Procedimientos recomendados para el rendimiento de Azure Firewall
Para maximizar el rendimiento de Azure Firewall y de la directiva de firewall, es importante seguir los procedimientos recomendados. Sin embargo, ciertos comportamientos o características de red pueden afectar al rendimiento y la latencia del firewall, a pesar de sus funcionalidades de optimización del rendimiento.
Causas comunes de problemas de rendimiento
Superación de las limitaciones de las reglas
Si supera las limitaciones, como el uso de más de 20 000 combinaciones únicas de origen o destino en las reglas, puede afectar al procesamiento de tráfico del firewall y provocar latencia. Aunque se trata de un límite flexible, si supera este valor, puede afectar el rendimiento general del firewall. Para obtener más información, consulte los límites documentados.
Alto rendimiento del tráfico
Azure Firewall Standard admite hasta 30 Gbps, mientras que Premium admite hasta 100 Gbps. Para más información, consulte las limitaciones de rendimiento. Puede supervisar el rendimiento o el procesamiento de datos en las métricas de Azure Firewall. Para obtener más información, consulte Métricas y alertas de Azure Firewall.
Número elevado de conexiones
Un número excesivo de conexiones que pasan por el firewall puede provocar el agotamiento de puertos SNAT (traducción de direcciones de red de origen).
Modo de alerta y denegación de IDPS
Si habilita el modo de alerta y denegación de IDPS, el firewall anula los paquetes que coincidan con una firma IDPS. Esto afecta al rendimiento.
Recomendaciones
Optimización de la configuración y el procesamiento de reglas
- Organice las reglas mediante la directiva de firewall en Grupos de recopilación de reglas y Colecciones de reglas, priorizándolas en función de su frecuencia de uso.
- Use los Grupos de IP o prefijos IP para reducir el número de reglas de tabla de IP.
- Dé prioridad a las reglas con el mayor número de aciertos.
- Asegúrese de estar dentro de las siguientes limitaciones de regla.
Uso o migración a Azure Firewall Premium
- Azure Firewall Premium usa hardware avanzado y ofrece un motor subyacente de mayor rendimiento.
- Mejor para cargas de trabajo más pesadas y volúmenes de tráfico más altos.
- También incluye un software de redes aceleradas integrado, que puede lograr un rendimiento de hasta 100 Gbps, a diferencia de la versión Estándar.
Adición de varias direcciones IP públicas al firewall para evitar el agotamiento de puertos SNAT
- Para evitar el agotamiento de puertos SNAT, considere la posibilidad de agregar varias direcciones IP públicas (PIP) al firewall. Azure Firewall proporciona 2496 puertos SNAT por cada PIP adicional.
- Si prefiere no agregar más PIP, puede agregar una puerta de enlace Azure NAT Gateway para escalar el uso de puertos SNAT. Esto proporciona funcionalidades avanzadas de asignación de puertos SNAT.
Comience con el modo de alerta IDPS antes de habilitar el modo alerta y denegación
- Aunque el modo Alerta y denegación ofrece una mayor seguridad bloqueando el tráfico sospechoso, también puede introducir más sobrecarga de procesamiento. Si deshabilita este modo, puede observar una mejora del rendimiento, especialmente en escenarios en los que el firewall se usa principalmente para el enrutamiento y no la inspección profunda de paquetes.
- Es esencial recordar que el tráfico a través del firewall se deniega de manera predeterminada hasta que configure explícitamente las reglas de permiso. Por lo tanto, incluso cuando el modo de Alerta y denegación de IDPS está deshabilitado, la red permanece protegida y solo se permite explícitamente el paso de tráfico permitido a través del firewall. Puede ser una opción estratégica deshabilitar este modo para optimizar el rendimiento sin poner en peligro las características de seguridad principales proporcionadas por Azure Firewall.
Auditoría y supervisión
Para garantizar un rendimiento óptimo para Azure Firewall, debe supervisarlo de forma continua y proactiva. Es fundamental evaluar periódicamente el estado y las métricas clave del firewall para identificar posibles problemas y mantener una operación eficaz, especialmente durante los cambios de configuración.
Utilice los siguientes procedimientos recomendados para pruebas y supervisión:
-
Latencia de prueba introducida por el firewall
- Para evaluar la latencia agregada por el firewall, mida la latencia del tráfico desde el origen al destino omitiendo temporalmente el firewall. Para ello, vuelva a configurar las rutas para omitir el firewall. Compare las medidas de latencia con y sin el firewall para comprender su efecto en el tráfico.
-
Medición de la latencia del firewall mediante métricas de sondeo de latencia
- Use la métrica de sondeo de latencia para medir la latencia media de Azure Firewall. Esta métrica proporciona una métrica indirecta del rendimiento del firewall. Recuerde que los picos de latencia intermitentes son normales.
-
Medición de la métrica de rendimiento del tráfico
- Supervise la métrica de rendimiento del tráfico para comprender la cantidad de datos que pasa a través del firewall. Esto le ayuda a medir la capacidad del firewall y su capacidad para controlar el tráfico de red.
-
Medición de los datos procesados
- Realice un seguimiento de la métrica de datos procesados para evaluar el volumen de datos procesados por el firewall.
-
Identificar los aciertos de llamada y los picos de rendimiento
- Busque picos en el rendimiento o la latencia de red. Correlacione las marcas de tiempo de aciertos de reglas, como el número de llamadas de reglas de aplicación y el número de llamadas de reglas de red, para determinar si el procesamiento de reglas es un factor significativo que contribuye al rendimiento o a los problemas de latencia. Al analizar estos patrones, puede identificar reglas o configuraciones específicas que es posible que necesite optimizar.
-
Adición de alertas a las métricas clave
- Además de la supervisión normal, es fundamental configurar alertas para las métricas de firewall clave. Esto garantiza que se le notifique rápidamente cuando las métricas específicas superen los umbrales predefinidos. Para configurar alertas, consulte Registros y métricas de Azure Firewall para obtener instrucciones detalladas sobre cómo configurar mecanismos de alerta eficaces. Las alertas proactivas mejoran la capacidad de responder rápidamente a posibles problemas y mantener un rendimiento óptimo del firewall.