Wydajność usługi Azure Firewall
Niezawodna wydajność zapory jest niezbędna do działania i ochrony sieci wirtualnych na platformie Azure. Bardziej zaawansowane funkcje (takie jak te znalezione w usłudze Azure Firewall — wersja Premium) wymagają większej złożoności przetwarzania i wpływają na wydajność zapory i ogólną wydajność sieci.
Usługa Azure Firewall ma trzy wersje: Podstawowa, Standardowa i Premium.
Usługa Azure Firewall w warstwie Podstawowa
Usługa Azure Firewall w warstwie Podstawowa jest przeznaczona dla klientów o małym i średnim rozmiarze (SMB), aby zabezpieczyć swoje środowiska w chmurze platformy Azure. Zapewnia podstawową ochronę klientów SMB potrzebnych w przystępnej cenie.
Usługa Azure Firewall w warstwie Standardowa
Usługa Azure Firewall Standard stała się ogólnie dostępna we wrześniu 2018 r. Jest to natywna chmura o wysokiej dostępności z wbudowanym automatycznym skalowaniem zapory jako usługi. Możesz centralnie zarządzać wszystkimi przepływami ruchu i rejestrować je przy użyciu metodyki DevOps. Usługa obsługuje zarówno reguły filtrowania na poziomie aplikacji, jak i sieci oraz jest zintegrowana z kanałem informacyjnym analizy zagrożeń firmy Microsoft w celu filtrowania znanych złośliwych adresów IP i domen.
Usługa Azure Firewall w warstwie Premium
Usługa Azure Firewall Premium to zapora nowej generacji. Ma ona możliwości, które są wymagane w środowiskach wysoce wrażliwych i regulowanych. Funkcje, które mogą mieć wpływ na wydajność zapory, to inspekcja protokołu TLS (Transport Layer Security) i dostawcy tożsamości (wykrywanie i zapobieganie włamaniom).
Aby uzyskać więcej informacji na temat usługi Azure Firewall, zobacz Co to jest usługa Azure Firewall?
Testowanie wydajności
Przed wdrożeniem usługi Azure Firewall należy przetestować i ocenić wydajność, aby upewnić się, że spełnia ona oczekiwania. Usługa Azure Firewall nie tylko powinna obsługiwać bieżący ruch w sieci, ale także powinna być gotowa do potencjalnego wzrostu ruchu. Należy przeprowadzić ocenę w sieci testowej, a nie w środowisku produkcyjnym. Testowanie powinno próbować replikować środowisko produkcyjne tak blisko, jak to możliwe. Należy uwzględnić topologię sieci i emulować rzeczywiste cechy oczekiwanego ruchu przez zaporę.
Dane wydajności
Poniższy zestaw wyników wydajności przedstawia maksymalną przepływność usługi Azure Firewall w różnych przypadkach użycia. Wszystkie przypadki użycia były mierzone, gdy tryb analizy zagrożeń został ustawiony na alert/odmowę. Funkcja zwiększania wydajności usługi Azure Firewall Premium jest domyślnie włączona we wszystkich wdrożeniach usługi Azure Firewall w warstwie Premium. Ta funkcja obejmuje włączanie przyspieszonej sieci na podstawowych maszynach wirtualnych zapory.
| Typ zapory i przypadek użycia | Przepustowość TCP/UDP (Gb/s) | Przepustowość HTTP/S (Gb/s) |
|---|---|---|
| Podstawowy | 0.25 | 0.25 |
| Standardowa | 30 | 30 |
| Premium (bez protokołu TLS/IDPS) | 100 | 100 |
| Premium z protokołem TLS (bez identyfikatorów/adresów IPS) | - | 100 |
| Premium z protokołem TLS i identyfikatorami | 100 | 100 |
| Premium z protokołami TLS i IPS | 10 | 10 |
Uwaga
Usługa IPS (system zapobiegania włamaniom) ma miejsce, gdy co najmniej jeden podpis jest skonfigurowany do trybu alertów i odmowy .
Przepływność dla pojedynczych połączeń
| Przypadek użycia zapory | Przepływność (Gb/s) |
|---|---|
| Podstawowy | do 250 Mb/s |
| Standardowa Maksymalna przepustowość dla pojedynczego połączenia TCP |
do 1,5 |
| Premium Maksymalna przepustowość dla pojedynczego połączenia TCP |
maksymalnie 9 |
| Pojedyncze połączenie TCP w warstwie Premium z dostawcą tożsamości w trybie alertu i odmowy | do 300 Mb/s |
Łączna przepływność początkowego wdrożenia zapory
Następujące liczby przepływności dotyczą wdrożeń usługi Azure Firewall w warstwie Standardowa i Premium przed automatycznym skalowaniem (poza wdrożeniem). Usługa Azure Firewall stopniowo skaluje się w poziomie, gdy średnia przepływność i użycie procesora CPU wynosi 60% lub jeśli liczba połączeń wynosi 80%. Skalowanie w poziomie trwa od pięciu do siedmiu minut. Usługa Azure Firewall stopniowo skaluje się, gdy średnia przepływność, użycie procesora CPU lub liczba połączeń jest niższa niż 20%.
Podczas testowania wydajności upewnij się, że testujesz przez co najmniej 10 do 15 minut, a następnie rozpocznij nowe połączenia, aby skorzystać z nowo utworzonych węzłów zapory.
| Przypadek użycia zapory | Przepływność (Gb/s) |
|---|---|
| Standardowa Maksymalna przepustowość |
maksymalnie 3 |
| Premium Maksymalna przepustowość |
maksymalnie 18 |
Uwaga
Usługa Azure Firewall w warstwie Podstawowa nie skaluje się automatycznie.
Następne kroki
- Dowiedz się, jak wdrożyć i skonfigurować usługę Azure Firewall.