다음을 통해 공유

Azure Firewall 성능을 위한 모범 사례

Azure Firewall 및 방화벽 정책의 성능을 최대화하려면 모범 사례를 따르는 것이 중요합니다. 그러나 특정 네트워크 동작 또는 기능은 성능 최적화 기능에도 불구하고 방화벽의 성능 및 대기 시간에 영향을 줄 수 있습니다.

성능 문제의 일반적인 원인

  • 규칙 제한 초과

    규칙에서 20,000개 이상의 고유한 원본/대상 조합을 사용하는 것과 같은 제한을 초과하는 경우 방화벽 트래픽 처리에 영향을 미치고 대기 시간을 유발할 수 있습니다. 소프트 제한이지만 이 값을 초과하면 전체 방화벽 성능에 영향을 줄 수 있습니다. 자세한 내용은 문서화된 한도를 참조하세요.

  • 높은 트래픽 처리량

    Azure Firewall 표준은 최대 30Gbps를 지원하고 프리미엄은 최대 100Gbps를 지원합니다. 자세한 내용은 처리량 제한 사항을 참조하세요. Azure Firewall 메트릭에서 처리량 또는 데이터 처리를 모니터링할 수 있습니다. 자세한 내용은 Azure Firewall 메트릭 및 경고를 참조하세요.

  • 높은 연결 수

    방화벽을 통과하는 연결 수가 너무 많을 경우 SNAT(Source Network Address Translation) 포트 소모가 발생할 수 있습니다.

  • IDPS 경고 + 거부 모드

    IDPS 경고 + 거부 모드를 사용하도록 설정하면 방화벽은 IDPS 서명과 일치하는 패킷을 삭제합니다. 이는 성능에 영향을 줍니다.

권장 사항

  • 규칙 구성 및 처리 최적화

    • 방화벽 정책을 사용하여 규칙 컬렉션 그룹 및 규칙 컬렉션으로 규칙을 구성하고 사용 빈도에 따라 우선 순위를 지정합니다.
    • IP 그룹 또는 IP 접두사를 사용하여 IP 테이블 규칙의 수를 줄입니다.
    • 적중 횟수가 가장 많은 규칙의 우선 순위를 지정합니다.
    • 다음 규칙 제한 사항 내에 있는지 확인합니다.

  • Azure Firewall 프리미엄을 사용하거나 Azure Firewall 프리미엄으로 마이그레이션

    • Azure Firewall Premium은 고급 하드웨어를 사용하며 고성능 기본 엔진을 제공합니다.
    • 더 무거운 워크로드 및 더 높은 트래픽 볼륨에 가장 적합합니다.
    • 또한 표준 버전과 달리 최대 100Gbps의 처리량을 달성할 수 있는 기본 제공 가속 네트워킹 소프트웨어도 포함되어 있습니다.

  • SNAT 포트 고갈을 방지하기 위해 방화벽에 여러 공용 IP 주소 추가

    • SNAT 포트 소모를 방지하려면 방화벽에 여러 개의 공용 IP 주소(PIP)를 추가하는 것이 좋습니다. Azure Firewall은 각 추가 PIP당 2,496개의 SNAT 포트를 제공합니다.
    • 더 많은 PIP를 추가하지 않으려면 Azure NAT Gateway를 추가하여 SNAT 포트 사용량을 조정할 수 있습니다. 고급 SNAT 포트 할당 기능을 제공합니다.

  • 경고 + 거부 모드를 사용하도록 설정하기 전에 IDPS 경고 모드로 시작

    • 경고 + 거부 모드는 의심스러운 트래픽을 차단하여 향상된 보안을 제공하지만 처리 오버헤드가 더 많이 발생할 수도 있습니다. 이 모드를 사용하지 않도록 설정하면 특히 방화벽이 주로 전체 패킷 검사가 아닌 라우팅에 사용되는 시나리오에서 성능 향상이 나타날 수 있습니다.
    • 허용 규칙을 명시적으로 구성할 때까지 방화벽을 통한 트래픽은 기본적으로 거부된다는 점을 기억해야 합니다. 따라서 IDPS 경고 + 거부 모드를 사용하지 않도록 설정한 경우에도 네트워크는 보호된 상태로 유지되며 명시적으로 허용된 트래픽만 방화벽을 통과하도록 허용됩니다. Azure Firewall에서 제공하는 핵심 보안 기능을 손상시키지 않고 성능을 최적화하기 위해서는 이 모드를 사용하지 않도록 설정하는 것이 전략적 선택일 수 있습니다.

테스트 및 모니터링

Azure Firewall에 대한 최적의 성능을 보장하려면 지속적으로 사전에 모니터링해야 합니다. 특히 구성을 변경하는 동안 방화벽의 상태 및 주요 메트릭을 정기적으로 평가하여 잠재적인 문제를 식별하고 효율적인 작업을 유지하는 것이 중요합니다.

테스트 및 모니터링을 위해 다음과 같은 모범 사례를 따르세요.

  • 방화벽에서 도입된 테스트 대기 시간
    • 방화벽에서 추가된 대기 시간을 평가하려면 방화벽을 일시적으로 우회하여 원본에서 대상으로 트래픽의 대기 시간을 측정합니다. 이렇게 하려면 방화벽을 무시하도록 경로를 다시 구성합니다. 대기 시간 측정값을 방화벽과 비교하고 트래픽에 미치는 영향을 파악합니다.
  • 대기 시간 프로브 메트릭을 사용하여 방화벽 대기 시간 측정
    • 대기 시간 프로브 메트릭을 사용하여 Azure Firewall의 평균 대기 시간을 측정합니다. 이 메트릭은 방화벽의 성능에 대한 간접 메트릭을 제공합니다. 일시적인 대기 시간 급증은 정상입니다.
  • 트래픽 처리량 메트릭 측정
    • 트래픽 처리량 메트릭을 모니터링하여 방화벽을 통과하는 데이터의 양을 파악합니다. 이렇게 하면 방화벽의 용량과 네트워크 트래픽을 처리하는 기능을 측정하는 데 도움이 됩니다.
  • 처리된 데이터 측정
    • 처리된 데이터 메트릭을 추적하여 방화벽에서 처리되는 데이터의 양을 평가합니다.
  • 규칙 적중 수 및 성능 급증 식별
    • 네트워크 성능 또는 대기 시간의 급증을 찾습니다. 애플리케이션 규칙 적중 횟수 및 네트워크 규칙 적중 횟수와 같은 규칙 적중 타임스탬프를 상호 연결하여 규칙 처리가 성능 또는 대기 시간 문제에 중요한 요소인지 확인합니다. 이러한 패턴을 분석하여 최적화해야 할 수 있는 특정 규칙 또는 구성을 식별할 수 있습니다.
  • 주요 메트릭에 경고 추가
    • 정기적인 모니터링 외에도 주요 방화벽 메트릭에 대한 경고를 설정하는 것이 중요합니다. 이렇게 하면 특정 메트릭이 미리 정의된 임계값을 초과할 때 즉시 알림을 받습니다. 경고를 구성하려면 효과적인 경고 메커니즘을 설정하는 방법에 대한 자세한 지침은 Azure Firewall 로그 및 메트릭을 참조하세요. 자동 관리 경고는 잠재적인 문제에 신속하게 대응하고 최적의 방화벽 성능을 유지하는 기능을 향상합니다.

다음 단계