Meilleures pratiques pour les performances du Pare-feu Azure
Pour optimiser les performances de votre stratégie de pare-feu et de pare-feu Azure, il est important de suivre les meilleures pratiques. Cependant, certains comportements ou caractéristiques du réseau peuvent affecter les performances et la latence du pare-feu, malgré ses capacités d'optimisation des performances.
Causes courantes des problèmes de performances
Dépassement des limitations de règle
Si vous dépassez les limites, par exemple si vous utilisez plus de 20 000 combinaisons uniques source/destination dans les règles, cela peut affecter le traitement du trafic du pare-feu et entraîner des temps de latence. Même s'il s'agit d'une limite souple, le dépassement de cette valeur peut affecter les performances globales du pare-feu. Pour plus d’informations, consultez les limites documentées.
Débit élevé du trafic
Pare-feu Azure Standard prend en charge jusqu’à 30 Gbits/s, tandis que Premium prend en charge jusqu’à 100 Gbits/s. Pour plus d’informations, consultez les limitations de débit. Vous pouvez surveiller votre débit ou le traitement des données dans les métriques du Pare-feu Azure. Pour plus d’informations, consultez Métriques et alertes du Pare-feu Azure.
Nombre élevé de connexions
Un nombre excessif de connexions passant par le pare-feu peut entraîner l'épuisement des ports SNAT (traduction d'adresses réseau sources).
Mode alerte IDPS + Refus
Si vous activez le mode alerte IDPS + Refus, le pare-feu bloque les paquets qui correspondent à une signature IDPS. Cela affecte les performances.
Recommandations
Optimiser la configuration et le traitement des règles
- Organiser les règles à l'aide de la stratégie de pare-feu dans des groupes et des collections de règles, en les classant par ordre de priorité en fonction de leur fréquence d'utilisation.
- Utilisez des groupes IP ou des préfixes IP pour réduire le nombre de règles de table IP.
- Donner la priorité aux règles ayant le plus grand nombre d'occurrences.
- Vérifiez que vous êtes dans les limitations de règle suivantes.
Utiliser ou migrer vers le Pare-feu Azure Premium
- Le Pare-feu Azure Premium utilise du matériel avancé et offre un moteur sous-jacent plus performant.
- Idéal pour les charges de travail plus lourdes et les volumes de trafic plus importants.
- Elle comprend également un logiciel de mise en réseau accéléré intégré, qui peut atteindre un débit de 100 Gbits/s, contrairement à la version standard.
Ajouter plusieurs adresses IP publiques au pare-feu pour empêcher l’épuisement des ports SNAT
- Pour éviter l'épuisement des ports SNAT, envisagez d'ajouter plusieurs adresses IP publiques (PIP) à votre pare-feu. Le Pare-feu Azure fournit 2 496 ports SNAT par PIP supplémentaire.
- Si vous préférez ne pas ajouter d’autres PIP, vous pouvez ajouter une passerelle Azure NAT pour mettre à l’échelle l’utilisation des ports SNAT. Cela permet d'obtenir des capacités avancées d'allocation de ports SNAT.
Commencez par le mode Alerte IDPS avant d’activer le mode Alerte + Refus
- Bien que le mode Alerte + Refus offre une sécurité renforcée en bloquant le trafic suspect, il peut également introduire davantage de surcharge de traitement. Si vous désactivez ce mode, vous pourrez observer une amélioration des performances, en particulier dans les scénarios où le pare-feu est principalement utilisé pour le routage et non pour l'inspection approfondie des paquets.
- Il est essentiel de se rappeler que le trafic via le pare-feu est refusé par défaut tant que vous n’avez pas configuré explicitement les règles d’autorisation. Par conséquent, même lorsque le mode Alerte IDPS + Refus est désactivé, votre réseau reste protégé et seul le trafic explicitement autorisé est autorisé à passer par le pare-feu. Il peut être stratégique de désactiver ce mode pour optimiser les performances sans compromettre les fonctions de sécurité essentielles fournies par le pare-feu Azure.
Tests et supervision
Pour garantir des performances optimales à votre pare-feu Azure, vous devez le surveiller en permanence et de manière proactive. Il est essentiel d'évaluer régulièrement l'état de santé et les paramètres clés de votre pare-feu afin d'identifier les problèmes potentiels et de maintenir un fonctionnement efficace, en particulier lors des changements de configuration.
Utilisez les méthodes conseillées suivantes pour les tests et la surveillance :
- Tester la latence introduite par le pare-feu
- Pour évaluer la latence ajoutée par le pare-feu, mesurez la latence de votre trafic de la source à la destination en contournant temporairement le pare-feu. Pour ce faire, reconfigurez vos itinéraires pour contourner le pare-feu. Comparez les mesures de latence avec et sans le pare-feu pour comprendre son effet sur le trafic.
- Mesurer la latence du pare-feu à l’aide des métriques de sonde de latence
- Utilisez la métrique de la sonde de latence pour mesurer la latence moyenne du Pare-feu Azure. Ce paramètre fournit une mesure indirecte des performances du pare-feu. N’oubliez pas que les pics de latence intermittents sont normaux.
- Mesurer la métrique de débit du trafic
- Surveillez la métrique de débit du trafic pour comprendre la quantité de données passées par le pare-feu. Cela vous permet d'évaluer la capacité du pare-feu et sa capacité à gérer le trafic du réseau.
- Mesure des données traitées
- Effectuez le suivi de la métrique traitée par les données pour évaluer le volume de données traitées par le pare-feu.
- Identifier les correspondances de règle et les pics de performances
- Recherchez les pics de performances ou de latence du réseau. Corréler les horodatages des occurrences des règles, comme le nombre d'occurrences des règles d'application et le nombre d'occurrences des règles de réseau, afin de déterminer si le traitement des règles est un facteur important contribuant aux problèmes de performance ou de latence. En analysant ces modèles, vous pouvez identifier des règles ou des configurations spécifiques que vous pourriez avoir besoin d'optimiser.
- Ajouter des alertes à des métriques clés
- En plus d'une surveillance régulière, il est essentiel de mettre en place des alertes pour les paramètres clés du pare-feu. Vous êtes ainsi rapidement informé lorsque des mesures spécifiques dépassent des seuils prédéfinis. Pour configurer des alertes, consultez les journaux et métriques du Pare-feu Azure pour obtenir des instructions détaillées sur la configuration de mécanismes d’alerte efficaces. Les alertes proactives améliorent votre capacité à répondre rapidement aux problèmes potentiels et à maintenir une performance optimale du pare-feu.