Microsoft.Network firewallPolicies 2021-05-01
Definizione di risorsa Bicep
Il tipo di risorsa firewallPolicies può essere distribuito con operazioni destinate a:
- Gruppi di risorse - Vedere i comandi di distribuzione dei gruppi di risorse
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere Log delle modifiche.
Formato di risorsa
Per creare una risorsa Microsoft.Network/firewallPolicies, aggiungere il bicep seguente al modello.
resource symbolicname 'Microsoft.Network/firewallPolicies@2021-05-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxySettings: {
enableExplicitProxy: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
}
sku: {
tier: 'string'
}
snat: {
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
}
Valori delle proprietà
firewallPolicies
| Nome | Descrizione | valore |
|---|---|---|
| name | Nome della risorsa | stringa (obbligatorio) Limite di caratteri: 1-80 Caratteri validi: Caratteri alfanumerici, caratteri di sottolineatura, punti e trattini. Deve iniziare con un carattere alfanumerico. Deve terminare con un carattere alfanumerico o con un carattere di sottolineatura. |
| posizione | Percorso della risorsa. | string |
| tags | Tag delle risorse. | Dizionario di nomi e valori di tag. Vedere Tag nei modelli |
| identity | Identità dei criteri del firewall. | ManagedServiceIdentity |
| properties | Proprietà dei criteri del firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nome | Descrizione | Valore |
|---|---|---|
| tipo | Tipo di identità usata per la risorsa. Il tipo "SystemAssigned, UserAssigned" include sia un'identità creata in modo implicito che un set di identità assegnate dall'utente. Il tipo "Nessuno" rimuoverà le identità dalla macchina virtuale. | 'Nessuno' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Elenco di identità utente associate alla risorsa. I riferimenti alla chiave del dizionario identità utente saranno ID risorsa ARM nel formato :'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nome | Descrizione | Valore |
|---|---|---|
| {proprietà personalizzata} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Questo oggetto non contiene proprietà da impostare durante la distribuzione. Tutte le proprietà sono ReadOnly.
FirewallPolicyPropertiesFormat
| Nome | Descrizione | Valore |
|---|---|---|
| basePolicy | Criteri del firewall padre da cui vengono ereditate le regole. | Sottorisorsa |
| dnsSettings | Definizione delle impostazioni proxy DNS. | DnsSettings |
| explicitProxySettings | Definizione esplicita delle impostazioni proxy. | ExplicitProxySettings |
| insights | Informazioni dettagliate sui criteri del firewall. | FirewallPolicyInsights |
| intrusionDetection | Configurazione per il rilevamento delle intrusioni. | FirewallPolicyIntrusionDetection |
| sku | SKU dei criteri del firewall. | FirewallPolicySku |
| Snat | Gli indirizzi IP privati/intervalli IP a cui il traffico non sarà SNAT. | FirewallPolicySnat |
| sql | Definizione delle impostazioni SQL. | FirewallPolicySQL |
| threatIntelMode | Modalità operativa per Intelligence per le minacce. | 'Alert' 'Deny' 'Off' |
| threatIntelWhitelist | ThreatIntel Allowlist per i criteri del firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definizione di configurazione TLS. | FirewallPolicyTransportSecurity |
Sottorisorsa
| Nome | Descrizione | Valore |
|---|---|---|
| id | ID risorsa. | string |
DnsSettings
| Nome | Descrizione | Valore |
|---|---|---|
| enableProxy | Abilitare il proxy DNS nei firewall collegati ai criteri del firewall. | bool |
| requireProxyForNetworkRules | I nomi di dominio completi nelle regole di rete sono supportati quando è impostato su true. | bool |
| servers | Elenco di server DNS personalizzati. | string[] |
ExplicitProxySettings
| Nome | Descrizione | Valore |
|---|---|---|
| enableExplicitProxy | Se impostato su true, la modalità proxy esplicita è abilitata. | bool |
| httpPort | Il numero di porta per il protocollo HTTP proxy esplicito non può essere maggiore di 64000. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| httpsPort | Il numero di porta per il protocollo HTTPS proxy esplicito non può essere maggiore di 64000. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| pacFile | URL di firma di accesso condiviso per il file PAC. | string |
| pacFilePort | Numero di porta per il firewall per la gestione del file PAC. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
FirewallPolicyInsights
| Nome | Descrizione | Valore |
|---|---|---|
| isEnabled | Flag per indicare se le informazioni dettagliate sono abilitate nei criteri. | bool |
| logAnalyticsResources | Aree di lavoro necessarie per configurare Informazioni dettagliate sui criteri del firewall. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Numero di giorni in cui è necessario abilitare le informazioni dettagliate sui criteri. | INT |
FirewallPolicyLogAnalyticsResources
| Nome | Descrizione | Valore |
|---|---|---|
| defaultWorkspaceId | ID area di lavoro predefinito per Informazioni dettagliate sui criteri del firewall. | Sottorisorsa |
| aree di lavoro | Elenco di aree di lavoro per Informazioni dettagliate sui criteri del firewall. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrizione | Valore |
|---|---|---|
| regione | Area per configurare l'area di lavoro. | string |
| workspaceId | ID area di lavoro per Informazioni dettagliate sui criteri del firewall. | Sottorisorsa |
FirewallPolicyIntrusionDetection
| Nome | Descrizione | Valore |
|---|---|---|
| configurazione | Proprietà di configurazione del rilevamento delle intrusioni. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Stato generale di rilevamento delle intrusioni. | 'Avviso' 'Deny' 'Off' |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrizione | Valore |
|---|---|---|
| bypassTrafficSettings | Elenco delle regole per il bypass del traffico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| signatureOverrides | Elenco di firme specifiche. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nome | Descrizione | Valore |
|---|---|---|
| description | Descrizione della regola di traffico di bypass. | string |
| destinationAddresses | Elenco di indirizzi IP o intervalli di destinazione per questa regola. | string[] |
| destinationIpGroups | Elenco di IpGroup di destinazione per questa regola. | string[] |
| destinationPorts | Elenco di porte o intervalli di destinazione. | string[] |
| name | Nome della regola di traffico di bypass. | string |
| protocol | Protocollo di bypass della regola. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Elenco di indirizzi IP di origine o intervalli per questa regola. | string[] |
| sourceIpGroups | Elenco di ipGroup di origine per questa regola. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nome | Descrizione | Valore |
|---|---|---|
| id | ID firma. | string |
| mode | Stato della firma. | 'Avviso' 'Deny' 'Off' |
FirewallPolicySku
| Nome | Descrizione | Valore |
|---|---|---|
| Livello | Livello di criteri firewall. | 'Basic' 'Premium' 'Standard' |
FirewallPolicySnat
| Nome | Descrizione | Valore |
|---|---|---|
| privateRanges | Elenco di indirizzi IP privati/intervalli di indirizzi IP da non essere SNAT. | string[] |
FirewallPolicySQL
| Nome | Descrizione | Valore |
|---|---|---|
| allowSqlRedirect | Flag per indicare se il filtro del traffico di reindirizzamento SQL è abilitato. L'attivazione del flag non richiede alcuna regola usando la porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrizione | Valore |
|---|---|---|
| Fqdn | Elenco di FQDNs per ThreatIntel Allowlist. | string[] |
| Ipaddresses | Elenco di indirizzi IP per ThreatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
| Nome | Descrizione | Valore |
|---|---|---|
| certificateAuthority | Ca usata per la generazione intermedia della CA. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nome | Descrizione | Valore |
|---|---|---|
| keyVaultSecretId | ID segreto dell'oggetto 'Secret' (pfx con codifica base 64) 'Secret' o 'Certificate' archiviato in KeyVault. | string |
| name | Nome del certificato della CA. | string |
Modelli di avvio rapido
I modelli di avvio rapido seguenti distribuiscono questo tipo di risorsa.
| Modello | Descrizione |
|---|---|
Usare Firewall di Azure come proxy DNS in una topologia hub & spoke |
Questo esempio illustra come distribuire una topologia hub-spoke in Azure usando il Firewall di Azure. La rete virtuale hub funge da punto centrale di connettività a molte reti virtuali spoke connesse alla rete virtuale hub tramite peering di rete virtuale virtuale. |
| Create firewall e firewallpolicy con regole e ipgroup |
Questo modello distribuisce un Firewall di Azure con criteri firewall (incluse più regole di rete e applicazione) che fanno riferimento a Gruppi IP nelle regole di applicazione e di rete. |
| Create un firewall, FirewallPolicy con proxy esplicito |
Questo modello crea un Firewall di Azure, FirewalllPolicy con proxy esplicito e regole di rete con ipGroup. Include anche la configurazione di una macchina virtuale Jumpbox Linux |
| Create un firewall con FirewallPolicy e IpGroups |
Questo modello crea un Firewall di Azure con FirewalllPolicy che fa riferimento alle regole di rete con IpGroups. Include anche la configurazione di una macchina virtuale Jumpbox Linux |
| Ambiente di test per Firewall di Azure Premium |
Questo modello crea un criterio Firewall di Azure Premium e Firewall con funzionalità premium, ad esempio il rilevamento delle intrusioni (IDPS), l'ispezione TLS e il filtro delle categorie Web |
| Create una configurazione sandbox con i criteri del firewall |
Questo modello crea una rete virtuale con 3 subnet (subnet del server, jumpbox subet e subnet AzureFirewall), una macchina virtuale jumpbox con indirizzo IP pubblico, una macchina virtuale del server, una route definita dall'utente per puntare a Firewall di Azure per la subnet del server e un Firewall di Azure con 1 o più indirizzi IP pubblici. Crea anche un criterio firewall con 1 regola dell'applicazione di esempio, 1 regola di rete di esempio e intervalli privati predefiniti |
| Hub virtuali protetti |
Questo modello crea un hub virtuale protetto usando Firewall di Azure per proteggere il traffico di rete cloud destinato a Internet. |
| Finalità e criteri di routing di Azure rete WAN virtuale |
Questo modello effettua il provisioning di un rete WAN virtuale di Azure con due hub con la funzionalità Routing Intent and Policies abilitata. |
Definizione di risorsa del modello di Resource Manager
Il tipo di risorsa firewallPolicies può essere distribuito con operazioni destinate a:
- Gruppi di risorse - Vedere i comandi di distribuzione dei gruppi di risorse
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere Log delle modifiche.
Formato di risorsa
Per creare una risorsa Microsoft.Network/firewallPolicies, aggiungere il codice JSON seguente al modello.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2021-05-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {}
}
},
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxySettings": {
"enableExplicitProxy": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
}
}
Valori delle proprietà
firewallPolicies
| Nome | Descrizione | Valore |
|---|---|---|
| tipo | Tipo di risorsa | 'Microsoft.Network/firewallPolicies' |
| apiVersion | Versione dell'API della risorsa | '2021-05-01' |
| name | Nome della risorsa | stringa (obbligatorio) Limite di caratteri: 1-80 Caratteri validi: Caratteri alfanumerici, caratteri di sottolineatura, punti e trattini. Deve iniziare con un carattere alfanumerico. Deve terminare con un carattere alfanumerico o con un carattere di sottolineatura. |
| posizione | Percorso della risorsa. | string |
| tags | Tag delle risorse. | Dizionario di nomi e valori di tag. Vedere Tag nei modelli |
| identity | Identità dei criteri del firewall. | ManagedServiceIdentity |
| properties | Proprietà dei criteri del firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nome | Descrizione | Valore |
|---|---|---|
| tipo | Tipo di identità usata per la risorsa. Il tipo "SystemAssigned, UserAssigned" include sia un'identità creata in modo implicito che un set di identità assegnate dall'utente. Il tipo "Nessuno" rimuoverà le identità dalla macchina virtuale. | 'Nessuno' 'SystemAssigned' 'SystemAssigned, UserAssigned' 'UserAssigned' |
| userAssignedIdentities | Elenco di identità utente associate alla risorsa. I riferimenti alla chiave del dizionario identità utente saranno ID risorsa ARM nel formato :'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | ManagedServiceIdentityUserAssignedIdentities |
ManagedServiceIdentityUserAssignedIdentities
| Nome | Descrizione | Valore |
|---|---|---|
| {proprietà personalizzata} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Questo oggetto non contiene proprietà da impostare durante la distribuzione. Tutte le proprietà sono ReadOnly.
FirewallPolicyPropertiesFormat
| Nome | Descrizione | Valore |
|---|---|---|
| basePolicy | Criteri del firewall padre da cui vengono ereditate le regole. | SottoResource |
| dnsSettings | Definizione delle impostazioni proxy DNS. | DnsSettings |
| explicitProxySettings | Definizione delle impostazioni proxy esplicite. | ExplicitProxySettings |
| insights | Informazioni dettagliate sui criteri del firewall. | FirewallPolicyInsights |
| intrusionDetection | Configurazione per il rilevamento delle intrusioni. | FirewallPolicyIntrusionDetection |
| sku | SKU dei criteri del firewall. | FirewallPolicySku |
| Snat | Gli indirizzi IP privati/intervalli IP a cui il traffico non sarà SNAT. | FirewallPolicySnat |
| sql | Definizione delle impostazioni SQL. | FirewallPolicySQL |
| threatIntelMode | Modalità di operazione per Threat Intelligence. | 'Avviso' 'Deny' 'Off' |
| threatIntelWhitelist | ThreatIntel Allowlist per i criteri del firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definizione di configurazione TLS. | FirewallPolicyTransportSecurity |
SottoResource
| Nome | Descrizione | Valore |
|---|---|---|
| id | ID risorsa. | string |
DnsSettings
| Nome | Descrizione | Valore |
|---|---|---|
| enableProxy | Abilitare il proxy DNS nei firewall collegati ai criteri del firewall. | bool |
| requireProxyForNetworkRules | Gli FQDN nelle regole di rete sono supportati quando sono impostati su true. | bool |
| servers | Elenco dei server DNS personalizzati. | string[] |
ExplicitProxySettings
| Nome | Descrizione | Valore |
|---|---|---|
| enableExplicitProxy | Se impostato su true, la modalità proxy esplicita è abilitata. | bool |
| httpPort | Numero di porta per il protocollo http proxy esplicito, non può essere maggiore di 64000. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| httpsPort | Il numero di porta per il protocollo https proxy esplicito non può essere maggiore di 64000. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| pacFile | URL di firma di accesso condiviso per il file PAC. | string |
| pacFilePort | Numero di porta per il firewall per la gestione del file PAC. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
FirewallPolicyInsights
| Nome | Descrizione | Valore |
|---|---|---|
| isEnabled | Flag per indicare se le informazioni dettagliate sono abilitate nei criteri. | bool |
| logAnalyticsResources | Aree di lavoro necessarie per configurare Firewall Policy Insights. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Numero di giorni in cui è necessario abilitare le informazioni dettagliate sui criteri. | INT |
FirewallPolicyLogAnalyticsResources
| Nome | Descrizione | Valore |
|---|---|---|
| defaultWorkspaceId | ID area di lavoro predefinita per Informazioni dettagliate sui criteri del firewall. | SottoResource |
| aree di lavoro | Elenco delle aree di lavoro per Informazioni dettagliate sui criteri del firewall. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrizione | Valore |
|---|---|---|
| regione | Area per configurare l'area di lavoro. | string |
| workspaceId | ID area di lavoro per Informazioni dettagliate sui criteri del firewall. | SottoResource |
FirewallPolicyIntrusionDetection
| Nome | Descrizione | Valore |
|---|---|---|
| configurazione | Proprietà di configurazione del rilevamento delle intrusioni. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Stato generale di rilevamento delle intrusioni. | 'Avviso' 'Deny' 'Off' |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrizione | Valore |
|---|---|---|
| bypassTrafficSettings | Elenco delle regole per il bypass del traffico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| signatureOverrides | Elenco di firme specifiche. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nome | Descrizione | Valore |
|---|---|---|
| description | Descrizione della regola di traffico di bypass. | string |
| destinationAddresses | Elenco di indirizzi IP o intervalli di destinazione per questa regola. | string[] |
| destinationIpGroups | Elenco di IpGroup di destinazione per questa regola. | string[] |
| destinationPorts | Elenco di porte o intervalli di destinazione. | string[] |
| name | Nome della regola di traffico di bypass. | string |
| protocol | Protocollo di bypass della regola. | 'ANY' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Elenco di indirizzi IP di origine o intervalli per questa regola. | string[] |
| sourceIpGroups | Elenco di ipGroup di origine per questa regola. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nome | Descrizione | Valore |
|---|---|---|
| id | ID firma. | string |
| mode | Stato della firma. | 'Avviso' 'Deny' 'Off' |
FirewallPolicySku
| Nome | Descrizione | Valore |
|---|---|---|
| Livello | Livello di criteri firewall. | 'Basic' 'Premium' 'Standard' |
FirewallPolicySnat
| Nome | Descrizione | Valore |
|---|---|---|
| privateRanges | Elenco di indirizzi IP privati/intervalli di indirizzi IP da non essere SNAT. | string[] |
FirewallPolicySQL
| Nome | Descrizione | Valore |
|---|---|---|
| allowSqlRedirect | Flag per indicare se il filtro del traffico di reindirizzamento SQL è abilitato. L'attivazione del flag non richiede alcuna regola usando la porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrizione | Valore |
|---|---|---|
| Fqdn | Elenco di FQDNs per ThreatIntel Allowlist. | string[] |
| Ipaddresses | Elenco di indirizzi IP per ThreatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
| Nome | Descrizione | Valore |
|---|---|---|
| certificateAuthority | Ca usata per la generazione ca intermedia. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nome | Descrizione | Valore |
|---|---|---|
| keyVaultSecretId | Id segreto di (pfx con codifica base-64) 'Secret' o 'Certificate' archiviato in KeyVault. | string |
| name | Nome del certificato CA. | string |
Modelli di avvio rapido
I modelli di avvio rapido seguenti distribuiscono questo tipo di risorsa.
| Modello | Descrizione |
|---|---|
| Usare Firewall di Azure come proxy DNS in una topologia Hub & Spoke |
Questo esempio illustra come distribuire una topologia hub-spoke in Azure usando l'Firewall di Azure. La rete virtuale hub funge da punto centrale di connettività a molte reti virtuali spoke connesse alla rete virtuale hub tramite peering di rete virtuale virtuale. |
| Create firewall e FirewallPolicy con regole e ipgroup |
Questo modello distribuisce un Firewall di Azure con i criteri firewall (incluse più regole di applicazione e di rete) che fanno riferimento alle Gruppi IP nelle regole di applicazione e di rete. |
| Create firewall, FirewallPolicy con proxy esplicito |
Questo modello crea un Firewall di Azure, FirewalllPolicy con proxy esplicito e regole di rete con IpGroup. Include anche una configurazione di vm Jumpbox Linux |
| Create firewall con FirewallPolicy e IpGroup |
Questo modello crea un Firewall di Azure con FirewalllPolicy che fa riferimento alle regole di rete con IpGroups. Include anche una configurazione di vm Jumpbox Linux |
| Ambiente di test per Firewall di Azure Premium |
Questo modello crea un criterio premium e firewall Firewall di Azure con funzionalità premium, ad esempio rilevamento delle intrusioni (IDPS), filtro di ispezione TLS e categoria Web |
| Create una configurazione sandbox con i criteri del firewall |
Questo modello crea una rete virtuale con 3 subnet (subnet del server, jumpbox subet e subnet di AzureFirewall), una macchina virtuale jumpbox con IP pubblico, una macchina virtuale server, una route UDR per puntare a Firewall di Azure per la subnet server e un Firewall di Azure con 1 o più indirizzi IP pubblici. Crea anche un criterio firewall con 1 regola dell'applicazione di esempio, 1 regola di rete di esempio e intervalli privati predefiniti |
| Hub virtuali protetti |
Questo modello crea un hub virtuale protetto usando Firewall di Azure per proteggere il traffico di rete cloud destinato a Internet. |
| Finalità e criteri di routing di Azure rete WAN virtuale |
Questo modello esegue il provisioning di un rete WAN virtuale di Azure con due hub con la funzionalità Finalità di routing e Criteri abilitata. |
Definizione della risorsa Terraform (provider AzAPI)
Il tipo di risorsa firewallPolicies può essere distribuito con operazioni destinate:
- Gruppi di risorse
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato di risorsa
Per creare una risorsa Microsoft.Network/firewallPolicies, aggiungere il codice Terraform seguente al modello.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2021-05-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxySettings = {
enableExplicitProxy = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
}
sku = {
tier = "string"
}
snat = {
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
})
}
Valori delle proprietà
firewallPolicies
| Nome | Descrizione | Valore |
|---|---|---|
| tipo | Tipo di risorsa | "Microsoft.Network/firewallPolicies@2021-05-01" |
| name | Nome della risorsa | stringa (obbligatoria) Limite di caratteri: 1-80 Caratteri validi: Caratteri alfanumerici, caratteri di sottolineatura, punti e trattini. Deve iniziare con un carattere alfanumerico. Deve terminare con un carattere alfanumerico o con un carattere di sottolineatura. |
| posizione | Percorso della risorsa. | string |
| parent_id | Per distribuire in un gruppo di risorse, usare l'ID del gruppo di risorse. | stringa (obbligatoria) |
| tags | Tag di risorse. | Dizionario dei nomi e dei valori dei tag. |
| identity | Identità dei criteri del firewall. | ManagedServiceIdentity |
| properties | Proprietà dei criteri del firewall. | FirewallPolicyPropertiesFormat |
ManagedServiceIdentity
| Nome | Descrizione | Valore |
|---|---|---|
| tipo | Tipo di identità utilizzata per la risorsa. Il tipo 'SystemAssigned, UserAssigned' include sia un'identità creata in modo implicito che un set di identità assegnate dall'utente. Il tipo 'Nessuno' rimuoverà le identità dalla macchina virtuale. | "SystemAssigned" "SystemAssigned, UserAssigned" "UserAssigned" |
| identity_ids | Elenco delle identità utente associate alla risorsa. I riferimenti alla chiave del dizionario delle identità utente saranno id risorsa ARM nel modulo: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | Matrice di ID identità utente. |
ManagedServiceIdentityUserAssignedIdentities
| Nome | Descrizione | Valore |
|---|---|---|
| {proprietà personalizzata} | Components1Jq1T4ISchemasManagedserviceidentityProper... |
Components1Jq1T4ISchemasManagedserviceidentityProper...
Questo oggetto non contiene proprietà da impostare durante la distribuzione. Tutte le proprietà sono ReadOnly.
FirewallPolicyPropertiesFormat
| Nome | Descrizione | Valore |
|---|---|---|
| basePolicy | Criteri del firewall padre da cui vengono ereditate le regole. | SottoResource |
| dnsSettings | Definizione delle impostazioni proxy DNS. | DnsSettings |
| explicitProxySettings | Definizione delle impostazioni proxy esplicite. | ExplicitProxySettings |
| insights | Informazioni dettagliate sui criteri del firewall. | FirewallPolicyInsights |
| intrusionDetection | Configurazione per il rilevamento delle intrusioni. | FirewallPolicyIntrusionDetection |
| sku | SKU dei criteri del firewall. | FirewallPolicySku |
| Snat | Gli indirizzi IP privati/intervalli IP a cui il traffico non sarà SNAT. | FirewallPolicySnat |
| sql | Definizione delle impostazioni SQL. | FirewallPolicySQL |
| threatIntelMode | Modalità di operazione per Threat Intelligence. | "Avviso" "Nega" "Off" |
| threatIntelWhitelist | ThreatIntel Allowlist per i criteri del firewall. | FirewallPolicyThreatIntelWhitelist |
| transportSecurity | Definizione di configurazione TLS. | FirewallPolicyTransportSecurity |
SottoResource
| Nome | Descrizione | Valore |
|---|---|---|
| id | ID risorsa. | string |
DnsSettings
| Nome | Descrizione | Valore |
|---|---|---|
| enableProxy | Abilitare il proxy DNS nei firewall collegati ai criteri del firewall. | bool |
| requireProxyForNetworkRules | Gli FQDN nelle regole di rete sono supportati quando sono impostati su true. | bool |
| servers | Elenco dei server DNS personalizzati. | string[] |
ExplicitProxySettings
| Nome | Descrizione | Valore |
|---|---|---|
| enableExplicitProxy | Se impostato su true, la modalità proxy esplicita è abilitata. | bool |
| httpPort | Il numero di porta per il protocollo HTTP proxy esplicito non può essere maggiore di 64000. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| httpsPort | Il numero di porta per il protocollo HTTPS proxy esplicito non può essere maggiore di 64000. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
| pacFile | URL di firma di accesso condiviso per il file PAC. | string |
| pacFilePort | Numero di porta per il firewall per la gestione del file PAC. | INT Vincoli: Valore minimo = 0 Valore massimo = 64000 |
FirewallPolicyInsights
| Nome | Descrizione | Valore |
|---|---|---|
| isEnabled | Flag per indicare se le informazioni dettagliate sono abilitate nei criteri. | bool |
| logAnalyticsResources | Aree di lavoro necessarie per configurare Informazioni dettagliate sui criteri del firewall. | FirewallPolicyLogAnalyticsResources |
| retentionDays | Numero di giorni in cui è necessario abilitare le informazioni dettagliate sui criteri. | INT |
FirewallPolicyLogAnalyticsResources
| Nome | Descrizione | Valore |
|---|---|---|
| defaultWorkspaceId | ID area di lavoro predefinito per Informazioni dettagliate sui criteri del firewall. | Sottorisorsa |
| aree di lavoro | Elenco di aree di lavoro per Informazioni dettagliate sui criteri del firewall. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nome | Descrizione | Valore |
|---|---|---|
| regione | Area per configurare l'area di lavoro. | string |
| workspaceId | ID area di lavoro per Informazioni dettagliate sui criteri del firewall. | Sottorisorsa |
FirewallPolicyIntrusionDetection
| Nome | Descrizione | Valore |
|---|---|---|
| configurazione | Proprietà di configurazione del rilevamento delle intrusioni. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Stato generale di rilevamento delle intrusioni. | "Avviso" "Nega" "Off" |
FirewallPolicyIntrusionDetectionConfiguration
| Nome | Descrizione | Valore |
|---|---|---|
| bypassTrafficSettings | Elenco di regole per ignorare il traffico. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...[] |
| signatureOverrides | Elenco di stati di firme specifiche. | FirewallPolicyIntrusionDetectionSignatureSpecificati...[] |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifi...
| Nome | Descrizione | Valore |
|---|---|---|
| description | Descrizione della regola di bypass del traffico. | string |
| destinationAddresses | Elenco di indirizzi IP o intervalli di destinazione per questa regola. | string[] |
| destinationIpGroups | Elenco di IpGroup di destinazione per questa regola. | string[] |
| destinationPorts | Elenco di porte o intervalli di destinazione. | string[] |
| name | Nome della regola di bypass del traffico. | string |
| protocol | Protocollo di bypass della regola. | "ANY" "ICMP" "TCP" "UDP" |
| sourceAddresses | Elenco di indirizzi IP o intervalli di origine per questa regola. | string[] |
| sourceIpGroups | Elenco di ipgroup di origine per questa regola. | string[] |
FirewallPolicyIntrusionDetectionSignatureSpecificati...
| Nome | Descrizione | Valore |
|---|---|---|
| id | ID firma. | string |
| mode | Stato della firma. | "Avviso" "Nega" "Off" |
FirewallPolicySku
| Nome | Descrizione | Valore |
|---|---|---|
| Livello | Livello dei criteri del firewall. | "Basic" "Premium" "Standard" |
FirewallPolicySnat
| Nome | Descrizione | Valore |
|---|---|---|
| privateRanges | Elenco di indirizzi IP privati/intervalli di indirizzi IP che non devono essere SNAT. | string[] |
FirewallPolicySQL
| Nome | Descrizione | Valore |
|---|---|---|
| allowSqlRedirect | Flag per indicare se il filtro del traffico di reindirizzamento SQL è abilitato. L'attivazione del flag non richiede alcuna regola usando la porta 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nome | Descrizione | Valore |
|---|---|---|
| Fqdn | Elenco di nomi di dominio completi per ThreatIntel Allowlist. | string[] |
| Ipaddresses | Elenco di indirizzi IP per ThreatIntel Allowlist. | string[] |
FirewallPolicyTransportSecurity
| Nome | Descrizione | Valore |
|---|---|---|
| certificateAuthority | Ca usata per la generazione intermedia della CA. | FirewallPolicyCertificateAuthority |
FirewallPolicyCertificateAuthority
| Nome | Descrizione | Valore |
|---|---|---|
| keyVaultSecretId | ID segreto dell'oggetto 'Secret' (pfx con codifica base 64) 'Secret' o 'Certificate' archiviato in KeyVault. | string |
| name | Nome del certificato della CA. | string |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per