Práticas recomendadas para o desempenho do Firewall do Azure
Para maximizar o desempenho da sua política de Firewall e Firewall do Azure, é importante seguir as práticas recomendadas. No entanto, determinados comportamentos ou recursos de rede podem afetar o desempenho e a latência do firewall, apesar de seus recursos de otimização de desempenho.
Problemas de desempenho, causas comuns
Exceder as limitações da regra
Se você exceder as limitações, como usar mais de 20.000 combinações exclusivas de origem/destino em regras, isso poderá afetar o processamento do tráfego do firewall e causar latência. Embora esse seja um limite flexível, se você ultrapassar esse valor, isso pode afetar o desempenho geral do firewall. Para obter mais informações, consulte os limites documentados.
Alta taxa de transferência de tráfego
O Firewall do Azure Standard suporta até 30 Gbps, enquanto o Premium suporta até 100 Gbps. Para obter mais informações, consulte as limitações de taxa de transferência. Você pode monitorar sua taxa de transferência ou processamento de dados nas métricas do Firewall do Azure. Para obter mais informações, consulte Métricas e alertas do Firewall do Azure.
Alto número de conexões
Um número excessivo de conexões passando pelo firewall pode levar ao esgotamento da porta SNAT (Source Network Address Translation).
Alerta IDPS + Modo de Negação
Se você habilitar o Modo de Alerta + Negação do IDPS, o firewall descartará pacotes que correspondam a uma assinatura do IDPS. Isso afeta o desempenho.
Recomendações
Otimize a configuração e o processamento de regras
- Organize regras usando a política de firewall em Grupos de Coleta de Regras e Coleções de Regras, priorizando-as com base na frequência de uso.
- Use Grupos IP ou prefixos IP para reduzir o número de regras de tabela IP.
- Priorize regras com o maior número de acertos.
- Certifique-se de que você está dentro das seguintes limitações de regra.
Usar ou migrar para o Firewall Premium do Azure
- O Firewall Premium do Azure usa hardware avançado e oferece um mecanismo subjacente de melhor desempenho.
- Ideal para cargas de trabalho mais pesadas e volumes de tráfego mais elevados.
- Ele também inclui software de rede acelerado integrado, que pode atingir uma taxa de transferência de até 100 Gbps, ao contrário da versão Standard.
Adicione vários endereços IP públicos ao firewall para evitar o esgotamento da porta SNAT
- Para evitar o esgotamento da porta SNAT, considere adicionar vários endereços IP públicos (PIPs) ao firewall. O Firewall do Azure fornece 2.496 portas SNAT por cada PIP adicional.
- Se preferir não adicionar mais PIP, pode adicionar um NAT Gateway do Azure para dimensionar a utilização da porta SNAT. Desta forma, são disponibilizadas capacidades avançadas de alocação de portas SNAT.
Comece com o modo de alerta IDPS antes de ativar o modo Alerta + Negar
- Embora o modo Alerta + Negação ofereça segurança aprimorada ao bloquear tráfego suspeito, ele também pode introduzir mais sobrecarga de processamento. Se você desabilitar esse modo, poderá observar melhorias no desempenho, especialmente em cenários em que o firewall é usado principalmente para roteamento e não para inspeção profunda de pacotes.
- É essencial lembrar que o tráfego através do firewall é negado por padrão até que você configure explicitamente as regras de permissão . Portanto, mesmo quando o modo IDPS Alert + Deny está desativado, sua rede permanece protegida e apenas o tráfego explicitamente permitido pode passar pelo firewall. Pode ser uma escolha estratégica desativar esse modo para otimizar o desempenho sem comprometer os principais recursos de segurança fornecidos pelo Firewall do Azure.
Testes e monitorização
Para garantir o desempenho ideal para seu Firewall do Azure, você deve monitorá-lo contínua e proativamente. É crucial avaliar regularmente a integridade e as principais métricas do seu firewall para identificar possíveis problemas e manter uma operação eficiente, especialmente durante as alterações de configuração.
Use as seguintes práticas recomendadas para teste e monitoramento:
- Latência de teste introduzida pelo firewall
- Para avaliar a latência adicionada pelo firewall, meça a latência do seu tráfego da origem para o destino ignorando temporariamente o firewall. Para fazer isso, reconfigure suas rotas para ignorar o firewall. Compare as medições de latência com e sem o firewall para entender seu efeito no tráfego.
- Meça a latência do firewall usando métricas de teste de latência
- Use a métrica de teste de latência para medir a latência média do Firewall do Azure. Essa métrica fornece uma métrica indireta do desempenho do firewall. Lembre-se de que picos intermitentes de latência são normais.
- Meça a métrica de taxa de transferência de tráfego
- Monitore a métrica de taxa de transferência de tráfego para entender a quantidade de dados que passa pelo firewall. Isso ajuda você a avaliar a capacidade do firewall e sua capacidade de lidar com o tráfego de rede.
- Medir dados processados
- Acompanhe a métrica de dados processados para avaliar o volume de dados processados pelo firewall.
- Identificar acertos de regras e picos de desempenho
- Procure picos no desempenho ou latência da rede. Correlacione carimbos de data/hora de acertos de regras, como contagem de acertos de regras de aplicativo e contagem de acertos de regras de rede, para determinar se o processamento de regras é um fator significativo que contribui para problemas de desempenho ou latência. Ao analisar esses padrões, você pode identificar regras ou configurações específicas que talvez seja necessário otimizar.
- Adicionar alertas às principais métricas
- Além do monitoramento regular, é crucial configurar alertas para as principais métricas de firewall. Isso garante que você seja prontamente notificado quando métricas específicas ultrapassarem os limites predefinidos. Para configurar alertas, consulte Logs e métricas do Firewall do Azure para obter instruções detalhadas sobre como configurar mecanismos de alerta eficazes. O alerta proativo melhora sua capacidade de responder rapidamente a possíveis problemas e manter o desempenho ideal do firewall.