Azure 防火牆效能的最佳做法
若要將 Azure 防火牆和防火牆原則的效能最大化,請務必遵循最佳做法。 不過,儘管有其效能最佳化功能,某些網路行為或功能可能會影響防火牆的效能和延遲。
效能問題常見原因
超過規則限制
如果您超過限制,例如在規則中使用超過 20,000 個唯一的來源/目的地組合,它可能會影響防火牆流量處理並造成延遲。 即使這是軟性限制,如果您超過此值,它可能會影響整體防火牆效能。 如需詳細資訊,請參閱記載的限制。
高流量輸送量
Azure 防火牆標準版最多可支援 30 Gbps,而進階版支援最多 100 Gbps。 如需詳細資訊,請參閱輸送量限制。 您可以在 Azure 防火牆計量中監視輸送量或資料處理。 如需詳細資訊,請參閱 Azure 防火牆計量和警示。
大量連線
通過防火牆的連線過多可能會導致 SNAT (來源網路位址轉換) 連接埠耗盡。
IDPS 警示 + 拒絕模式
如果您啟用 [IDPS 警示 + 拒絕模式],防火牆會捨棄符合 IDPS 簽章的封包。 這會影響效能。
建議
最佳化規則設定和處理
使用或移轉至 Azure 防火牆進階版
- Azure 防火牆進階版使用進階硬體,並提供高效能的基礎引擎。
- 最適合用於較繁重的工作負載和較高的流量。
- 它也包含內建的加速網路軟體,其可達到高達 100 Gbps 的輸送量,與標準版本不同。
將多個公用 IP 位址新增至防火牆,以防止 SNAT 連接埠耗盡
- 若要防止 SNAT 連接埠耗盡,請考慮將多個公用 IP 位址 (PIP) 新增至防火牆。 Azure 防火牆為每個額外的 PIP 提供 2,496 個 SNAT 連接埠。
- 如果您不想新增更多 PIP,可以新增 Azure NAT 閘道來擴大 SNAT 連接埠使用量。 這提供了進階 SNAT 連接埠資源分派功能。
先從 IDPS 警示模式開始,再啟用警示 + 拒絕模式
- 雖然 [警示 + 拒絕] 模式會透過封鎖可疑流量來提供增強的安全性,但也可能會帶來更多的處理額外負荷。 如果停用此模式,您可能會觀察到效能改善,特別是在防火牆主要用於路由,而不是深層封包檢查的情況下。
- 請務必記住,在明確設定 [允許] 規則之前,預設會拒絕透過防火牆的流量。 因此,即使停用 IDPS [警示 + 拒絕] 模式,您的網路仍會受到保護,而且只會允許明確允許的流量通過防火牆。 停用此模式以最佳化效能,而不會影響 Azure 防火牆所提供的核心安全性功能,可以是策略性選擇。
測試和監視
若要確保 Azure 防火牆的最佳效能,您應該持續並主動監視它。 請務必定期評估防火牆的健康情況和關鍵計量,以找出潛在問題並維持有效率的作業,特別是在設定變更期間。
使用測試與監視的下列最佳做法:
-
防火牆引起的測試延遲
- 若要評估防火牆所增加的延遲,請暫時略過防火牆,測量從來源到目的地的流量延遲。 若要這樣做,請重新設定路由以略過防火牆。 將有防火牆的延遲度量與沒有防火牆比較,以了解其對流量的影響。
-
使用延遲探查計量測量防火牆延遲
- 使用延遲探查計量來測量 Azure 防火牆的平均延遲。 此計量會提供防火牆效能的間接計量。 請記住,間歇性延遲尖峰是正常的。
-
測量流量輸送量計量
- 監視流量輸送量計量,以了解通過防火牆的資料量。 這可協助您測量防火牆的容量及其處理網路流量的能力。
-
測量處理的資料
- 保持追蹤已處理的資料計量,以評估防火牆所處理的資料量。
-
識別規則叫用和效能尖峰
- 尋找網路效能或延遲的尖峰。 將規則叫用時間戳記 (例如應用程式規則叫用計數和網路規則叫用計數) 相互關聯,以判斷規則處理是否為導致效能或延遲問題的一個重要因素。 藉由分析這些模式,您可以識別可能需要最佳化的特定規則或設定。
-
將警示新增至關鍵計量
- 除了定期監視之外,請務必設定重要防火牆計量的警示。 這可確保當特定計量超過預先定義的閾值時,您會立即收到通知。 若要設定警示,請參閱 Azure 防火牆記錄和計量,以取得設定有效警示機制的詳細指示。 主動式警示可增強您快速回應潛在問題並保有最佳防火牆效能的能力。