Bewährte Methoden für die Leistung von Azure Firewall
Um die Leistung Ihrer Azure Firewall- und Firewall-Richtlinie zu maximieren, ist es wichtig, bewährte Methoden zu befolgen. Bestimmte Netzwerkverhalten oder -features können sich jedoch trotz ihrer Leistungsoptimierungsfunktionen auf die Leistung und Latenz der Firewall auswirken.
Häufige Ursachen für Leistungsprobleme
Überschreiten von Regeleinschränkungen
Wenn Sie Einschränkungen überschreiten, z. B. die Verwendung von mehr als 20.000 eindeutigen Quell-/Zielkombinationen in Regeln, kann dies Auswirkungen auf die Verarbeitung des Firewalldatenverkehrs und die Latenz haben. Obwohl dies ein weicher Grenzwert ist, kann sich dies auf die Gesamtleistung der Firewall auswirken, wenn Sie diesen Wert überschreiten. Weitere Informationen finden Sie in den dokumentierten Grenzwerten.
Hoher Datenverkehrsdurchsatz
Azure Firewall Standard unterstützt bis zu 30 GBit/s, während Premium bis zu 100 GBit/s unterstützt. Weitere Informationen finden Sie unter Durchsatzeinschränkungen. Sie können den Durchsatz oder die Datenverarbeitung in Form von Azure Firewall-Metriken überwachen. Weitere Informationen finden Sie unter Azure Firewall-Metriken und -Warnungen.
Hohe Anzahl von Verbindungen
Eine übermäßige Anzahl von Verbindungen, die über die Firewall geleitet werden, kann zu SNAT-Portauslastung (Source Network Address Translation) führen.
IDPS Modus „Warnen und Ablehnen“
Wenn Sie den IDPS-Modus „Warnen und Ablehnen“ aktivieren, verwirft die Firewall Pakete, die einer IDPS-Signatur entsprechen. Dies wirkt sich auf die Leistung aus.
Empfehlungen
Optimieren der Regelkonfiguration und -verarbeitung
- Organisieren Sie Regeln mithilfe der Firewallrichtlinie in Regelsammlungsgruppen und Regelsammlungen, und priorisieren Sie sie basierend auf ihrer Verwendungshäufigkeit.
- Verwenden Sie IP-Gruppen oder IP-Präfixe, um die Anzahl der IP-Tabellenregeln zu reduzieren.
- Priorisieren Sie Regeln mit der höchsten Anzahl von Treffern.
- Stellen Sie sicher, dass Sie sich innerhalb der folgenden Regeleinschränkungen befinden.
Verwenden von oder Migrieren zu Azure Firewall Premium
- Azure Firewall Premium verwendet erweiterte Hardware und bietet ein leistungsfähigeres zugrunde liegendes Modul.
- Am besten geeignet für größere Workloads und höhere Datenverkehrsvolumen.
- Premium enthält auch integrierte Software für den beschleunigten Netzwerkbetrieb, die einen Durchsatz von bis zu 100 GBit/s erreichen kann, im Gegensatz zur Standardversion.
Fügen Sie der Firewall mehrere öffentliche IP-Adressen hinzu, um die SNAT-Portauslastung zu vermeiden
- Um die SNAT-Portauslastung zu verhindern, sollten Sie in Erwägung ziehen, Ihrer Firewall mehrere öffentliche IP-Adressen (PIPs) hinzufügen. Azure Firewall stellt 2.496 SNAT-Ports für jede zusätzliche PIP bereit.
- Wenn Sie keine weiteren PIPs hinzufügen möchten, können Sie ein Azure NAT Gateway hinzufügen, um die SNAT-Portnutzung zu skalieren. Dies bietet erweiterte Funktionen zur SNAT-Portzuordnung.
Mit dem IDPS-Modus „Warnen“ starten, bevor Sie den Modus „Warnen und Ablehnen“ aktivieren
- Während der Modus Warnen und Ablehnen erhöhte Sicherheit bietet, indem verdächtiger Datenverkehr blockiert wird, kann er auch mehr Verarbeitungsaufwand verursachen. Wenn Sie diesen Modus deaktivieren, können Sie Leistungsverbesserungen beobachten, insbesondere in Szenarien, in denen die Firewall hauptsächlich zum Routing und nicht zur eingehenden Paketüberprüfung (Deep Packet Inspection, DPI) verwendet wird.
- Es ist wichtig zu beachten, dass der Datenverkehr über die Firewall standardmäßig abgelehnt wird, bis Sie explizit Zulassungsregeln konfigurieren. Selbst wenn der IDPS-Modus Warnen und Ablehnen deaktiviert ist, bleibt Ihr Netzwerk geschützt, und nur explizit zulässiger Datenverkehr kann durch die Firewall geleitet werden. Es kann eine strategische Entscheidung sein, diesen Modus zu deaktivieren, um die Leistung zu optimieren, ohne die zentralen Sicherheitsfeatures von Azure Firewall zu beeinträchtigen.
Testen und Überwachen
Um eine optimale Leistung für Ihre Azure Firewall sicherzustellen, sollten Sie sie kontinuierlich und proaktiv überwachen. Es ist wichtig, die Integrität und die wichtigsten Metriken Ihrer Firewall regelmäßig zu bewerten, um potenzielle Probleme zu identifizieren und einen effizienten Betrieb aufrechtzuerhalten, insbesondere bei Konfigurationsänderungen.
Verwenden Sie zum Testen und Überwachen die folgenden bewährten Methoden:
- Testen der Latenz, die von der Firewall eingeführt wurde
- Um die von der Firewall hinzugefügte Latenz zu bewerten, messen Sie die Latenz Ihres Datenverkehrs von der Quelle zum Ziel, indem Sie die Firewall vorübergehend umgehen. Konfigurieren Sie dazu Ihre Routen neu, um die Firewall zu umgehen. Vergleichen Sie die Latenzmessungen mit und ohne Firewall, um ihre Auswirkungen auf den Datenverkehr zu verstehen.
- Messen der Firewalllatenz mithilfe von Latenztestmetriken
- Verwenden Sie die Latenztestmetrik, um die durchschnittliche Latenz der Azure Firewall zu messen. Diese Metrik stellt eine indirekte Metrik der Leistung der Firewall bereit. Denken Sie daran, dass zeitweilige Latenzspitzen normal sind.
- Messen der Metrik für den Datenverkehrsdurchsatz
- Überwachen Sie die Metrik für den Datenverkehrsdurchsatz, um zu verstehen, wie viele Daten die Firewall durchlaufen. Auf diese Weise können Sie die Kapazität der Firewall und deren Fähigkeit zur Verarbeitung des Netzwerkdatenverkehrs messen.
- Messen der verarbeiteten Daten
- Verfolgen Sie die Metrik für die verarbeiteten Daten nach, um die Menge der von der Firewall verarbeiteten Daten zu bewerten.
- Identifizieren von Regeltreffern und Leistungsspitzen
- Suchen Sie nach Leistungs- oder Latenzspitzen des Netzwerks. Korrelieren Sie Zeitstempel für Regeltreffer, z. B. die Trefferanzahl von Anwendungsregeln und die Trefferanzahl von Netzwerkregeln, um festzustellen, ob die Regelverarbeitung ein wichtiger Faktor ist, der zu Leistungs- oder Latenzproblemen beiträgt. Durch die Analyse dieser Muster können Sie bestimmte Regeln oder Konfigurationen identifizieren, die Sie möglicherweise optimieren müssen.
- Hinzufügen von Warnungen zu wichtigen Metriken
- Zusätzlich zur regelmäßigen Überwachung ist es wichtig, Warnungen für wichtige Firewallmetriken einzurichten. Dadurch wird sichergestellt, dass Sie umgehend benachrichtigt werden, wenn bestimmte Metriken vordefinierte Schwellenwerte überschreiten. Zum Konfigurieren von Warnungen finden Sie unter Azure Firewall-Protokolle und -Metriken ausführliche Anweisungen zum Einrichten effektiver Warnungsmechanismen. Die proaktive Warnung verbessert Ihre Fähigkeit, schnell auf potenzielle Probleme zu reagieren und eine optimale Firewallleistung aufrechtzuerhalten.