Długotrwałe sesje TCP w usłudze Azure Firewall
Usługa Azure Firewall została zaprojektowana tak, aby był dostępna i nadmiarowa. Dokładamy wszelkich starań, aby uniknąć zakłóceń w świadczeniu usług. Istnieje jednak kilka scenariuszy, w których usługa Azure Firewall może potencjalnie porzucić długotrwałe sesje TCP.
Następujące scenariusze mogą potencjalnie usuwać długotrwałe sesje TCP:
- Skalowanie w pionie
- Konserwacja zapory
- Limit czasu bezczynności
- Autoodzyskiwanie
Usługa Azure Firewall skaluje w poziomie/w poziomie na podstawie przepływności i użycia procesora CPU. Skalowanie w poziomie odbywa się przez umieszczenie wystąpienia maszyny wirtualnej w trybie opróżniania przez 90 sekund przed odtworzeniem wystąpienia maszyny wirtualnej. Wszystkie długotrwałe połączenia pozostałe w wystąpieniu maszyny wirtualnej po 90 sekundach zostaną rozłączone.
Zespół inżynierów usługi Azure Firewall aktualizuje zaporę zgodnie z potrzebami (zwykle co miesiąc), zazwyczaj w godzinach nocnych w lokalnej strefie czasowej dla tego regionu. Aktualizacje obejmują poprawki zabezpieczeń, poprawki błędów i nowe wdrożenia funkcji, które są stosowane przez skonfigurowanie zapory w trybie aktualizacji stopniowej. Wystąpienia zapory są umieszczane w trybie opróżniania przed ponownym utworzeniem ich w celu skrócenia czasu sesji do opróżnienia. Długotrwałe sesje pozostające na wystąpieniu po upuszczeniu okresu opróżniania podczas ponownego uruchamiania.
Czasomierz bezczynności jest w miejscu do recyklingu bezczynnych sesji. Wartość domyślna stanowi cztery minuty dla połączeń wschód-zachód i nie można jej zmienić. Aplikacje, które utrzymują utrzymanie utrzymania, nie są bezczynne.
W przypadku połączeń północno-południowych, które wymagają więcej niż 4 minut (typowe dla urządzeń IOT), możesz skontaktować się z pomocą techniczną, aby przedłużyć limit czasu połączenia do 15 minut w zapleczu.
Usługa Azure Firewall stale monitoruje wystąpienia maszyn wirtualnych i automatycznie je odzyskuje, jeśli każde wystąpienie nie odpowiada. Ogólnie rzecz biorąc, istnieje 1 na 100 szans na automatyczne odzyskanie wystąpienia zapory w ciągu 30 dni.
Rozłączanie sesji nie jest problemem w przypadku odpornych aplikacji, które mogą bezpiecznie obsługiwać resetowanie sesji. Istnieje jednak kilka aplikacji (takich jak tradycyjny interfejs UŻYTKOWNIKA SAP i aplikacje oparte na protokole SAP RFC), które są wrażliwe na resetowanie sesji. Zabezpieczanie aplikacji poufnych przy użyciu sieciowych grup zabezpieczeń.
Sieciowe grupy zabezpieczeń można wdrożyć w celu ochrony przed niechcianym ruchem w podsieciach platformy Azure. Sieciowe grupy zabezpieczeń to proste, stanowe urządzenia inspekcji pakietów, które używają podejścia 5 krotki (źródłowego adresu IP, portu źródłowego, docelowego adresu IP, portu docelowego i protokołu warstwy 4) do tworzenia reguł zezwalania/odmowy dla ruchu sieciowego. Zezwalasz na ruch do i z jednego adresu IP do i z wielu adresów IP lub do i z całych podsieci. Dzienniki przepływu sieciowej grupy zabezpieczeń ułatwiają inspekcję przez rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Aby dowiedzieć się więcej na temat rejestrowania przepływów sieciowej grupy zabezpieczeń, zobacz Wprowadzenie do rejestrowania przepływów dla sieciowych grup zabezpieczeń.
Aby dowiedzieć się więcej na temat wydajności usługi Azure Firewall, zobacz Wydajność usługi Azure Firewall.