Partilhar via

Microsoft.Network firewallPolíticas

Definição de recursos do bíceps

O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Bicep ao seu modelo.

resource symbolicname 'Microsoft.Network/firewallPolicies@2025-03-01' = {
  scope: resourceSymbolicName or scope
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    basePolicy: {
      id: 'string'
    }
    dnsSettings: {
      enableProxy: bool
      requireProxyForNetworkRules: bool
      servers: [
        'string'
      ]
    }
    explicitProxy: {
      enableExplicitProxy: bool
      enablePacFile: bool
      httpPort: int
      httpsPort: int
      pacFile: 'string'
      pacFilePort: int
    }
    insights: {
      isEnabled: bool
      logAnalyticsResources: {
        defaultWorkspaceId: {
          id: 'string'
        }
        workspaces: [
          {
            region: 'string'
            workspaceId: {
              id: 'string'
            }
          }
        ]
      }
      retentionDays: int
    }
    intrusionDetection: {
      configuration: {
        bypassTrafficSettings: [
          {
            description: 'string'
            destinationAddresses: [
              'string'
            ]
            destinationIpGroups: [
              'string'
            ]
            destinationPorts: [
              'string'
            ]
            name: 'string'
            protocol: 'string'
            sourceAddresses: [
              'string'
            ]
            sourceIpGroups: [
              'string'
            ]
          }
        ]
        privateRanges: [
          'string'
        ]
        signatureOverrides: [
          {
            id: 'string'
            mode: 'string'
          }
        ]
      }
      mode: 'string'
      profile: 'string'
    }
    sku: {
      tier: 'string'
    }
    snat: {
      autoLearnPrivateRanges: 'string'
      privateRanges: [
        'string'
      ]
    }
    sql: {
      allowSqlRedirect: bool
    }
    threatIntelMode: 'string'
    threatIntelWhitelist: {
      fqdns: [
        'string'
      ]
      ipAddresses: [
        'string'
      ]
    }
    transportSecurity: {
      certificateAuthority: {
        keyVaultSecretId: 'string'
        name: 'string'
      }
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Valores de propriedade

Microsoft.Network/firewallPolicies

Designação Descrição Valor
identidade A identidade da política de firewall. ManagedServiceIdentity
localização Localização do recurso. cadeia (de caracteres)
Designação O nome do recurso string (obrigatório)
propriedades Propriedades da política de firewall. FirewallPolicyPropertiesFormat
âmbito Use ao criar um recurso em um escopo diferente do escopo de implantação. Defina essa propriedade como o nome simbólico de um recurso para aplicar o recurso de extensão .
Etiquetas Tags de recursos Dicionário de nomes e valores de tags. Consulte Tags em modelos

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Designação Descrição Valor

DnsSettings

Designação Descrição Valor
enableProxy Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. Bool
requireProxyForNetworkRules FQDNs em Regras de Rede são suportados quando definidos como true. Bool
servidores Lista de servidores DNS personalizados. string[]

ExplicitProxy

Designação Descrição Valor
enableExplicitProxy Quando definido como true, o modo de proxy explícito é habilitado. Bool
enablePacFile Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. Bool
Porta http O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
Porta https: O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
pacFile URL SAS para arquivo PAC. cadeia (de caracteres)
pacFilePort Número da porta do firewall para servir o arquivo PAC. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000

FirewallPolicyCertificateAuthority

Designação Descrição Valor
keyVaultSecretId ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. cadeia (de caracteres)
Designação Nome do certificado da autoridade de certificação. cadeia (de caracteres)

FirewallPolicyInsights

Designação Descrição Valor
estáAtivado Um sinalizador para indicar se os insights estão habilitados na política. Bool
logAnalyticsRecursos Espaços de trabalho necessários para configurar o Firewall Policy Insights. FirewallPolicyLogAnalyticsResources
dias de retenção Número de dias em que os insights devem ser habilitados na política. Int

FirewallPolíticaIntrusãoDetecção

Designação Descrição Valor
configuração Propriedades de configuração de deteção de intrusão. FirewallPolicyIntrusionDetectionConfiguration
modo Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. 'Alerta'
'Negar'
'Desligado'
perfil Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. 'Avançado'
'Básico'
'Prorrogado'
'Padrão'

FirewallPolicyIntrusionDetectionBypassTrafficEspecificações

Designação Descrição Valor
Descrição Descrição da regra de tráfego de desvio. cadeia (de caracteres)
endereços de destino Lista de endereços IP de destino ou intervalos para esta regra. string[]
destinationIpGroups Lista de IpGroups de destino para esta regra. string[]
destinationPorts Lista de portas ou intervalos de destino. string[]
Designação Nome da regra de tráfego de desvio. cadeia (de caracteres)
protocolo O protocolo de desvio de regra. 'QUALQUER'
'ICMP'
'TCP'
'UDP'
endereçosDeOrigem Lista de endereços IP de origem ou intervalos para esta regra. string[]
fonteIpGroups Lista de IpGroups de origem para esta regra. string[]

FirewallPolicyIntrusionDetectionConfiguration

Designação Descrição Valor
bypassTrafficSettings Lista de regras para o tráfego a ser contornado. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
intervalos privados Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade string[]
assinaturaSubstituições Lista de estados de assinaturas específicas. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Designação Descrição Valor
ID ID da assinatura. cadeia (de caracteres)
modo O estado da assinatura. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyLogAnalyticsResources

Designação Descrição Valor
defaultWorkspaceId A ID do espaço de trabalho padrão para Insights de Política de Firewall. Subrecurso
espaços de trabalho Lista de espaços de trabalho para Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Designação Descrição Valor
região Região para configurar o espaço de trabalho. cadeia (de caracteres)
idDoEspaçoDeTrabalho A ID do espaço de trabalho para Insights de Política de Firewall. Subrecurso

FirewallPolicyPropertiesFormat

Designação Descrição Valor
basePolicy A política de firewall pai da qual as regras são herdadas. Subrecurso
dnsConfigurações Definição de configurações de proxy DNS. DnsSettings
explicitProxy Definição explícita de configurações de proxy. ExplicitProxy
informações Informações sobre a política de firewall. FirewallPolicyInsights
intrusãoDetecção A configuração para deteção de intrusão. FirewallPolíticaIntrusãoDetecção
SKU A SKU da Política de Firewall. FirewallPolicySku
Snat Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. FirewallPolicySnat
SQL Definição de Configurações SQL. FirewallPolicySQL
threatIntelMode O modo de operação para Threat Intelligence. 'Alerta'
'Negar'
'Desligado'
ameaçaIntelWhitelist Lista branca do ThreatIntel para política de firewall. FirewallPolicyThreatIntelWhitelist
transportesSegurança Definição de configuração TLS. FirewallPolíticaTransporteSegurança

FirewallPolicySku

Designação Descrição Valor
escalão Nível da política de firewall. 'Básico'
'Premium'
'Padrão'

FirewallPolicySnat

Designação Descrição Valor
autoLearnPrivateRanges O modo de operação para aprender automaticamente intervalos privados para não ser SNAT 'Desativado'
'Habilitado'
intervalos privados Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. string[]

FirewallPolicySQL

Designação Descrição Valor
allowSqlRedirect Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Designação Descrição Valor
FQDNs Lista de FQDNs para a lista branca ThreatIntel. string[]
Endereços IP Lista de endereços IP para a lista branca ThreatIntel. string[]

FirewallPolíticaTransporteSegurança

Designação Descrição Valor
Autoridade de certificação A AC utilizada para a geração intermédia de AC. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Designação Descrição Valor
tipo O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'Nenhum' removerá todas as identidades da máquina virtual. 'Nenhuma'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
identidades atribuídas pelo utilizador A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Designação Descrição Valor

Tags de Recursos

Designação Descrição Valor

Subrecurso

Designação Descrição Valor
ID ID do recurso. cadeia (de caracteres)

Exemplos de uso

Módulos verificados do Azure

Os seguintes de Módulos Verificados do Azure podem ser usados para implantar esse tipo de recurso.

Módulo Descrição
de Política de Firewall Módulo de recursos AVM para política de firewall

Exemplos de início rápido do Azure

Os seguintes modelos início rápido do Azure contêm exemplos de Bicep para implantar esse tipo de recurso.

Arquivo Bicep Descrição
Criar um Firewall e uma Política de Firewall com Regras e Ipgroups Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede.
Hubs virtuais seguros Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet.
Subscrição do SharePoint / 2019 / 2016 totalmente configurada Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...).
Ambiente de teste para o Azure Firewall Premium Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web
Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual.

Definição de recurso de modelo ARM

O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte JSON ao seu modelo.

{
  "type": "Microsoft.Network/firewallPolicies",
  "apiVersion": "2025-03-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "basePolicy": {
      "id": "string"
    },
    "dnsSettings": {
      "enableProxy": "bool",
      "requireProxyForNetworkRules": "bool",
      "servers": [ "string" ]
    },
    "explicitProxy": {
      "enableExplicitProxy": "bool",
      "enablePacFile": "bool",
      "httpPort": "int",
      "httpsPort": "int",
      "pacFile": "string",
      "pacFilePort": "int"
    },
    "insights": {
      "isEnabled": "bool",
      "logAnalyticsResources": {
        "defaultWorkspaceId": {
          "id": "string"
        },
        "workspaces": [
          {
            "region": "string",
            "workspaceId": {
              "id": "string"
            }
          }
        ]
      },
      "retentionDays": "int"
    },
    "intrusionDetection": {
      "configuration": {
        "bypassTrafficSettings": [
          {
            "description": "string",
            "destinationAddresses": [ "string" ],
            "destinationIpGroups": [ "string" ],
            "destinationPorts": [ "string" ],
            "name": "string",
            "protocol": "string",
            "sourceAddresses": [ "string" ],
            "sourceIpGroups": [ "string" ]
          }
        ],
        "privateRanges": [ "string" ],
        "signatureOverrides": [
          {
            "id": "string",
            "mode": "string"
          }
        ]
      },
      "mode": "string",
      "profile": "string"
    },
    "sku": {
      "tier": "string"
    },
    "snat": {
      "autoLearnPrivateRanges": "string",
      "privateRanges": [ "string" ]
    },
    "sql": {
      "allowSqlRedirect": "bool"
    },
    "threatIntelMode": "string",
    "threatIntelWhitelist": {
      "fqdns": [ "string" ],
      "ipAddresses": [ "string" ]
    },
    "transportSecurity": {
      "certificateAuthority": {
        "keyVaultSecretId": "string",
        "name": "string"
      }
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Valores de propriedade

Microsoft.Network/firewallPolicies

Designação Descrição Valor
Versão da API A versão api '2025-03-01'
identidade A identidade da política de firewall. ManagedServiceIdentity
localização Localização do recurso. cadeia (de caracteres)
Designação O nome do recurso string (obrigatório)
propriedades Propriedades da política de firewall. FirewallPolicyPropertiesFormat
Etiquetas Tags de recursos Dicionário de nomes e valores de tags. Consulte Tags em modelos
tipo O tipo de recurso 'Microsoft.Network/firewallPolicies'

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Designação Descrição Valor

DnsSettings

Designação Descrição Valor
enableProxy Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. Bool
requireProxyForNetworkRules FQDNs em Regras de Rede são suportados quando definidos como true. Bool
servidores Lista de servidores DNS personalizados. string[]

ExplicitProxy

Designação Descrição Valor
enableExplicitProxy Quando definido como true, o modo de proxy explícito é habilitado. Bool
enablePacFile Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. Bool
Porta http O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
Porta https: O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
pacFile URL SAS para arquivo PAC. cadeia (de caracteres)
pacFilePort Número da porta do firewall para servir o arquivo PAC. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000

FirewallPolicyCertificateAuthority

Designação Descrição Valor
keyVaultSecretId ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. cadeia (de caracteres)
Designação Nome do certificado da autoridade de certificação. cadeia (de caracteres)

FirewallPolicyInsights

Designação Descrição Valor
estáAtivado Um sinalizador para indicar se os insights estão habilitados na política. Bool
logAnalyticsRecursos Espaços de trabalho necessários para configurar o Firewall Policy Insights. FirewallPolicyLogAnalyticsResources
dias de retenção Número de dias em que os insights devem ser habilitados na política. Int

FirewallPolíticaIntrusãoDetecção

Designação Descrição Valor
configuração Propriedades de configuração de deteção de intrusão. FirewallPolicyIntrusionDetectionConfiguration
modo Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. 'Alerta'
'Negar'
'Desligado'
perfil Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. 'Avançado'
'Básico'
'Prorrogado'
'Padrão'

FirewallPolicyIntrusionDetectionBypassTrafficEspecificações

Designação Descrição Valor
Descrição Descrição da regra de tráfego de desvio. cadeia (de caracteres)
endereços de destino Lista de endereços IP de destino ou intervalos para esta regra. string[]
destinationIpGroups Lista de IpGroups de destino para esta regra. string[]
destinationPorts Lista de portas ou intervalos de destino. string[]
Designação Nome da regra de tráfego de desvio. cadeia (de caracteres)
protocolo O protocolo de desvio de regra. 'QUALQUER'
'ICMP'
'TCP'
'UDP'
endereçosDeOrigem Lista de endereços IP de origem ou intervalos para esta regra. string[]
fonteIpGroups Lista de IpGroups de origem para esta regra. string[]

FirewallPolicyIntrusionDetectionConfiguration

Designação Descrição Valor
bypassTrafficSettings Lista de regras para o tráfego a ser contornado. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
intervalos privados Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade string[]
assinaturaSubstituições Lista de estados de assinaturas específicas. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Designação Descrição Valor
ID ID da assinatura. cadeia (de caracteres)
modo O estado da assinatura. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyLogAnalyticsResources

Designação Descrição Valor
defaultWorkspaceId A ID do espaço de trabalho padrão para Insights de Política de Firewall. Subrecurso
espaços de trabalho Lista de espaços de trabalho para Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Designação Descrição Valor
região Região para configurar o espaço de trabalho. cadeia (de caracteres)
idDoEspaçoDeTrabalho A ID do espaço de trabalho para Insights de Política de Firewall. Subrecurso

FirewallPolicyPropertiesFormat

Designação Descrição Valor
basePolicy A política de firewall pai da qual as regras são herdadas. Subrecurso
dnsConfigurações Definição de configurações de proxy DNS. DnsSettings
explicitProxy Definição explícita de configurações de proxy. ExplicitProxy
informações Informações sobre a política de firewall. FirewallPolicyInsights
intrusãoDetecção A configuração para deteção de intrusão. FirewallPolíticaIntrusãoDetecção
SKU A SKU da Política de Firewall. FirewallPolicySku
Snat Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. FirewallPolicySnat
SQL Definição de Configurações SQL. FirewallPolicySQL
threatIntelMode O modo de operação para Threat Intelligence. 'Alerta'
'Negar'
'Desligado'
ameaçaIntelWhitelist Lista branca do ThreatIntel para política de firewall. FirewallPolicyThreatIntelWhitelist
transportesSegurança Definição de configuração TLS. FirewallPolíticaTransporteSegurança

FirewallPolicySku

Designação Descrição Valor
escalão Nível da política de firewall. 'Básico'
'Premium'
'Padrão'

FirewallPolicySnat

Designação Descrição Valor
autoLearnPrivateRanges O modo de operação para aprender automaticamente intervalos privados para não ser SNAT 'Desativado'
'Habilitado'
intervalos privados Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. string[]

FirewallPolicySQL

Designação Descrição Valor
allowSqlRedirect Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Designação Descrição Valor
FQDNs Lista de FQDNs para a lista branca ThreatIntel. string[]
Endereços IP Lista de endereços IP para a lista branca ThreatIntel. string[]

FirewallPolíticaTransporteSegurança

Designação Descrição Valor
Autoridade de certificação A AC utilizada para a geração intermédia de AC. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Designação Descrição Valor
tipo O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'Nenhum' removerá todas as identidades da máquina virtual. 'Nenhuma'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
identidades atribuídas pelo utilizador A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Designação Descrição Valor

Tags de Recursos

Designação Descrição Valor

Subrecurso

Designação Descrição Valor
ID ID do recurso. cadeia (de caracteres)

Exemplos de uso

Modelos de início rápido do Azure

Os seguintes modelos de início rápido do Azure implantar esse tipo de recurso.

Modelo Descrição
Criar um Firewall e uma Política de Firewall com Regras e Ipgroups

Implantar no Azure 		Este modelo implanta um Firewall do Azure com Política de Firewall (incluindo várias regras de aplicativo e rede) fazendo referência a Grupos IP em regras de aplicativo e rede.
Criar um firewall com FirewallPolicy e IpGroups

Implantar no Azure 		Este modelo cria um Firewall do Azure com FirewalllPolicy fazendo referência a Regras de Rede com IpGroups. Além disso, inclui uma configuração de vm Linux Jumpbox
Criar um firewall, FirewallPolicy com proxy explícito

Implantar no Azure 		Este modelo cria um Firewall do Azure, FirewalllPolicy com Proxy Explícito e Regras de Rede com IpGroups. Além disso, inclui uma configuração de vm Linux Jumpbox
Criar uma configuração de área restrita com a Diretiva de Firewall

Implantar no Azure 		Este modelo cria uma rede virtual com 3 sub-redes (sub-rede do servidor, subet jumpbox e sub-rede AzureFirewall), uma VM jumpbox com IP público, uma VM de servidor, rota UDR para apontar para o Firewall do Azure para a Sub-rede do Servidor e um Firewall do Azure com 1 ou mais endereços IP públicos. Também cria uma política de firewall com 1 regra de aplicativo de exemplo, 1 regra de rede de exemplo e intervalos privados padrão
Hubs virtuais seguros

Implantar no Azure 		Este modelo cria um hub virtual seguro usando o Firewall do Azure para proteger o tráfego de rede na nuvem destinado à Internet.
Subscrição do SharePoint / 2019 / 2016 totalmente configurada

Implantar no Azure 		Crie um DC, um SQL Server 2022 e de 1 a 5 servidor(es) hospedando um farm de Assinatura do SharePoint / 2019 / 2016 com uma configuração extensa, incluindo autenticação confiável, perfis de usuário com sites pessoais, uma relação de confiança OAuth (usando um certificado), um site IIS dedicado para hospedar suplementos de alta confiança, etc... A versão mais recente dos principais softwares (incluindo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. As máquinas SharePoint têm ajustes finos adicionais para torná-las imediatamente utilizáveis (ferramentas de administração remota, políticas personalizadas para Edge e Chrome, atalhos, etc...).
Ambiente de teste para o Azure Firewall Premium

Implantar no Azure 		Este modelo cria uma Política de Firewall Premium e de Firewall do Azure com recursos premium, como IDPS (Intrusion Inspection Detection), inspeção TLS e filtragem de Categoria da Web
Usar o Firewall do Azure como um proxy DNS em um de topologia do Hub & Spoke

Implantar no Azure 		Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais faladas que estão conectadas à rede virtual do hub por meio do emparelhamento de rede virtual.

Definição de recursos Terraform (provedor AzAPI)

O tipo de recurso firewallPolicies pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.

Formato do recurso

Para criar um recurso Microsoft.Network/firewallPolicies, adicione o seguinte Terraform ao seu modelo.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/firewallPolicies@2025-03-01"
  name = "string"
  parent_id = "string"
  identity {
    type = "string"
    identity_ids = [
      "string"
    ]
  }
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = {
    properties = {
      basePolicy = {
        id = "string"
      }
      dnsSettings = {
        enableProxy = bool
        requireProxyForNetworkRules = bool
        servers = [
          "string"
        ]
      }
      explicitProxy = {
        enableExplicitProxy = bool
        enablePacFile = bool
        httpPort = int
        httpsPort = int
        pacFile = "string"
        pacFilePort = int
      }
      insights = {
        isEnabled = bool
        logAnalyticsResources = {
          defaultWorkspaceId = {
            id = "string"
          }
          workspaces = [
            {
              region = "string"
              workspaceId = {
                id = "string"
              }
            }
          ]
        }
        retentionDays = int
      }
      intrusionDetection = {
        configuration = {
          bypassTrafficSettings = [
            {
              description = "string"
              destinationAddresses = [
                "string"
              ]
              destinationIpGroups = [
                "string"
              ]
              destinationPorts = [
                "string"
              ]
              name = "string"
              protocol = "string"
              sourceAddresses = [
                "string"
              ]
              sourceIpGroups = [
                "string"
              ]
            }
          ]
          privateRanges = [
            "string"
          ]
          signatureOverrides = [
            {
              id = "string"
              mode = "string"
            }
          ]
        }
        mode = "string"
        profile = "string"
      }
      sku = {
        tier = "string"
      }
      snat = {
        autoLearnPrivateRanges = "string"
        privateRanges = [
          "string"
        ]
      }
      sql = {
        allowSqlRedirect = bool
      }
      threatIntelMode = "string"
      threatIntelWhitelist = {
        fqdns = [
          "string"
        ]
        ipAddresses = [
          "string"
        ]
      }
      transportSecurity = {
        certificateAuthority = {
          keyVaultSecretId = "string"
          name = "string"
        }
      }
    }
  }
}

Valores de propriedade

Microsoft.Network/firewallPolicies

Designação Descrição Valor
identidade A identidade da política de firewall. ManagedServiceIdentity
localização Localização do recurso. cadeia (de caracteres)
Designação O nome do recurso string (obrigatório)
parent_id A ID do recurso ao qual aplicar esse recurso de extensão. string (obrigatório)
propriedades Propriedades da política de firewall. FirewallPolicyPropertiesFormat
Etiquetas Tags de recursos Dicionário de nomes e valores de tags.
tipo O tipo de recurso "Microsoft.Network/firewallPolicies@2025-03-01"

Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties

Designação Descrição Valor

DnsSettings

Designação Descrição Valor
enableProxy Habilite o Proxy DNS em Firewalls conectados à Diretiva de Firewall. Bool
requireProxyForNetworkRules FQDNs em Regras de Rede são suportados quando definidos como true. Bool
servidores Lista de servidores DNS personalizados. string[]

ExplicitProxy

Designação Descrição Valor
enableExplicitProxy Quando definido como true, o modo de proxy explícito é habilitado. Bool
enablePacFile Quando definido como true, a porta do arquivo pac e a url precisam ser fornecidas. Bool
Porta http O número da porta para o protocolo http de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
Porta https: O número da porta para o protocolo https de proxy explícito não pode ser maior que 64000. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000
pacFile URL SAS para arquivo PAC. cadeia (de caracteres)
pacFilePort Número da porta do firewall para servir o arquivo PAC. Int

Restrições:
Valor mínimo = 0
Valor máximo = 64000

FirewallPolicyCertificateAuthority

Designação Descrição Valor
keyVaultSecretId ID secreto do objeto 'Secret' ou 'Certificate' (codificado em base 64 não criptografado) armazenado no KeyVault. cadeia (de caracteres)
Designação Nome do certificado da autoridade de certificação. cadeia (de caracteres)

FirewallPolicyInsights

Designação Descrição Valor
estáAtivado Um sinalizador para indicar se os insights estão habilitados na política. Bool
logAnalyticsRecursos Espaços de trabalho necessários para configurar o Firewall Policy Insights. FirewallPolicyLogAnalyticsResources
dias de retenção Número de dias em que os insights devem ser habilitados na política. Int

FirewallPolíticaIntrusãoDetecção

Designação Descrição Valor
configuração Propriedades de configuração de deteção de intrusão. FirewallPolicyIntrusionDetectionConfiguration
modo Estado geral de deteção de intrusão. Quando anexado a uma política pai, o modo IDPS efetivo do firewall é o modo mais estrito dos dois. 'Alerta'
'Negar'
'Desligado'
perfil Nome do perfil IDPS. Quando anexado a uma política pai, o perfil efetivo do firewall é o nome do perfil da política pai. 'Avançado'
'Básico'
'Prorrogado'
'Padrão'

FirewallPolicyIntrusionDetectionBypassTrafficEspecificações

Designação Descrição Valor
Descrição Descrição da regra de tráfego de desvio. cadeia (de caracteres)
endereços de destino Lista de endereços IP de destino ou intervalos para esta regra. string[]
destinationIpGroups Lista de IpGroups de destino para esta regra. string[]
destinationPorts Lista de portas ou intervalos de destino. string[]
Designação Nome da regra de tráfego de desvio. cadeia (de caracteres)
protocolo O protocolo de desvio de regra. 'QUALQUER'
'ICMP'
'TCP'
'UDP'
endereçosDeOrigem Lista de endereços IP de origem ou intervalos para esta regra. string[]
fonteIpGroups Lista de IpGroups de origem para esta regra. string[]

FirewallPolicyIntrusionDetectionConfiguration

Designação Descrição Valor
bypassTrafficSettings Lista de regras para o tráfego a ser contornado. FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[]
intervalos privados Os intervalos de endereços IP privados IDPS são usados para identificar a direção do tráfego (ou seja, entrada, saída, etc.). Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Para modificar intervalos padrão, especifique seus intervalos de endereços IP privados com esta propriedade string[]
assinaturaSubstituições Lista de estados de assinaturas específicas. FirewallPolicyIntrusionDetectionSignatureSpecification[]

FirewallPolicyIntrusionDetectionSignatureSpecification

Designação Descrição Valor
ID ID da assinatura. cadeia (de caracteres)
modo O estado da assinatura. 'Alerta'
'Negar'
'Desligado'

FirewallPolicyLogAnalyticsResources

Designação Descrição Valor
defaultWorkspaceId A ID do espaço de trabalho padrão para Insights de Política de Firewall. Subrecurso
espaços de trabalho Lista de espaços de trabalho para Firewall Policy Insights. FirewallPolicyLogAnalyticsWorkspace[]

FirewallPolicyLogAnalyticsWorkspace

Designação Descrição Valor
região Região para configurar o espaço de trabalho. cadeia (de caracteres)
idDoEspaçoDeTrabalho A ID do espaço de trabalho para Insights de Política de Firewall. Subrecurso

FirewallPolicyPropertiesFormat

Designação Descrição Valor
basePolicy A política de firewall pai da qual as regras são herdadas. Subrecurso
dnsConfigurações Definição de configurações de proxy DNS. DnsSettings
explicitProxy Definição explícita de configurações de proxy. ExplicitProxy
informações Informações sobre a política de firewall. FirewallPolicyInsights
intrusãoDetecção A configuração para deteção de intrusão. FirewallPolíticaIntrusãoDetecção
SKU A SKU da Política de Firewall. FirewallPolicySku
Snat Os endereços IP privados/intervalos IP para os quais o tráfego não será SNAT. FirewallPolicySnat
SQL Definição de Configurações SQL. FirewallPolicySQL
threatIntelMode O modo de operação para Threat Intelligence. 'Alerta'
'Negar'
'Desligado'
ameaçaIntelWhitelist Lista branca do ThreatIntel para política de firewall. FirewallPolicyThreatIntelWhitelist
transportesSegurança Definição de configuração TLS. FirewallPolíticaTransporteSegurança

FirewallPolicySku

Designação Descrição Valor
escalão Nível da política de firewall. 'Básico'
'Premium'
'Padrão'

FirewallPolicySnat

Designação Descrição Valor
autoLearnPrivateRanges O modo de operação para aprender automaticamente intervalos privados para não ser SNAT 'Desativado'
'Habilitado'
intervalos privados Lista de endereços IP privados/intervalos de endereços IP para não ser SNAT. string[]

FirewallPolicySQL

Designação Descrição Valor
allowSqlRedirect Um sinalizador para indicar se a filtragem de tráfego do SQL Redirect está habilitada. Ligar o sinalizador não requer nenhuma regra usando a porta 11000-11999. Bool

FirewallPolicyThreatIntelWhitelist

Designação Descrição Valor
FQDNs Lista de FQDNs para a lista branca ThreatIntel. string[]
Endereços IP Lista de endereços IP para a lista branca ThreatIntel. string[]

FirewallPolíticaTransporteSegurança

Designação Descrição Valor
Autoridade de certificação A AC utilizada para a geração intermédia de AC. FirewallPolicyCertificateAuthority

ManagedServiceIdentity

Designação Descrição Valor
tipo O tipo de identidade usado para o recurso. O tipo 'SystemAssigned, UserAssigned' inclui uma identidade criada implicitamente e um conjunto de identidades atribuídas pelo usuário. O tipo 'Nenhum' removerá todas as identidades da máquina virtual. 'Nenhuma'
'SystemAssigned'
'SystemAssigned, UserAssigned'
'UserAssigned'
identidades atribuídas pelo utilizador A lista de identidades de usuário associadas ao recurso. As referências de chave do dicionário de identidade do usuário serão ids de recurso ARM no formato: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. ManagedServiceIdentityUserAssignedIdentities

ManagedServiceIdentityUserAssignedIdentities

Designação Descrição Valor

Tags de Recursos

Designação Descrição Valor

Subrecurso

Designação Descrição Valor
ID ID do recurso. cadeia (de caracteres)

Exemplos de uso

Amostras Terraform

Um exemplo básico de implantação da Diretiva de Firewall.

terraform {
  required_providers {
    azapi = {
      source = "Azure/azapi"
    }
  }
}

provider "azapi" {
  skip_provider_registration = false
}

variable "resource_name" {
  type    = string
  default = "acctest0001"
}

variable "location" {
  type    = string
  default = "westeurope"
}

resource "azapi_resource" "resourceGroup" {
  type     = "Microsoft.Resources/resourceGroups@2020-06-01"
  name     = var.resource_name
  location = var.location
}

resource "azapi_resource" "firewallPolicy" {
  type      = "Microsoft.Network/firewallPolicies@2022-07-01"
  parent_id = azapi_resource.resourceGroup.id
  name      = var.resource_name
  location  = var.location
  body = {
    properties = {
      threatIntelMode = "Alert"
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}

Módulos verificados do Azure

Os seguintes de Módulos Verificados do Azure podem ser usados para implantar esse tipo de recurso.

Módulo Descrição
de Política de Firewall do Azure Política do Módulo de Recursos AVM para Firewall do Azure
  • Last updated on