Pare-feu Microsoft.NetworkPolicies
Définition de ressource Bicep
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
- Groupes de ressources - Voir commandes de déploiement de groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le Bicep suivant à votre modèle.
resource symbolicname 'Microsoft.Network/firewallPolicies@2023-11-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Valeurs de propriétés
firewallPolicies
| Nom | Description | Valeur |
|---|---|---|
| name | Nom de la ressource | chaîne (obligatoire) Limite de caractères : 1-80 Caractères valides : Caractères alphanumériques, traits de soulignement, points et traits d’union. Doit commencer par un caractère alphanumérique. Doit se terminer par un caractère alphanumérique ou un trait de soulignement. |
| location | Emplacement de la ressource. | string |
| tags | Balises de ressource. | Dictionnaire de noms et de valeurs d’étiquettes. Voir Balises dans les modèles |
| identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
| properties | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nom | Description | Valeur |
|---|---|---|
| type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » comprend à la fois une identité créée implicitement et un ensemble d’identités attribuées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur sont des ID de ressource ARM au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nom | Description | Valeur |
|---|---|---|
| {propriété personnalisée} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Cet objet ne contient aucune propriété à définir pendant le déploiement. Toutes les propriétés sont ReadOnly.
FirewallPolicyPropertiesFormat
| Nom | Description | Valeur |
|---|---|---|
| basePolicy | Stratégie de pare-feu parente dont les règles sont héritées. | Sous-ressource |
| dnsSettings | Définition des paramètres de proxy DNS. | DnsSettings |
| explicitProxy | Définition des paramètres de proxy explicites. | ExplicitProxy |
| insights | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
| intrusionDetection | Configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetection |
| sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySku |
| Snat | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
| sql | Définition des paramètres SQL. | FirewallPolicySQL |
| threatIntelMode | Mode d’opération pour Threat Intelligence. | 'Alerte' 'Deny' 'Off' |
| threatIntelWhitelist | Liste d’autorisation ThreatIntel pour la stratégie de pare-feu. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Définition de configuration TLS. | FirewallPolicyTransportSecurity |
SubResource
| Nom | Description | Valeur |
|---|---|---|
| id | ID de la ressource | string |
DnsSettings
| Nom | Description | Valeur |
|---|---|---|
| enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | bool |
| requireProxyForNetworkRules | Les noms de domaine complets dans les règles réseau sont pris en charge lorsqu’ils sont définis sur true. | bool |
| servers | Liste des serveurs DNS personnalisés. | string[] |
ExplicitProxy
| Nom | Description | Valeur |
|---|---|---|
| enableExplicitProxy | Lorsque la valeur est true, le mode proxy explicite est activé. | bool |
| enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | bool |
| httpPort | Le numéro de port pour le protocole http de proxy explicite ne peut pas être supérieur à 64 000. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
| httpsPort | Le numéro de port pour le protocole https du proxy explicite ne peut pas être supérieur à 64000. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
| pacFile | URL SAS pour le fichier PAC. | string |
| pacFilePort | Numéro de port du pare-feu pour traiter le fichier PAC. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyInsights
| Nom | Description | Valeur |
|---|---|---|
| isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | bool |
| logAnalyticsResources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | int |
FirewallPolicyLogAnalyticsResources
| Nom | Description | Valeur |
|---|---|---|
| defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | SubResource |
| workspaces | Liste des espaces de travail pour Les insights de stratégie de pare-feu. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nom | Description | Valeur |
|---|---|---|
| region | Région pour configurer l’espace de travail. | string |
| workspaceId | ID de l’espace de travail pour Firewall Policy Insights. | Sous-ressource |
FirewallPolicyIntrusionDetection
| Nom | Description | Valeur |
|---|---|---|
| configuration | Propriétés de configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | État général de la détection d’intrusion. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode le plus strict des deux. | 'Alerte' 'Deny' 'Off' |
| profile | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom de profil de la stratégie parente. | 'Avancé' 'De base' 'Étendu' 'Standard' |
FirewallPolicyIntrusionDetectionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| bypassTrafficSettings | Liste des règles de contournement du trafic. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier le sens du trafic (par exemple, entrant, sortant, etc.). Par défaut, seules les plages définies par la RFC IANA 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | string[] |
| signatureOverrides | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nom | Description | Valeur |
|---|---|---|
| description | Description de la règle de contournement du trafic. | string |
| destinationAddresses | Liste des adresses IP de destination ou des plages pour cette règle. | string[] |
| destinationIpGroups | Liste des IpGroups de destination pour cette règle. | string[] |
| destinationPorts | Liste des ports ou plages de destination. | string[] |
| name | Nom de la règle de contournement du trafic. | string |
| protocol | Protocole de contournement de règle. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Liste des adresses IP sources ou des plages pour cette règle. | string[] |
| sourceIpGroups | Liste des IpGroups sources pour cette règle. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nom | Description | Valeur |
|---|---|---|
| id | ID de signature. | string |
| mode | État de signature. | 'Alerte' 'Deny' 'Off' |
FirewallPolicySku
| Nom | Description | Valeur |
|---|---|---|
| Niveau | Niveau de la stratégie de pare-feu. | 'De base' 'Premium' 'Standard' |
FirewallPolicySnat
| Nom | Description | Valeur |
|---|---|---|
| autoLearnPrivateRanges | Mode d’opération pour apprendre automatiquement les plages privées à ne pas être SNAT | 'Désactivé' 'Enabled' |
| privateRanges | Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. | string[] |
FirewallPolicySQL
| Nom | Description | Valeur |
|---|---|---|
| allowSqlRedirect | Indicateur pour indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nom | Description | Valeur |
|---|---|---|
| fqdns | Liste des noms de domaine complets pour la liste verte ThreatIntel. | string[] |
| ipAddresses | Liste d’adresses IP pour la liste verte ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nom | Description | Valeur |
|---|---|---|
| certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nom | Description | Valeur |
|---|---|---|
| keyVaultSecretId | ID de secret de (pfx encodé en base 64 non chiffré) 'Secret' ou 'Certificate' objet stocké dans KeyVault. | string |
| name | Nom du certificat d’autorité de certification. | string |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
Utiliser Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke |
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide de la Pare-feu Azure. Le réseau virtuel hub joue le rôle de point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
| Créer un pare-feu et une stratégie de pare-feu avec des règles et IpGroups |
Ce modèle déploie une Pare-feu Azure avec une stratégie de pare-feu (y compris plusieurs règles d’application et de réseau) référençant les Groupes IP dans les règles d’application et de réseau. |
| Create un pare-feu, FirewallPolicy avec proxy explicite |
Ce modèle crée un Pare-feu Azure, FirewalllPolicy avec proxy explicite et des règles de réseau avec IpGroups. Inclut également une configuration de machine virtuelle Linux Jumpbox |
| Create un pare-feu avec FirewallPolicy et IpGroups |
Ce modèle crée une Pare-feu Azure avec FirewalllPolicy référençant les règles de réseau avec ipgroups. Inclut également une configuration de machine virtuelle Linux Jumpbox |
| Environnement de test pour Pare-feu Azure Premium |
Ce modèle crée une Pare-feu Azure Premium et une stratégie de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
| Create une configuration de bac à sable avec la stratégie de pare-feu |
Ce modèle crée un réseau virtuel avec 3 sous-réseaux (sous-réseau de serveur, sous-ensemble de jumpbox et sous-réseau AzureFirewall), une machine virtuelle jumpbox avec une adresse IP publique, une machine virtuelle serveur, un itinéraire UDR pour pointer vers Pare-feu Azure pour le sous-réseau du serveur et un Pare-feu Azure avec 1 ou plusieurs adresses IP publiques. Crée également une stratégie de pare-feu avec 1 exemple de règle d’application, 1 exemple de règle de réseau et plages privées par défaut |
| Hubs virtuels sécurisés |
Ce modèle crée un hub virtuel sécurisé à l’aide de Pare-feu Azure pour sécuriser votre trafic réseau cloud destiné à Internet. |
| Intention et stratégies de routage Azure Virtual WAN |
Ce modèle provisionne une Virtual WAN Azure avec deux hubs avec la fonctionnalité Intention de routage et Stratégies activée. |
Définition de ressources de modèle ARM
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
- Groupes de ressources - Voir commandes de déploiement de groupe de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le json suivant à votre modèle.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2023-11-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Valeurs de propriétés
firewallPolicies
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | 'Microsoft.Network/firewallPolicies' |
| apiVersion | Version de l’API de ressource | '2023-11-01' |
| name | Nom de la ressource | string (obligatoire) Limite de caractères : 1-80 Caractères valides : Caractères alphanumériques, traits de soulignement, points et traits d’union. Doit commencer par un caractère alphanumérique. Doit se terminer par un caractère alphanumérique ou un trait de soulignement. |
| location | Emplacement de la ressource. | string |
| tags | Balises de ressource. | Dictionnaire de noms et de valeurs d’étiquettes. Voir Balises dans les modèles |
| identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
| properties | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nom | Description | Valeur |
|---|---|---|
| type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » comprend à la fois une identité créée implicitement et un ensemble d’identités attribuées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | 'None' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur sont des ID de ressource ARM au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nom | Description | Valeur |
|---|---|---|
| {propriété personnalisée} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Cet objet ne contient aucune propriété à définir pendant le déploiement. Toutes les propriétés sont ReadOnly.
FirewallPolicyPropertiesFormat
| Nom | Description | Valeur |
|---|---|---|
| basePolicy | Stratégie de pare-feu parente dont les règles sont héritées. | Sous-ressource |
| dnsSettings | Définition des paramètres de proxy DNS. | DnsSettings |
| explicitProxy | Définition des paramètres de proxy explicites. | ExplicitProxy |
| insights | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
| intrusionDetection | Configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetection |
| sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySku |
| Snat | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
| sql | Définition des paramètres SQL. | FirewallPolicySQL |
| threatIntelMode | Mode d’opération pour Threat Intelligence. | 'Alerte' 'Deny' 'Off' |
| threatIntelWhitelist | Liste verte ThreatIntel pour la stratégie de pare-feu. | FirewallPolicyThreatIntelWhitelist |
| transportSécurité | Définition de configuration TLS. | FirewallPolicyTransportSecurity |
Sous-ressource
| Nom | Description | Valeur |
|---|---|---|
| id | ID de la ressource | string |
DnsSettings
| Nom | Description | Valeur |
|---|---|---|
| enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | bool |
| requireProxyForNetworkRules | Les noms de domaine complets dans les règles réseau sont pris en charge lorsqu’ils sont définis sur true. | bool |
| servers | Liste des serveurs DNS personnalisés. | string[] |
ExplicitProxy
| Nom | Description | Valeur |
|---|---|---|
| enableExplicitProxy | Lorsqu’il est défini sur true, le mode proxy explicite est activé. | bool |
| enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | bool |
| httpPort | Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
| httpsPort | Le numéro de port du protocole https de proxy explicite ne peut pas être supérieur à 64000. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
| pacFile | URL SAS pour le fichier PAC. | string |
| pacFilePort | Numéro de port du pare-feu pour traiter le fichier PAC. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyInsights
| Nom | Description | Valeur |
|---|---|---|
| isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | bool |
| logAnalyticsResources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | int |
FirewallPolicyLogAnalyticsResources
| Nom | Description | Valeur |
|---|---|---|
| defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | Sous-ressource |
| workspaces | Liste des espaces de travail pour Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nom | Description | Valeur |
|---|---|---|
| region | Région pour configurer l’espace de travail. | string |
| workspaceId | ID d’espace de travail pour Firewall Policy Insights. | Sous-ressource |
FirewallPolicyIntrusionDetection
| Nom | Description | Valeur |
|---|---|---|
| configuration | Propriétés de configuration de la détection d’intrusion. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | État général de la détection d’intrusion. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode le plus strict des deux. | 'Alerte' 'Deny' 'Off' |
| profile | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom de profil de la stratégie parente. | 'Avancé' 'De base' 'Étendu' 'Standard' |
FirewallPolicyIntrusionDetectionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| bypassTrafficSettings | Liste des règles de contournement du trafic. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier le sens du trafic (par exemple, entrant, sortant, etc.). Par défaut, seules les plages définies par la RFC IANA 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | string[] |
| signatureOverrides | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nom | Description | Valeur |
|---|---|---|
| description | Description de la règle de contournement du trafic. | string |
| destinationAddresses | Liste des adresses IP de destination ou des plages pour cette règle. | string[] |
| destinationIpGroups | Liste des IpGroups de destination pour cette règle. | string[] |
| destinationPorts | Liste des ports ou plages de destination. | string[] |
| name | Nom de la règle de contournement du trafic. | string |
| protocol | Protocole de contournement de règle. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Liste des adresses IP sources ou des plages pour cette règle. | string[] |
| sourceIpGroups | Liste des IpGroups sources pour cette règle. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nom | Description | Valeur |
|---|---|---|
| id | ID de signature. | string |
| mode | État de signature. | 'Alerte' 'Deny' 'Off' |
FirewallPolicySku
| Nom | Description | Valeur |
|---|---|---|
| Niveau | Niveau de la stratégie de pare-feu. | 'De base' 'Premium' 'Standard' |
FirewallPolicySnat
| Nom | Description | Valeur |
|---|---|---|
| autoLearnPrivateRanges | Mode d’opération pour apprendre automatiquement les plages privées à ne pas être SNAT | 'Désactivé' 'Enabled' |
| privateRanges | Liste des adresses IP privées/plages d’adresses IP à ne pas être SNAT. | string[] |
FirewallPolicySQL
| Nom | Description | Valeur |
|---|---|---|
| allowSqlRedirect | Indicateur pour indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nom | Description | Valeur |
|---|---|---|
| fqdns | Liste des noms de domaine complets pour la liste verte ThreatIntel. | string[] |
| ipAddresses | Liste d’adresses IP pour la liste verte ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nom | Description | Valeur |
|---|---|---|
| certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nom | Description | Valeur |
|---|---|---|
| keyVaultSecretId | Id secret de (pfx encodé en base 64 non chiffré) 'Secret' ou 'Certificate' objet stocké dans KeyVault. | string |
| name | Nom du certificat d’autorité de certification. | string |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
| Utiliser Pare-feu Azure comme proxy DNS dans une topologie Hub & Spoke |
Cet exemple montre comment déployer une topologie hub-spoke dans Azure à l’aide du Pare-feu Azure. Le réseau virtuel hub agit comme un point central de connectivité à de nombreux réseaux virtuels spoke connectés au réseau virtuel hub via le peering de réseaux virtuels. |
| Créer un pare-feu et une stratégie de pare-feu avec des règles et IpGroups |
Ce modèle déploie une Pare-feu Azure avec une stratégie de pare-feu (y compris plusieurs règles d’application et de réseau) référençant les Groupes IP dans les règles d’application et de réseau. |
| Create un pare-feu, FirewallPolicy avec proxy explicite |
Ce modèle crée un Pare-feu Azure, FirewalllPolicy avec proxy explicite et des règles réseau avec IpGroups. Inclut également une configuration de machine virtuelle Jumpbox Linux |
| Create un pare-feu avec FirewallPolicy et IpGroups |
Ce modèle crée une Pare-feu Azure avec FirewalllPolicy référençant les règles de réseau avec ipgroups. Inclut également une configuration de machine virtuelle Linux Jumpbox |
| Environnement de test pour Pare-feu Azure Premium |
Ce modèle crée une Pare-feu Azure Premium et une stratégie de pare-feu avec des fonctionnalités Premium telles que la détection d’inspection des intrusions (IDPS), l’inspection TLS et le filtrage des catégories web |
| Create une configuration de bac à sable avec la stratégie de pare-feu |
Ce modèle crée un réseau virtuel avec 3 sous-réseaux (sous-réseau de serveur, sous-ensemble de jumpbox et sous-réseau AzureFirewall), une machine virtuelle jumpbox avec une adresse IP publique, une machine virtuelle serveur, un itinéraire UDR pour pointer vers Pare-feu Azure pour le sous-réseau du serveur et un Pare-feu Azure avec 1 ou plusieurs adresses IP publiques. Crée également une stratégie de pare-feu avec 1 exemple de règle d’application, 1 exemple de règle de réseau et plages privées par défaut |
| Hubs virtuels sécurisés |
Ce modèle crée un hub virtuel sécurisé à l’aide de Pare-feu Azure pour sécuriser votre trafic réseau cloud destiné à Internet. |
| Intention et stratégies de routage Azure Virtual WAN |
Ce modèle provisionne une Virtual WAN Azure avec deux hubs avec la fonctionnalité Intention de routage et Stratégies activée. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource firewallPolicies peut être déployé avec des opérations qui ciblent :
- Groupes de ressources
Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.Network/firewallPolicies, ajoutez le Terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2023-11-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Valeurs de propriétés
firewallPolicies
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | « Microsoft.Network/firewallPolicies@2023-11-01 » |
| name | Nom de la ressource | string (obligatoire) Limite de caractères : 1-80 Caractères valides : Caractères alphanumériques, traits de soulignement, points et traits d’union. Doit commencer par un caractère alphanumérique. Doit se terminer par un caractère alphanumérique ou un trait de soulignement. |
| location | Emplacement de la ressource. | string |
| parent_id | Pour effectuer un déploiement dans un groupe de ressources, utilisez l’ID de ce groupe de ressources. | string (obligatoire) |
| tags | Balises de ressource. | Dictionnaire de noms et de valeurs d’étiquettes. |
| identité | Identité de la stratégie de pare-feu. | ManagedServiceIdentity |
| properties | Propriétés de la stratégie de pare-feu. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nom | Description | Valeur |
|---|---|---|
| type | Type d’identité utilisé pour la ressource. Le type « SystemAssigned, UserAssigned » comprend à la fois une identité créée implicitement et un ensemble d’identités attribuées par l’utilisateur. Le type « None » supprime toutes les identités de la machine virtuelle. | « SystemAssigned » « SystemAssigned, UserAssigned » « UserAssigned » |
| identity_ids | Liste des identités utilisateur associées à la ressource. Les références de clé de dictionnaire d’identité utilisateur sont des ID de ressource ARM au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | Tableau d’ID d’identité utilisateur. |
ManagedServiceIdentityUserAssignedIdentities
| Nom | Description | Valeur |
|---|---|---|
| {propriété personnalisée} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Cet objet ne contient aucune propriété à définir pendant le déploiement. Toutes les propriétés sont ReadOnly.
FirewallPolicyPropertiesFormat
| Nom | Description | Valeur |
|---|---|---|
| basePolicy | Stratégie de pare-feu parente dont les règles sont héritées. | SubResource |
| dnsSettings | Définition des paramètres de proxy DNS. | DnsSettings |
| explicitProxy | Définition des paramètres de proxy explicites. | ExplicitProxy |
| insights | Insights sur la stratégie de pare-feu. | FirewallPolicyInsights |
| intrusionDetection | Configuration de la détection des intrusions. | FirewallPolicyIntrusionDetection |
| sku | Référence SKU de stratégie de pare-feu. | FirewallPolicySku |
| Snat | Adresses IP privées/plages d’adresses IP vers lesquelles le trafic ne sera pas SNAT. | FirewallPolicySnat |
| sql | Définition des paramètres SQL. | FirewallPolicySQL |
| threatIntelMode | Mode d’opération pour Threat Intelligence. | « Alerte » « Refuser » « Désactivé » |
| threatIntelWhitelist | Liste verte ThreatIntel pour la stratégie de pare-feu. | FirewallPolicyThreatIntelWhitelist |
| transportSécurité | Définition de configuration TLS. | FirewallPolicyTransportSecurity |
Sous-ressource
| Nom | Description | Valeur |
|---|---|---|
| id | ID de la ressource | string |
DnsSettings
| Nom | Description | Valeur |
|---|---|---|
| enableProxy | Activez le proxy DNS sur les pare-feu attachés à la stratégie de pare-feu. | bool |
| requireProxyForNetworkRules | Les noms de domaine complets dans les règles réseau sont pris en charge lorsqu’ils sont définis sur true. | bool |
| servers | Liste des serveurs DNS personnalisés. | string[] |
ExplicitProxy
| Nom | Description | Valeur |
|---|---|---|
| enableExplicitProxy | Lorsqu’il est défini sur true, le mode proxy explicite est activé. | bool |
| enablePacFile | Lorsque la valeur est true, le port et l’URL du fichier pac doivent être fournis. | bool |
| httpPort | Le numéro de port du protocole http de proxy explicite ne peut pas être supérieur à 64 000. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
| httpsPort | Le numéro de port du protocole https de proxy explicite ne peut pas être supérieur à 64000. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
| pacFile | URL SAS pour le fichier PAC. | string |
| pacFilePort | Numéro de port du pare-feu pour traiter le fichier PAC. | int Contraintes : Valeur minimale = 0 Valeur maximale = 64000 |
FirewallPolicyInsights
| Nom | Description | Valeur |
|---|---|---|
| isEnabled | Indicateur pour indiquer si les insights sont activés sur la stratégie. | bool |
| logAnalyticsResources | Espaces de travail nécessaires pour configurer les insights de stratégie de pare-feu. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Nombre de jours pendant lesquels les insights doivent être activés sur la stratégie. | int |
FirewallPolicyLogAnalyticsResources
| Nom | Description | Valeur |
|---|---|---|
| defaultWorkspaceId | ID d’espace de travail par défaut pour Firewall Policy Insights. | Sous-ressource |
| workspaces | Liste des espaces de travail pour Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nom | Description | Valeur |
|---|---|---|
| region | Région pour configurer l’espace de travail. | string |
| workspaceId | ID d’espace de travail pour Firewall Policy Insights. | SubResource |
FirewallPolicyIntrusionDetection
| Nom | Description | Valeur |
|---|---|---|
| configuration | Propriétés de configuration de la détection des intrusions. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | État général de la détection des intrusions. Lorsqu’il est attaché à une stratégie parente, le mode IDPS effectif du pare-feu est le mode le plus strict des deux. | « Alerte » « Refuser » « Désactivé » |
| profile | Nom du profil IDPS. Lorsqu’il est attaché à une stratégie parente, le profil effectif du pare-feu est le nom de profil de la stratégie parente. | « Avancé » "Basic" « Étendu » « Standard » |
FirewallPolicyIntrusionDetectionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| bypassTrafficSettings | Liste des règles pour le trafic à contourner. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| privateRanges | Les plages d’adresses IP privées IDPS sont utilisées pour identifier la direction du trafic (par exemple, entrant, sortant, etc.). Par défaut, seules les plages définies par la RFC IANA 1918 sont considérées comme des adresses IP privées. Pour modifier les plages par défaut, spécifiez vos plages d’adresses IP privées avec cette propriété | string[] |
| signatureOverrides | Liste des états de signatures spécifiques. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nom | Description | Valeur |
|---|---|---|
| description | Description de la règle de contournement du trafic. | string |
| destinationAddresses | Liste des adresses IP de destination ou des plages pour cette règle. | string[] |
| destinationIpGroups | Liste des ipGroups de destination pour cette règle. | string[] |
| destinationPorts | Liste des ports ou plages de destination. | string[] |
| name | Nom de la règle de contournement du trafic. | string |
| protocol | Protocole de contournement de règle. | « ANY » « ICMP » « TCP » « UDP » |
| sourceAddresses | Liste des plages ou adresses IP sources pour cette règle. | string[] |
| sourceIpGroups | Liste des ipgroupes sources pour cette règle. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nom | Description | Valeur |
|---|---|---|
| id | ID de signature. | string |
| mode | État de la signature. | « Alerte » « Refuser » « Désactivé » |
FirewallPolicySku
| Nom | Description | Valeur |
|---|---|---|
| Niveau | Niveau de stratégie de pare-feu. | "Basic" « Premium » « Standard » |
FirewallPolicySnat
| Nom | Description | Valeur |
|---|---|---|
| autoLearnPrivateRanges | Mode d’opération pour l’apprentissage automatique des plages privées à ne pas être SNAT | « Désactivé » « Activé » |
| privateRanges | Liste des adresses IP privées/plages d’adresses IP qui ne doivent pas être SNAT. | string[] |
FirewallPolicySQL
| Nom | Description | Valeur |
|---|---|---|
| allowSqlRedirect | Indicateur pour indiquer si le filtrage du trafic de redirection SQL est activé. L’activation de l’indicateur ne nécessite aucune règle utilisant le port 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nom | Description | Valeur |
|---|---|---|
| fqdns | Liste des noms de domaine complets pour la liste verte ThreatIntel. | string[] |
| ipAddresses | Liste d’adresses IP pour la liste verte ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nom | Description | Valeur |
|---|---|---|
| certificateAuthority | Autorité de certification utilisée pour la génération d’autorité de certification intermédiaire. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nom | Description | Valeur |
|---|---|---|
| keyVaultSecretId | Id secret de (pfx encodé en base 64 non chiffré) 'Secret' ou 'Certificate' objet stocké dans KeyVault. | string |
| name | Nom du certificat d’autorité de certification. | string |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour