Melhores práticas para o desempenho do Firewall do Azure
Para maximizar o desempenho do seu Firewall do Azure e das sua política de Firewall, é importante seguir as melhores práticas. Entretanto, determinados comportamentos ou recursos da rede podem afetar o desempenho e a latência do firewall, apesar das suas funcionalidades de otimização de desempenho.
Causas comuns de problemas de desempenho
Excedendo as limitações da regra
Se você exceder as limitações, como o uso de mais de 20.000 combinações exclusivas de origem/destino nas regras, isso poderá afetar o processamento do tráfego do firewall e causar latência. Embora esse seja um limite flexível, se você ultrapassar esse valor, poderá afetar o desempenho geral do firewall. Para obter mais informações, consulte os limites documentados.
Alta taxa de transferência de tráfego
O Firewall do Azure Standard dá suporte para até 30 Gbps, enquanto o Premium dá suporte a até 100 Gbps. Para obter mais informações, consulte as limitações de taxa de transferência. Você pode monitorar sua taxa de transferência ou processamento de dados nas métricas do Firewall do Azure. Para obter mais informações, confira Métricas e alertas do Firewall do Azure.
Alto número de conexões
Um número excessivo de conexões passando pelo firewall pode levar à exaustão da porta SNAT (Conversão de Endereços de Rede de Origem).
Modo Negar + Alerta do IDPS
Se você habilitar o Modo Negar + Alerta do IDPS, o firewall removerá os pacotes que corresponderem a uma assinatura do IDPS. Isso afeta o desempenho.
Recomendações
Otimizar a configuração e o processamento de regras
- Organize as regras usando a política de firewall em Grupos de Coleções de Regras e Coleções de Regras, priorizando-as com base em sua frequência de uso.
- Use Grupos de IP ou prefixos IP para reduzir o número de regras da tabela IP.
- Priorize as regras com o maior número de ocorrências.
- Certifique-se de que você está dentro das seguintes limitações da regra.
Usar ou migrar para o Firewall do Azure Premium
- O Firewall do Azure Premium usa hardware avançado e oferece um mecanismo subjacente de maior desempenho.
- Melhor para cargas de trabalho mais pesadas e volumes de tráfego mais altos.
- Também inclui o software de rede acelerada interno, que pode alcançar uma taxa de transferência de até 100 Gbps, ao contrário da versão Standard.
Adicionar vários endereços IP públicos ao firewall para evitar o esgotamento da porta SNAT.
- Para evitar a exaustão da porta SNAT, considere adicionar vários endereços IP públicos (PIPs) ao seu firewall. O Firewall do Azure fornece 2.496 portas SNAT por cada PIP adicional.
- Se preferir não adicionar mais PIPs, você pode adicionar um Gateway da NAT do Azure para escalar o uso da porta SNAT. Isso fornece funcionalidades avançadas de alocação de portas SNAT.
Iniciar o modo de Alerta do IDPS antes de habilitar o modo Alertar + Negar
- Embora o modo Alertar + Negar ofereça mais segurança ao bloquear o tráfego suspeito, ele também pode apresentar mais sobrecarga de processamento. Se você desabilitar esse modo, poderá observar uma melhora no desempenho, especialmente em cenários em que o firewall é usado principalmente para roteamento e não para inspeção profunda de pacotes.
- É essencial lembrar que o tráfego através do firewall é negado por padrão até que você configure explicitamente as regras de permissão. Portanto, mesmo quando o modo IDPS Alertar + Negar estiver desabilitado, sua rede continuará protegida e somente o tráfego explicitamente permitido poderá passar pelo firewall. Pode ser uma escolha estratégica desabilitar esse modo para otimizar o desempenho sem comprometer os principais recursos de segurança fornecidos pelo Firewall do Azure.
Testes e monitoramento
Para garantir o desempenho ideal do Firewall do Azure, você deve continuar monitorando-o de forma proativa. É fundamental avaliar regularmente a integridade e as principais métricas do seu firewall para identificar problemas potenciais e manter uma operação eficiente, especialmente durante alterações na configuração.
Use as melhores práticas a seguir para testes e monitoramento:
- Testar a latência introduzida pelo firewall
- Para avaliar a latência adicionada pelo firewall, meça a latência do seu tráfego da origem até o destino, ignorando temporariamente o firewall. Para isso, reconfigure seus roteamentos para contornar o firewall. Compare as medições de latência com e sem o firewall para entender seu efeito no tráfego.
- Medir a latência do firewall usando métricas de investigação de latência
- Use a métrica investigação de latência para medir a latência média do Firewall do Azure. Essa métrica fornece uma métrica indireta do desempenho do firewall. Lembre-se de que picos de latência intermitentes são normais.
- Medir a métrica da taxa de transferência de tráfego
- Monitore a métrica taxa de transferência de tráfego para entender o quanto os dados passam pelo firewall. Isso ajuda você a avaliar a capacidade do firewall e sua capacidade de tratar o tráfego da rede.
- Medir os dados processados
- Acompanhe a métrica de dados processados para avaliar o volume de dados processados pelo firewall.
- Identificar as ocorrências de regras e os picos de desempenho
- Procure picos no desempenho ou na latência da rede. Correlacione carimbos de data/hora de ocorrência de regras, como contagem de ocorrências de regras de aplicativos e de regras de rede, para determinar se o processamento de regras é um fator significativo que contribui para problemas de desempenho ou latência. Ao analisar esses padrões, é possível identificar regras ou configurações específicas que talvez seja necessário otimizar.
- Adicionar alertas às principais métricas
- Além do monitoramento regular, é crucial configurar alertas para as principais métricas do firewall. Isso garante que você seja prontamente notificado quando métricas específicas ultrapassarem os limites predefinidos. Para configurar alertas, confira Logs e métricas do Firewall do Azure para obter instruções detalhadas sobre como configurar mecanismos de alerta eficazes. Os alertas proativos aumentam sua capacidade de responder rapidamente a problemas potenciais e manter o desempenho ideal do firewall.