Azure Firewall のパフォーマンス
Azure で仮想ネットワークを運用および保護するには、ファイアウォールの信頼性の高いパフォーマンスが不可欠です。 より高度な機能 (Azure Firewall Premium にあるような) では、さらに複雑な処理が必要になり、ファイアウォールのパフォーマンスや全体的なネットワーク パフォーマンスに影響を与えます。
Azure Firewall には、Basic、Standard、Premium の 3 つのバージョンがあります。
Azure Firewall Basic
Azure Firewall Basic は、小規模および中規模 (SMB) の顧客が Azure クラウド環境をセキュリティで保護することを目的としています。 これは、SMB 顧客が必要とする重要な保護機能を手頃な価格で提供します。
Azure Firewall Standard
Azure Firewall Standard は、2018 年 9 月に一般提供されています。 これは、自動スケーリングを備えた、クラウド ネイティブで高可用性のサービスとしてのファイアウォールです。 DevOps アプローチを使用して、すべてのトラフィック フローを一元的に管理し、ログに記録することができます。 このサービスでは、アプリケーションとネットワークの両方のレベルのフィルタリング規則をサポートしており、既知の悪意のある IP アドレスとドメインをフィルター処理するために、Microsoft 脅威インテリジェンス フィードと統合されています。
Azure Firewall Premium
Azure Firewall Premium は次世代のファイアウォールです。 非常に機密性が高く、規制された環境に必要な機能を備えています。 ファイアウォールのパフォーマンスに影響する可能性がある機能は、TLS (トランスポート層セキュリティ) 検査と IDPS (侵入検出および防止) です。
Azure Firewall の詳細については、「Azure Firewall とは」を参照してください。
パフォーマンス テスト
Azure Firewall を展開する前に、パフォーマンスが期待値を満たせるよう、パフォーマンスをテストして評価する必要があります。 Azure Firewall では、ネットワーク上の現在のトラフィックを処理するだけでなく、トラフィックが増加する可能性にも備える必要があります。 運用環境ではなく、テスト ネットワークで評価してください。 テストでは、できるだけ運用環境に近い状態にレプリケートするようにします。 ネットワーク トポロジを考慮し、ファイアウォールを通過すると予想されるトラフィックの実際の特性をエミュレートしてください。
パフォーマンス データ
次の一連のパフォーマンス結果は、さまざまなユース ケースでの Azure Firewall の最大スループットを示しています。 すべてのユース ケースは、脅威インテリジェンス モードが [アラートを出して拒否] に設定されている期間で測定されました。 Azure Firewall Premium パフォーマンス ブースト機能は、既定ですべての Azure Firewall Premium のデプロイで有効になっています。 この機能には、基になるファイアウォール仮想マシンで高速ネットワークを有効にすることが含まれます。
| ファイアウォールの種類とユース ケース | TCP/UDP 帯域幅 (Gbps) | HTTP/S 帯域幅 (Gbps) |
|---|---|---|
| Basic SKU | 0.25 | 0.25 |
| Standard SKU | 30 | 30 |
| TLS と IDPS の両方が無効になっている Premium SKU | 100 | 100 |
| TLS 検査が有効で、IDPS が無効になっている Premium SKU | - | 100 |
| TLS が有効で、IDPS がアラートのみモードで有効になっている Premium SKU | 100 | 100 |
| TLS が有効で、IDPS が拒否モードで有効になっている Premium SKU | 10 | 10 |
単一接続のスループット
| ファイアウォールのユース ケース | スループット (Gbps) |
|---|---|
| 基本 | 最大 250 Mbps |
| Standard 単一 TCP 接続の最大帯域幅 |
最大 1.5 |
| Premium 単一 TCP 接続の最大帯域幅 |
最大 9 |
| "アラートを出して拒否" モードの IDPS を使用した Premium 単一 TCP 接続 | 最大 300 Mbps |
ファイアウォールの初期デプロイの合計スループット
自動スケール前の Azure Firewall Standard および Premium デプロイ (既定のデプロイ) のスループットの数値を次に示します。 Azure Firewall は、平均スループットまたは CPU 消費量が 60% になるか、接続使用率が 80% になると、徐々にスケールアウトします。 スケールアウトには 5 から 7 分かかります。 Azure Firewall は、平均スループット、CPU 使用率、または接続の数が 20% を下回ると、徐々にスケールインします。
パフォーマンス テストを行うときは、少なくとも 10 ~ 15 分のテストを行い、新しく作成されたファイアウォール ノードを活用するために新しい接続を開始してください。
| ファイアウォールのユース ケース | スループット (Gbps) |
|---|---|
| Standard 最大帯域幅 |
最大 3 |
| Premium 最大帯域幅 |
最大 18 |
Note
Azure Firewall Basic では自動スケーリングされません。