Sdílet prostřednictvím

Osvědčené postupy pro výkon služby Azure Firewall

  • Článek

Pokud chcete maximalizovat výkon zásad služby Azure Firewall a brány firewall, je důležité dodržovat osvědčené postupy. Určité chování sítě nebo funkce však můžou ovlivnit výkon a latenci brány firewall, a to i přes jeho možnosti optimalizace výkonu.

Běžné příčiny problémů s výkonem

  • Překročení omezení pravidel

    Pokud překročíte omezení, jako je použití více než 20 000 jedinečných kombinací zdroje a cíle v pravidlech, může to ovlivnit zpracování provozu brány firewall a způsobit latenci. I když se jedná o měkký limit, může to mít vliv na celkový výkon brány firewall, pokud tuto hodnotu překročíte. Další informace najdete v dokumentovaných omezeních.

  • Vysoká propustnost provozu

    Azure Firewall Standard podporuje až 30 Gb/s, zatímco Premium podporuje až 100 Gb/s. Další informace najdete v omezeních propustnosti. Propustnost nebo zpracování dat můžete monitorovat v metrikách služby Azure Firewall. Další informace najdete v tématu Metriky a upozornění služby Azure Firewall.

  • Vysoký počet připojení

    Nadměrný počet připojení procházejících bránou firewall může vést k vyčerpání portů SNAT (Source Network Address Translation).

  • Upozornění IDPS + Režim odepření

    Pokud povolíte režim upozornění IDPS + odepření, brána firewall zahodí pakety, které odpovídají podpisu IDPS. To má vliv na výkon.

Doporučení

  • Optimalizace konfigurace a zpracování pravidel

    • Uspořádejte pravidla pomocí zásad brány firewall do skupin kolekcí pravidel a kolekcí pravidel a určete jejich prioritu podle četnosti jejich použití.
    • Pomocí skupin IP adres nebo předpon IP adres snižte počet pravidel tabulky IP adres.
    • Určete prioritu pravidel s nejvyšším počtem přístupů.
    • Ujistěte se, že se nacházíte v následujících omezeních pravidel.

  • Použití nebo migrace do služby Azure Firewall Premium

    • Azure Firewall Premium používá pokročilý hardware a nabízí výkonnější základní modul.
    • Nejvhodnější pro těžší úlohy a vyšší objemy provozu.
    • Zahrnuje také integrovaný akcelerovaný síťový software, který může na rozdíl od standardní verze dosáhnout propustnosti až 100 Gb/s.

  • Přidání několika veřejných IP adres do brány firewall, aby se zabránilo vyčerpání portů SNAT

    • Pokud chcete zabránit vyčerpání portů SNAT, zvažte přidání několika veřejných IP adres (PIPs) do brány firewall. Azure Firewall poskytuje 2 496 portů SNAT na každý další PIP.
    • Pokud nechcete přidávat další PIP, můžete přidat Azure NAT Gateway pro škálování využití portů SNAT. Poskytuje pokročilé možnosti přidělování portů SNAT.

  • Než povolíte režim upozornění + odepření upozornění, začněte s režimem upozornění IDPS.

    • I když režim Výstrahy + Zamítnutí nabízí rozšířené zabezpečení tím, že blokuje podezřelý provoz, může také zavádět větší režii na zpracování. Pokud tento režim zakážete, můžete sledovat zlepšení výkonu, zejména ve scénářích, kdy se brána firewall primárně používá pro směrování a ne hloubkové kontroly paketů.
    • Je důležité si uvědomit, že provoz přes bránu firewall je ve výchozím nastavení odepřen, dokud explicitně nenakonfigurujete pravidla povolení . Proto i v případě, že je zakázaný režim upozornění a zamítnutí IDPS, vaše síť zůstane chráněná a pouze explicitně povolený provoz může projít bránou firewall. Tento režim může být strategickou volbou k zakázání tohoto režimu pro optimalizaci výkonu bez ohrožení základních funkcí zabezpečení poskytovaných službou Azure Firewall.

Testování a monitorování

Abyste zajistili optimální výkon služby Azure Firewall, měli byste ji nepřetržitě a proaktivně monitorovat. Je důležité pravidelně vyhodnocovat metriky stavu a klíčových metrik brány firewall, aby bylo možné identifikovat potenciální problémy a udržovat efektivní provoz, zejména při změnách konfigurace.

Při testování a monitorování použijte následující osvědčené postupy:

  • Testovací latence zavedená bránou firewall
    • Pokud chcete vyhodnotit latenci přidanou bránou firewall, změřte latenci provozu ze zdroje do cíle tím, že bránu firewall dočasně vynecháte. Uděláte to tak, že překonfigurujte trasy tak, aby obešly bránu firewall. Porovnejte měření latence s bránou firewall a bez brány firewall, abyste porozuměli jeho vlivu na provoz.
  • Měření latence brány firewall pomocí metrik sondy latence
    • Pomocí metriky sondy latence změřte průměrnou latenci služby Azure Firewall. Tato metrika poskytuje nepřímou metriku výkonu brány firewall. Mějte na paměti, že občasné špičky latence jsou normální.
  • Měření metriky propustnosti provozu
    • Monitorujte metriku propustnosti provozu, abyste pochopili, kolik dat prochází bránou firewall. To vám pomůže změřit kapacitu brány firewall a její schopnost zpracovávat síťový provoz.
  • Měření zpracovaných dat
    • Sledujte metriku zpracovávaná daty a vyhodnoťte objem dat zpracovaných bránou firewall.
  • Identifikace přístupů k pravidlům a špičkám výkonu
    • Hledejte špičky v síťovém výkonu nebo latenci. Korelace časových razítek pravidel, jako je počet přístupů pravidel aplikace a počet přístupů síťových pravidel, a určete, jestli zpracování pravidel je významným faktorem, který přispívá k problémům s výkonem nebo latencí. Analýzou těchto vzorů můžete identifikovat konkrétní pravidla nebo konfigurace, které možná budete muset optimalizovat.
  • Přidání upozornění do klíčových metrik
    • Kromě pravidelného monitorování je důležité nastavit upozornění pro klíčové metriky brány firewall. Tím zajistíte, že budete okamžitě upozorněni, když konkrétní metriky překročí předdefinované prahové hodnoty. Pokud chcete nakonfigurovat výstrahy, projděte si protokoly a metriky služby Azure Firewall a podrobné pokyny k nastavení efektivních mechanismů upozornění. Proaktivní upozorňování zvyšuje schopnost rychle reagovat na potenciální problémy a udržovat optimální výkon brány firewall.

Další kroky