Delen via

Aanbevolen procedures voor prestaties van Azure Firewall

  • Artikel

Als u de prestaties van uw Azure Firewall- en Firewall-beleid wilt maximaliseren, is het belangrijk om de aanbevolen procedures te volgen. Bepaalde netwerkgedragen of -functies kunnen echter van invloed zijn op de prestaties en latentie van de firewall, ondanks de mogelijkheden voor prestatieoptimalisatie.

Veelvoorkomende oorzaken van prestatieproblemen

  • Regelbeperkingen overschrijden

    Als u de beperkingen overschrijdt, zoals het gebruik van meer dan 20.000 unieke combinaties van bron/doel in regels, kan dit invloed hebben op de verwerking van firewallverkeer en latentie. Hoewel dit een zachte limiet is, kan dit van invloed zijn op de algehele firewallprestaties als u deze waarde overschrijdt. Zie de gedocumenteerde limieten voor meer informatie.

  • Hoge verkeersdoorvoer

    Azure Firewall Standard ondersteunt maximaal 30 Gbps, terwijl Premium maximaal 100 Gbps ondersteunt. Zie de doorvoerbeperkingen voor meer informatie. U kunt uw doorvoer of gegevensverwerking bewaken in metrische gegevens van Azure Firewall. Zie metrische gegevens en waarschuwingen van Azure Firewall voor meer informatie.

  • Hoog aantal verbindingen

    Een overmatig aantal verbindingen die via de firewall worden doorgegeven, kan leiden tot uitputting van de SNAT-poort (Source Network Address Translation).

  • IDPS-waarschuwing + modus weigeren

    Als u de IDPS-waarschuwing en de modus Weigeren inschakelt, worden pakketten die overeenkomen met een IDPS-handtekening, door de firewall wegvallen. Dit is van invloed op de prestaties.

Aanbevelingen

  • Regelconfiguratie en -verwerking optimaliseren

    • Organiseer regels met behulp van firewallbeleid in regelverzamelingsgroepen en regelverzamelingen, waarbij ze prioriteit geven op basis van hun gebruiksfrequentie.
    • Gebruik IP-groepen of IP-voorvoegsels om het aantal IP-tabelregels te verminderen.
    • Geef prioriteit aan regels met het hoogste aantal treffers.
    • Zorg ervoor dat u zich binnen de volgende regelbeperkingen bevindt.

  • Azure Firewall Premium gebruiken of migreren

    • Azure Firewall Premium maakt gebruik van geavanceerde hardware en biedt een hoger presterende onderliggende engine.
    • Het meest geschikt voor zwaardere workloads en hogere verkeersvolumes.
    • Het bevat ook ingebouwde versnelde netwerksoftware, die een doorvoer van maximaal 100 Gbps kan bereiken, in tegenstelling tot de Standard-versie.

  • Meerdere openbare IP-adressen toevoegen aan de firewall om uitputting van SNAT-poorten te voorkomen

    • Om uitputting van SNAT-poorten te voorkomen, kunt u overwegen om meerdere openbare IP-adressen (PIPs) toe te voegen aan uw firewall. Azure Firewall biedt 2496 SNAT-poorten per extra PIP.
    • Als u liever geen meer PIP’s meer toevoegt, kunt u een Azure NAT-gateway toevoegen om het SNAT-poortgebruik te schalen. Dit biedt geavanceerde mogelijkheden voor SNAT-poorttoewijzing.

  • Begin met de IDPS-waarschuwingsmodus voordat u de modus Waarschuwing + Weigeren inschakelt

    • Hoewel de modus Waarschuwing en weigeren verbeterde beveiliging biedt door verdacht verkeer te blokkeren, kan dit ook leiden tot meer verwerkingsoverhead. Als u deze modus uitschakelt, ziet u mogelijk prestatieverbeteringen, met name in scenario's waarin de firewall voornamelijk wordt gebruikt voor routering en niet voor grondige pakketinspectie.
    • Het is essentieel om te onthouden dat verkeer via de firewall standaard wordt geweigerd totdat u expliciet toegestane regels configureert. Zelfs wanneer de idPS-waarschuwing en de modus Weigeren is uitgeschakeld, blijft uw netwerk beveiligd en mag alleen expliciet verkeer via de firewall worden doorgegeven. Het kan een strategische keuze zijn om deze modus uit te schakelen om de prestaties te optimaliseren zonder de kernbeveiligingsfuncties van de Azure Firewall in gevaar te brengen.

Testen en bewaken

Om optimale prestaties voor uw Azure Firewall te garanderen, moet u deze continu en proactief bewaken. Het is van cruciaal belang om regelmatig de status en belangrijke metrische gegevens van uw firewall te evalueren om potentiële problemen te identificeren en efficiënte bewerkingen te onderhouden, met name tijdens configuratiewijzigingen.

Gebruik de volgende aanbevolen procedures voor het testen en bewaken:

  • Testlatentie geïntroduceerd door de firewall
    • Als u de latentie wilt evalueren die door de firewall is toegevoegd, meet u de latentie van uw verkeer van de bron naar de bestemming door de firewall tijdelijk te omzeilen. U doet dit door uw routes opnieuw te configureren om de firewall te omzeilen. Vergelijk de latentiemetingen met en zonder de firewall om het effect ervan op verkeer te begrijpen.
  • De latentie van de firewall meten met behulp van metrische gegevens van de latentietest
    • Gebruik de meetwaarde latentietest om de gemiddelde latentie van de Azure Firewall te meten. Deze metrische waarde biedt een indirecte metrische waarde van de prestaties van de firewall. Houd er rekening mee dat onregelmatige latentiepieken normaal zijn.
  • Metrische gegevens over verkeersdoorvoer meten
    • Bewaak de metrische gegevens over de verkeersdoorvoer om te begrijpen hoeveel gegevens via de firewall worden doorgegeven. Hiermee kunt u de capaciteit van de firewall en de mogelijkheid ervan om het netwerkverkeer te verwerken meten.
  • Verwerkte gegevens meten
    • Houd de verwerkte metrische gegevens bij om het volume van de gegevens te beoordelen dat door de firewall wordt verwerkt.
  • Regeltreffers en prestatiepieken identificeren
    • Zoek naar pieken in netwerkprestaties of latentie. Correleren regeltreffers, zoals aantal toepassingsregels en aantal netwerkregels, om te bepalen of regelverwerking een belangrijke factor is die bijdraagt aan prestatie- of latentieproblemen. Door deze patronen te analyseren, kunt u specifieke regels of configuraties identificeren die u mogelijk moet optimaliseren.
  • Waarschuwingen toevoegen aan belangrijke metrische gegevens

Volgende stappen