Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
- Latest
- 2025-07-01
- 2025-05-01
- 2025-03-01
- 2025-01-01
- 2024-10-01
- 2024-07-01
- 2024-05-01
- 2024-03-01
- 2024-01-01
- 2023-11-01
- 2023-09-01
- 2023-06-01
- 2023-05-01
- 2023-04-01
- 2023-02-01
- 2022-11-01
- 2022-09-01
- 2022-07-01
- 2022-05-01
- 2022-01-01
- 2021-08-01
- 2021-05-01
- 2021-03-01
- 2021-02-01
- 2020-11-01
- 2020-08-01
- 2020-07-01
- 2020-06-01
- 2020-05-01
- 2020-04-01
- 2020-03-01
- 2019-12-01
- 2019-11-01
- 2019-09-01
- 2019-08-01
- 2019-07-01
- 2019-06-01
- 2018-10-01
Definición de recursos de Bicep
El tipo de recurso firewallPolicies se puede implementar con operaciones destinadas a:
- grupos de recursos: consulte comandos de implementación de grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Network/firewallPolicies, agregue lo siguiente a la plantilla de Bicep.
resource symbolicname 'Microsoft.Network/firewallPolicies@2025-07-01' = {
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
basePolicy: {
id: 'string'
}
dnsSettings: {
enableProxy: bool
requireProxyForNetworkRules: bool
servers: [
'string'
]
}
explicitProxy: {
enableExplicitProxy: bool
enablePacFile: bool
httpPort: int
httpsPort: int
pacFile: 'string'
pacFilePort: int
}
insights: {
isEnabled: bool
logAnalyticsResources: {
defaultWorkspaceId: {
id: 'string'
}
workspaces: [
{
region: 'string'
workspaceId: {
id: 'string'
}
}
]
}
retentionDays: int
}
intrusionDetection: {
configuration: {
bypassTrafficSettings: [
{
description: 'string'
destinationAddresses: [
'string'
]
destinationIpGroups: [
'string'
]
destinationPorts: [
'string'
]
name: 'string'
protocol: 'string'
sourceAddresses: [
'string'
]
sourceIpGroups: [
'string'
]
}
]
privateRanges: [
'string'
]
signatureOverrides: [
{
id: 'string'
mode: 'string'
}
]
}
mode: 'string'
profile: 'string'
}
sku: {
tier: 'string'
}
snat: {
autoLearnPrivateRanges: 'string'
privateRanges: [
'string'
]
}
sql: {
allowSqlRedirect: bool
}
threatIntelMode: 'string'
threatIntelWhitelist: {
fqdns: [
'string'
]
ipAddresses: [
'string'
]
}
transportSecurity: {
certificateAuthority: {
keyVaultSecretId: 'string'
name: 'string'
}
}
}
tags: {
{customized property}: 'string'
}
}
Valores de propiedad
Microsoft.Network/firewallPolicies
| Nombre | Descripción | Value |
|---|---|---|
| identity | Identidad de la directiva de firewall. | CommonManagedServiceIdentity |
| location | Ubicación del recurso. | string |
| name | El nombre del recurso | string (obligatorio) |
| properties | Propiedades de la directiva de firewall. | FirewallPolicyPropertiesFormat |
| tags | Etiquetas de recursos | Diccionario de nombres y valores de etiqueta. Consulte etiquetas de en plantillas |
CommonManagedServiceIdentity
| Nombre | Descripción | Value |
|---|---|---|
| tipo | Tipo de identidad que se usa para el recurso. El tipo "SystemAssigned, UserAssigned" incluye una identidad creada implícitamente y un conjunto de identidades asignadas por el usuario. El tipo "None" quitará las identidades de la máquina virtual. | 'None' 'SystemAssigned' 'Asignado al sistema, asignado al usuario' 'Asignado por el usuario' |
| userAssignedIdentities | Lista de identidades de usuario asociadas al recurso. Las referencias clave del diccionario de identidad de usuario serán los identificadores de recursos ARM en el formulario: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft. ManagedIdentity/userAssignedIdentities/{identityName}'. | CommonManagedServiceIdentityUserAssignedIdentities |
CommonManagedServiceIdentityUserAssignedIdentities
| Nombre | Descripción | Value |
|---|
EtiquetasCommonResourceTags
| Nombre | Descripción | Value |
|---|
CommonSubResource
| Nombre | Descripción | Value |
|---|---|---|
| id | Identificador de recurso. | string |
DnsSettings
| Nombre | Descripción | Value |
|---|---|---|
| enableProxy | Habilite el proxy DNS en firewalls conectados a la directiva de firewall. | bool |
| requireProxyForNetworkRules | Los FQDN en reglas de red se admiten cuando se establece en true. | bool |
| servers | Lista de servidores DNS personalizados. | string[] |
ExplícitoProxy
| Nombre | Descripción | Value |
|---|---|---|
| enableExplicitProxy | Cuando se establece en true, el modo proxy explícito está habilitado. | bool |
| enablePacFile | Cuando se establece en true, se debe proporcionar el puerto de archivo pac y la dirección URL. | bool |
| httpPort | El número de puerto para el protocolo HTTP proxy explícito no puede ser mayor que 64000. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
| httpsPort | El número de puerto para el protocolo https de proxy explícito no puede ser mayor que 64000. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
| pacFile | DIRECCIÓN URL de SAS para el archivo PAC. | string |
| pacFilePort | Número de puerto para que el firewall sirva el archivo PAC. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
| Nombre | Descripción | Value |
|---|---|---|
| keyVaultSecretId | Id. de secreto del objeto "Secret" o "Certificate" almacenado en KeyVault (codificado en base 64 pfx sin cifrar). | string |
| name | Nombre del certificado de entidad de certificación. | string |
FirewallPolicyInsights
| Nombre | Descripción | Value |
|---|---|---|
| isEnabled | Marca para indicar si la información está habilitada en la directiva. | bool |
| logAnalyticsRecursos | Áreas de trabajo necesarias para configurar Firewall Policy Insights. | FirewallPolicyLogAnalyticsRecursos |
| retentionDays | Número de días que la información debe habilitarse en la directiva. | int |
FirewallPolicyIntrusionDetection
| Nombre | Descripción | Value |
|---|---|---|
| configuration | Propiedades de configuración de detección de intrusiones. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Estado general de detección de intrusiones. Cuando se adjunta a una directiva primaria, el modo IDPS efectivo del firewall es el modo más estricto de los dos. | "Alerta" 'Denegar' 'Off' |
| profile | Nombre del perfil de IDPS. Cuando se adjunta a una directiva primaria, el perfil efectivo del firewall es el nombre del perfil de la directiva primaria. | 'Core' 'Emergiendo' 'Extendido' 'Off' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nombre | Descripción | Value |
|---|---|---|
| description | Descripción de la regla de tráfico de omisión. | string |
| destinationAddresses | Lista de direcciones IP o intervalos de destino para esta regla. | string[] |
| destinationIpGroups | Lista de ipGroups de destino para esta regla. | string[] |
| destinationPorts | Lista de puertos o intervalos de destino. | string[] |
| name | Nombre de la regla de tráfico de omisión. | string |
| protocol | Protocolo de omisión de reglas. | 'CUALQUIERA' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Lista de direcciones IP de origen o intervalos para esta regla. | string[] |
| sourceIpGroups | Lista de ipGroups de origen para esta regla. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nombre | Descripción | Value |
|---|---|---|
| bypassTrafficSettings | Lista de reglas para que el tráfico omita. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Los intervalos de direcciones IP privadas de IDPS se usan para identificar la dirección del tráfico (es decir, entrante, saliente, etc.). De forma predeterminada, solo los intervalos definidos por IANA RFC 1918 se consideran direcciones IP privadas. Para modificar los intervalos predeterminados, especifique los intervalos de direcciones IP privadas con esta propiedad. | string[] |
| signatureOverrides | Lista de estados de firmas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nombre | Descripción | Value |
|---|---|---|
| id | Identificador de firma. | string |
| mode | Estado de firma. | "Alerta" 'Denegar' 'Off' |
FirewallPolicyLogAnalyticsRecursos
| Nombre | Descripción | Value |
|---|---|---|
| defaultWorkspaceId | Identificador de área de trabajo predeterminado para Firewall Policy Insights. | CommonSubResource |
| workspaces | Lista de áreas de trabajo para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nombre | Descripción | Value |
|---|---|---|
| region | Región para configurar el área de trabajo. | string |
| workspaceId | Identificador del área de trabajo de Firewall Policy Insights. | CommonSubResource |
FirewallPolicyPropertiesFormat
| Nombre | Descripción | Value |
|---|---|---|
| basePolicy | Directiva de firewall primaria de la que se heredan las reglas. | CommonSubResource |
| dnsSettings (Configuración de dns) | Definición de configuración del proxy DNS. | dnsSettings |
| explicitProxy | Definición de configuración de proxy explícita. | explicitProxy |
| insights | Información sobre la directiva de firewall. | FirewallPolicyInsights |
| intrusiónDetection | Configuración para la detección de intrusiones. | firewallPolicyIntrusionDetection de |
| sku | SKU de directiva de firewall. | FirewallPolicySku |
| Snat | Las direcciones IP privadas o los intervalos IP a los que el tráfico no será SNAT. | FirewallPolicySnat |
| sql | Definición de configuración de SQL. | FirewallPolicySQL |
| threatIntelMode | Modo de operación para inteligencia sobre amenazas. | "Alerta" 'Denegar' 'Off' |
| amenazaIntelWhitelist | Lista de permitidos de ThreatIntel para la directiva de firewall. | FirewallPolicyThreatIntelWhitelist |
| transportede seguridad | Definición de configuración de TLS. | firewallPolicyTransportSecurity de |
FirewallPolicySku
| Nombre | Descripción | Value |
|---|---|---|
| tier | Nivel de directiva de firewall. | 'Basic' 'Premium' 'Standard' |
FirewallPolicySnat
| Nombre | Descripción | Value |
|---|---|---|
| autoLearnPrivateRanges | Modo de operación para el aprendizaje automático de intervalos privados que no sean SNAT | 'Deshabilitado' 'Habilitado' |
| privateRanges | Lista de direcciones IP privadas o intervalos de direcciones IP que no deben ser SNAT. | string[] |
FirewallPolicySQL
| Nombre | Descripción | Value |
|---|---|---|
| allowSqlRedirect | Marca que indica si está habilitado el filtrado de tráfico de redirección de SQL. Activar la marca no requiere ninguna regla mediante el puerto 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nombre | Descripción | Value |
|---|---|---|
| FQDNS | Lista de FQDN para la lista blanca threatIntel. | string[] |
| ipAddresses | Lista de direcciones IP de la lista blanca ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nombre | Descripción | Value |
|---|---|---|
| certificateAuthority | Entidad de certificación usada para la generación de CA intermedia. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentityUserAssignedIdentities
| Nombre | Descripción | Value |
|---|
Ejemplos de uso
Ejemplos de Bicep
Un ejemplo básico de implementación de la directiva de firewall.
param resourceName string = 'acctest0001'
param location string = 'westeurope'
resource firewallPolicy 'Microsoft.Network/firewallPolicies@2022-07-01' = {
name: resourceName
location: location
properties: {
threatIntelMode: 'Alert'
}
}
Módulos comprobados de Azure
Los siguientes módulos verificados
| Módulo | Descripción |
|---|---|
| Política de Firewall | Módulo de recursos de AVM para la directiva de firewall |
Ejemplos de inicio rápido de Azure
Los siguientes plantillas de inicio rápido de Azure contienen ejemplos de Bicep para implementar este tipo de recurso.
| Archivo de Bicep | Descripción |
|---|---|
| Crea un cortafuegos y una política de firewall con reglas y grupos IP | Esta plantilla despliega un Azure Firewall con una Política de Cortafuegos (incluyendo múltiples reglas de aplicación y red) que hace referencia a los Grupos de IP en las reglas de aplicación y red. |
| Hub-Spoke Red con pasarela NAT y Azure Firewall | Despliega una topología de red de radio hub con gateway NAT, Azure Firewall y máquina virtual |
| Hubs virtuales seguros | Esta plantilla crea un centro virtual seguro usando Azure Firewall para proteger el tráfico de tu red en la nube destinado a Internet. |
| SharePoint Suscripción / 2019 / 2016 totalmente configurada | Crear un DC, un SQL Server 2025 y de 1 a 5 servidor(es) alojando una granja de suscripción SharePoint / 2019/2016 con una configuración extensa, incluyendo autenticación confiable, perfiles de usuario con sitios personales, un trust OAuth (usando un certificado), un sitio IIS dedicado para alojar complementos de alta confianza, etc. La última versión de los programas clave (incluyendo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. Las máquinas SharePoint tienen ajustes adicionales para que sean inmediatamente utilizables (herramientas de administración remota, políticas personalizadas para Edge y Chrome, accesos directos, etc.). |
| Entorno de pruebas para Azure Firewall Premium | Esta plantilla crea una Azure Firewall Premium y una Política de Firewall con funciones premium como Detección de Inspección de Intrusiones (IDPS), inspección TLS y filtrado por categoría web |
| Usa Azure Firewall como proxy DNS en un hub y un hub Topología de radios | Este ejemplo muestra cómo desplegar una topología de radios hub en Azure usando Azure Firewall. La red virtual del concentrador actúa como un punto central de conectividad a muchas redes virtuales de radio que están conectadas a la red virtual del concentrador a través del emparejamiento de redes virtuales. |
Definición de recursos de plantilla de ARM
El tipo de recurso firewallPolicies se puede implementar con operaciones destinadas a:
- grupos de recursos: consulte comandos de implementación de grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Network/firewallPolicies, agregue el siguiente JSON a la plantilla.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2025-07-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"basePolicy": {
"id": "string"
},
"dnsSettings": {
"enableProxy": "bool",
"requireProxyForNetworkRules": "bool",
"servers": [ "string" ]
},
"explicitProxy": {
"enableExplicitProxy": "bool",
"enablePacFile": "bool",
"httpPort": "int",
"httpsPort": "int",
"pacFile": "string",
"pacFilePort": "int"
},
"insights": {
"isEnabled": "bool",
"logAnalyticsResources": {
"defaultWorkspaceId": {
"id": "string"
},
"workspaces": [
{
"region": "string",
"workspaceId": {
"id": "string"
}
}
]
},
"retentionDays": "int"
},
"intrusionDetection": {
"configuration": {
"bypassTrafficSettings": [
{
"description": "string",
"destinationAddresses": [ "string" ],
"destinationIpGroups": [ "string" ],
"destinationPorts": [ "string" ],
"name": "string",
"protocol": "string",
"sourceAddresses": [ "string" ],
"sourceIpGroups": [ "string" ]
}
],
"privateRanges": [ "string" ],
"signatureOverrides": [
{
"id": "string",
"mode": "string"
}
]
},
"mode": "string",
"profile": "string"
},
"sku": {
"tier": "string"
},
"snat": {
"autoLearnPrivateRanges": "string",
"privateRanges": [ "string" ]
},
"sql": {
"allowSqlRedirect": "bool"
},
"threatIntelMode": "string",
"threatIntelWhitelist": {
"fqdns": [ "string" ],
"ipAddresses": [ "string" ]
},
"transportSecurity": {
"certificateAuthority": {
"keyVaultSecretId": "string",
"name": "string"
}
}
},
"tags": {
"{customized property}": "string"
}
}
Valores de propiedad
Microsoft.Network/firewallPolicies
| Nombre | Descripción | Value |
|---|---|---|
| apiVersion | La versión de api | '2025-07-01' |
| identity | Identidad de la directiva de firewall. | CommonManagedServiceIdentity |
| location | Ubicación del recurso. | string |
| name | El nombre del recurso | string (obligatorio) |
| properties | Propiedades de la directiva de firewall. | FirewallPolicyPropertiesFormat |
| tags | Etiquetas de recursos | Diccionario de nombres y valores de etiqueta. Consulte etiquetas de en plantillas |
| tipo | El tipo de recurso | "Microsoft.Network/firewallPolicies" |
CommonManagedServiceIdentity
| Nombre | Descripción | Value |
|---|---|---|
| tipo | Tipo de identidad que se usa para el recurso. El tipo "SystemAssigned, UserAssigned" incluye una identidad creada implícitamente y un conjunto de identidades asignadas por el usuario. El tipo "None" quitará las identidades de la máquina virtual. | 'None' 'SystemAssigned' 'Asignado al sistema, asignado al usuario' 'Asignado por el usuario' |
| userAssignedIdentities | Lista de identidades de usuario asociadas al recurso. Las referencias clave del diccionario de identidad de usuario serán los identificadores de recursos ARM en el formulario: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft. ManagedIdentity/userAssignedIdentities/{identityName}'. | CommonManagedServiceIdentityUserAssignedIdentities |
CommonManagedServiceIdentityUserAssignedIdentities
| Nombre | Descripción | Value |
|---|
EtiquetasCommonResourceTags
| Nombre | Descripción | Value |
|---|
CommonSubResource
| Nombre | Descripción | Value |
|---|---|---|
| id | Identificador de recurso. | string |
DnsSettings
| Nombre | Descripción | Value |
|---|---|---|
| enableProxy | Habilite el proxy DNS en firewalls conectados a la directiva de firewall. | bool |
| requireProxyForNetworkRules | Los FQDN en reglas de red se admiten cuando se establece en true. | bool |
| servers | Lista de servidores DNS personalizados. | string[] |
ExplícitoProxy
| Nombre | Descripción | Value |
|---|---|---|
| enableExplicitProxy | Cuando se establece en true, el modo proxy explícito está habilitado. | bool |
| enablePacFile | Cuando se establece en true, se debe proporcionar el puerto de archivo pac y la dirección URL. | bool |
| httpPort | El número de puerto para el protocolo HTTP proxy explícito no puede ser mayor que 64000. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
| httpsPort | El número de puerto para el protocolo https de proxy explícito no puede ser mayor que 64000. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
| pacFile | DIRECCIÓN URL de SAS para el archivo PAC. | string |
| pacFilePort | Número de puerto para que el firewall sirva el archivo PAC. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
| Nombre | Descripción | Value |
|---|---|---|
| keyVaultSecretId | Id. de secreto del objeto "Secret" o "Certificate" almacenado en KeyVault (codificado en base 64 pfx sin cifrar). | string |
| name | Nombre del certificado de entidad de certificación. | string |
FirewallPolicyInsights
| Nombre | Descripción | Value |
|---|---|---|
| isEnabled | Marca para indicar si la información está habilitada en la directiva. | bool |
| logAnalyticsRecursos | Áreas de trabajo necesarias para configurar Firewall Policy Insights. | FirewallPolicyLogAnalyticsRecursos |
| retentionDays | Número de días que la información debe habilitarse en la directiva. | int |
FirewallPolicyIntrusionDetection
| Nombre | Descripción | Value |
|---|---|---|
| configuration | Propiedades de configuración de detección de intrusiones. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Estado general de detección de intrusiones. Cuando se adjunta a una directiva primaria, el modo IDPS efectivo del firewall es el modo más estricto de los dos. | "Alerta" 'Denegar' 'Off' |
| profile | Nombre del perfil de IDPS. Cuando se adjunta a una directiva primaria, el perfil efectivo del firewall es el nombre del perfil de la directiva primaria. | 'Core' 'Emergiendo' 'Extendido' 'Off' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nombre | Descripción | Value |
|---|---|---|
| description | Descripción de la regla de tráfico de omisión. | string |
| destinationAddresses | Lista de direcciones IP o intervalos de destino para esta regla. | string[] |
| destinationIpGroups | Lista de ipGroups de destino para esta regla. | string[] |
| destinationPorts | Lista de puertos o intervalos de destino. | string[] |
| name | Nombre de la regla de tráfico de omisión. | string |
| protocol | Protocolo de omisión de reglas. | 'CUALQUIERA' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Lista de direcciones IP de origen o intervalos para esta regla. | string[] |
| sourceIpGroups | Lista de ipGroups de origen para esta regla. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nombre | Descripción | Value |
|---|---|---|
| bypassTrafficSettings | Lista de reglas para que el tráfico omita. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Los intervalos de direcciones IP privadas de IDPS se usan para identificar la dirección del tráfico (es decir, entrante, saliente, etc.). De forma predeterminada, solo los intervalos definidos por IANA RFC 1918 se consideran direcciones IP privadas. Para modificar los intervalos predeterminados, especifique los intervalos de direcciones IP privadas con esta propiedad. | string[] |
| signatureOverrides | Lista de estados de firmas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nombre | Descripción | Value |
|---|---|---|
| id | Identificador de firma. | string |
| mode | Estado de firma. | "Alerta" 'Denegar' 'Off' |
FirewallPolicyLogAnalyticsRecursos
| Nombre | Descripción | Value |
|---|---|---|
| defaultWorkspaceId | Identificador de área de trabajo predeterminado para Firewall Policy Insights. | CommonSubResource |
| workspaces | Lista de áreas de trabajo para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nombre | Descripción | Value |
|---|---|---|
| region | Región para configurar el área de trabajo. | string |
| workspaceId | Identificador del área de trabajo de Firewall Policy Insights. | CommonSubResource |
FirewallPolicyPropertiesFormat
| Nombre | Descripción | Value |
|---|---|---|
| basePolicy | Directiva de firewall primaria de la que se heredan las reglas. | CommonSubResource |
| dnsSettings (Configuración de dns) | Definición de configuración del proxy DNS. | dnsSettings |
| explicitProxy | Definición de configuración de proxy explícita. | explicitProxy |
| insights | Información sobre la directiva de firewall. | FirewallPolicyInsights |
| intrusiónDetection | Configuración para la detección de intrusiones. | firewallPolicyIntrusionDetection de |
| sku | SKU de directiva de firewall. | FirewallPolicySku |
| Snat | Las direcciones IP privadas o los intervalos IP a los que el tráfico no será SNAT. | FirewallPolicySnat |
| sql | Definición de configuración de SQL. | FirewallPolicySQL |
| threatIntelMode | Modo de operación para inteligencia sobre amenazas. | "Alerta" 'Denegar' 'Off' |
| amenazaIntelWhitelist | Lista de permitidos de ThreatIntel para la directiva de firewall. | FirewallPolicyThreatIntelWhitelist |
| transportede seguridad | Definición de configuración de TLS. | firewallPolicyTransportSecurity de |
FirewallPolicySku
| Nombre | Descripción | Value |
|---|---|---|
| tier | Nivel de directiva de firewall. | 'Basic' 'Premium' 'Standard' |
FirewallPolicySnat
| Nombre | Descripción | Value |
|---|---|---|
| autoLearnPrivateRanges | Modo de operación para el aprendizaje automático de intervalos privados que no sean SNAT | 'Deshabilitado' 'Habilitado' |
| privateRanges | Lista de direcciones IP privadas o intervalos de direcciones IP que no deben ser SNAT. | string[] |
FirewallPolicySQL
| Nombre | Descripción | Value |
|---|---|---|
| allowSqlRedirect | Marca que indica si está habilitado el filtrado de tráfico de redirección de SQL. Activar la marca no requiere ninguna regla mediante el puerto 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nombre | Descripción | Value |
|---|---|---|
| FQDNS | Lista de FQDN para la lista blanca threatIntel. | string[] |
| ipAddresses | Lista de direcciones IP de la lista blanca ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nombre | Descripción | Value |
|---|---|---|
| certificateAuthority | Entidad de certificación usada para la generación de CA intermedia. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentityUserAssignedIdentities
| Nombre | Descripción | Value |
|---|
Ejemplos de uso
Plantillas de inicio rápido de Azure
Los siguientes plantillas de inicio rápido de Azure implementar este tipo de recurso.
| Plantilla | Descripción |
|---|---|
Crea un cortafuegos y una política de firewall con reglas y grupos IP
|
Esta plantilla despliega un Azure Firewall con una Política de Cortafuegos (incluyendo múltiples reglas de aplicación y red) que hace referencia a los Grupos de IP en las reglas de aplicación y red. |
|
Crear un firewall con FirewallPolicy e IpGroups
|
Esta plantilla crea una instancia de Azure Firewall con FirewalllPolicy que hace referencia a reglas de red con IpGroups. Además, incluye una configuración de máquina virtual de Jumpbox linux |
|
Crear un firewall, FirewallPolicy con proxy explícito
|
Esta plantilla crea una instancia de Azure Firewall, FirewalllPolicy con reglas de red y proxy explícitas con IpGroups. Además, incluye una configuración de máquina virtual de Jumpbox linux |
|
Crear una configuración de espacio aislado con la directiva de firewall
|
Esta plantilla crea una red virtual con 3 subredes (subred de servidor, subet de jumpbox y subred AzureFirewall), una máquina virtual de jumpbox con ip pública, una máquina virtual de servidor, una ruta UDR para que apunte a Azure Firewall para la subred del servidor y una instancia de Azure Firewall con 1 o más direcciones IP públicas. También crea una directiva de firewall con una regla de aplicación de ejemplo, una regla de red de ejemplo y intervalos privados predeterminados. |
|
Hub-Spoke Red con pasarela NAT y Azure Firewall
|
Despliega una topología de red de radio hub con gateway NAT, Azure Firewall y máquina virtual |
|
Hubs virtuales seguros
|
Esta plantilla crea un centro virtual seguro usando Azure Firewall para proteger el tráfico de tu red en la nube destinado a Internet. |
|
SharePoint Suscripción / 2019 / 2016 totalmente configurada
|
Crear un DC, un SQL Server 2025 y de 1 a 5 servidor(es) alojando una granja de suscripción SharePoint / 2019/2016 con una configuración extensa, incluyendo autenticación confiable, perfiles de usuario con sitios personales, un trust OAuth (usando un certificado), un sitio IIS dedicado para alojar complementos de alta confianza, etc. La última versión de los programas clave (incluyendo Fiddler, vscode, np++, 7zip, ULS Viewer) está instalada. Las máquinas SharePoint tienen ajustes adicionales para que sean inmediatamente utilizables (herramientas de administración remota, políticas personalizadas para Edge y Chrome, accesos directos, etc.). |
|
Entorno de pruebas para Azure Firewall Premium
|
Esta plantilla crea una Azure Firewall Premium y una Política de Firewall con funciones premium como Detección de Inspección de Intrusiones (IDPS), inspección TLS y filtrado por categoría web |
|
Usa Azure Firewall como proxy DNS en un hub y un hub Topología de radios
|
Este ejemplo muestra cómo desplegar una topología de radios hub en Azure usando Azure Firewall. La red virtual del concentrador actúa como un punto central de conectividad a muchas redes virtuales de radio que están conectadas a la red virtual del concentrador a través del emparejamiento de redes virtuales. |
Definición de recursos de Terraform (proveedor AzAPI)
El tipo de recurso firewallPolicies se puede implementar con operaciones destinadas a:
- Grupos de recursos
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Network/firewallPolicies, agregue el siguiente Terraform a la plantilla.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/firewallPolicies@2025-07-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
tags = {
{customized property} = "string"
}
body = {
properties = {
basePolicy = {
id = "string"
}
dnsSettings = {
enableProxy = bool
requireProxyForNetworkRules = bool
servers = [
"string"
]
}
explicitProxy = {
enableExplicitProxy = bool
enablePacFile = bool
httpPort = int
httpsPort = int
pacFile = "string"
pacFilePort = int
}
insights = {
isEnabled = bool
logAnalyticsResources = {
defaultWorkspaceId = {
id = "string"
}
workspaces = [
{
region = "string"
workspaceId = {
id = "string"
}
}
]
}
retentionDays = int
}
intrusionDetection = {
configuration = {
bypassTrafficSettings = [
{
description = "string"
destinationAddresses = [
"string"
]
destinationIpGroups = [
"string"
]
destinationPorts = [
"string"
]
name = "string"
protocol = "string"
sourceAddresses = [
"string"
]
sourceIpGroups = [
"string"
]
}
]
privateRanges = [
"string"
]
signatureOverrides = [
{
id = "string"
mode = "string"
}
]
}
mode = "string"
profile = "string"
}
sku = {
tier = "string"
}
snat = {
autoLearnPrivateRanges = "string"
privateRanges = [
"string"
]
}
sql = {
allowSqlRedirect = bool
}
threatIntelMode = "string"
threatIntelWhitelist = {
fqdns = [
"string"
]
ipAddresses = [
"string"
]
}
transportSecurity = {
certificateAuthority = {
keyVaultSecretId = "string"
name = "string"
}
}
}
}
}
Valores de propiedad
Microsoft.Network/firewallPolicies
| Nombre | Descripción | Value |
|---|---|---|
| identity | Identidad de la directiva de firewall. | CommonManagedServiceIdentity |
| location | Ubicación del recurso. | string |
| name | El nombre del recurso | string (obligatorio) |
| properties | Propiedades de la directiva de firewall. | FirewallPolicyPropertiesFormat |
| tags | Etiquetas de recursos | Diccionario de nombres y valores de etiqueta. |
| tipo | El tipo de recurso | "Microsoft. Red/firewallPolicies@2025-07-01" |
CommonManagedServiceIdentity
| Nombre | Descripción | Value |
|---|---|---|
| tipo | Tipo de identidad que se usa para el recurso. El tipo "SystemAssigned, UserAssigned" incluye una identidad creada implícitamente y un conjunto de identidades asignadas por el usuario. El tipo "None" quitará las identidades de la máquina virtual. | 'None' 'SystemAssigned' 'Asignado al sistema, asignado al usuario' 'Asignado por el usuario' |
| userAssignedIdentities | Lista de identidades de usuario asociadas al recurso. Las referencias clave del diccionario de identidad de usuario serán los identificadores de recursos ARM en el formulario: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft. ManagedIdentity/userAssignedIdentities/{identityName}'. | CommonManagedServiceIdentityUserAssignedIdentities |
CommonManagedServiceIdentityUserAssignedIdentities
| Nombre | Descripción | Value |
|---|
EtiquetasCommonResourceTags
| Nombre | Descripción | Value |
|---|
CommonSubResource
| Nombre | Descripción | Value |
|---|---|---|
| id | Identificador de recurso. | string |
DnsSettings
| Nombre | Descripción | Value |
|---|---|---|
| enableProxy | Habilite el proxy DNS en firewalls conectados a la directiva de firewall. | bool |
| requireProxyForNetworkRules | Los FQDN en reglas de red se admiten cuando se establece en true. | bool |
| servers | Lista de servidores DNS personalizados. | string[] |
ExplícitoProxy
| Nombre | Descripción | Value |
|---|---|---|
| enableExplicitProxy | Cuando se establece en true, el modo proxy explícito está habilitado. | bool |
| enablePacFile | Cuando se establece en true, se debe proporcionar el puerto de archivo pac y la dirección URL. | bool |
| httpPort | El número de puerto para el protocolo HTTP proxy explícito no puede ser mayor que 64000. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
| httpsPort | El número de puerto para el protocolo https de proxy explícito no puede ser mayor que 64000. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
| pacFile | DIRECCIÓN URL de SAS para el archivo PAC. | string |
| pacFilePort | Número de puerto para que el firewall sirva el archivo PAC. | int Constraints: Valor mínimo = 0 Valor máximo = 64000 |
FirewallPolicyCertificateAuthority
| Nombre | Descripción | Value |
|---|---|---|
| keyVaultSecretId | Id. de secreto del objeto "Secret" o "Certificate" almacenado en KeyVault (codificado en base 64 pfx sin cifrar). | string |
| name | Nombre del certificado de entidad de certificación. | string |
FirewallPolicyInsights
| Nombre | Descripción | Value |
|---|---|---|
| isEnabled | Marca para indicar si la información está habilitada en la directiva. | bool |
| logAnalyticsRecursos | Áreas de trabajo necesarias para configurar Firewall Policy Insights. | FirewallPolicyLogAnalyticsRecursos |
| retentionDays | Número de días que la información debe habilitarse en la directiva. | int |
FirewallPolicyIntrusionDetection
| Nombre | Descripción | Value |
|---|---|---|
| configuration | Propiedades de configuración de detección de intrusiones. | FirewallPolicyIntrusionDetectionConfiguration |
| mode | Estado general de detección de intrusiones. Cuando se adjunta a una directiva primaria, el modo IDPS efectivo del firewall es el modo más estricto de los dos. | "Alerta" 'Denegar' 'Off' |
| profile | Nombre del perfil de IDPS. Cuando se adjunta a una directiva primaria, el perfil efectivo del firewall es el nombre del perfil de la directiva primaria. | 'Core' 'Emergiendo' 'Extendido' 'Off' |
FirewallPolicyIntrusionDetectionBypassTrafficSpecifications
| Nombre | Descripción | Value |
|---|---|---|
| description | Descripción de la regla de tráfico de omisión. | string |
| destinationAddresses | Lista de direcciones IP o intervalos de destino para esta regla. | string[] |
| destinationIpGroups | Lista de ipGroups de destino para esta regla. | string[] |
| destinationPorts | Lista de puertos o intervalos de destino. | string[] |
| name | Nombre de la regla de tráfico de omisión. | string |
| protocol | Protocolo de omisión de reglas. | 'CUALQUIERA' 'ICMP' 'TCP' 'UDP' |
| sourceAddresses | Lista de direcciones IP de origen o intervalos para esta regla. | string[] |
| sourceIpGroups | Lista de ipGroups de origen para esta regla. | string[] |
FirewallPolicyIntrusionDetectionConfiguration
| Nombre | Descripción | Value |
|---|---|---|
| bypassTrafficSettings | Lista de reglas para que el tráfico omita. | FirewallPolicyIntrusionDetectionBypassTrafficSpecifications[] |
| privateRanges | Los intervalos de direcciones IP privadas de IDPS se usan para identificar la dirección del tráfico (es decir, entrante, saliente, etc.). De forma predeterminada, solo los intervalos definidos por IANA RFC 1918 se consideran direcciones IP privadas. Para modificar los intervalos predeterminados, especifique los intervalos de direcciones IP privadas con esta propiedad. | string[] |
| signatureOverrides | Lista de estados de firmas específicos. | FirewallPolicyIntrusionDetectionSignatureSpecification[] |
FirewallPolicyIntrusionDetectionSignatureSpecification
| Nombre | Descripción | Value |
|---|---|---|
| id | Identificador de firma. | string |
| mode | Estado de firma. | "Alerta" 'Denegar' 'Off' |
FirewallPolicyLogAnalyticsRecursos
| Nombre | Descripción | Value |
|---|---|---|
| defaultWorkspaceId | Identificador de área de trabajo predeterminado para Firewall Policy Insights. | CommonSubResource |
| workspaces | Lista de áreas de trabajo para Firewall Policy Insights. | FirewallPolicyLogAnalyticsWorkspace[] |
FirewallPolicyLogAnalyticsWorkspace
| Nombre | Descripción | Value |
|---|---|---|
| region | Región para configurar el área de trabajo. | string |
| workspaceId | Identificador del área de trabajo de Firewall Policy Insights. | CommonSubResource |
FirewallPolicyPropertiesFormat
| Nombre | Descripción | Value |
|---|---|---|
| basePolicy | Directiva de firewall primaria de la que se heredan las reglas. | CommonSubResource |
| dnsSettings (Configuración de dns) | Definición de configuración del proxy DNS. | dnsSettings |
| explicitProxy | Definición de configuración de proxy explícita. | explicitProxy |
| insights | Información sobre la directiva de firewall. | FirewallPolicyInsights |
| intrusiónDetection | Configuración para la detección de intrusiones. | firewallPolicyIntrusionDetection de |
| sku | SKU de directiva de firewall. | FirewallPolicySku |
| Snat | Las direcciones IP privadas o los intervalos IP a los que el tráfico no será SNAT. | FirewallPolicySnat |
| sql | Definición de configuración de SQL. | FirewallPolicySQL |
| threatIntelMode | Modo de operación para inteligencia sobre amenazas. | "Alerta" 'Denegar' 'Off' |
| amenazaIntelWhitelist | Lista de permitidos de ThreatIntel para la directiva de firewall. | FirewallPolicyThreatIntelWhitelist |
| transportede seguridad | Definición de configuración de TLS. | firewallPolicyTransportSecurity de |
FirewallPolicySku
| Nombre | Descripción | Value |
|---|---|---|
| tier | Nivel de directiva de firewall. | 'Basic' 'Premium' 'Standard' |
FirewallPolicySnat
| Nombre | Descripción | Value |
|---|---|---|
| autoLearnPrivateRanges | Modo de operación para el aprendizaje automático de intervalos privados que no sean SNAT | 'Deshabilitado' 'Habilitado' |
| privateRanges | Lista de direcciones IP privadas o intervalos de direcciones IP que no deben ser SNAT. | string[] |
FirewallPolicySQL
| Nombre | Descripción | Value |
|---|---|---|
| allowSqlRedirect | Marca que indica si está habilitado el filtrado de tráfico de redirección de SQL. Activar la marca no requiere ninguna regla mediante el puerto 11000-11999. | bool |
FirewallPolicyThreatIntelWhitelist
| Nombre | Descripción | Value |
|---|---|---|
| FQDNS | Lista de FQDN para la lista blanca threatIntel. | string[] |
| ipAddresses | Lista de direcciones IP de la lista blanca ThreatIntel. | string[] |
FirewallPolicyTransportSecurity
| Nombre | Descripción | Value |
|---|---|---|
| certificateAuthority | Entidad de certificación usada para la generación de CA intermedia. | FirewallPolicyCertificateAuthority |
ManagedServiceIdentityUserAssignedIdentities
| Nombre | Descripción | Value |
|---|
Ejemplos de uso
Ejemplos de Terraform
Un ejemplo básico de implementación de la directiva de firewall.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "firewallPolicy" {
type = "Microsoft.Network/firewallPolicies@2022-07-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
threatIntelMode = "Alert"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
Módulos comprobados de Azure
Los siguientes módulos verificados