Azure で仮想ネットワークを運用および保護するには、ファイアウォールの信頼性の高いパフォーマンスが不可欠です。 Azure Firewall Premium のようなより高度な機能では、処理の複雑さが増し、ファイアウォールのパフォーマンスと全体的なネットワーク パフォーマンスに影響します。
Azure Firewall には、Basic、Standard、Premium の 3 つのバージョンがあります。
Azure Firewall ベーシック
Azure Firewall Basic は、小規模および中規模 (SMB) の顧客が Azure クラウド環境をセキュリティで保護することを目的としています。 これは、SMB 顧客が必要とする重要な保護機能を手頃な価格で提供します。
Azure Firewall スタンダード
Azure Firewall Standard は、2018 年 9 月に一般提供されています。 これは、自動スケーリングを備えた、クラウド ネイティブで高可用性のサービスとしてのファイアウォールです。 DevOps アプローチを使用して、すべてのトラフィック フローを一元的に管理およびログに記録できます。 このサービスは、アプリケーション レベルとネットワーク レベルのフィルター処理ルールの両方をサポートし、既知の悪意のある IP アドレスとドメインをフィルター処理するための Microsoft Threat Intelligence フィードと統合されています。
Azureファイアウォールプレミアム
Azure Firewall Premium は次世代のファイアウォールです。 非常に機密性が高く、規制された環境に必要な機能を備えています。 ファイアウォールのパフォーマンスに影響する可能性がある機能は、TLS (トランスポート層セキュリティ) 検査と IDPS (侵入検出と防止) です。
Azure Firewall の詳細については、「Azure Firewall とは」を参照してください。
パフォーマンス テスト
Azure Firewall をデプロイする前に、パフォーマンスをテストして評価し、期待を満たしていることを確認します。 Azure Firewall は、ネットワーク上の現在のトラフィックを処理し、潜在的なトラフィックの増加に対応する必要があります。 運用環境ではなく、テスト ネットワークのパフォーマンスを評価します。 テストでは、運用環境を可能な限り厳密にレプリケートする必要があります。 ネットワーク トポロジを考慮し、ファイアウォールを通過する予想されるトラフィックの実際の特性をエミュレートします。
パフォーマンス データ
次のパフォーマンス結果は、さまざまなユース ケースでの Azure Firewall の最大スループットを示しています。 脅威インテリジェンス モードがアラートまたは拒否に設定されている間は、すべてのユース ケースを測定します。 Azure Firewall Premium パフォーマンス ブースト機能は、すべての Azure Firewall Premium デプロイで既定で有効になっています。 この機能には、基になるファイアウォール仮想マシンで高速ネットワークを有効にすることが含まれます。
| ファイアウォールの種類とユース ケース | TCP/UDP 帯域幅 (Gbps) | HTTP/S 帯域幅 (Gbps) |
|---|---|---|
| 基本商品コード | 0.25 | 0.25 |
| スタンダードSKU | 30 | 30 |
| TLS と IDPS の両方が無効になっている Premium SKU | 100 | 100 |
| TLS 検査が有効で、IDPS が無効になっている Premium SKU | - | 100 |
| TLS が有効で、IDPS がアラートのみモードで有効になっている Premium SKU | 100 | 100 |
| TLS が有効で、IDPS が拒否モードで有効になっている Premium SKU | 10 | 10 |
単一接続のスループット
| ファイアウォールのユース ケース | スループット (Gbps) |
|---|---|
| Basic | 最大 250 Mbps |
| Standard 単一 TCP 接続の最大帯域幅 |
最大 1.5 |
| Premium 単一 TCP 接続の最大帯域幅 |
最大 9 |
| プレミアム単一TCP接続で、アラートおよび拒否モードのIDPSを使用しています。 | 最大 300 Mbps |
ファイアウォールの初期デプロイの合計スループット
自動スケール (標準設定のまま) 前の Azure Firewall Standard と Premium のデプロイメントのスループット数値を次に示します。 Azure Firewall は、平均スループットと CPU 消費量が 60% に達したとき、または接続の使用量が 80%に達すると、徐々にスケールアウトされます。 スケールアウトには 5 から 7 分かかります。 Azure Firewall は、平均スループット、CPU 消費量、または接続数が 20%を下回ると、徐々にスケーリングされます。
パフォーマンス テストの場合は、少なくとも 10 ~ 15 分間テストし、新しく作成されたファイアウォール ノードを利用するために新しい接続を開始します。
| ファイアウォールのユース ケース | スループット (Gbps) |
|---|---|
| Standard 最大帯域幅 |
最大 3 |
| Premium 最大帯域幅 |
最大 18 |
注意
Azure Firewall Basic では自動スケーリングされません。