مشاركة عبر

أفضل الممارسات لأداء Azure Firewall

لتحقيق أقصى قدر من أداء Azure Firewall ونهج جدار الحماية، من المهم اتباع أفضل الممارسات. ومع ذلك، يمكن أن تؤثر بعض سلوكيات الشبكة أو ميزاتها على أداء جدار الحماية وزمن الانتقال، على الرغم من قدرات تحسين الأداء الخاصة به.

مشكلات الأداء الأسباب الشائعة

  • تجاوز قيود القاعدة

    إذا تجاوزت القيود، مثل استخدام أكثر من 20000 مجموعة مصدر/وجهة فريدة في القواعد، فقد يؤثر ذلك على معالجة حركة مرور جدار الحماية ويسبب زمن انتقال. على الرغم من أن هذا حد بسيط، إذا تجاوزت هذه القيمة، فإنه يمكن أن يؤثر على الأداء العام لجدار الحماية. لمزيد من المعلومات، راجع الحدود الموثقة.

  • معدل نقل مرتفع لنسبة استخدام الشبكة

    يدعم Azure Firewall Standard ما يصل إلى 30 جيجابت في الثانية، بينما يدعم Premium ما يصل إلى 100 جيجابت في الثانية. لمزيد من المعلومات، راجع قيود معدل النقل. يمكنك مراقبة معدل النقل أو معالجة البيانات في مقاييس Azure Firewall. لمزيد من المعلومات، راجع مقاييس وتنبيهات Azure Firewall.

  • عدد كبير من الاتصالات

    يمكن أن يؤدي العدد الزائد من الاتصالات التي تمر عبر جدار الحماية إلى استنفاد منفذ SNAT (ترجمة عنوان الشبكة المصدر).

  • تنبيه IDPS + وضع الرفض

    إذا قمت بتمكين تنبيه IDPS + وضع الرفض، يسقط جدار الحماية الحزم التي تطابق توقيع IDPS. يؤثر هذا على الأداء.

التوصيات

  • تحسين تكوين القاعدة ومعالجتها

    • تنظيم القواعد باستخدام نهج جدار الحماية في مجموعات مجموعات القواعد ومجموعات القواعد، وتحديد أولوياتها استنادا إلى تكرار استخدامها.
    • استخدم مجموعات IP أو بادئات IP لتقليل عدد قواعد جدول IP.
    • تحديد أولويات القواعد ذات العدد الأكبر من عدد مرات الوصول.
    • تأكد من أنك ضمن قيود القاعدة التالية.

  • استخدام أو ترحيل إلى Azure Firewall Premium

    • يستخدم Azure Firewall Premium أجهزة متقدمة ويوفر محركا أساسيا عالي الأداء.
    • الأفضل لأحمال العمل الأثقل وأحجام حركة المرور الأعلى.
    • كما يتضمن برامج شبكات مسرعة مدمجة، والتي يمكن أن تحقق معدل نقل يصل إلى 100 جيجابت في الثانية، على عكس الإصدار القياسي.

  • إضافة عناوين IP عامة متعددة إلى جدار الحماية لمنع استنفاد منفذ SNAT

    • لمنع استنفاد منفذ SNAT، ضع في اعتبارك إضافة عناوين IP عامة متعددة (PIPs) إلى جدار الحماية الخاص بك. يوفر جدار حماية Azure 2496 منفذ SNAT لكل PIP إضافي.
    • إذا كنت تفضل عدم إضافة المزيد من PIPs، يمكنك إضافة بوابة Azure NAT لتوسيع نطاق استخدام منفذ SNAT. يوفر هذا إمكانات متقدمة لتخصيص منفذ SNAT.

  • ابدأ بوضع تنبيه IDPS قبل تمكين وضع التنبيه + الرفض

    • بينما يوفر وضع التنبيه + الرفض أمانا محسنا عن طريق حظر حركة المرور المشبوهة، فإنه يمكن أيضا أن يقدم المزيد من النفقات العامة للمعالجة. إذا قمت بتعطيل هذا الوضع، فقد تلاحظ تحسين الأداء، خاصة في السيناريوهات التي يتم فيها استخدام جدار الحماية بشكل أساسي للتوجيه وليس فحص الحزمة العميق.
    • من الضروري تذكر أن نسبة استخدام الشبكة من خلال جدار الحماية مرفوضة بشكل افتراضي حتى تقوم بتكوين قواعد السماح بشكل صريح. لذلك، حتى عند تعطيل وضع تنبيه IDPS + Deny ، تظل شبكتك محمية، ويسمح فقط لنسبة استخدام الشبكة المسموح بها صراحة بالمرور عبر جدار الحماية. يمكن أن يكون خيارا استراتيجيا لتعطيل هذا الوضع لتحسين الأداء دون المساس بميزات الأمان الأساسية التي يوفرها جدار حماية Azure.

إشعار

تجنب رفض جميع تجاوزات التوقيعات بشكل مجمع. تحدد بعض التوقيعات سياقا للاكتشافات اللاحقة ولا يمكن تجاوزها لمنع عمليات الإسقاط الصامتة. لمعرفة التفاصيل، راجع إلغاء السلوك والقيود.

الاختبار والمراقبة

لضمان الأداء الأمثل لجدار حماية Azure، يجب عليك مراقبته بشكل مستمر واستباقي. من الضروري تقييم السلامة والمقاييس الرئيسية لجدار الحماية بانتظام لتحديد المشكلات المحتملة والحفاظ على التشغيل الفعال، خاصة أثناء تغييرات التكوين.

استخدم أفضل الممارسات التالية للاختبار والمراقبة:

  • اختبار زمن الانتقال الذي يقدمه جدار الحماية
    • لتقييم زمن الانتقال الذي أضافه جدار الحماية، قم بقياس زمن انتقال نسبة استخدام الشبكة من المصدر إلى الوجهة عن طريق تجاوز جدار الحماية مؤقتا. للقيام بذلك، أعد تكوين المسارات لتجاوز جدار الحماية. قارن قياسات زمن الانتقال مع جدار الحماية وبدونه لفهم تأثيره على حركة المرور.
  • قياس زمن انتقال جدار الحماية باستخدام مقاييس فحص زمن الانتقال
    • استخدم مقياس فحص زمن الانتقال لقياس متوسط زمن الانتقال لجدار حماية Azure. يوفر هذا المقياس مقياسا غير مباشر لأداء جدار الحماية. تذكر أن ارتفاعات زمن الانتقال المتقطعة طبيعية.
  • قياس مقياس معدل نقل نسبة استخدام الشبكة
    • راقب مقياس معدل نقل نسبة استخدام الشبكة لفهم مقدار البيانات التي تمر عبر جدار الحماية. يساعدك هذا في قياس سعة جدار الحماية وقدرته على التعامل مع نسبة استخدام الشبكة.
  • قياس البيانات التي تمت معالجتها
    • تتبع مقياس البيانات المعالجة لتقييم حجم البيانات التي تمت معالجتها بواسطة جدار الحماية.
  • تحديد عدد مرات الوصول إلى القاعدة وارتفاع الأداء
    • ابحث عن الارتفاعات الحادة في أداء الشبكة أو زمن الانتقال. ربط الطوابع الزمنية للقاعدة، مثل عدد مرات الوصول إلى قواعد التطبيق وعدد مرات الوصول إلى قواعد الشبكة، لتحديد ما إذا كانت معالجة القواعد عاملا مهما يساهم في مشكلات الأداء أو زمن الانتقال. من خلال تحليل هذه الأنماط، يمكنك تحديد قواعد أو تكوينات معينة قد تحتاج إلى تحسينها.
  • إضافة تنبيهات إلى المقاييس الرئيسية
    • بالإضافة إلى المراقبة المنتظمة، من الضروري إعداد تنبيهات لمقاييس جدار الحماية الرئيسية. وهذا يضمن إعلامك على الفور عندما تتجاوز مقاييس محددة الحدود المحددة مسبقا. لتكوين التنبيهات، راجع سجلات ومقاييس Azure Firewall للحصول على إرشادات مفصلة حول إعداد آليات تنبيه فعالة. يعزز التنبيه الاستباقي قدرتك على الاستجابة بسرعة للمشكلات المحتملة والحفاظ على الأداء الأمثل لجدار الحماية.
  • تنفيذ الحوكمة والامتثال
    • استخدم نهج Azure لفرض معايير تكوين متسقة عبر عمليات توزيع Azure Firewall، بما في ذلك إعدادات الوكيل الصريحة وتكوينات الأمان الأخرى.
    • تتبع تغييرات التكوين باستخدام Azure Resource Graph للحفاظ على التوافق والرؤية التشغيلية.

الخطوات التالية

  • Last updated on