你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
- 最新
- 2025-01-01
- 2024-10-01
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep 资源定义
可以使用目标操作部署 firewallPolicies 资源类型:
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Network/firewallPolicies 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Network/firewallPolicies@2025-03-01' = {
scope: resourceSymbolicName or scope
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
属性值
Microsoft.Network/firewallPolicies
| 名字 | 描述 | 价值 |
|---|---|---|
| 标识 | 防火墙策略的标识。 | ManagedServiceIdentity |
| 位置 | 资源位置。 | 字符串 |
| 名字 | 资源名称 | string (必需) |
| 性能 | 防火墙策略的属性。 | FirewallPolicyPropertiesFormat |
| 作用域 | 在与部署范围不同的范围内创建资源时使用。 | 将此属性设置为资源的符号名称以应用 扩展资源。 |
| 标签 | 资源标记 | 标记名称和值的字典。 请参阅模板 中的 |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名字 | 描述 | 价值 |
|---|
Dns设置
| 名字 | 描述 | 价值 |
|---|---|---|
| 启用代理 | 在附加到防火墙策略的防火墙上启用 DNS 代理。 | 布尔 |
| requireProxyForNetworkRules | 当设置为 true 时,支持网络规则中的 FQDN。 | 布尔 |
| 服务器 | 自定义 DNS 服务器列表。 | 字符串[] |
显式代理
| 名字 | 描述 | 价值 |
|---|---|---|
| enableExplicitProxy | 设置为 true 时,将启用显式代理模式。 | 布尔 |
| enablePacFile 文件 | 如果设置为 true,则需要提供 pac 文件端口和 URL。 | 布尔 |
| httpPort 端口 | 显式代理 http 协议的端口号不能大于 64000。 | int 约束: 最小值 = 0 最大值 = 64000 |
| https端口 | 显式代理 https 协议的端口号不能大于 64000。 | int 约束: 最小值 = 0 最大值 = 64000 |
| pac文件 | PAC 文件的 SAS URL。 | 字符串 |
| pacFilePort 端口 | 要为 PAC 文件提供服务的防火墙的端口号。 | int 约束: 最小值 = 0 最大值 = 64000 |
防火墙策略证书授权
| 名字 | 描述 | 价值 |
|---|---|---|
| keyVaultSecretId 密钥 | 存储在 KeyVault 中的“Secret”或“Certificate”对象的机密 ID(base-64 编码的未加密 pfx)。 | 字符串 |
| 名字 | CA 证书的名称。 | 字符串 |
防火墙策略洞察
| 名字 | 描述 | 价值 |
|---|---|---|
| isEnabled 已启用 | 一个标志,用于指示是否对策略启用了见解。 | 布尔 |
| logAnalytics资源 | 配置防火墙策略见解所需的工作区。 | FirewallPolicyLogAnalytics资源 |
| retention天数 | 应在策略上启用见解的天数。 | 整数 (int) |
FirewallPolicyIntrusionDetection (防火墙策略入侵检测)
| 名字 | 描述 | 价值 |
|---|---|---|
| 配置 | 入侵检测配置属性。 | FirewallPolicyIntrusionDetectionConfiguration |
| 模式 | 入侵检测常规状态。 附加到父策略时,防火墙的有效 IDPS 模式是两者更严格的模式。 | “Alert” “拒绝” “关闭” |
| 个人资料 | IDPS 配置文件名称。 附加到父策略时,防火墙的有效配置文件是父策略的配置文件名称。 | “Advanced” “Basic” “Extended” “Standard” |
FirewallPolicyIntrusionDetectionBypassTraffic规格
| 名字 | 描述 | 价值 |
|---|---|---|
| 描述 | 绕过流量规则的说明。 | 字符串 |
| destinationAddresses | 此规则的目标 IP 地址或范围列表。 | 字符串[] |
| 目标 IpGroups | 此规则的目标 IpGroup 列表。 | 字符串[] |
| destinationPorts | 目标端口或范围的列表。 | 字符串[] |
| 名字 | 绕过流量规则的名称。 | 字符串 |
| 协议 | 规则绕过协议。 | “ANY” “ICMP” “TCP” “UDP” |
| sourceAddresses (源地址) | 此规则的源 IP 地址或范围列表。 | 字符串[] |
| 源 IpGroups | 此规则的源 IpGroup 列表。 | 字符串[] |
FirewallPolicyIntrusionDetectionConfiguration
| 名字 | 描述 | 价值 |
|---|---|---|
| bypassTrafficSettings | 要绕过的流量的规则列表。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 专用 IP 地址范围用于标识流量方向(例如入站、出站等)。 默认情况下,仅 IANA RFC 1918 定义的范围被视为专用 IP 地址。 若要修改默认范围,请使用此属性指定专用 IP 地址范围 | 字符串[] |
| signatureOverrides | 特定签名状态的列表。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 名字 | 描述 | 价值 |
|---|---|---|
| 身份证 | 签名 ID。 | 字符串 |
| 模式 | 签名状态。 | “Alert” “拒绝” “关闭” |
FirewallPolicyLogAnalytics资源
| 名字 | 描述 | 价值 |
|---|---|---|
| 默认工作区 ID | 防火墙策略见解的默认工作区 ID。 | 子资源 |
| 工作空间 | 防火墙策略见解的工作区列表。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalytics工作区
| 名字 | 描述 | 价值 |
|---|---|---|
| 区域 | 要配置工作区的区域。 | 字符串 |
| 工作区ID | 防火墙策略见解的工作区 ID。 | 子资源 |
FirewallPolicyPropertiesFormat
| 名字 | 描述 | 价值 |
|---|---|---|
| basePolicy (基础策略) | 继承规则的父防火墙策略。 | 子资源 |
| dns设置 | DNS 代理设置定义。 | Dns设置 |
| 显式代理 | 显式代理设置定义。 | 显式代理 |
| 见解 | 有关防火墙策略的见解。 | 防火墙策略洞察 |
| 入侵检测 | 入侵检测的配置。 | FirewallPolicyIntrusionDetection (防火墙策略入侵检测) |
| SKU | 防火墙策略 SKU。 | FirewallPolicySku (防火墙策略 SKU) |
| SNAT | 流量不会为 SNAT 的专用 IP 地址/IP 范围。 | 防火墙策略 SNAT |
| SQL | SQL 设置定义。 | 防火墙策略SQL |
| threatIntelMode | 威胁智能的操作模式。 | “Alert” “拒绝” “关闭” |
| 威胁情报白名单 | 防火墙策略的 ThreatIntel 允许列表。 | 防火墙策略威胁英特尔白名单 |
| 运输安全 | TLS 配置定义。 | 防火墙策略传输安全 |
FirewallPolicySku (防火墙策略 SKU)
| 名字 | 描述 | 价值 |
|---|---|---|
| 分层 | 防火墙策略的层。 | “Basic” “Premium” “Standard” |
防火墙策略 SNAT
| 名字 | 描述 | 价值 |
|---|---|---|
| autoLearnPrivateRanges 的 | 用于自动学习专用范围的操作模式不是 SNAT | “Disabled” “Enabled” |
| privateRanges | 非 SNAT 的专用 IP 地址/IP 地址范围列表。 | 字符串[] |
防火墙策略SQL
| 名字 | 描述 | 价值 |
|---|---|---|
| allowSqlRedirect | 指示是否启用了 SQL 重定向流量筛选的标志。 启用标志不需要使用端口 11000-11999 的规则。 | 布尔 |
防火墙策略威胁英特尔白名单
| 名字 | 描述 | 价值 |
|---|---|---|
| FQDN (FQDN) | ThreatIntel 允许列表的 FQDN 列表。 | 字符串[] |
| ip地址 | ThreatIntel 允许列表的 IP 地址列表。 | 字符串[] |
防火墙策略传输安全
| 名字 | 描述 | 价值 |
|---|---|---|
| 证书颁发机构 | 用于中间 CA 生成的 CA。 | 防火墙策略证书授权 |
ManagedServiceIdentity
| 名字 | 描述 | 价值 |
|---|---|---|
| 类型 | 用于资源的标识类型。 类型“SystemAssigned,UserAssigned”包括隐式创建的标识和一组用户分配的标识。 类型“None”将从虚拟机中删除任何标识。 | “None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned” |
| 用户分配的标识 | 与资源关联的用户标识列表。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 名字 | 描述 | 价值 |
|---|
资源标签
| 名字 | 描述 | 价值 |
|---|
子资源
| 名字 | 描述 | 价值 |
|---|---|---|
| 身份证 | 资源 ID。 | 字符串 |
用法示例
Azure 验证模块
以下 Azure 验证模块 可用于部署此资源类型。
| 模块 | 描述 |
|---|---|
| 防火墙策略 | 防火墙策略的 AVM 资源模块 |
Azure 快速入门示例
以下 Azure 快速入门模板 包含用于部署此资源类型的 Bicep 示例。
| Bicep 文件 | 描述 |
|---|---|
| 使用规则和 Ipgroups 创建防火墙和 FirewallPolicy | 此模板部署包含防火墙策略(包括多个应用程序和网络规则)的 Azure 防火墙,该防火墙引用了应用程序和网络规则中的 IP 组。 |
| 安全虚拟中心 | 此模板使用 Azure 防火墙创建安全的虚拟中心,以保护发往 Internet 的云网络流量。 |
| SharePoint 订阅 / 2019 / 2016 完全配置 | 创建一个 DC、一个 SQL Server 2022 和 1 到 5 台服务器 () 托管 SharePoint 订阅 / 2019 / 2016 场,具有广泛的配置,包括受信任的身份验证、具有个人站点的用户配置文件、OAuth 信任 (使用证书) 、用于托管高信任加载项的专用 IIS 站点等...安装了最新版本的关键软件(包括 Fiddler、vscode、np++、7zip、ULS Viewer)。 SharePoint 计算机具有额外的微调,使其可立即使用(远程管理工具、Edge 和 Chrome 的自定义策略、快捷方式等)。 |
| Azure 防火墙高级版 的 |
此模板创建具有高级功能(例如入侵检查检测(IDPS)、TLS 检查和 Web 类别筛选等高级功能的 Azure 防火墙高级和防火墙策略 |
| 使用 Azure 防火墙作为中心 & 辐射型拓扑中的 DNS 代理 | 此示例演示如何使用 Azure 防火墙在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多辐射虚拟网络的中心点。 |
ARM 模板资源定义
可以使用目标操作部署 firewallPolicies 资源类型:
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Network/firewallPolicies 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2025-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
属性值
Microsoft.Network/firewallPolicies
| 名字 | 描述 | 价值 |
|---|---|---|
| apiVersion | API 版本 | '2025-03-01' |
| 标识 | 防火墙策略的标识。 | ManagedServiceIdentity |
| 位置 | 资源位置。 | 字符串 |
| 名字 | 资源名称 | string (必需) |
| 性能 | 防火墙策略的属性。 | FirewallPolicyPropertiesFormat |
| 标签 | 资源标记 | 标记名称和值的字典。 请参阅模板 中的 |
| 类型 | 资源类型 | “Microsoft.Network/firewallPolicies” |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名字 | 描述 | 价值 |
|---|
Dns设置
| 名字 | 描述 | 价值 |
|---|---|---|
| 启用代理 | 在附加到防火墙策略的防火墙上启用 DNS 代理。 | 布尔 |
| requireProxyForNetworkRules | 当设置为 true 时,支持网络规则中的 FQDN。 | 布尔 |
| 服务器 | 自定义 DNS 服务器列表。 | 字符串[] |
显式代理
| 名字 | 描述 | 价值 |
|---|---|---|
| enableExplicitProxy | 设置为 true 时,将启用显式代理模式。 | 布尔 |
| enablePacFile 文件 | 如果设置为 true,则需要提供 pac 文件端口和 URL。 | 布尔 |
| httpPort 端口 | 显式代理 http 协议的端口号不能大于 64000。 | int 约束: 最小值 = 0 最大值 = 64000 |
| https端口 | 显式代理 https 协议的端口号不能大于 64000。 | int 约束: 最小值 = 0 最大值 = 64000 |
| pac文件 | PAC 文件的 SAS URL。 | 字符串 |
| pacFilePort 端口 | 要为 PAC 文件提供服务的防火墙的端口号。 | int 约束: 最小值 = 0 最大值 = 64000 |
防火墙策略证书授权
| 名字 | 描述 | 价值 |
|---|---|---|
| keyVaultSecretId 密钥 | 存储在 KeyVault 中的“Secret”或“Certificate”对象的机密 ID(base-64 编码的未加密 pfx)。 | 字符串 |
| 名字 | CA 证书的名称。 | 字符串 |
防火墙策略洞察
| 名字 | 描述 | 价值 |
|---|---|---|
| isEnabled 已启用 | 一个标志,用于指示是否对策略启用了见解。 | 布尔 |
| logAnalytics资源 | 配置防火墙策略见解所需的工作区。 | FirewallPolicyLogAnalytics资源 |
| retention天数 | 应在策略上启用见解的天数。 | 整数 (int) |
FirewallPolicyIntrusionDetection (防火墙策略入侵检测)
| 名字 | 描述 | 价值 |
|---|---|---|
| 配置 | 入侵检测配置属性。 | FirewallPolicyIntrusionDetectionConfiguration |
| 模式 | 入侵检测常规状态。 附加到父策略时,防火墙的有效 IDPS 模式是两者更严格的模式。 | “Alert” “拒绝” “关闭” |
| 个人资料 | IDPS 配置文件名称。 附加到父策略时,防火墙的有效配置文件是父策略的配置文件名称。 | “Advanced” “Basic” “Extended” “Standard” |
FirewallPolicyIntrusionDetectionBypassTraffic规格
| 名字 | 描述 | 价值 |
|---|---|---|
| 描述 | 绕过流量规则的说明。 | 字符串 |
| destinationAddresses | 此规则的目标 IP 地址或范围列表。 | 字符串[] |
| 目标 IpGroups | 此规则的目标 IpGroup 列表。 | 字符串[] |
| destinationPorts | 目标端口或范围的列表。 | 字符串[] |
| 名字 | 绕过流量规则的名称。 | 字符串 |
| 协议 | 规则绕过协议。 | “ANY” “ICMP” “TCP” “UDP” |
| sourceAddresses (源地址) | 此规则的源 IP 地址或范围列表。 | 字符串[] |
| 源 IpGroups | 此规则的源 IpGroup 列表。 | 字符串[] |
FirewallPolicyIntrusionDetectionConfiguration
| 名字 | 描述 | 价值 |
|---|---|---|
| bypassTrafficSettings | 要绕过的流量的规则列表。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 专用 IP 地址范围用于标识流量方向(例如入站、出站等)。 默认情况下,仅 IANA RFC 1918 定义的范围被视为专用 IP 地址。 若要修改默认范围,请使用此属性指定专用 IP 地址范围 | 字符串[] |
| signatureOverrides | 特定签名状态的列表。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 名字 | 描述 | 价值 |
|---|---|---|
| 身份证 | 签名 ID。 | 字符串 |
| 模式 | 签名状态。 | “Alert” “拒绝” “关闭” |
FirewallPolicyLogAnalytics资源
| 名字 | 描述 | 价值 |
|---|---|---|
| 默认工作区 ID | 防火墙策略见解的默认工作区 ID。 | 子资源 |
| 工作空间 | 防火墙策略见解的工作区列表。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalytics工作区
| 名字 | 描述 | 价值 |
|---|---|---|
| 区域 | 要配置工作区的区域。 | 字符串 |
| 工作区ID | 防火墙策略见解的工作区 ID。 | 子资源 |
FirewallPolicyPropertiesFormat
| 名字 | 描述 | 价值 |
|---|---|---|
| basePolicy (基础策略) | 继承规则的父防火墙策略。 | 子资源 |
| dns设置 | DNS 代理设置定义。 | Dns设置 |
| 显式代理 | 显式代理设置定义。 | 显式代理 |
| 见解 | 有关防火墙策略的见解。 | 防火墙策略洞察 |
| 入侵检测 | 入侵检测的配置。 | FirewallPolicyIntrusionDetection (防火墙策略入侵检测) |
| SKU | 防火墙策略 SKU。 | FirewallPolicySku (防火墙策略 SKU) |
| SNAT | 流量不会为 SNAT 的专用 IP 地址/IP 范围。 | 防火墙策略 SNAT |
| SQL | SQL 设置定义。 | 防火墙策略SQL |
| threatIntelMode | 威胁智能的操作模式。 | “Alert” “拒绝” “关闭” |
| 威胁情报白名单 | 防火墙策略的 ThreatIntel 允许列表。 | 防火墙策略威胁英特尔白名单 |
| 运输安全 | TLS 配置定义。 | 防火墙策略传输安全 |
FirewallPolicySku (防火墙策略 SKU)
| 名字 | 描述 | 价值 |
|---|---|---|
| 分层 | 防火墙策略的层。 | “Basic” “Premium” “Standard” |
防火墙策略 SNAT
| 名字 | 描述 | 价值 |
|---|---|---|
| autoLearnPrivateRanges 的 | 用于自动学习专用范围的操作模式不是 SNAT | “Disabled” “Enabled” |
| privateRanges | 非 SNAT 的专用 IP 地址/IP 地址范围列表。 | 字符串[] |
防火墙策略SQL
| 名字 | 描述 | 价值 |
|---|---|---|
| allowSqlRedirect | 指示是否启用了 SQL 重定向流量筛选的标志。 启用标志不需要使用端口 11000-11999 的规则。 | 布尔 |
防火墙策略威胁英特尔白名单
| 名字 | 描述 | 价值 |
|---|---|---|
| FQDN (FQDN) | ThreatIntel 允许列表的 FQDN 列表。 | 字符串[] |
| ip地址 | ThreatIntel 允许列表的 IP 地址列表。 | 字符串[] |
防火墙策略传输安全
| 名字 | 描述 | 价值 |
|---|---|---|
| 证书颁发机构 | 用于中间 CA 生成的 CA。 | 防火墙策略证书授权 |
ManagedServiceIdentity
| 名字 | 描述 | 价值 |
|---|---|---|
| 类型 | 用于资源的标识类型。 类型“SystemAssigned,UserAssigned”包括隐式创建的标识和一组用户分配的标识。 类型“None”将从虚拟机中删除任何标识。 | “None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned” |
| 用户分配的标识 | 与资源关联的用户标识列表。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 名字 | 描述 | 价值 |
|---|
资源标签
| 名字 | 描述 | 价值 |
|---|
子资源
| 名字 | 描述 | 价值 |
|---|---|---|
| 身份证 | 资源 ID。 | 字符串 |
用法示例
Azure 快速入门模板
以下 Azure 快速入门模板 部署此资源类型。
| 模板 | 描述 |
|---|---|
使用规则和 Ipgroups 创建防火墙和 FirewallPolicy
|
此模板部署包含防火墙策略(包括多个应用程序和网络规则)的 Azure 防火墙,该防火墙引用了应用程序和网络规则中的 IP 组。 |
|
使用 FirewallPolicy 和 IpGroups 创建防火墙
|
此模板创建一个包含 FirewalllPolicy 的 Azure 防火墙,该防火墙引用了 IpGroups 的网络规则。 此外,还包括 Linux Jumpbox vm 设置 |
|
使用显式代理创建防火墙、FirewallPolicy
|
此模板使用 IpGroups 的显式代理和网络规则创建 Azure 防火墙、FirewalllPolicy。 此外,还包括 Linux Jumpbox vm 设置 |
|
使用防火墙策略 创建沙盒设置
|
此模板创建包含 3 个子网(服务器子网、jumpbox 子集和 AzureFirewall 子网)的虚拟网络、具有公共 IP 的 jumpbox VM、服务器 VM、UDR 路由,以指向服务器子网的 Azure 防火墙以及具有 1 个或多个公共 IP 地址的 Azure 防火墙。 此外,还创建包含 1 个示例应用程序规则、1 个示例网络规则和默认专用范围的防火墙策略 |
|
安全虚拟中心
|
此模板使用 Azure 防火墙创建安全的虚拟中心,以保护发往 Internet 的云网络流量。 |
|
SharePoint 订阅 / 2019 / 2016 完全配置
|
创建一个 DC、一个 SQL Server 2022 和 1 到 5 台服务器 () 托管 SharePoint 订阅 / 2019 / 2016 场,具有广泛的配置,包括受信任的身份验证、具有个人站点的用户配置文件、OAuth 信任 (使用证书) 、用于托管高信任加载项的专用 IIS 站点等...安装了最新版本的关键软件(包括 Fiddler、vscode、np++、7zip、ULS Viewer)。 SharePoint 计算机具有额外的微调,使其可立即使用(远程管理工具、Edge 和 Chrome 的自定义策略、快捷方式等)。 |
| Azure 防火墙高级版 的
|
此模板创建具有高级功能(例如入侵检查检测(IDPS)、TLS 检查和 Web 类别筛选等高级功能的 Azure 防火墙高级和防火墙策略 |
|
使用 Azure 防火墙作为中心 & 辐射型拓扑中的 DNS 代理
|
此示例演示如何使用 Azure 防火墙在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多辐射虚拟网络的中心点。 |
Terraform (AzAPI 提供程序)资源定义
可以使用目标操作部署 firewallPolicies 资源类型:
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Network/firewallPolicies 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2025-03-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
属性值
Microsoft.Network/firewallPolicies
| 名字 | 描述 | 价值 |
|---|---|---|
| 标识 | 防火墙策略的标识。 | ManagedServiceIdentity |
| 位置 | 资源位置。 | 字符串 |
| 名字 | 资源名称 | string (必需) |
| parent_id | 要向其应用此扩展资源的资源的 ID。 | string (必需) |
| 性能 | 防火墙策略的属性。 | FirewallPolicyPropertiesFormat |
| 标签 | 资源标记 | 标记名称和值的字典。 |
| 类型 | 资源类型 | “Microsoft.Network/firewallPolicies@2025-03-01” |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名字 | 描述 | 价值 |
|---|
Dns设置
| 名字 | 描述 | 价值 |
|---|---|---|
| 启用代理 | 在附加到防火墙策略的防火墙上启用 DNS 代理。 | 布尔 |
| requireProxyForNetworkRules | 当设置为 true 时,支持网络规则中的 FQDN。 | 布尔 |
| 服务器 | 自定义 DNS 服务器列表。 | 字符串[] |
显式代理
| 名字 | 描述 | 价值 |
|---|---|---|
| enableExplicitProxy | 设置为 true 时,将启用显式代理模式。 | 布尔 |
| enablePacFile 文件 | 如果设置为 true,则需要提供 pac 文件端口和 URL。 | 布尔 |
| httpPort 端口 | 显式代理 http 协议的端口号不能大于 64000。 | int 约束: 最小值 = 0 最大值 = 64000 |
| https端口 | 显式代理 https 协议的端口号不能大于 64000。 | int 约束: 最小值 = 0 最大值 = 64000 |
| pac文件 | PAC 文件的 SAS URL。 | 字符串 |
| pacFilePort 端口 | 要为 PAC 文件提供服务的防火墙的端口号。 | int 约束: 最小值 = 0 最大值 = 64000 |
防火墙策略证书授权
| 名字 | 描述 | 价值 |
|---|---|---|
| keyVaultSecretId 密钥 | 存储在 KeyVault 中的“Secret”或“Certificate”对象的机密 ID(base-64 编码的未加密 pfx)。 | 字符串 |
| 名字 | CA 证书的名称。 | 字符串 |
防火墙策略洞察
| 名字 | 描述 | 价值 |
|---|---|---|
| isEnabled 已启用 | 一个标志,用于指示是否对策略启用了见解。 | 布尔 |
| logAnalytics资源 | 配置防火墙策略见解所需的工作区。 | FirewallPolicyLogAnalytics资源 |
| retention天数 | 应在策略上启用见解的天数。 | 整数 (int) |
FirewallPolicyIntrusionDetection (防火墙策略入侵检测)
| 名字 | 描述 | 价值 |
|---|---|---|
| 配置 | 入侵检测配置属性。 | FirewallPolicyIntrusionDetectionConfiguration |
| 模式 | 入侵检测常规状态。 附加到父策略时,防火墙的有效 IDPS 模式是两者更严格的模式。 | “Alert” “拒绝” “关闭” |
| 个人资料 | IDPS 配置文件名称。 附加到父策略时,防火墙的有效配置文件是父策略的配置文件名称。 | “Advanced” “Basic” “Extended” “Standard” |
FirewallPolicyIntrusionDetectionBypassTraffic规格
| 名字 | 描述 | 价值 |
|---|---|---|
| 描述 | 绕过流量规则的说明。 | 字符串 |
| destinationAddresses | 此规则的目标 IP 地址或范围列表。 | 字符串[] |
| 目标 IpGroups | 此规则的目标 IpGroup 列表。 | 字符串[] |
| destinationPorts | 目标端口或范围的列表。 | 字符串[] |
| 名字 | 绕过流量规则的名称。 | 字符串 |
| 协议 | 规则绕过协议。 | “ANY” “ICMP” “TCP” “UDP” |
| sourceAddresses (源地址) | 此规则的源 IP 地址或范围列表。 | 字符串[] |
| 源 IpGroups | 此规则的源 IpGroup 列表。 | 字符串[] |
FirewallPolicyIntrusionDetectionConfiguration
| 名字 | 描述 | 价值 |
|---|---|---|
| bypassTrafficSettings | 要绕过的流量的规则列表。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 专用 IP 地址范围用于标识流量方向(例如入站、出站等)。 默认情况下,仅 IANA RFC 1918 定义的范围被视为专用 IP 地址。 若要修改默认范围,请使用此属性指定专用 IP 地址范围 | 字符串[] |
| signatureOverrides | 特定签名状态的列表。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 名字 | 描述 | 价值 |
|---|---|---|
| 身份证 | 签名 ID。 | 字符串 |
| 模式 | 签名状态。 | “Alert” “拒绝” “关闭” |
FirewallPolicyLogAnalytics资源
| 名字 | 描述 | 价值 |
|---|---|---|
| 默认工作区 ID | 防火墙策略见解的默认工作区 ID。 | 子资源 |
| 工作空间 | 防火墙策略见解的工作区列表。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalytics工作区
| 名字 | 描述 | 价值 |
|---|---|---|
| 区域 | 要配置工作区的区域。 | 字符串 |
| 工作区ID | 防火墙策略见解的工作区 ID。 | 子资源 |
FirewallPolicyPropertiesFormat
| 名字 | 描述 | 价值 |
|---|---|---|
| basePolicy (基础策略) | 继承规则的父防火墙策略。 | 子资源 |
| dns设置 | DNS 代理设置定义。 | Dns设置 |
| 显式代理 | 显式代理设置定义。 | 显式代理 |
| 见解 | 有关防火墙策略的见解。 | 防火墙策略洞察 |
| 入侵检测 | 入侵检测的配置。 | FirewallPolicyIntrusionDetection (防火墙策略入侵检测) |
| SKU | 防火墙策略 SKU。 | FirewallPolicySku (防火墙策略 SKU) |
| SNAT | 流量不会为 SNAT 的专用 IP 地址/IP 范围。 | 防火墙策略 SNAT |
| SQL | SQL 设置定义。 | 防火墙策略SQL |
| threatIntelMode | 威胁智能的操作模式。 | “Alert” “拒绝” “关闭” |
| 威胁情报白名单 | 防火墙策略的 ThreatIntel 允许列表。 | 防火墙策略威胁英特尔白名单 |
| 运输安全 | TLS 配置定义。 | 防火墙策略传输安全 |
FirewallPolicySku (防火墙策略 SKU)
| 名字 | 描述 | 价值 |
|---|---|---|
| 分层 | 防火墙策略的层。 | “Basic” “Premium” “Standard” |
防火墙策略 SNAT
| 名字 | 描述 | 价值 |
|---|---|---|
| autoLearnPrivateRanges 的 | 用于自动学习专用范围的操作模式不是 SNAT | “Disabled” “Enabled” |
| privateRanges | 非 SNAT 的专用 IP 地址/IP 地址范围列表。 | 字符串[] |
防火墙策略SQL
| 名字 | 描述 | 价值 |
|---|---|---|
| allowSqlRedirect | 指示是否启用了 SQL 重定向流量筛选的标志。 启用标志不需要使用端口 11000-11999 的规则。 | 布尔 |
防火墙策略威胁英特尔白名单
| 名字 | 描述 | 价值 |
|---|---|---|
| FQDN (FQDN) | ThreatIntel 允许列表的 FQDN 列表。 | 字符串[] |
| ip地址 | ThreatIntel 允许列表的 IP 地址列表。 | 字符串[] |
防火墙策略传输安全
| 名字 | 描述 | 价值 |
|---|---|---|
| 证书颁发机构 | 用于中间 CA 生成的 CA。 | 防火墙策略证书授权 |
ManagedServiceIdentity
| 名字 | 描述 | 价值 |
|---|---|---|
| 类型 | 用于资源的标识类型。 类型“SystemAssigned,UserAssigned”包括隐式创建的标识和一组用户分配的标识。 类型“None”将从虚拟机中删除任何标识。 | “None” “SystemAssigned” “SystemAssigned,UserAssigned” “UserAssigned” |
| 用户分配的标识 | 与资源关联的用户标识列表。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 名字 | 描述 | 价值 |
|---|
资源标签
| 名字 | 描述 | 价值 |
|---|
子资源
| 名字 | 描述 | 价值 |
|---|---|---|
| 身份证 | 资源 ID。 | 字符串 |
用法示例
Terraform 示例
部署防火墙策略的基本示例。
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "firewallPolicy" {
type = "Microsoft.Network/firewallPolicies@2022-07-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
threatIntelMode = "Alert"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Azure 验证模块
以下 Azure 验证模块 可用于部署此资源类型。
| 模块 | 描述 |
|---|---|
| Azure 防火墙策略 | Azure 防火墙策略的 AVM 资源模块 |