Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
- najnowsze
- 2025-01-01
- 2024-10-01
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Definicja zasobu Bicep
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący element Bicep do szablonu.
resource symbolicname 'Microsoft.Network/firewallPolicies@2025-03-01' = {
scope: resourceSymbolicName or scope
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Wartości właściwości
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity (tożsamość usługi) |
| lokalizacja | Lokalizacja zasobu. | ciąg |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat (Format właściwości zapory) |
| zakres | Użyj polecenia podczas tworzenia zasobu w zakresie innym niż zakres wdrożenia. | Ustaw tę właściwość na symboliczną nazwę zasobu, aby zastosować zasób rozszerzenia. |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy (Serwer Zastępczy Danych) | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | ciąg znakowy[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy (enableExplicitProxy) | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| enablePacFile (plik włączenia) | W przypadku ustawienia wartości true należy podać port i adres URL pliku pac. | Bool |
| Protokół httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| Protokół httpsPort (port internetowy | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile (plik pac) | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
| pacFilePort (port plików) | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority (Urząd certyfikacji)
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId (identyfikator klucza) | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| jest włączony | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| dni przechowywania | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. W przypadku dołączenia do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu dostawcy tożsamości. Po dołączeniu do zasad nadrzędnych obowiązujący profil zapory to nazwa profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzony" "Standardowa" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | ciąg |
| adresy docelowe | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg znakowy[] |
| destinationIpGroups (grupy doceloweIpGroups) | Lista docelowych grup IpGroup dla tej reguły. | ciąg znakowy[] |
| porty docelowe | Lista portów docelowych lub zakresów. | ciąg znakowy[] |
| nazwa | Nazwa reguły ruchu pomijania. | ciąg |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| adresy źródłowe | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg znakowy[] |
| sourceIpGroups (grupy źródłowe) | Lista źródłowych grup ip dla tej reguły. | ciąg znakowy[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings (Ustawienia ruchu drogowego) | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges (zakresy prywatne) | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są uznawane za prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg znakowy[] |
| podpisPrzesłania | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | ciąg |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId (identyfikator domyślnego obszaru roboczego) | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | ciąg |
| Identyfikator przestrzeni roboczej (workspaceId) | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat (Format właściwości zapory)
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy (Polityka podstawowa) | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| Ustawienia DNS | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxy (jawne proxy) | Jawna definicja ustawień serwera proxy. | jawneproxy |
| szczegółowe informacje | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| wykrywanie włamań | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat (Polityka zapory) |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL (Polityka zaporySQL) |
| threatTryb IntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelBiała lista | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelBiała lista |
| transportBezpieczeństwo | Definicja konfiguracji protokołu TLS. | ZaporaPolitykaTransportBezpieczeństwo |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| warstwa | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat (Polityka zapory)
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges (zakresy autoLearnPrivateRanges) | Tryb operacji automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges (zakresy prywatne) | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg znakowy[] |
FirewallPolicySQL (Polityka zaporySQL)
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelBiała lista
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | ciąg znakowy[] |
| Adresy ip | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | ciąg znakowy[] |
ZaporaPolitykaTransportBezpieczeństwo
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority (urząd certyfikacji) | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority (Urząd certyfikacji) |
ManagedServiceIdentity (tożsamość usługi)
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| tożsamości przypisane użytkownikom | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | ciąg |
Przykłady użycia
Moduły zweryfikowane na platformie Azure
Następujące moduły zweryfikowane platformy Azure mogą służyć do wdrażania tego typu zasobu.
| Moduł | Opis |
|---|---|
| zasad zapory | Moduł zasobów AVM dla zasad zapory |
Przykłady szybkiego startu platformy Azure
Poniższe szablony szybkiego startu platformy Azure zawierają przykłady Bicep na potrzeby wdrażania tego typu zasobu.
| Plik Bicep | Opis |
|---|---|
| tworzenie zapory i zasad zapory przy użyciu reguł i grup ip | Ten szablon wdraża usługę Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do grup adresów IP w regułach aplikacji i sieci. |
| zabezpieczone koncentratory wirtualne | Ten szablon tworzy zabezpieczone centrum wirtualne przy użyciu usługi Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
| Subskrypcja SharePoint / 2019 / 2016 w pełni skonfigurowana | Utwórz kontroler domeny, SQL Server 2022 i od 1 do 5 serwerów hostujących farmę SharePoint Subscription / 2019/2016 z rozbudowaną konfiguracją, w tym zaufanym uwierzytelnianiem, profilami użytkowników z witrynami osobistymi, zaufaniem OAuth (przy użyciu certyfikatu), dedykowaną witryną usług IIS do hostowania dodatków o wysokim poziomie zaufania itp. Zainstalowana jest najnowsza wersja kluczowych programów (w tym Fiddler, vscode, np++, 7zip, ULS Viewer). Maszyny z programem SharePoint mają dodatkowe dostrojenia, aby można było z nich natychmiast korzystać (narzędzia do zdalnej administracji, niestandardowe zasady dla przeglądarki Edge i Chrome, skróty itp.). |
| środowisko testowe dla usługi Azure Firewall — wersja Premium | Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej |
| użyj usługi Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty | W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu usługi Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Definicja zasobu szablonu usługi ARM
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący kod JSON do szablonu.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2025-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Wartości właściwości
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| apiVersion (wersja interfejsu api) | Wersja interfejsu API | '2025-03-01' |
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity (tożsamość usługi) |
| lokalizacja | Lokalizacja zasobu. | ciąg |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat (Format właściwości zapory) |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. Zobacz tagi w szablonach |
| typ | Typ zasobu | "Microsoft.Network/firewallPolicies" |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy (Serwer Zastępczy Danych) | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | ciąg znakowy[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy (enableExplicitProxy) | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| enablePacFile (plik włączenia) | W przypadku ustawienia wartości true należy podać port i adres URL pliku pac. | Bool |
| Protokół httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| Protokół httpsPort (port internetowy | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile (plik pac) | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
| pacFilePort (port plików) | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority (Urząd certyfikacji)
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId (identyfikator klucza) | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| jest włączony | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| dni przechowywania | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. W przypadku dołączenia do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu dostawcy tożsamości. Po dołączeniu do zasad nadrzędnych obowiązujący profil zapory to nazwa profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzony" "Standardowa" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | ciąg |
| adresy docelowe | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg znakowy[] |
| destinationIpGroups (grupy doceloweIpGroups) | Lista docelowych grup IpGroup dla tej reguły. | ciąg znakowy[] |
| porty docelowe | Lista portów docelowych lub zakresów. | ciąg znakowy[] |
| nazwa | Nazwa reguły ruchu pomijania. | ciąg |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| adresy źródłowe | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg znakowy[] |
| sourceIpGroups (grupy źródłowe) | Lista źródłowych grup ip dla tej reguły. | ciąg znakowy[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings (Ustawienia ruchu drogowego) | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges (zakresy prywatne) | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są uznawane za prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg znakowy[] |
| podpisPrzesłania | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | ciąg |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId (identyfikator domyślnego obszaru roboczego) | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | ciąg |
| Identyfikator przestrzeni roboczej (workspaceId) | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat (Format właściwości zapory)
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy (Polityka podstawowa) | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| Ustawienia DNS | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxy (jawne proxy) | Jawna definicja ustawień serwera proxy. | jawneproxy |
| szczegółowe informacje | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| wykrywanie włamań | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat (Polityka zapory) |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL (Polityka zaporySQL) |
| threatTryb IntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelBiała lista | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelBiała lista |
| transportBezpieczeństwo | Definicja konfiguracji protokołu TLS. | ZaporaPolitykaTransportBezpieczeństwo |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| warstwa | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat (Polityka zapory)
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges (zakresy autoLearnPrivateRanges) | Tryb operacji automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges (zakresy prywatne) | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg znakowy[] |
FirewallPolicySQL (Polityka zaporySQL)
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelBiała lista
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | ciąg znakowy[] |
| Adresy ip | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | ciąg znakowy[] |
ZaporaPolitykaTransportBezpieczeństwo
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority (urząd certyfikacji) | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority (Urząd certyfikacji) |
ManagedServiceIdentity (tożsamość usługi)
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| tożsamości przypisane użytkownikom | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | ciąg |
Przykłady użycia
Szablony szybkiego startu platformy Azure
Następujące szablony szybkiego startu platformy Azure wdrożyć ten typ zasobu.
| Szablon | Opis |
|---|---|
|
tworzenie zapory i zasad zapory przy użyciu reguł i grup ip wdrażanie  |
Ten szablon wdraża usługę Azure Firewall z zasadami zapory (w tym wieloma regułami aplikacji i sieci) odwołującymi się do grup adresów IP w regułach aplikacji i sieci. |
|
tworzenie zapory przy użyciu zasad zapory i IpGroups wdrażanie |
Ten szablon tworzy usługę Azure Firewall z zasadami zapory odwołującymi się do reguł sieci za pomocą grup IpGroups. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
tworzenie zapory, zaporaPolicy z jawnym serwerem proxy wdrażanie |
Ten szablon tworzy usługę Azure Firewall, FirewalllPolicy z jawnym serwerem proxy i regułami sieci z grupami IP. Ponadto obejmuje konfigurację maszyny wirtualnej serwera przesiadkowego z systemem Linux |
|
Tworzenie konfiguracji piaskownicy przy użyciu zasad zapory wdrażanie |
Ten szablon tworzy sieć wirtualną z 3 podsieciami (podsiecią serwera, podsiecią przesiadki i podsiecią AzureFirewall), maszyną wirtualną przesiadkową z publicznym adresem IP, maszyną wirtualną serwera, trasą zdefiniowaną przez użytkownika, aby wskazać usługę Azure Firewall dla podsieci serwera i usługę Azure Firewall z co najmniej 1 publicznymi adresami IP. Tworzy również zasady zapory z 1 przykładową regułą aplikacji, 1 przykładową regułą sieci i domyślnymi zakresami prywatnymi |
|
zabezpieczone koncentratory wirtualne wdrażanie |
Ten szablon tworzy zabezpieczone centrum wirtualne przy użyciu usługi Azure Firewall w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do Internetu. |
|
Subskrypcja SharePoint / 2019 / 2016 w pełni skonfigurowana wdrażanie |
Utwórz kontroler domeny, SQL Server 2022 i od 1 do 5 serwerów hostujących farmę SharePoint Subscription / 2019/2016 z rozbudowaną konfiguracją, w tym zaufanym uwierzytelnianiem, profilami użytkowników z witrynami osobistymi, zaufaniem OAuth (przy użyciu certyfikatu), dedykowaną witryną usług IIS do hostowania dodatków o wysokim poziomie zaufania itp. Zainstalowana jest najnowsza wersja kluczowych programów (w tym Fiddler, vscode, np++, 7zip, ULS Viewer). Maszyny z programem SharePoint mają dodatkowe dostrojenia, aby można było z nich natychmiast korzystać (narzędzia do zdalnej administracji, niestandardowe zasady dla przeglądarki Edge i Chrome, skróty itp.). |
| środowisko testowe dla usługi Azure Firewall — wersja Premium wdrażanie |
Ten szablon tworzy usługę Azure Firewall — wersja Premium i zasady zapory z funkcjami premium, takimi jak wykrywanie inspekcji włamań (IDPS), inspekcja protokołu TLS i filtrowanie kategorii internetowej |
|
użyj usługi Azure Firewall jako serwera proxy DNS w topologii gwiazdy & piasty wdrażanie |
W tym przykładzie pokazano, jak wdrożyć topologię piasty i szprych na platformie Azure przy użyciu usługi Azure Firewall. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych, które są połączone z siecią wirtualną koncentratora za pośrednictwem komunikacji równorzędnej sieci wirtualnych. |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu firewallPolicies można wdrożyć przy użyciu operacji docelowych:
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.Network/firewallPolicies, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2025-03-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
Wartości właściwości
Microsoft.Network/firewallPolicies
| Nazwa | Opis | Wartość |
|---|---|---|
| tożsamość | Tożsamość zasad zapory. | ManagedServiceIdentity (tożsamość usługi) |
| lokalizacja | Lokalizacja zasobu. | ciąg |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| parent_id | Identyfikator zasobu, do który ma być stosowany ten zasób rozszerzenia. | ciąg (wymagany) |
| Właściwości | Właściwości zasad zapory. | FirewallPolicyPropertiesFormat (Format właściwości zapory) |
| Tagi | Tagi zasobów | Słownik nazw tagów i wartości. |
| typ | Typ zasobu | "Microsoft.Network/firewallPolicies@2025-03-01" |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| Nazwa | Opis | Wartość |
|---|
Ustawienia DNS
| Nazwa | Opis | Wartość |
|---|---|---|
| enableProxy (Serwer Zastępczy Danych) | Włącz serwer proxy DNS na zaporach dołączonych do zasad zapory. | Bool |
| requireProxyForNetworkRules | Nazwy FQDN w regułach sieciowych są obsługiwane w przypadku ustawienia wartości true. | Bool |
| Serwerów | Lista niestandardowych serwerów DNS. | ciąg znakowy[] |
Jawneproxy
| Nazwa | Opis | Wartość |
|---|---|---|
| enableExplicitProxy (enableExplicitProxy) | Po ustawieniu wartości true jest włączony jawny tryb serwera proxy. | Bool |
| enablePacFile (plik włączenia) | W przypadku ustawienia wartości true należy podać port i adres URL pliku pac. | Bool |
| Protokół httpPort | Numer portu dla jawnego protokołu HTTP serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| Protokół httpsPort (port internetowy | Numer portu dla jawnego protokołu HTTPS serwera proxy nie może być większy niż 64000. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
| pacFile (plik pac) | Adres URL sygnatury dostępu współdzielonego dla pliku PAC. | ciąg |
| pacFilePort (port plików) | Numer portu zapory do obsługi pliku PAC. | Int Ograniczenia: Minimalna wartość = 0 Wartość maksymalna = 64000 |
FirewallPolicyCertificateAuthority (Urząd certyfikacji)
| Nazwa | Opis | Wartość |
|---|---|---|
| keyVaultSecretId (identyfikator klucza) | Identyfikator wpisu tajnego (zakodowany w formacie base-64 niezaszyfrowany pfx) "Secret" lub "Certificate" obiektu przechowywanego w usłudze KeyVault. | ciąg |
| nazwa | Nazwa certyfikatu urzędu certyfikacji. | ciąg |
FirewallPolicyInsights
| Nazwa | Opis | Wartość |
|---|---|---|
| jest włączony | Flaga wskazująca, czy szczegółowe informacje są włączone w zasadach. | Bool |
| logAnalyticsResources | Obszary robocze potrzebne do skonfigurowania szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsResources |
| dni przechowywania | Liczba dni, przez które szczegółowe informacje powinny być włączone w zasadach. | Int |
FirewallPolicyIntrusionDetection
| Nazwa | Opis | Wartość |
|---|---|---|
| konfiguracja | Właściwości konfiguracji wykrywania włamań. | FirewallPolicyIntrusionDetectionConfiguration |
| tryb | Ogólny stan wykrywania włamań. W przypadku dołączenia do zasad nadrzędnych skuteczny tryb IDPS zapory jest bardziej rygorystycznym trybem tych dwóch. | "Alert" "Odmów" "Wyłączone" |
| profil | Nazwa profilu dostawcy tożsamości. Po dołączeniu do zasad nadrzędnych obowiązujący profil zapory to nazwa profilu zasad nadrzędnych. | "Zaawansowane" "Podstawowa" "Rozszerzony" "Standardowa" |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nazwa | Opis | Wartość |
|---|---|---|
| opis | Opis reguły pomijania ruchu. | ciąg |
| adresy docelowe | Lista docelowych adresów IP lub zakresów dla tej reguły. | ciąg znakowy[] |
| destinationIpGroups (grupy doceloweIpGroups) | Lista docelowych grup IpGroup dla tej reguły. | ciąg znakowy[] |
| porty docelowe | Lista portów docelowych lub zakresów. | ciąg znakowy[] |
| nazwa | Nazwa reguły ruchu pomijania. | ciąg |
| protokół | Protokół obejścia reguły. | "ANY" "ICMP" "TCP" "UDP" |
| adresy źródłowe | Lista źródłowych adresów IP lub zakresów dla tej reguły. | ciąg znakowy[] |
| sourceIpGroups (grupy źródłowe) | Lista źródłowych grup ip dla tej reguły. | ciąg znakowy[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nazwa | Opis | Wartość |
|---|---|---|
| bypassTrafficSettings (Ustawienia ruchu drogowego) | Lista reguł dotyczących ruchu do obejścia. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges (zakresy prywatne) | Zakresy prywatnych adresów IP idPS służą do identyfikowania kierunku ruchu (tj. ruchu przychodzącego, wychodzącego itp.). Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są uznawane za prywatne adresy IP. Aby zmodyfikować zakresy domyślne, określ zakresy prywatnych adresów IP za pomocą tej właściwości | ciąg znakowy[] |
| podpisPrzesłania | Lista stanów określonych podpisów. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator podpisu. | ciąg |
| tryb | Stan podpisu. | "Alert" "Odmów" "Wyłączone" |
FirewallPolicyLogAnalyticsResources
| Nazwa | Opis | Wartość |
|---|---|---|
| defaultWorkspaceId (identyfikator domyślnego obszaru roboczego) | Domyślny identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
| obszary robocze | Lista obszarów roboczych dla szczegółowych informacji o zasadach zapory. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nazwa | Opis | Wartość |
|---|---|---|
| region | Region do skonfigurowania obszaru roboczego. | ciąg |
| Identyfikator przestrzeni roboczej (workspaceId) | Identyfikator obszaru roboczego dla szczegółowych informacji o zasadach zapory. | |
FirewallPolicyPropertiesFormat (Format właściwości zapory)
| Nazwa | Opis | Wartość |
|---|---|---|
| basePolicy (Polityka podstawowa) | Nadrzędne zasady zapory, z których są dziedziczone reguły. | |
| Ustawienia DNS | Definicja ustawień serwera proxy DNS. | DnsSettings |
| explicitProxy (jawne proxy) | Jawna definicja ustawień serwera proxy. | jawneproxy |
| szczegółowe informacje | Szczegółowe informacje dotyczące zasad zapory. | FirewallPolicyInsights |
| wykrywanie włamań | Konfiguracja wykrywania nieautoryzowanego dostępu. | FirewallPolicyIntrusionDetection |
| Numer jednostki magazynowej | Jednostka SKU zasad zapory. | FirewallPolicySku |
| wyrwy | Prywatne adresy IP/zakresy adresów IP, do których ruch nie będzie ruchem SNAT. | FirewallPolicySnat (Polityka zapory) |
| SQL | Definicja ustawień SQL. | FirewallPolicySQL (Polityka zaporySQL) |
| threatTryb IntelMode | Tryb operacji analizy zagrożeń. | "Alert" "Odmów" "Wyłączone" |
| threatIntelBiała lista | Lista dozwolonych zasad zapory usługi ThreatIntel. | FirewallPolicyThreatIntelBiała lista |
| transportBezpieczeństwo | Definicja konfiguracji protokołu TLS. | ZaporaPolitykaTransportBezpieczeństwo |
FirewallPolicySku
| Nazwa | Opis | Wartość |
|---|---|---|
| warstwa | Warstwa zasad zapory. | "Podstawowa" "Premium" "Standardowa" |
FirewallPolicySnat (Polityka zapory)
| Nazwa | Opis | Wartość |
|---|---|---|
| autoLearnPrivateRanges (zakresy autoLearnPrivateRanges) | Tryb operacji automatycznego uczenia zakresów prywatnych nie jest protokołem SNAT | "Wyłączone" "Włączone" |
| privateRanges (zakresy prywatne) | Lista prywatnych adresów IP/zakresów adresów IP, które nie mają wartości SNAT. | ciąg znakowy[] |
FirewallPolicySQL (Polityka zaporySQL)
| Nazwa | Opis | Wartość |
|---|---|---|
| allowSqlRedirect | Flaga wskazująca, czy włączono filtrowanie ruchu przekierowania SQL. Włączenie flagi nie wymaga reguły przy użyciu portu 11000-11999. | Bool |
FirewallPolicyThreatIntelBiała lista
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwy fqdn | Lista nazw FQDN dla listy dozwolonych aplikacji ThreatIntel. | ciąg znakowy[] |
| Adresy ip | Lista adresów IP listy dozwolonych aplikacji ThreatIntel. | ciąg znakowy[] |
ZaporaPolitykaTransportBezpieczeństwo
| Nazwa | Opis | Wartość |
|---|---|---|
| certificateAuthority (urząd certyfikacji) | Urząd certyfikacji używany do generowania pośredniego urzędu certyfikacji. | FirewallPolicyCertificateAuthority (Urząd certyfikacji) |
ManagedServiceIdentity (tożsamość usługi)
| Nazwa | Opis | Wartość |
|---|---|---|
| typ | Typ tożsamości używany dla zasobu. Typ "SystemAssigned, UserAssigned" zawiera zarówno niejawnie utworzoną tożsamość, jak i zestaw tożsamości przypisanych przez użytkownika. Typ "Brak" spowoduje usunięcie wszystkich tożsamości z maszyny wirtualnej. | "Brak" "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| tożsamości przypisane użytkownikom | Lista tożsamości użytkowników skojarzonych z zasobem. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nazwa | Opis | Wartość |
|---|
Tagi zasobów
| Nazwa | Opis | Wartość |
|---|
Podźródło
| Nazwa | Opis | Wartość |
|---|---|---|
| id | Identyfikator zasobu. | ciąg |
Przykłady użycia
Przykłady programu Terraform
Podstawowy przykład wdrażania zasad zapory.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "firewallPolicy" {
type = "Microsoft.Network/firewallPolicies@2022-07-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
threatIntelMode = "Alert"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Moduły zweryfikowane na platformie Azure
Następujące moduły zweryfikowane platformy Azure mogą służyć do wdrażania tego typu zasobu.