID d'espace de travail | ID d’espace de travail pour Firewall Policy Insights. | Sous-ressource |
FirewallPolicyPropertiesFormat
| Nom | Descriptif | Valeur |
|---|---|---|
| basePolicy | Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. | Sous-ressource |
| dnsSettings | Définition des paramètres du proxy DNS. | dnsSettings |
| explicitProxy | Définition explicite des paramètres du proxy. | ExplicitProxy |
| Idées | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
| intrusionDétection | Configuration de la détection d’intrusion. | Pare-feuPolitiqueDétection d’intrusion |
| Sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySKU |
| Craquement | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
| SQL | Définition des paramètres SQL. | FirewallPolicySQL |
| menaceIntelMode | Mode d’opération pour Threat Intelligence. | 'Alerte' 'Refuser' 'Éteint' |
| menaceIntelWhitelist | Liste verte ThreatIntel pour la stratégie de pare-feu. | Pare-feuPolitiqueMenaceIntelListe blanche |
| transportSécurité | Définition de configuration TLS. | Pare-feuPolitiqueTransportSécurité |
FirewallPolicySKU
| Nom | Descriptif | Valeur |
|---|---|---|
| niveau | Niveau de stratégie de pare-feu. | 'De base' « Haut de gamme » « Standard » |
FirewallPolicySnat
| Nom | Descriptif | Valeur |
|---|---|---|
| autoLearnPrivateRanges | Mode d’opération pour apprendre automatiquement les plages privées à ne pas être SNAT | 'Désactivé' 'Activé' |
| privateRanges | Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. | chaîne[] |
pare-feupolitiqueSQL
| Nom | Descriptif | Valeur |
|---|---|---|
| allowSqlRedirect | Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | Bool |
Pare-feuPolitiqueMenaceIntelListe blanche
| Nom | Descriptif | Valeur |
|---|---|---|
| FQDNS | Liste des noms de domaine complets pour la liste verte ThreatIntel. | chaîne[] |
| adresses IP | Liste des adresses IP de la liste verte ThreatIntel. | chaîne[] |
Pare-feuPolitiqueTransportSécurité
| Nom | Descriptif | Valeur |
|---|---|---|
| certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
Identité de Service Gérée (ManagedServiceIdentity)
| Nom | Descriptif | Valeur |
|---|---|---|
| type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | « Aucun » 'SystemAssigned' « SystemAssigned, UserAssigned » 'UserAssigned' |
| Identités attribuées par l'utilisateur | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nom | Descriptif | Valeur |
|---|
ResourceTags
| Nom | Descriptif | Valeur |
|---|
Sous-ressource
| Nom | Descriptif | Valeur |
|---|---|---|
| pièce d'identité | ID de ressource. | corde |
Exemples d’utilisation
Modèles de démarrage rapide Azure
Les modèles de démarrage rapide Azure suivants déployer ce type de ressource.
| Modèle | Descriptif |
|---|---|
créer un pare-feu et FirewallPolicy avec des règles et des ipgroups
|
Ce modèle déploie un pare-feu Azure avec la stratégie de pare-feu (y compris plusieurs règles d’application et de réseau) référençant les groupes IP dans les règles d’application et de réseau. |
|
créer un pare-feu avec FirewallPolicy et IpGroups
|
Ce modèle crée un pare-feu Azure avec FirewalllPolicy référençant des règles réseau avec IpGroups. Inclut également une configuration de machine virtuelle Linux Jumpbox |
|
créer un pare-feu, FirewallPolicy avec proxy explicite
|
Ce modèle crée un pare-feu Azure, FirewalllPolicy avec un proxy explicite et des règles de réseau avec IpGroups. Inclut également une configuration de machine virtuelle Linux Jumpbox |
|
Créer une configuration de bac à sable avec la stratégie de pare-feu
|
Ce modèle crée un réseau virtuel avec 3 sous-réseaux (sous-réseau de serveur, sous-ensemble de jumpbox et sous-réseau AzureFirewall), une machine virtuelle de jumpbox avec une adresse IP publique, une machine virtuelle de serveur, une route UDR pour pointer vers le pare-feu Azure pour le sous-réseau du serveur et un pare-feu Azure avec 1 ou plusieurs adresses IP publiques. Crée également une stratégie de pare-feu avec 1 exemple de règle d’application, 1 exemple de règle réseau et plages privées par défaut |
|
hubs virtuels sécurisés
|
Ce modèle crée un hub virtuel sécurisé à l’aide du Pare-feu Azure pour sécuriser votre trafic réseau cloud destiné à Internet. |
|
Abonnement SharePoint / 2019 / 2016 entièrement configuré
|
Créez un DC, un SQL Server 2022, et de 1 à 5 serveur(s) hébergeant une batterie de serveurs d’abonnement SharePoint / 2019 / 2016 avec une configuration étendue, incluant l’authentification de confiance, des profils d’utilisateurs avec des sites personnels, une approbation OAuth (à l’aide d’un certificat), un site IIS dédié pour l’hébergement de compléments de haute fiabilité, etc... La dernière version des logiciels clés (y compris Fiddler, vscode, np++, 7zip, ULS Viewer) est installée. Les machines SharePoint disposent d’améliorations supplémentaires pour les rendre immédiatement utilisables (outils d’administration à distance, stratégies personnalisées pour Edge et Chrome, raccourcis, etc...). |
| environnement de test pour le pare-feu Azure Premium
|
Ce modèle crée une stratégie de pare-feu Azure Premium et de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
|
utiliser le Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke
|
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2025-03-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
Valeurs de propriété
Microsoft.Network/firewallPolicies
| Nom | Descriptif | Valeur |
|---|---|---|
| identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
| emplacement | Emplacement des ressources. | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| parent_id | ID de la ressource à laquelle appliquer cette ressource d’extension. | chaîne (obligatoire) |
| Propriétés | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
| étiquettes | Balises de ressource | Dictionnaire de noms et de valeurs d’étiquettes. |
| type | Type de ressource | « Microsoft.Network/firewallPolicies@2025-03-01 » |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nom | Descriptif | Valeur |
|---|
DnsSettings
| Nom | Descriptif | Valeur |
|---|---|---|
| enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | Bool |
| requireProxyForNetworkRules | Les noms de domaine complets dans les règles de réseau sont pris en charge lorsqu’ils sont définis sur true. | Bool |
| Serveurs | Liste des serveurs DNS personnalisés. | chaîne[] |
ExplicitProxy
| Nom | Descriptif | Valeur |
|---|---|---|
| enableExplicitProxy | Quand la valeur est true, le mode proxy explicite est activé. | Bool |
| enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | Bool |
| httpPort | Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
| httpsPort (en anglais) | Le numéro de port pour le protocole https proxy explicite ne peut pas être supérieur à 64 000. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
| pacFile | URL SAS pour le fichier PAC. | corde |
| pacFilePort | Numéro de port pour que le pare-feu serve le fichier PAC. | Int Contraintes: Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyCertificateAuthority
| Nom | Descriptif | Valeur |
|---|---|---|
| keyVaultSecretId | ID de secret de (objet pfx non chiffré encodé en base 64) « Secret » ou « Certificate » stocké dans KeyVault. | corde |
| nom | Nom du certificat d’autorité de certification. | corde |
FirewallPolicyInsights
| Nom | Descriptif | Valeur |
|---|---|---|
| isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | Bool |
| logAnalyticsRessources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | Pare-feuPolitiqueLogAnalyticsRessources |
| rétentionJours | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | Int |
Pare-feuPolitiqueDétection d’intrusion
| Nom | Descriptif | Valeur |
|---|---|---|
| paramétrage | Propriétés de configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | État général de la détection des intrusions. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode plus strict des deux. | 'Alerte' 'Refuser' 'Éteint' |
| profil | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom du profil de la stratégie parente. | 'Avancé' 'De base' 'Étendu' « Standard » |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nom | Descriptif | Valeur |
|---|---|---|
| descriptif | Description de la règle de contournement du trafic. | corde |
| adresses de destination | Liste des adresses IP ou plages de destination pour cette règle. | chaîne[] |
| destinationIpGroups | Liste des IpGroups de destination pour cette règle. | chaîne[] |
| destinationPorts | Liste des ports ou plages de destination. | chaîne[] |
| nom | Nom de la règle de contournement du trafic. | corde |
| protocole | Protocole de contournement de la règle. | 'N’importe lequel' « ICMP » « TCP » « UDP » |
| sourceAdresses | Liste des adresses IP ou plages sources pour cette règle. | chaîne[] |
| sourceIpGroups | Liste des IpGroups sources pour cette règle. | chaîne[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nom | Descriptif | Valeur |
|---|---|---|
| bypassTrafficSettings | Liste des règles pour le trafic à contourner. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrante, sortante, etc.). Par défaut, seules les plages définies par IANA RFC 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | chaîne[] |
| signatureRemplacements | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nom | Descriptif | Valeur |
|---|---|---|
| pièce d'identité | ID de signature. | corde |
| mode | État de signature. | 'Alerte' 'Refuser' 'Éteint' |
Pare-feuPolitiqueLogAnalyticsRessources
| Nom | Descriptif | Valeur |
|---|---|---|
| defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | Sous-ressource |
| espaces de travail | Liste des espaces de travail pour Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
Pare-feuPolitiqueLogAnalyticsEspace de travail
| Nom | Descriptif | Valeur |
|---|---|---|
| région | Région pour configurer l’espace de travail. | corde |
| ID d'espace de travail | ID d’espace de travail pour Firewall Policy Insights. | Sous-ressource |
FirewallPolicyPropertiesFormat
| Nom | Descriptif | Valeur |
|---|---|---|
| basePolicy | Stratégie de pare-feu parente à partir de laquelle les règles sont héritées. | Sous-ressource |
| dnsSettings | Définition des paramètres du proxy DNS. | dnsSettings |
| explicitProxy | Définition explicite des paramètres du proxy. | ExplicitProxy |
| Idées | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
| intrusionDétection | Configuration de la détection d’intrusion. | Pare-feuPolitiqueDétection d’intrusion |
| Sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySKU |
| Craquement | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
| SQL | Définition des paramètres SQL. | FirewallPolicySQL |
| menaceIntelMode | Mode d’opération pour Threat Intelligence. | 'Alerte' 'Refuser' 'Éteint' |
| menaceIntelWhitelist | Liste verte ThreatIntel pour la stratégie de pare-feu. | Pare-feuPolitiqueMenaceIntelListe blanche |
| transportSécurité | Définition de configuration TLS. | Pare-feuPolitiqueTransportSécurité |
FirewallPolicySKU
| Nom | Descriptif | Valeur |
|---|---|---|
| niveau | Niveau de stratégie de pare-feu. | 'De base' « Haut de gamme » « Standard » |
FirewallPolicySnat
| Nom | Descriptif | Valeur |
|---|---|---|
| autoLearnPrivateRanges | Mode d’opération pour apprendre automatiquement les plages privées à ne pas être SNAT | 'Désactivé' 'Activé' |
| privateRanges | Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. | chaîne[] |
pare-feupolitiqueSQL
| Nom | Descriptif | Valeur |
|---|---|---|
| allowSqlRedirect | Indicateur permettant d’indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | Bool |
Pare-feuPolitiqueMenaceIntelListe blanche
| Nom | Descriptif | Valeur |
|---|---|---|
| FQDNS | Liste des noms de domaine complets pour la liste verte ThreatIntel. | chaîne[] |
| adresses IP | Liste des adresses IP de la liste verte ThreatIntel. | chaîne[] |
Pare-feuPolitiqueTransportSécurité
| Nom | Descriptif | Valeur |
|---|---|---|
| certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
Identité de Service Gérée (ManagedServiceIdentity)
| Nom | Descriptif | Valeur |
|---|---|---|
| type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » inclut à la fois une identité créée implicitement et un ensemble d’identités affectées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | « Aucun » 'SystemAssigned' « SystemAssigned, UserAssigned » 'UserAssigned' |
| Identités attribuées par l'utilisateur | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nom | Descriptif | Valeur |
|---|
ResourceTags
| Nom | Descriptif | Valeur |
|---|
Sous-ressource
| Nom | Descriptif | Valeur |
|---|---|---|
| pièce d'identité | ID de ressource. | corde |
Exemples d’utilisation
Échantillons Terraform
Exemple de base de déploiement de la politique de pare-feu.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "firewallPolicy" {
type = "Microsoft.Network/firewallPolicies@2022-07-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
threatIntelMode = "Alert"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Modules vérifiés Azure
Les modules vérifiés Azure suivants peuvent être utilisés pour déployer ce type de ressource.
| Module | Descriptif |
|---|---|
| stratégie de pare-feu Azure | Module de ressources AVM pour Azure Firewall Policy |