- 最新の を
する - 2025-03-01
- 2025-01-01
- 2024-10-01
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep リソース定義
firewallPolicies リソースの種類は、次をターゲットとする操作でデプロイできます。
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.Network/firewallPolicies リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.Network/firewallPolicies@2025-03-01' = {
scope: resourceSymbolicName or scope
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
プロパティ値
Microsoft.Network/firewallPolicies (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| ID | ファイアウォール ポリシーの ID。 | ManagedServiceIdentity の |
| 位置 | リソースの場所。 | 文字列 |
| 名前 | リソース名 | string (必須) |
| プロパティ | ファイアウォール ポリシーのプロパティ。 | FirewallPolicyPropertiesFormat の |
| スコープ | デプロイ スコープとは異なるスコープでリソースを作成するときに使用します。 | このプロパティをリソースのシンボリック名に設定して、拡張リソースを適用します。 |
| タグ | リソース タグ | タグ名と値のディクショナリ。 テンプレート の |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名前 | 形容 | 価値 |
|---|
Dns設定
| 名前 | 形容 | 価値 |
|---|---|---|
| enableProxy (イネーブルプロキシ) | ファイアウォール ポリシーにアタッチされているファイアウォールで DNS プロキシを有効にします。 | ブール (bool) |
| requireProxyForNetworkRules | ネットワーク ルールの FQDN は、true に設定されている場合にサポートされます。 | ブール (bool) |
| サーバー | カスタム DNS サーバーの一覧。 | 文字列[] |
明示的プロキシ
| 名前 | 形容 | 価値 |
|---|---|---|
| enableExplicitProxy | true に設定すると、明示的なプロキシ モードが有効になります。 | ブール (bool) |
| enablePacFileの | true に設定すると、pac ファイルのポートと URL を指定する必要があります。 | ブール (bool) |
| httpポート(httpPort) | 明示的なプロキシ http プロトコルのポート番号を 64000 より大きくすることはできません。 | int 制約: 最小値 = 0 最大値 = 64000 |
| httpsポート(httpsPort) | 明示的なプロキシ https プロトコルのポート番号は、64000 を超えることはできません。 | int 制約: 最小値 = 0 最大値 = 64000 |
| pacFileの | PAC ファイルの SAS URL。 | 文字列 |
| pacFilePort (英語) | PAC ファイルを提供するファイアウォールのポート番号。 | int 制約: 最小値 = 0 最大値 = 64000 |
FirewallPolicyCertificateAuthority
| 名前 | 形容 | 価値 |
|---|---|---|
| keyVaultシークレットID | KeyVault に格納されているシークレット ID (base-64 でエンコードされた暗号化されていない pfx) 'Secret' または 'Certificate' オブジェクト。 | 文字列 |
| 名前 | CA 証明書の名前。 | 文字列 |
ファイアウォールポリシーインサイト
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効化されている | ポリシーで分析情報が有効になっているかどうかを示すフラグ。 | ブール (bool) |
| logAnalyticsリソース | ファイアウォール ポリシー分析情報を構成するために必要なワークスペース。 | FirewallPolicyLogAnalyticsResources の |
| retentionDays (保持日数) | ポリシーで分析情報を有効にする必要がある日数。 | 整数 (int) |
FirewallPolicyIntrusionDetection (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 構成 | 侵入検出の構成プロパティ。 | FirewallPolicyIntrusionDetectionConfiguration の |
| モード | 侵入検出の一般的な状態。 親ポリシーにアタッチされている場合、ファイアウォールの有効な IDPS モードは、2 つのより厳密なモードです。 | 「アラート」 「否定する」 「オフ」 |
| プロファイル | IDPS プロファイル名。 親ポリシーにアタッチされている場合、ファイアウォールの有効なプロファイルは親ポリシーのプロファイル名です。 | 「アドバンスド」 「ベーシック」 「延長」 「スタンダード」 |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 形容 | バイパス トラフィック ルールの説明。 | 文字列 |
| 宛先アドレス | この規則の宛先 IP アドレスまたは範囲の一覧。 | 文字列[] |
| destinationIpグループ | この規則の宛先 IpGroup の一覧。 | 文字列[] |
| 宛先ポート | 宛先ポートまたは範囲の一覧。 | 文字列[] |
| 名前 | バイパス トラフィック ルールの名前。 | 文字列 |
| プロトコル | 規則バイパス プロトコル。 | 「どれでも」 「ICMP」 「TCP」 「UDP」 |
| ソースアドレス | この規則のソース IP アドレスまたは範囲の一覧。 | 文字列[] |
| sourceIpGroups (英語) | この規則のソース IpGroup の一覧。 | 文字列[] |
FirewallPolicyIntrusionDetectionConfiguration (ファイアウォール ポリシー侵入検出設定)
| 名前 | 形容 | 価値 |
|---|---|---|
| bypassTrafficSettings (バイパストラフィック設定) | バイパスするトラフィックのルールの一覧。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| プライベートレンジ | IDPS プライベート IP アドレス範囲は、トラフィックの方向 (受信、送信など) を識別するために使用されます。 既定では、IANA RFC 1918 で定義されている範囲のみがプライベート IP アドレスと見なされます。 既定の範囲を変更するには、このプロパティを使用してプライベート IP アドレス範囲を指定します | 文字列[] |
| signatureOverrides (シグネチャーオーバーライド) | 特定の署名の状態の一覧。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | 署名 ID。 | 文字列 |
| モード | 署名の状態。 | 「アラート」 「否定する」 「オフ」 |
FirewallPolicyLogAnalyticsリソース
| 名前 | 形容 | 価値 |
|---|---|---|
| デフォルトワークスペースID | ファイアウォール ポリシー分析情報の既定のワークスペース ID。 | SubResource の |
| 作業スペース | ファイアウォール ポリシー分析情報のワークスペースの一覧。 | FirewallPolicyLogAnalyticsワークスペース[] |
FirewallPolicyLogAnalyticsワークスペース
| 名前 | 形容 | 価値 |
|---|---|---|
| リージョン | ワークスペースを構成するリージョン。 | 文字列 |
| ワークスペースID | ファイアウォール ポリシー分析情報のワークスペース ID。 | SubResource の |
FirewallPolicyPropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| ベースポリシー | 規則の継承元の親ファイアウォール ポリシー。 | SubResource の |
| dns設定 | DNS プロキシ設定の定義。 | Dns設定 |
| explicitプロキシ | 明示的なプロキシ設定の定義。 | ExplicitProxy の |
| 分析情報 | ファイアウォール ポリシーに関する分析情報。 | FirewallPolicyInsights の |
| 侵入検出 | 侵入検出の構成。 | FirewallPolicyIntrusionDetection の |
| エスケーユー | ファイアウォール ポリシー SKU。 | ファイアウォールポリシーSKU |
| スナット | トラフィックが SNAT にならないプライベート IP アドレス/IP 範囲。 | FirewallPolicySnat の |
| SQL | SQL 設定の定義。 | FirewallPolicySQL の |
| threatIntelMode (脅威インテルモード) | 脅威インテリジェンスの操作モード。 | 「アラート」 「否定する」 「オフ」 |
| threatIntelホワイトリスト | ファイアウォール ポリシーの ThreatIntel ホワイトリスト。 | FirewallPolicyThreatIntelWhitelist の |
| 輸送用安全 | TLS 構成定義。 | FirewallPolicyTransportSecurity の |
ファイアウォールポリシーSKU
| 名前 | 形容 | 価値 |
|---|---|---|
| レベル | ファイアウォール ポリシーの層。 | 「ベーシック」 「プレミアム」 「スタンダード」 |
ファイアウォールポリシーSnat
| 名前 | 形容 | 価値 |
|---|---|---|
| autoLearnプライベートレンジ | プライベート範囲を自動的に学習するための操作モードが SNAT にならない | 「無効」 「有効」 |
| プライベートレンジ | SNAT ではないプライベート IP アドレス/IP アドレス範囲の一覧。 | 文字列[] |
ファイアウォールポリシーSQL
| 名前 | 形容 | 価値 |
|---|---|---|
| allowSqlRedirect (英語) | SQL リダイレクト トラフィック のフィルター処理が有効になっているかどうかを示すフラグ。 フラグをオンにする場合、ポート 11000 から 11999 を使用する規則は必要ありません。 | ブール (bool) |
FirewallPolicyThreatIntelホワイトリスト
| 名前 | 形容 | 価値 |
|---|---|---|
| FQDNの | ThreatIntel ホワイトリストの FQDN の一覧。 | 文字列[] |
| IPアドレス | ThreatIntel ホワイトリストの IP アドレスの一覧。 | 文字列[] |
ファイアウォールポリシートランスポートセキュリティ
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明書認証局 | 中間 CA 生成に使用される CA。 | FirewallPolicyCertificateAuthority の |
マネージドサービスアイデンティティ
| 名前 | 形容 | 価値 |
|---|---|---|
| 型 | リソースに使用される ID の種類。 型 'SystemAssigned, UserAssigned' には、暗黙的に作成された ID とユーザー割り当て ID のセットの両方が含まれます。 種類 'None' は、仮想マシンからすべての ID を削除します。 | 「なし」 'システム割り当て' 'SystemAssigned,UserAssigned' 'UserAssigned' |
| userAssignedIdentities (ユーザー割り当て済みアイデンティティ) | リソースに関連付けられているユーザー ID の一覧。 ユーザー ID ディクショナリ のキー参照は、'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' という形式の ARM リソース ID になります。 | ManagedServiceIdentityUserAssignedIdentities の |
ManagedServiceIdentityUserAssignedIdentities
| 名前 | 形容 | 価値 |
|---|
リソースタグ
| 名前 | 形容 | 価値 |
|---|
サブリソース
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 文字列 |
使用例
Azure 検証済みモジュール
次の Azure 検証済みモジュール を使用して、このリソースの種類をデプロイできます。
| モジュール | 形容 |
|---|---|
| ファイアウォール ポリシーの | ファイアウォール ポリシー用の AVM リソース モジュール |
Azure クイック スタートのサンプル
次 Azure クイック スタート テンプレート、このリソースの種類をデプロイするための Bicep サンプルが含まれています。
| Bicep ファイル | 形容 |
|---|---|
| ルールと Ipgroups を使用してファイアウォールと FirewallPolicy を作成する | このテンプレートは、アプリケーションおよびネットワーク規則の IP グループを参照するファイアウォール ポリシー (複数のアプリケーションとネットワーク規則を含む) を使用して Azure Firewall をデプロイします。 |
| セキュリティで保護された仮想ハブ を |
このテンプレートでは、Azure Firewall を使用してセキュリティで保護された仮想ハブを作成し、インターネット宛てのクラウド ネットワーク トラフィックをセキュリティで保護します。 |
| SharePoint サブスクリプション / 2019 / 2016 完全構成済み | DC、SQL Server 2022、および信頼できる認証、個人用サイトを持つユーザー プロファイル、OAuth 信頼 (証明書を使用)、信頼度の高いアドインをホストするための専用 IIS サイトなどを含む広範な構成を使用して、SharePoint サブスクリプション / 2019 / 2016 ファームをホストする 1 台から 5 台のサーバーを作成します。主要ソフトウェア(Fiddler、vscode、np++、7zip、ULS Viewerなど)の最新バージョンがインストールされています。 SharePoint マシンには、すぐに使用できるようにするための追加の微調整があります (リモート管理ツール、Edge と Chrome のカスタム ポリシー、ショートカットなど)。 |
| Azure Firewall Premium のテスト環境 | このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します |
| ハブ & スポーク トポロジで DNS プロキシとして Azure Firewall を使用する | このサンプルでは、Azure Firewall を使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの接続の中心点として機能します。 |
ARM テンプレート リソース定義
firewallPolicies リソースの種類は、次をターゲットとする操作でデプロイできます。
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.Network/firewallPolicies リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2025-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
プロパティ値
Microsoft.Network/firewallPolicies (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| apiVersion (英語) | API のバージョン | '2025-03-01' |
| ID | ファイアウォール ポリシーの ID。 | ManagedServiceIdentity の |
| 位置 | リソースの場所。 | 文字列 |
| 名前 | リソース名 | string (必須) |
| プロパティ | ファイアウォール ポリシーのプロパティ。 | FirewallPolicyPropertiesFormat の |
| タグ | リソース タグ | タグ名と値のディクショナリ。 テンプレート の |
| 型 | リソースの種類 | 'Microsoft.Network/firewallPolicies' |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名前 | 形容 | 価値 |
|---|
Dns設定
| 名前 | 形容 | 価値 |
|---|---|---|
| enableProxy (イネーブルプロキシ) | ファイアウォール ポリシーにアタッチされているファイアウォールで DNS プロキシを有効にします。 | ブール (bool) |
| requireProxyForNetworkRules | ネットワーク ルールの FQDN は、true に設定されている場合にサポートされます。 | ブール (bool) |
| サーバー | カスタム DNS サーバーの一覧。 | 文字列[] |
明示的プロキシ
| 名前 | 形容 | 価値 |
|---|---|---|
| enableExplicitProxy | true に設定すると、明示的なプロキシ モードが有効になります。 | ブール (bool) |
| enablePacFileの | true に設定すると、pac ファイルのポートと URL を指定する必要があります。 | ブール (bool) |
| httpポート(httpPort) | 明示的なプロキシ http プロトコルのポート番号を 64000 より大きくすることはできません。 | int 制約: 最小値 = 0 最大値 = 64000 |
| httpsポート(httpsPort) | 明示的なプロキシ https プロトコルのポート番号は、64000 を超えることはできません。 | int 制約: 最小値 = 0 最大値 = 64000 |
| pacFileの | PAC ファイルの SAS URL。 | 文字列 |
| pacFilePort (英語) | PAC ファイルを提供するファイアウォールのポート番号。 | int 制約: 最小値 = 0 最大値 = 64000 |
FirewallPolicyCertificateAuthority
| 名前 | 形容 | 価値 |
|---|---|---|
| keyVaultシークレットID | KeyVault に格納されているシークレット ID (base-64 でエンコードされた暗号化されていない pfx) 'Secret' または 'Certificate' オブジェクト。 | 文字列 |
| 名前 | CA 証明書の名前。 | 文字列 |
ファイアウォールポリシーインサイト
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効化されている | ポリシーで分析情報が有効になっているかどうかを示すフラグ。 | ブール (bool) |
| logAnalyticsリソース | ファイアウォール ポリシー分析情報を構成するために必要なワークスペース。 | FirewallPolicyLogAnalyticsResources の |
| retentionDays (保持日数) | ポリシーで分析情報を有効にする必要がある日数。 | 整数 (int) |
FirewallPolicyIntrusionDetection (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 構成 | 侵入検出の構成プロパティ。 | FirewallPolicyIntrusionDetectionConfiguration の |
| モード | 侵入検出の一般的な状態。 親ポリシーにアタッチされている場合、ファイアウォールの有効な IDPS モードは、2 つのより厳密なモードです。 | 「アラート」 「否定する」 「オフ」 |
| プロファイル | IDPS プロファイル名。 親ポリシーにアタッチされている場合、ファイアウォールの有効なプロファイルは親ポリシーのプロファイル名です。 | 「アドバンスド」 「ベーシック」 「延長」 「スタンダード」 |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 形容 | バイパス トラフィック ルールの説明。 | 文字列 |
| 宛先アドレス | この規則の宛先 IP アドレスまたは範囲の一覧。 | 文字列[] |
| destinationIpグループ | この規則の宛先 IpGroup の一覧。 | 文字列[] |
| 宛先ポート | 宛先ポートまたは範囲の一覧。 | 文字列[] |
| 名前 | バイパス トラフィック ルールの名前。 | 文字列 |
| プロトコル | 規則バイパス プロトコル。 | 「どれでも」 「ICMP」 「TCP」 「UDP」 |
| ソースアドレス | この規則のソース IP アドレスまたは範囲の一覧。 | 文字列[] |
| sourceIpGroups (英語) | この規則のソース IpGroup の一覧。 | 文字列[] |
FirewallPolicyIntrusionDetectionConfiguration (ファイアウォール ポリシー侵入検出設定)
| 名前 | 形容 | 価値 |
|---|---|---|
| bypassTrafficSettings (バイパストラフィック設定) | バイパスするトラフィックのルールの一覧。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| プライベートレンジ | IDPS プライベート IP アドレス範囲は、トラフィックの方向 (受信、送信など) を識別するために使用されます。 既定では、IANA RFC 1918 で定義されている範囲のみがプライベート IP アドレスと見なされます。 既定の範囲を変更するには、このプロパティを使用してプライベート IP アドレス範囲を指定します | 文字列[] |
| signatureOverrides (シグネチャーオーバーライド) | 特定の署名の状態の一覧。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | 署名 ID。 | 文字列 |
| モード | 署名の状態。 | 「アラート」 「否定する」 「オフ」 |
FirewallPolicyLogAnalyticsリソース
| 名前 | 形容 | 価値 |
|---|---|---|
| デフォルトワークスペースID | ファイアウォール ポリシー分析情報の既定のワークスペース ID。 | SubResource の |
| 作業スペース | ファイアウォール ポリシー分析情報のワークスペースの一覧。 | FirewallPolicyLogAnalyticsワークスペース[] |
FirewallPolicyLogAnalyticsワークスペース
| 名前 | 形容 | 価値 |
|---|---|---|
| リージョン | ワークスペースを構成するリージョン。 | 文字列 |
| ワークスペースID | ファイアウォール ポリシー分析情報のワークスペース ID。 | SubResource の |
FirewallPolicyPropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| ベースポリシー | 規則の継承元の親ファイアウォール ポリシー。 | SubResource の |
| dns設定 | DNS プロキシ設定の定義。 | Dns設定 |
| explicitプロキシ | 明示的なプロキシ設定の定義。 | ExplicitProxy の |
| 分析情報 | ファイアウォール ポリシーに関する分析情報。 | FirewallPolicyInsights の |
| 侵入検出 | 侵入検出の構成。 | FirewallPolicyIntrusionDetection の |
| エスケーユー | ファイアウォール ポリシー SKU。 | ファイアウォールポリシーSKU |
| スナット | トラフィックが SNAT にならないプライベート IP アドレス/IP 範囲。 | FirewallPolicySnat の |
| SQL | SQL 設定の定義。 | FirewallPolicySQL の |
| threatIntelMode (脅威インテルモード) | 脅威インテリジェンスの操作モード。 | 「アラート」 「否定する」 「オフ」 |
| threatIntelホワイトリスト | ファイアウォール ポリシーの ThreatIntel ホワイトリスト。 | FirewallPolicyThreatIntelWhitelist の |
| 輸送用安全 | TLS 構成定義。 | FirewallPolicyTransportSecurity の |
ファイアウォールポリシーSKU
| 名前 | 形容 | 価値 |
|---|---|---|
| レベル | ファイアウォール ポリシーの層。 | 「ベーシック」 「プレミアム」 「スタンダード」 |
ファイアウォールポリシーSnat
| 名前 | 形容 | 価値 |
|---|---|---|
| autoLearnプライベートレンジ | プライベート範囲を自動的に学習するための操作モードが SNAT にならない | 「無効」 「有効」 |
| プライベートレンジ | SNAT ではないプライベート IP アドレス/IP アドレス範囲の一覧。 | 文字列[] |
ファイアウォールポリシーSQL
| 名前 | 形容 | 価値 |
|---|---|---|
| allowSqlRedirect (英語) | SQL リダイレクト トラフィック のフィルター処理が有効になっているかどうかを示すフラグ。 フラグをオンにする場合、ポート 11000 から 11999 を使用する規則は必要ありません。 | ブール (bool) |
FirewallPolicyThreatIntelホワイトリスト
| 名前 | 形容 | 価値 |
|---|---|---|
| FQDNの | ThreatIntel ホワイトリストの FQDN の一覧。 | 文字列[] |
| IPアドレス | ThreatIntel ホワイトリストの IP アドレスの一覧。 | 文字列[] |
ファイアウォールポリシートランスポートセキュリティ
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明書認証局 | 中間 CA 生成に使用される CA。 | FirewallPolicyCertificateAuthority の |
マネージドサービスアイデンティティ
| 名前 | 形容 | 価値 |
|---|---|---|
| 型 | リソースに使用される ID の種類。 型 'SystemAssigned, UserAssigned' には、暗黙的に作成された ID とユーザー割り当て ID のセットの両方が含まれます。 種類 'None' は、仮想マシンからすべての ID を削除します。 | 「なし」 'システム割り当て' 'SystemAssigned,UserAssigned' 'UserAssigned' |
| userAssignedIdentities (ユーザー割り当て済みアイデンティティ) | リソースに関連付けられているユーザー ID の一覧。 ユーザー ID ディクショナリ のキー参照は、'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' という形式の ARM リソース ID になります。 | ManagedServiceIdentityUserAssignedIdentities の |
ManagedServiceIdentityUserAssignedIdentities
| 名前 | 形容 | 価値 |
|---|
リソースタグ
| 名前 | 形容 | 価値 |
|---|
サブリソース
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 文字列 |
使用例
Azure クイック スタート テンプレート
このリソースの種類 デプロイする Azure クイック スタート テンプレート 次に示します。
| テンプレート | 形容 |
|---|---|
|
ルールと Ipgroups を使用してファイアウォールと FirewallPolicy を作成する Azure にデプロイする |
このテンプレートは、アプリケーションおよびネットワーク規則の IP グループを参照するファイアウォール ポリシー (複数のアプリケーションとネットワーク規則を含む) を使用して Azure Firewall をデプロイします。 |
|
FirewallPolicy と IpGroups を使用してファイアウォールを作成する Azure にデプロイする |
このテンプレートでは、IpGroups でネットワークルールを参照する FirewalllPolicy を使用して Azure Firewall を作成します。 また、Linux Jumpbox VM のセットアップも含まれます |
| ファイアウォールの作成 、明示的なプロキシを使用した FirewallPolicy Azure にデプロイする |
このテンプレートでは、Azure Firewall、明示的なプロキシを使用する FirewalllPolicy、IpGroups を使用したネットワーク 規則を作成します。 また、Linux Jumpbox VM のセットアップも含まれます |
|
ファイアウォール ポリシー を使用してサンドボックスのセットアップを作成する Azure にデプロイする |
このテンプレートは、3 つのサブネット (サーバー サブネット、ジャンプボックス サブセット、AzureFirewall サブネット)、パブリック IP を持つジャンプボックス VM、サーバー VM、サーバー サブネットの Azure Firewall を指す UDR ルート、および 1 つ以上のパブリック IP アドレスを持つ Azure Firewall を含む仮想ネットワークを作成します。 また、1 つのサンプル アプリケーション規則、1 つのサンプル ネットワーク規則、および既定のプライベート範囲でファイアウォール ポリシーを作成します |
| セキュリティで保護された仮想ハブ を Azure |
このテンプレートでは、Azure Firewall を使用してセキュリティで保護された仮想ハブを作成し、インターネット宛てのクラウド ネットワーク トラフィックをセキュリティで保護します。 |
|
SharePoint サブスクリプション / 2019 / 2016 完全構成済み Azure にデプロイする |
DC、SQL Server 2022、および信頼できる認証、個人用サイトを持つユーザー プロファイル、OAuth 信頼 (証明書を使用)、信頼度の高いアドインをホストするための専用 IIS サイトなどを含む広範な構成を使用して、SharePoint サブスクリプション / 2019 / 2016 ファームをホストする 1 台から 5 台のサーバーを作成します。主要ソフトウェア(Fiddler、vscode、np++、7zip、ULS Viewerなど)の最新バージョンがインストールされています。 SharePoint マシンには、すぐに使用できるようにするための追加の微調整があります (リモート管理ツール、Edge と Chrome のカスタム ポリシー、ショートカットなど)。 |
|
Azure Firewall Premium のテスト環境 Azure にデプロイする |
このテンプレートでは、侵入検査検出 (IDPS)、TLS 検査、Web カテゴリのフィルター処理などの Premium 機能を備えた Azure Firewall Premium とファイアウォール ポリシーを作成します |
|
ハブ & スポーク トポロジで DNS プロキシとして Azure Firewall を使用する Azure にデプロイする |
このサンプルでは、Azure Firewall を使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの接続の中心点として機能します。 |
Terraform (AzAPI プロバイダー) リソース定義
firewallPolicies リソースの種類は、次をターゲットとする操作でデプロイできます。
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.Network/firewallPolicies リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2025-03-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
プロパティ値
Microsoft.Network/firewallPolicies (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| ID | ファイアウォール ポリシーの ID。 | ManagedServiceIdentity の |
| 位置 | リソースの場所。 | 文字列 |
| 名前 | リソース名 | string (必須) |
| parent_id | この拡張リソースを適用するリソースの ID。 | string (必須) |
| プロパティ | ファイアウォール ポリシーのプロパティ。 | FirewallPolicyPropertiesFormat の |
| タグ | リソース タグ | タグ名と値のディクショナリ。 |
| 型 | リソースの種類 | 「Microsoft.Network/firewallPolicies@2025-03-01」 |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名前 | 形容 | 価値 |
|---|
Dns設定
| 名前 | 形容 | 価値 |
|---|---|---|
| enableProxy (イネーブルプロキシ) | ファイアウォール ポリシーにアタッチされているファイアウォールで DNS プロキシを有効にします。 | ブール (bool) |
| requireProxyForNetworkRules | ネットワーク ルールの FQDN は、true に設定されている場合にサポートされます。 | ブール (bool) |
| サーバー | カスタム DNS サーバーの一覧。 | 文字列[] |
明示的プロキシ
| 名前 | 形容 | 価値 |
|---|---|---|
| enableExplicitProxy | true に設定すると、明示的なプロキシ モードが有効になります。 | ブール (bool) |
| enablePacFileの | true に設定すると、pac ファイルのポートと URL を指定する必要があります。 | ブール (bool) |
| httpポート(httpPort) | 明示的なプロキシ http プロトコルのポート番号を 64000 より大きくすることはできません。 | int 制約: 最小値 = 0 最大値 = 64000 |
| httpsポート(httpsPort) | 明示的なプロキシ https プロトコルのポート番号は、64000 を超えることはできません。 | int 制約: 最小値 = 0 最大値 = 64000 |
| pacFileの | PAC ファイルの SAS URL。 | 文字列 |
| pacFilePort (英語) | PAC ファイルを提供するファイアウォールのポート番号。 | int 制約: 最小値 = 0 最大値 = 64000 |
FirewallPolicyCertificateAuthority
| 名前 | 形容 | 価値 |
|---|---|---|
| keyVaultシークレットID | KeyVault に格納されているシークレット ID (base-64 でエンコードされた暗号化されていない pfx) 'Secret' または 'Certificate' オブジェクト。 | 文字列 |
| 名前 | CA 証明書の名前。 | 文字列 |
ファイアウォールポリシーインサイト
| 名前 | 形容 | 価値 |
|---|---|---|
| 有効化されている | ポリシーで分析情報が有効になっているかどうかを示すフラグ。 | ブール (bool) |
| logAnalyticsリソース | ファイアウォール ポリシー分析情報を構成するために必要なワークスペース。 | FirewallPolicyLogAnalyticsResources の |
| retentionDays (保持日数) | ポリシーで分析情報を有効にする必要がある日数。 | 整数 (int) |
FirewallPolicyIntrusionDetection (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 構成 | 侵入検出の構成プロパティ。 | FirewallPolicyIntrusionDetectionConfiguration の |
| モード | 侵入検出の一般的な状態。 親ポリシーにアタッチされている場合、ファイアウォールの有効な IDPS モードは、2 つのより厳密なモードです。 | 「アラート」 「否定する」 「オフ」 |
| プロファイル | IDPS プロファイル名。 親ポリシーにアタッチされている場合、ファイアウォールの有効なプロファイルは親ポリシーのプロファイル名です。 | 「アドバンスド」 「ベーシック」 「延長」 「スタンダード」 |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 形容 | バイパス トラフィック ルールの説明。 | 文字列 |
| 宛先アドレス | この規則の宛先 IP アドレスまたは範囲の一覧。 | 文字列[] |
| destinationIpグループ | この規則の宛先 IpGroup の一覧。 | 文字列[] |
| 宛先ポート | 宛先ポートまたは範囲の一覧。 | 文字列[] |
| 名前 | バイパス トラフィック ルールの名前。 | 文字列 |
| プロトコル | 規則バイパス プロトコル。 | 「どれでも」 「ICMP」 「TCP」 「UDP」 |
| ソースアドレス | この規則のソース IP アドレスまたは範囲の一覧。 | 文字列[] |
| sourceIpGroups (英語) | この規則のソース IpGroup の一覧。 | 文字列[] |
FirewallPolicyIntrusionDetectionConfiguration (ファイアウォール ポリシー侵入検出設定)
| 名前 | 形容 | 価値 |
|---|---|---|
| bypassTrafficSettings (バイパストラフィック設定) | バイパスするトラフィックのルールの一覧。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| プライベートレンジ | IDPS プライベート IP アドレス範囲は、トラフィックの方向 (受信、送信など) を識別するために使用されます。 既定では、IANA RFC 1918 で定義されている範囲のみがプライベート IP アドレスと見なされます。 既定の範囲を変更するには、このプロパティを使用してプライベート IP アドレス範囲を指定します | 文字列[] |
| signatureOverrides (シグネチャーオーバーライド) | 特定の署名の状態の一覧。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | 署名 ID。 | 文字列 |
| モード | 署名の状態。 | 「アラート」 「否定する」 「オフ」 |
FirewallPolicyLogAnalyticsリソース
| 名前 | 形容 | 価値 |
|---|---|---|
| デフォルトワークスペースID | ファイアウォール ポリシー分析情報の既定のワークスペース ID。 | SubResource の |
| 作業スペース | ファイアウォール ポリシー分析情報のワークスペースの一覧。 | FirewallPolicyLogAnalyticsワークスペース[] |
FirewallPolicyLogAnalyticsワークスペース
| 名前 | 形容 | 価値 |
|---|---|---|
| リージョン | ワークスペースを構成するリージョン。 | 文字列 |
| ワークスペースID | ファイアウォール ポリシー分析情報のワークスペース ID。 | SubResource の |
FirewallPolicyPropertiesFormat
| 名前 | 形容 | 価値 |
|---|---|---|
| ベースポリシー | 規則の継承元の親ファイアウォール ポリシー。 | SubResource の |
| dns設定 | DNS プロキシ設定の定義。 | Dns設定 |
| explicitプロキシ | 明示的なプロキシ設定の定義。 | ExplicitProxy の |
| 分析情報 | ファイアウォール ポリシーに関する分析情報。 | FirewallPolicyInsights の |
| 侵入検出 | 侵入検出の構成。 | FirewallPolicyIntrusionDetection の |
| エスケーユー | ファイアウォール ポリシー SKU。 | ファイアウォールポリシーSKU |
| スナット | トラフィックが SNAT にならないプライベート IP アドレス/IP 範囲。 | FirewallPolicySnat の |
| SQL | SQL 設定の定義。 | FirewallPolicySQL の |
| threatIntelMode (脅威インテルモード) | 脅威インテリジェンスの操作モード。 | 「アラート」 「否定する」 「オフ」 |
| threatIntelホワイトリスト | ファイアウォール ポリシーの ThreatIntel ホワイトリスト。 | FirewallPolicyThreatIntelWhitelist の |
| 輸送用安全 | TLS 構成定義。 | FirewallPolicyTransportSecurity の |
ファイアウォールポリシーSKU
| 名前 | 形容 | 価値 |
|---|---|---|
| レベル | ファイアウォール ポリシーの層。 | 「ベーシック」 「プレミアム」 「スタンダード」 |
ファイアウォールポリシーSnat
| 名前 | 形容 | 価値 |
|---|---|---|
| autoLearnプライベートレンジ | プライベート範囲を自動的に学習するための操作モードが SNAT にならない | 「無効」 「有効」 |
| プライベートレンジ | SNAT ではないプライベート IP アドレス/IP アドレス範囲の一覧。 | 文字列[] |
ファイアウォールポリシーSQL
| 名前 | 形容 | 価値 |
|---|---|---|
| allowSqlRedirect (英語) | SQL リダイレクト トラフィック のフィルター処理が有効になっているかどうかを示すフラグ。 フラグをオンにする場合、ポート 11000 から 11999 を使用する規則は必要ありません。 | ブール (bool) |
FirewallPolicyThreatIntelホワイトリスト
| 名前 | 形容 | 価値 |
|---|---|---|
| FQDNの | ThreatIntel ホワイトリストの FQDN の一覧。 | 文字列[] |
| IPアドレス | ThreatIntel ホワイトリストの IP アドレスの一覧。 | 文字列[] |
ファイアウォールポリシートランスポートセキュリティ
| 名前 | 形容 | 価値 |
|---|---|---|
| 証明書認証局 | 中間 CA 生成に使用される CA。 | FirewallPolicyCertificateAuthority の |
マネージドサービスアイデンティティ
| 名前 | 形容 | 価値 |
|---|---|---|
| 型 | リソースに使用される ID の種類。 型 'SystemAssigned, UserAssigned' には、暗黙的に作成された ID とユーザー割り当て ID のセットの両方が含まれます。 種類 'None' は、仮想マシンからすべての ID を削除します。 | 「なし」 'システム割り当て' 'SystemAssigned,UserAssigned' 'UserAssigned' |
| userAssignedIdentities (ユーザー割り当て済みアイデンティティ) | リソースに関連付けられているユーザー ID の一覧。 ユーザー ID ディクショナリ のキー参照は、'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}' という形式の ARM リソース ID になります。 | ManagedServiceIdentityUserAssignedIdentities の |
ManagedServiceIdentityUserAssignedIdentities
| 名前 | 形容 | 価値 |
|---|
リソースタグ
| 名前 | 形容 | 価値 |
|---|
サブリソース
| 名前 | 形容 | 価値 |
|---|---|---|
| 身分証明書 | リソース ID。 | 文字列 |
使用例
Terraformサンプル
ファイアウォールポリシーの展開の基本的な例。
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "firewallPolicy" {
type = "Microsoft.Network/firewallPolicies@2022-07-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
threatIntelMode = "Alert"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Azure 検証済みモジュール
次の Azure 検証済みモジュール を使用して、このリソースの種類をデプロイできます。
| モジュール | 形容 |
|---|---|
| Azure Firewall Policy の | Azure Firewall ポリシー用の AVM リソース モジュール |