- 最新
- 2025-03-01
- 2025-01-01
- 2024-10-01
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
Bicep 資源定義
firewallPolicies 資源類型可以使用目標作業來部署:
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 Bicep 新增至範本。
resource symbolicname 'Microsoft.Network/firewallPolicies@2025-03-01' = {
scope: resourceSymbolicName or scope
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
屬性值
Microsoft.Network/firewallPolicies
| 名字 | 描述 | 價值 |
|---|---|---|
| 身分識別 | 防火牆原則的身分識別。 | ManagedServiceIdentity |
| 位置 | 資源位置。 | 字串 |
| 名字 | 資源名稱 | 字串 (必要) |
| 性能 | 防火牆原則的屬性。 | FirewallPolicyPropertiesFormat |
| 範圍 | 在與部署範圍不同的範圍內建立資源時,請使用 。 | 將此屬性設定為資源的符號名稱,以套用 擴充資源。 |
| 標籤 | 資源標籤 | 標記名稱和值的字典。 請參閱範本中的 標籤 |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名字 | 描述 | 價值 |
|---|
Dns設置
| 名字 | 描述 | 價值 |
|---|---|---|
| 啟用代理 | 在連結至防火牆原則的防火牆上啟用 DNS Proxy。 | 布爾 (bool) |
| requireProxyForNetworkRules | 當設定為 true 時,支援網路規則中的 FQDN。 | 布爾 (bool) |
| 伺服器 | 自訂 DNS 伺服器清單。 | 字串[] |
顯式代理
| 名字 | 描述 | 價值 |
|---|---|---|
| enableExplicitProxy | 設定為 true 時,會啟用明確 Proxy 模式。 | 布爾 (bool) |
| enablePacFile 檔 | 當設定為 true 時,必須提供 pac 檔案埠和 URL。 | 布爾 (bool) |
| HTTPPort 埠 | 明確 Proxy HTTP 通訊協定的埠號碼不能大於 64000。 | int 約束: 最小值 = 0 最大值 = 64000 |
| HTTPs埠 | 明確 Proxy https 通訊協定的埠號碼不能大於 64000。 | int 約束: 最小值 = 0 最大值 = 64000 |
| pac檔 | PAC 檔案的SAS URL。 | 字串 |
| pacFilePort 埠 | 要提供 PAC 檔案之防火牆的埠號碼。 | int 約束: 最小值 = 0 最大值 = 64000 |
防火牆策略證書授權
| 名字 | 描述 | 價值 |
|---|---|---|
| keyVaultSecretId 金鑰 | 秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。 | 字串 |
| 名字 | CA 憑證的名稱。 | 字串 |
防火牆策略洞察
| 名字 | 描述 | 價值 |
|---|---|---|
| 已啟用 | 旗標,指出是否在原則上啟用深入解析。 | 布爾 (bool) |
| logAnalytics資源 | 設定防火牆原則深入解析所需的工作區。 | FirewallPolicyLogAnalytics資源 |
| retention天數 | 應在原則上啟用深入解析的天數。 | 整數 (int) |
FirewallPolicyIntrusionDetection (防火牆策略入侵檢測)
| 名字 | 描述 | 價值 |
|---|---|---|
| 組態 | 入侵檢測組態屬性。 | FirewallPolicyIntrusionDetectionConfiguration |
| 模式 | 入侵檢測一般狀態。 附加至父原則時,防火牆的有效IDPS模式是兩者更嚴格的模式。 | “警報” “否認” “關閉” |
| 個人資料 | IDPS 設定檔名稱。 附加至父原則時,防火牆的有效配置檔是父原則的配置檔名稱。 | “高級” “基本” “擴展” “標準” |
FirewallPolicyIntrusionDetectionBypassTraffic規格
| 名字 | 描述 | 價值 |
|---|---|---|
| 描述 | 略過流量規則的描述。 | 字串 |
| destinationAddresses | 此規則的目的地IP位址或範圍清單。 | 字串[] |
| 目標 IpGroups | 此規則的目的地 IpGroup 清單。 | 字串[] |
| destinationPorts | 目的地埠或範圍的清單。 | 字串[] |
| 名字 | 略過流量規則的名稱。 | 字串 |
| 通訊協定 | 規則略過通訊協定。 | '任何' “國際馬檢站” “TCP” “UDP 協定” |
| sourceAddresses (源位址) | 此規則的來源IP位址或範圍清單。 | 字串[] |
| 源 IpGroups | 此規則的來源 IpGroup 清單。 | 字串[] |
FirewallPolicyIntrusionDetectionConfiguration
| 名字 | 描述 | 價值 |
|---|---|---|
| bypassTrafficSettings | 要略過流量的規則清單。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 私人IP位址範圍可用來識別流量方向(例如輸入、輸出等)。 根據預設,只有 IANA RFC 1918 所定義的範圍會被視為私人 IP 位址。 若要修改預設範圍,請使用此屬性指定您的私人IP位址範圍 | 字串[] |
| signatureOverrides | 特定簽章狀態的清單。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 名字 | 描述 | 價值 |
|---|---|---|
| 識別碼 | 簽章標識碼。 | 字串 |
| 模式 | 簽章狀態。 | “警報” “否認” “關閉” |
FirewallPolicyLogAnalytics資源
| 名字 | 描述 | 價值 |
|---|---|---|
| 默認工作區ID | 防火牆原則深入解析的預設工作區標識符。 | 子資源 |
| 工作區 | 防火牆原則深入解析的工作區清單。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalytics工作區
| 名字 | 描述 | 價值 |
|---|---|---|
| 區域 | 要設定工作區的區域。 | 字串 |
| 工作區ID | 防火牆原則深入解析的工作區標識符。 | 子資源 |
FirewallPolicyPropertiesFormat
| 名字 | 描述 | 價值 |
|---|---|---|
| basePolicy (基礎策略) | 繼承規則的來源父防火牆原則。 | 子資源 |
| dns設置 | DNS Proxy 設定定義。 | Dns設置 |
| 顯式代理 | 明確 Proxy 設定定義。 | 顯式代理 |
| 深入解析 | 防火牆原則的深入解析。 | 防火牆策略洞察 |
| 入侵檢測 | 入侵檢測的組態。 | FirewallPolicyIntrusionDetection (防火牆策略入侵檢測) |
| SKU | 防火牆原則 SKU。 | FirewallPolicySku (防火牆策略 SKU) |
| SNAT | 流量不會是 SNAT 的私人 IP 位址/IP 範圍。 | 防火牆策略 SNAT |
| SQL | SQL 設定定義。 | 防火牆策略SQL |
| threatIntelMode | 威脅情報的作業模式。 | “警報” “否認” “關閉” |
| 威脅情報白名單 | 防火牆原則的 ThreatIntel 允許清單。 | 防火牆策略威脅英特爾白名單 |
| 運輸安全 | TLS 組態定義。 | 防火牆策略傳輸安全 |
FirewallPolicySku (防火牆策略 SKU)
| 名字 | 描述 | 價值 |
|---|---|---|
| 分層 | 防火牆原則的層級。 | “基本” “高級” “標準” |
防火牆策略 SNAT
| 名字 | 描述 | 價值 |
|---|---|---|
| autoLearnPrivateRanges 的 | 自動學習私人範圍的作業模式不是 SNAT | “已禁用” “已啟用” |
| privateRanges | 非 SNAT 的私人 IP 位址/IP 位址範圍清單。 | 字串[] |
防火牆策略SQL
| 名字 | 描述 | 價值 |
|---|---|---|
| allowSqlRedirect | 旗標,指出是否已啟用 SQL 重新導向流量篩選。 開啟旗標不需要使用埠 11000-11999。 | 布爾 (bool) |
防火牆策略威脅英特爾白名單
| 名字 | 描述 | 價值 |
|---|---|---|
| FQDN (FQDN) | ThreatIntel 允許清單的 FQDN 清單。 | 字串[] |
| ip位址 | ThreatIntel 允許清單的IP位址清單。 | 字串[] |
防火牆策略傳輸安全
| 名字 | 描述 | 價值 |
|---|---|---|
| 證書頒發機構 | 用於中繼 CA 產生的 CA。 | 防火牆策略證書授權 |
ManagedServiceIdentity
| 名字 | 描述 | 價值 |
|---|---|---|
| 型別 | 用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。 | “無” “系統分配” 'SystemAssigned, UserAssigned' 'UserAssigned' |
| 使用者指派的身份 | 與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。 | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 名字 | 描述 | 價值 |
|---|
資源標籤
| 名字 | 描述 | 價值 |
|---|
子資源
| 名字 | 描述 | 價值 |
|---|---|---|
| 識別碼 | 資源標識碼。 | 字串 |
使用範例
Azure 已驗證的模組
下列 Azure 驗證模組 可用來部署此資源類型。
| 模組 | 描述 |
|---|---|
| 防火牆原則 | 防火牆原則的AVM資源模組 |
Azure 快速入門範例
下列 Azure 快速入門範本 包含用於部署此資源類型的 Bicep 範例。
| Bicep 檔案 | 描述 |
|---|---|
| 使用規則和 Ipgroups 建立防火牆和 FirewallPolicy | 此範本會部署具有防火牆原則的 Azure 防火牆(包括多個應用程式和網路規則),以參考應用程式和網路規則中的 IP 群組。 |
| 安全虛擬中樞 | 此範本會使用 Azure 防火牆建立安全的虛擬中樞,以保護目的地為因特網的雲端網路流量。 |
| SharePoint 訂閱 / 2019 / 2016 已完全設定 | 建立 DC、SQL Server 2022,以及 1 到 5 部裝載 SharePoint 訂用帳戶/2019/2016 伺服器陣列的伺服器,並具有廣泛的設定,包括受信任的驗證、具有個人網站的使用者設定檔、OAuth 信任 (使用憑證)、用於裝載高信任增益集的專用 IIS 網站等...安裝了最新版本的關鍵軟體(包括Fiddler、vscode、np++、7zip、ULS Viewer)。 SharePoint 機器具有額外的微調,使其可立即使用(遠端管理工具、Edge 和 Chrome 的自訂策略、捷徑等)。 |
| 適用於 Azure 防火牆進階 |
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選 |
| 使用 Azure 防火牆作為中樞 & 輪輻拓撲中的 DNS Proxy | 此範例示範如何使用 Azure 防火牆在 Azure 中部署中樞輪輻拓撲。 中樞虛擬網路可作為透過虛擬網路對等互連連線到中樞虛擬網路之許多輪輻虛擬網路的中央點。 |
ARM 樣本資源定義
firewallPolicies 資源類型可以使用目標作業來部署:
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 JSON 新增至範本。
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2025-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
屬性值
Microsoft.Network/firewallPolicies
| 名字 | 描述 | 價值 |
|---|---|---|
| apiVersion | API 版本 | '2025-03-01' |
| 身分識別 | 防火牆原則的身分識別。 | ManagedServiceIdentity |
| 位置 | 資源位置。 | 字串 |
| 名字 | 資源名稱 | 字串 (必要) |
| 性能 | 防火牆原則的屬性。 | FirewallPolicyPropertiesFormat |
| 標籤 | 資源標籤 | 標記名稱和值的字典。 請參閱範本中的 標籤 |
| 型別 | 資源類型 | “Microsoft.Network/firewallPolicies” |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名字 | 描述 | 價值 |
|---|
Dns設置
| 名字 | 描述 | 價值 |
|---|---|---|
| 啟用代理 | 在連結至防火牆原則的防火牆上啟用 DNS Proxy。 | 布爾 (bool) |
| requireProxyForNetworkRules | 當設定為 true 時,支援網路規則中的 FQDN。 | 布爾 (bool) |
| 伺服器 | 自訂 DNS 伺服器清單。 | 字串[] |
顯式代理
| 名字 | 描述 | 價值 |
|---|---|---|
| enableExplicitProxy | 設定為 true 時,會啟用明確 Proxy 模式。 | 布爾 (bool) |
| enablePacFile 檔 | 當設定為 true 時,必須提供 pac 檔案埠和 URL。 | 布爾 (bool) |
| HTTPPort 埠 | 明確 Proxy HTTP 通訊協定的埠號碼不能大於 64000。 | int 約束: 最小值 = 0 最大值 = 64000 |
| HTTPs埠 | 明確 Proxy https 通訊協定的埠號碼不能大於 64000。 | int 約束: 最小值 = 0 最大值 = 64000 |
| pac檔 | PAC 檔案的SAS URL。 | 字串 |
| pacFilePort 埠 | 要提供 PAC 檔案之防火牆的埠號碼。 | int 約束: 最小值 = 0 最大值 = 64000 |
防火牆策略證書授權
| 名字 | 描述 | 價值 |
|---|---|---|
| keyVaultSecretId 金鑰 | 秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。 | 字串 |
| 名字 | CA 憑證的名稱。 | 字串 |
防火牆策略洞察
| 名字 | 描述 | 價值 |
|---|---|---|
| 已啟用 | 旗標,指出是否在原則上啟用深入解析。 | 布爾 (bool) |
| logAnalytics資源 | 設定防火牆原則深入解析所需的工作區。 | FirewallPolicyLogAnalytics資源 |
| retention天數 | 應在原則上啟用深入解析的天數。 | 整數 (int) |
FirewallPolicyIntrusionDetection (防火牆策略入侵檢測)
| 名字 | 描述 | 價值 |
|---|---|---|
| 組態 | 入侵檢測組態屬性。 | FirewallPolicyIntrusionDetectionConfiguration |
| 模式 | 入侵檢測一般狀態。 附加至父原則時,防火牆的有效IDPS模式是兩者更嚴格的模式。 | “警報” “否認” “關閉” |
| 個人資料 | IDPS 設定檔名稱。 附加至父原則時,防火牆的有效配置檔是父原則的配置檔名稱。 | “高級” “基本” “擴展” “標準” |
FirewallPolicyIntrusionDetectionBypassTraffic規格
| 名字 | 描述 | 價值 |
|---|---|---|
| 描述 | 略過流量規則的描述。 | 字串 |
| destinationAddresses | 此規則的目的地IP位址或範圍清單。 | 字串[] |
| 目標 IpGroups | 此規則的目的地 IpGroup 清單。 | 字串[] |
| destinationPorts | 目的地埠或範圍的清單。 | 字串[] |
| 名字 | 略過流量規則的名稱。 | 字串 |
| 通訊協定 | 規則略過通訊協定。 | '任何' “國際馬檢站” “TCP” “UDP 協定” |
| sourceAddresses (源位址) | 此規則的來源IP位址或範圍清單。 | 字串[] |
| 源 IpGroups | 此規則的來源 IpGroup 清單。 | 字串[] |
FirewallPolicyIntrusionDetectionConfiguration
| 名字 | 描述 | 價值 |
|---|---|---|
| bypassTrafficSettings | 要略過流量的規則清單。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 私人IP位址範圍可用來識別流量方向(例如輸入、輸出等)。 根據預設,只有 IANA RFC 1918 所定義的範圍會被視為私人 IP 位址。 若要修改預設範圍,請使用此屬性指定您的私人IP位址範圍 | 字串[] |
| signatureOverrides | 特定簽章狀態的清單。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 名字 | 描述 | 價值 |
|---|---|---|
| 識別碼 | 簽章標識碼。 | 字串 |
| 模式 | 簽章狀態。 | “警報” “否認” “關閉” |
FirewallPolicyLogAnalytics資源
| 名字 | 描述 | 價值 |
|---|---|---|
| 默認工作區ID | 防火牆原則深入解析的預設工作區標識符。 | 子資源 |
| 工作區 | 防火牆原則深入解析的工作區清單。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalytics工作區
| 名字 | 描述 | 價值 |
|---|---|---|
| 區域 | 要設定工作區的區域。 | 字串 |
| 工作區ID | 防火牆原則深入解析的工作區標識符。 | 子資源 |
FirewallPolicyPropertiesFormat
| 名字 | 描述 | 價值 |
|---|---|---|
| basePolicy (基礎策略) | 繼承規則的來源父防火牆原則。 | 子資源 |
| dns設置 | DNS Proxy 設定定義。 | Dns設置 |
| 顯式代理 | 明確 Proxy 設定定義。 | 顯式代理 |
| 深入解析 | 防火牆原則的深入解析。 | 防火牆策略洞察 |
| 入侵檢測 | 入侵檢測的組態。 | FirewallPolicyIntrusionDetection (防火牆策略入侵檢測) |
| SKU | 防火牆原則 SKU。 | FirewallPolicySku (防火牆策略 SKU) |
| SNAT | 流量不會是 SNAT 的私人 IP 位址/IP 範圍。 | 防火牆策略 SNAT |
| SQL | SQL 設定定義。 | 防火牆策略SQL |
| threatIntelMode | 威脅情報的作業模式。 | “警報” “否認” “關閉” |
| 威脅情報白名單 | 防火牆原則的 ThreatIntel 允許清單。 | 防火牆策略威脅英特爾白名單 |
| 運輸安全 | TLS 組態定義。 | 防火牆策略傳輸安全 |
FirewallPolicySku (防火牆策略 SKU)
| 名字 | 描述 | 價值 |
|---|---|---|
| 分層 | 防火牆原則的層級。 | “基本” “高級” “標準” |
防火牆策略 SNAT
| 名字 | 描述 | 價值 |
|---|---|---|
| autoLearnPrivateRanges 的 | 自動學習私人範圍的作業模式不是 SNAT | “已禁用” “已啟用” |
| privateRanges | 非 SNAT 的私人 IP 位址/IP 位址範圍清單。 | 字串[] |
防火牆策略SQL
| 名字 | 描述 | 價值 |
|---|---|---|
| allowSqlRedirect | 旗標,指出是否已啟用 SQL 重新導向流量篩選。 開啟旗標不需要使用埠 11000-11999。 | 布爾 (bool) |
防火牆策略威脅英特爾白名單
| 名字 | 描述 | 價值 |
|---|---|---|
| FQDN (FQDN) | ThreatIntel 允許清單的 FQDN 清單。 | 字串[] |
| ip位址 | ThreatIntel 允許清單的IP位址清單。 | 字串[] |
防火牆策略傳輸安全
| 名字 | 描述 | 價值 |
|---|---|---|
| 證書頒發機構 | 用於中繼 CA 產生的 CA。 | 防火牆策略證書授權 |
ManagedServiceIdentity
| 名字 | 描述 | 價值 |
|---|---|---|
| 型別 | 用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。 | “無” “系統分配” 'SystemAssigned, UserAssigned' 'UserAssigned' |
| 使用者指派的身份 | 與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。 | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 名字 | 描述 | 價值 |
|---|
資源標籤
| 名字 | 描述 | 價值 |
|---|
子資源
| 名字 | 描述 | 價值 |
|---|---|---|
| 識別碼 | 資源標識碼。 | 字串 |
使用範例
Azure 快速入門範本
下列 Azure 快速入門範本 部署此資源類型。
| 範本 | 描述 |
|---|---|
使用規則和 Ipgroups 建立防火牆和 FirewallPolicy
|
此範本會部署具有防火牆原則的 Azure 防火牆(包括多個應用程式和網路規則),以參考應用程式和網路規則中的 IP 群組。 |
|
使用 FirewallPolicy 和 IpGroups 建立防火牆
|
此範本會建立具有 FirewalllPolicy 的 Azure 防火牆,並參考 IpGroups 的網路規則。 此外,也包含Linux Jumpbox vm安裝程式 |
|
使用明確 Proxy 建立防火牆、FirewallPolicy
|
此範本會使用 IpGroups 建立具有明確 Proxy 的 Azure 防火牆、FirewalllPolicy 和網路規則。 此外,也包含Linux Jumpbox vm安裝程式 |
|
使用防火牆原則建立沙箱設定
|
此範本會建立具有 3 個子網的虛擬網路(伺服器子網、Jumpbox 子集和 AzureFirewall 子網)、具有公用 IP、伺服器 VM、UDR 路由的 Jumpbox VM,以指向伺服器子網的 Azure 防火牆,以及具有 1 個以上公用 IP 位址的 Azure 防火牆。 同時建立具有 1 個範例應用程式規則、1 個範例網路規則和預設私人範圍的防火牆原則 |
|
安全虛擬中樞
|
此範本會使用 Azure 防火牆建立安全的虛擬中樞,以保護目的地為因特網的雲端網路流量。 |
|
SharePoint 訂閱 / 2019 / 2016 已完全設定
|
建立 DC、SQL Server 2022,以及 1 到 5 部裝載 SharePoint 訂用帳戶/2019/2016 伺服器陣列的伺服器,並具有廣泛的設定,包括受信任的驗證、具有個人網站的使用者設定檔、OAuth 信任 (使用憑證)、用於裝載高信任增益集的專用 IIS 網站等...安裝了最新版本的關鍵軟體(包括Fiddler、vscode、np++、7zip、ULS Viewer)。 SharePoint 機器具有額外的微調,使其可立即使用(遠端管理工具、Edge 和 Chrome 的自訂策略、捷徑等)。 |
| 適用於 Azure 防火牆進階
|
此範本會建立具有進階功能的 Azure 防火牆進階和防火牆原則,例如入侵檢測 (IDPS)、TLS 檢查和 Web 類別篩選 |
|
使用 Azure 防火牆作為中樞 & 輪輻拓撲中的 DNS Proxy
|
此範例示範如何使用 Azure 防火牆在 Azure 中部署中樞輪輻拓撲。 中樞虛擬網路可作為透過虛擬網路對等互連連線到中樞虛擬網路之許多輪輻虛擬網路的中央點。 |
Terraform (AzAPI 提供者) 資源定義
firewallPolicies 資源類型可以使用目標作業來部署:
如需每個 API 版本中已變更屬性的清單,請參閱 變更記錄檔。
資源格式
若要建立 Microsoft.Network/firewallPolicies 資源,請將下列 Terraform 新增至範本。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2025-03-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
屬性值
Microsoft.Network/firewallPolicies
| 名字 | 描述 | 價值 |
|---|---|---|
| 身分識別 | 防火牆原則的身分識別。 | ManagedServiceIdentity |
| 位置 | 資源位置。 | 字串 |
| 名字 | 資源名稱 | 字串 (必要) |
| parent_id | 要套用此延伸模組資源之資源的標識碼。 | 字串 (必要) |
| 性能 | 防火牆原則的屬性。 | FirewallPolicyPropertiesFormat |
| 標籤 | 資源標籤 | 標記名稱和值的字典。 |
| 型別 | 資源類型 | 「Microsoft.Network/firewallPolicies@2025-03-01」 |
Components1Jq1T4ISchemasManagedserviceidentityPropertiesUserassignedidentitiesAdditionalproperties
| 名字 | 描述 | 價值 |
|---|
Dns設置
| 名字 | 描述 | 價值 |
|---|---|---|
| 啟用代理 | 在連結至防火牆原則的防火牆上啟用 DNS Proxy。 | 布爾 (bool) |
| requireProxyForNetworkRules | 當設定為 true 時,支援網路規則中的 FQDN。 | 布爾 (bool) |
| 伺服器 | 自訂 DNS 伺服器清單。 | 字串[] |
顯式代理
| 名字 | 描述 | 價值 |
|---|---|---|
| enableExplicitProxy | 設定為 true 時,會啟用明確 Proxy 模式。 | 布爾 (bool) |
| enablePacFile 檔 | 當設定為 true 時,必須提供 pac 檔案埠和 URL。 | 布爾 (bool) |
| HTTPPort 埠 | 明確 Proxy HTTP 通訊協定的埠號碼不能大於 64000。 | int 約束: 最小值 = 0 最大值 = 64000 |
| HTTPs埠 | 明確 Proxy https 通訊協定的埠號碼不能大於 64000。 | int 約束: 最小值 = 0 最大值 = 64000 |
| pac檔 | PAC 檔案的SAS URL。 | 字串 |
| pacFilePort 埠 | 要提供 PAC 檔案之防火牆的埠號碼。 | int 約束: 最小值 = 0 最大值 = 64000 |
防火牆策略證書授權
| 名字 | 描述 | 價值 |
|---|---|---|
| keyVaultSecretId 金鑰 | 秘密標識碼 (base-64 編碼的未加密 pfx) 'Secret' 或 'Certificate' 物件儲存在 KeyVault 中。 | 字串 |
| 名字 | CA 憑證的名稱。 | 字串 |
防火牆策略洞察
| 名字 | 描述 | 價值 |
|---|---|---|
| 已啟用 | 旗標,指出是否在原則上啟用深入解析。 | 布爾 (bool) |
| logAnalytics資源 | 設定防火牆原則深入解析所需的工作區。 | FirewallPolicyLogAnalytics資源 |
| retention天數 | 應在原則上啟用深入解析的天數。 | 整數 (int) |
FirewallPolicyIntrusionDetection (防火牆策略入侵檢測)
| 名字 | 描述 | 價值 |
|---|---|---|
| 組態 | 入侵檢測組態屬性。 | FirewallPolicyIntrusionDetectionConfiguration |
| 模式 | 入侵檢測一般狀態。 附加至父原則時,防火牆的有效IDPS模式是兩者更嚴格的模式。 | “警報” “否認” “關閉” |
| 個人資料 | IDPS 設定檔名稱。 附加至父原則時,防火牆的有效配置檔是父原則的配置檔名稱。 | “高級” “基本” “擴展” “標準” |
FirewallPolicyIntrusionDetectionBypassTraffic規格
| 名字 | 描述 | 價值 |
|---|---|---|
| 描述 | 略過流量規則的描述。 | 字串 |
| destinationAddresses | 此規則的目的地IP位址或範圍清單。 | 字串[] |
| 目標 IpGroups | 此規則的目的地 IpGroup 清單。 | 字串[] |
| destinationPorts | 目的地埠或範圍的清單。 | 字串[] |
| 名字 | 略過流量規則的名稱。 | 字串 |
| 通訊協定 | 規則略過通訊協定。 | '任何' “國際馬檢站” “TCP” “UDP 協定” |
| sourceAddresses (源位址) | 此規則的來源IP位址或範圍清單。 | 字串[] |
| 源 IpGroups | 此規則的來源 IpGroup 清單。 | 字串[] |
FirewallPolicyIntrusionDetectionConfiguration
| 名字 | 描述 | 價值 |
|---|---|---|
| bypassTrafficSettings | 要略過流量的規則清單。 | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | IDPS 私人IP位址範圍可用來識別流量方向(例如輸入、輸出等)。 根據預設,只有 IANA RFC 1918 所定義的範圍會被視為私人 IP 位址。 若要修改預設範圍,請使用此屬性指定您的私人IP位址範圍 | 字串[] |
| signatureOverrides | 特定簽章狀態的清單。 | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| 名字 | 描述 | 價值 |
|---|---|---|
| 識別碼 | 簽章標識碼。 | 字串 |
| 模式 | 簽章狀態。 | “警報” “否認” “關閉” |
FirewallPolicyLogAnalytics資源
| 名字 | 描述 | 價值 |
|---|---|---|
| 默認工作區ID | 防火牆原則深入解析的預設工作區標識符。 | 子資源 |
| 工作區 | 防火牆原則深入解析的工作區清單。 | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalytics工作區
| 名字 | 描述 | 價值 |
|---|---|---|
| 區域 | 要設定工作區的區域。 | 字串 |
| 工作區ID | 防火牆原則深入解析的工作區標識符。 | 子資源 |
FirewallPolicyPropertiesFormat
| 名字 | 描述 | 價值 |
|---|---|---|
| basePolicy (基礎策略) | 繼承規則的來源父防火牆原則。 | 子資源 |
| dns設置 | DNS Proxy 設定定義。 | Dns設置 |
| 顯式代理 | 明確 Proxy 設定定義。 | 顯式代理 |
| 深入解析 | 防火牆原則的深入解析。 | 防火牆策略洞察 |
| 入侵檢測 | 入侵檢測的組態。 | FirewallPolicyIntrusionDetection (防火牆策略入侵檢測) |
| SKU | 防火牆原則 SKU。 | FirewallPolicySku (防火牆策略 SKU) |
| SNAT | 流量不會是 SNAT 的私人 IP 位址/IP 範圍。 | 防火牆策略 SNAT |
| SQL | SQL 設定定義。 | 防火牆策略SQL |
| threatIntelMode | 威脅情報的作業模式。 | “警報” “否認” “關閉” |
| 威脅情報白名單 | 防火牆原則的 ThreatIntel 允許清單。 | 防火牆策略威脅英特爾白名單 |
| 運輸安全 | TLS 組態定義。 | 防火牆策略傳輸安全 |
FirewallPolicySku (防火牆策略 SKU)
| 名字 | 描述 | 價值 |
|---|---|---|
| 分層 | 防火牆原則的層級。 | “基本” “高級” “標準” |
防火牆策略 SNAT
| 名字 | 描述 | 價值 |
|---|---|---|
| autoLearnPrivateRanges 的 | 自動學習私人範圍的作業模式不是 SNAT | “已禁用” “已啟用” |
| privateRanges | 非 SNAT 的私人 IP 位址/IP 位址範圍清單。 | 字串[] |
防火牆策略SQL
| 名字 | 描述 | 價值 |
|---|---|---|
| allowSqlRedirect | 旗標,指出是否已啟用 SQL 重新導向流量篩選。 開啟旗標不需要使用埠 11000-11999。 | 布爾 (bool) |
防火牆策略威脅英特爾白名單
| 名字 | 描述 | 價值 |
|---|---|---|
| FQDN (FQDN) | ThreatIntel 允許清單的 FQDN 清單。 | 字串[] |
| ip位址 | ThreatIntel 允許清單的IP位址清單。 | 字串[] |
防火牆策略傳輸安全
| 名字 | 描述 | 價值 |
|---|---|---|
| 證書頒發機構 | 用於中繼 CA 產生的 CA。 | 防火牆策略證書授權 |
ManagedServiceIdentity
| 名字 | 描述 | 價值 |
|---|---|---|
| 型別 | 用於資源的身分識別類型。 類型 'SystemAssigned, UserAssigned' 包含隱含建立的身分識別和一組使用者指派的身分識別。 類型 『None』 會從虛擬機中移除任何身分識別。 | “無” “系統分配” 'SystemAssigned, UserAssigned' 'UserAssigned' |
| 使用者指派的身份 | 與資源相關聯的使用者身分識別清單。 使用者身分識別字典索引鍵參考的格式為 ARM 資源標識符:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'。 | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| 名字 | 描述 | 價值 |
|---|
資源標籤
| 名字 | 描述 | 價值 |
|---|
子資源
| 名字 | 描述 | 價值 |
|---|---|---|
| 識別碼 | 資源標識碼。 | 字串 |
使用範例
Terraform 範例
部署防火牆原則的基本範例。
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "firewallPolicy" {
type = "Microsoft.Network/firewallPolicies@2022-07-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
threatIntelMode = "Alert"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Azure 已驗證的模組
下列 Azure 驗證模組 可用來部署此資源類型。
| 模組 | 描述 |
|---|---|
| Azure 防火牆原則 | 適用於 Azure 防火牆原則的 AVM 資源模組 |