Azure Firewall とファイアウォール ポリシーのパフォーマンスを最大にするには、ベスト プラクティスのとおりにすることが重要です。 ただし、パフォーマンス最適化機能にもかかわらず、ネットワークの特定の動作または機能が、ファイアウォールのパフォーマンスと待ち時間に影響を与える可能性があります。
パフォーマンスの問題の一般的な原因
規則の制限の超過
規則で使っている送信元と送信先の一意の組み合わせが 20,000 を超えるなど、制限を超えると、ファイアウォール トラフィックの処理に影響を与え、待ち時間が発生する可能性があります。 これはソフト制限ですが、この値を超えると、ファイアウォールの全体的なパフォーマンスに影響する可能性があります。 詳しくは、制限に関するドキュメントをご覧ください。
高いトラフィック スループット
Azure Firewall Standard では最大 30 Gbps がサポートされ、Premium では最大 100 Gbps がサポートされます。 詳しくは、スループットの制限に関する記事をご覧ください。 Azure Firewall のメトリックでスループットまたはデータ処理を監視できます。 詳しくは、「Azure Firewall のメトリックとアラート」をご覧ください。
多い接続数
ファイアウォールを通過する接続の数が多すぎると、SNAT (ソース ネットワーク アドレス変換) ポートが枯渇する可能性があります。
IDPS アラート + 拒否モード
IDPS アラート + 拒否モードを有効にすると、ファイアウォールは IDPS シグネチャに一致するパケットを破棄します。 これはパフォーマンスに影響します。
推奨事項
規則の構成と処理を最適化する
Azure Firewall Premium を使う、またはそれに移行する
- Azure Firewall Premium では、高度なハードウェアが使われており、基になるエンジンのパフォーマンスがいっそう高くなります。
- ワークロードの負荷が高く、トラフィック量が多い場合に最適です。
- また、Standard バージョンとは異なり、最大 100 Gbps のスループットを実現できる高速ネットワーク ソフトウェアも組み込まれています。
SNAT ポートの枯渇を防ぐため、複数のパブリック IP アドレスをファイアウォールに追加する
- SNAT ポートの枯渇を防ぐには、複数のパブリック IP アドレス (PIP) をファイアウォールに追加することを検討します。 Azure Firewall では、追加の PIP ごとに 2,496 個の SNAT ポートが提供されます。
- PIP を追加したくない場合は、Azure NAT Gateway を追加して SNAT ポートの使用をスケーリングできます。 これにより、高度な SNAT ポート割り当て機能が提供されます。
アラート + 拒否モードを有効にする前に、IDPS アラート モードで開始する
- "アラート + 拒否" モードでは、疑わしいトラフィックをブロックすることでセキュリティが強化されますが、処理のオーバーヘッドが増える可能性もあります。 このモードを無効にすると、ファイアウォールの主な用途がルーティングで、パケットの詳細な検査ではないシナリオで特に、パフォーマンスが向上する可能性があります。
- "許可" 規則を明示的に構成するまで、ファイアウォールを通過するトラフィックは既定で拒否されることを覚えておく必要があります。 そのため、IDPS "アラート + 拒否" モードが無効になっている場合でも、ネットワークは保護されており、明示的に許可されたトラフィックのみがファイアウォールを通過できます。 Azure Firewall によって提供される主要なセキュリティ機能を損なうことなくパフォーマンスを最適化するため、このモードを無効にすることが戦略的な選択肢になる場合があります。
テストと監視
Azure Firewall が最適なパフォーマンスになるようにするには、継続的かつ積極的に監視する必要があります。 ファイアウォールの正常性と主要なメトリックを定期的に評価して潜在的な問題を特定し、特に構成変更時の効率的な操作を維持することが重要です。
テストと監視に関しては、次のベスト プラクティスを使います。
-
ファイアウォールによって発生する待機時間をテストする
- ファイアウォールによって増える待機時間を評価するには、ファイアウォールを一時的にバイパスすることで、トラフィックの送信元から送信先までの待機時間を測定します。 これを行うには、ファイアウォールをバイパスするようにルートを再構成します。 ファイアウォールがあるときとないときの待機時間の測定値を比べて、トラフィックへの影響を把握します。
-
待機時間プローブ メトリックを使ってファイアウォールの待機時間を測定する
- "待機時間プローブ" メトリックを使って、Azure Firewall の平均待機時間を測定します。 このメトリックでは、ファイアウォールのパフォーマンスの間接的なメトリックが提供されます。 待機時間の間欠的な急増は正常時でも起こることに注意してください。
-
トラフィック スループット メトリックを測定する
- "トラフィック スループット" メトリックを監視して、ファイアウォールを通過するデータの量を把握します。 これは、ファイアウォールの容量と、ネットワーク トラフィックを処理するその能力を測定するのに役立ちます。
-
処理済みデータを測定する
- "処理済みデータ" メトリックを追跡して、ファイアウォールによって処理されたデータの量を評価します。
-
規則のヒットとパフォーマンスの急上昇を特定する
- ネットワーク パフォーマンスまたは待機時間の急上昇を探します。 アプリケーション規則ヒット数やネットワーク規則ヒット数などの規則ヒットのタイムスタンプを関連付けて、規則の処理がパフォーマンスや待機時間の問題に影響を与える重要な要因であるかどうかを判断します。 これらのパターンを分析することで、最適化が必要になる可能性がある特定の規則または構成を明らかにできます。
-
主要なメトリックにアラートを追加する
- 通常の監視に加えて、主要なファイアウォール メトリックにアラートを設定することが重要です。 これにより、特定のメトリックが定義済みのしきい値を超えたら、すぐに通知を受け取ることができます。 アラートを構成するための、効果的なアラート メカニズムの設定に関する詳細な手順については、「Azure Firewall のログとメトリック」をご覧ください。 プロアクティブなアラートにより、潜在的な問題にいっそうすばやく対応し、ファイアウォールの最適なパフォーマンスを維持できるようになります。