Najlepsze rozwiązania dotyczące wydajności usługi Azure Firewall

Aby zmaksymalizować wydajność Twojej zapory sieciowej Azure oraz zasad zapory, ważne jest przestrzeganie najlepszych praktyk. Jednak niektóre zachowania lub funkcje sieci mogą mieć wpływ na wydajność i opóźnienie zapory, pomimo możliwości optymalizacji wydajności.

Typowe przyczyny problemów z wydajnością

• Przekraczanie ograniczeń reguł

  Jeśli przekroczysz ograniczenia, takie jak użycie ponad 20 000 unikatowych kombinacji źródła/miejsca docelowego w regułach, może to mieć wpływ na przetwarzanie ruchu zapory i powodować opóźnienie. Mimo że jest to limit miękki, jeśli przekroczysz tę wartość, może to mieć wpływ na ogólną wydajność zapory. Aby uzyskać więcej informacji, zobacz udokumentowane limity.

• Wysoka przepływność ruchu

  Usługa Azure Firewall w warstwie Standardowa obsługuje maksymalnie 30 Gb/s, a wersja Premium obsługuje maksymalnie 100 Gb/s. Aby uzyskać więcej informacji, zobacz ograniczenia przepływności. Możesz monitorować przepływność lub przetwarzanie danych w metrykach usługi Azure Firewall. Aby uzyskać więcej informacji, zobacz Metryki i alerty usługi Azure Firewall.

• Duża liczba połączeń

  Nadmierna liczba połączeń przechodzących przez zaporę może prowadzić do wyczerpania portów SNAT (źródłowego tłumaczenia adresów sieciowych).

• Alert IDPS + tryb odmowy

  Jeśli włączysz tryb alertu IDPS i odmowy, zapora porzuca pakiety zgodne z podpisem IDPS. Ma to wpływ na wydajność.

Zalecenia

• Optymalizowanie konfiguracji i przetwarzania reguł

  • Organizuj reguły przy użyciu zasad zapory w grupach kolekcji reguł i kolekcjach reguł, priorytetując je na podstawie ich częstotliwości użycia.
  • Użyj grup adresów IP lub prefiksów adresów IP, aby zmniejszyć liczbę reguł tabeli adresów IP.
  • Priorytetyzuj reguły z największą liczbą trafień.
  • Upewnij się, że znajdujesz się w ramach następujących ograniczeń reguły.

• Używanie lub migrowanie do usługi Azure Firewall — wersja Premium

  • Usługa Azure Firewall Premium korzysta z zaawansowanego sprzętu i oferuje wyższej wydajności silnik bazowy.
  • Najlepsze w przypadku cięższych obciążeń i większych ilości ruchu.
  • Zawiera również wbudowane przyspieszone oprogramowanie sieciowe, które może osiągnąć przepływność do 100 Gb/s, w przeciwieństwie do wersji Standardowa.

• Dodawanie wielu publicznych adresów IP do zapory w celu zapobiegania wyczerpaniu portów SNAT

  • Aby zapobiec wyczerpaniu portów SNAT, rozważ dodanie wielu publicznych adresów IP (PIPs) do zapory. Usługa Azure Firewall udostępnia 2496 portów SNAT na każdy dodatkowy publiczny adres IP.
  • Jeśli wolisz nie dodawać kolejnych PIP-ów, możesz dodać Azure NAT Gateway, aby skalować użycie portów SNAT. Zapewnia to zaawansowane możliwości alokacji portów SNAT.

• Rozpocznij od trybu alertu IDPS przed włączeniem trybu Alert + Odmowa

  • Tryb alertu i odmowy oferuje zwiększone zabezpieczenia przez blokowanie podejrzanego ruchu, ale może również wprowadzać większe obciążenie związane z przetwarzaniem. Jeśli wyłączysz ten tryb, możesz zaobserwować poprawę wydajności, szczególnie w scenariuszach, w których zapora jest używana głównie do routingu, a nie głębokiej inspekcji pakietów.
  • Należy pamiętać, że ruch przez zaporę jest domyślnie blokowany do momentu jawnego skonfigurowania reguł zezwalania. W związku z tym nawet wtedy, gdy tryb alertu i odmowy idPS jest wyłączony, sieć pozostaje chroniona i tylko jawnie dozwolony ruch może przechodzić przez zaporę. Może to być strategiczny wybór, aby wyłączyć ten tryb w celu optymalizacji wydajności bez naruszania podstawowych funkcji zabezpieczeń udostępnianych przez usługę Azure Firewall.

Testowanie i monitorowanie

Aby zapewnić optymalną wydajność usługi Azure Firewall, należy stale i aktywnie monitorować ją. Ważne jest, aby regularnie oceniać kondycję i kluczowe metryki zapory, aby zidentyfikować potencjalne problemy i utrzymać wydajną operację, zwłaszcza podczas zmian konfiguracji.

Skorzystaj z następujących najlepszych rozwiązań dotyczących testowania i monitorowania:

• Opóźnienie testowania wprowadzone przez zaporę
  • Aby ocenić opóźnienie dodane przez zaporę, zmierz opóźnienie ruchu ze źródła do miejsca docelowego, tymczasowo pomijając zaporę. W tym celu skonfiguruj ponownie trasy w celu obejścia zapory. Porównaj miary opóźnienia z zaporą i bez zapory, aby zrozumieć jej wpływ na ruch.
• Mierzenie opóźnienia zapory przy użyciu metryk sondy opóźnienia
  • Użyj metryki sondy opóźnienia, aby zmierzyć średnie opóźnienie usługi Azure Firewall. Ta metryka dostarcza pośredni wskaźnik wydajności zapory ogniowej. Należy pamiętać, że sporadyczne skoki opóźnień są normalne.
• Mierzenie metryki przepływności ruchu
  • Monitoruj metryki przepływności ruchu, aby dowiedzieć się, ile danych przechodzi przez zaporę. Pomaga to ocenić pojemność zapory i jej zdolność do obsługi ruchu sieciowego.
• Mierzenie przetworzonych danych
  • Śledź metrykę przetworzonych danych, aby ocenić ilość danych przetwarzanych przez zaporę.
• Identyfikowanie trafień reguł i skoków wydajności
  • Poszukaj skoków wydajności sieci lub opóźnień. Skoreluj znaczniki czasu trafień reguł, takie jak liczba trafień reguł aplikacji i liczba trafień reguł sieciowych, aby określić, czy przetwarzanie reguł jest istotnym czynnikiem przyczyniającym się do problemów z wydajnością lub opóźnieniami. Analizując te wzorce, można zidentyfikować określone reguły lub konfiguracje, które mogą być konieczne do optymalizacji.
• Dodawanie alertów do kluczowych metryk
  • Oprócz regularnego monitorowania ważne jest skonfigurowanie alertów dotyczących kluczowych metryk zapory. Dzięki temu otrzymasz powiadomienie, gdy określone metryki przekroczą wstępnie zdefiniowane progi. Aby skonfigurować alerty, zobacz Dzienniki i metryki usługi Azure Firewall, aby uzyskać szczegółowe instrukcje dotyczące konfigurowania skutecznych mechanizmów alertów. Proaktywne alerty zwiększają możliwość szybkiego reagowania na potencjalne problemy i utrzymania optymalnej wydajności zapory.

Następne kroki

• Wydajność usługi Azure Firewall