Dela via


Prestanda för Azure Firewall

Tillförlitliga brandväggsprestanda är avgörande för att fungera och skydda dina virtuella nätverk i Azure. Mer avancerade funktioner (som de som finns i Azure Firewall Premium) kräver mer bearbetningskomplexitet och påverkar brandväggens prestanda och övergripande nätverksprestanda.

Azure Firewall har tre versioner: Basic, Standard och Premium.

  • Azure Firewall Basic

    Azure Firewall Basic är avsett för små och medelstora kunder (SMB) för att skydda sina Azure-molnmiljöer. Det ger det grundläggande skydd som SMB-kunder behöver till ett överkomligt pris.

  • Azure Firewall Standard

    Azure Firewall Standard blev allmänt tillgängligt i september 2018. Det är molnbaserat, med hög tillgänglighet, med inbyggd automatisk skalning av brandvägg som en tjänst. Du kan styra och logga alla dina trafikflöden centralt med en DevOps-metod. Tjänsten stöder både regler för program- och nätverksnivåfiltrering och är integrerad med Microsoft Threat Intelligence-flödet för filtrering av kända skadliga IP-adresser och domäner.

  • Azure Firewall Premium

    Azure Firewall Premium är en nästa generations brandvägg. Den har funktioner som krävs för mycket känsliga och reglerade miljöer. De funktioner som kan påverka brandväggens prestanda är TLS-inspektion (Transport Layer Security) och IDPS (Intrångsidentifiering och skydd).

Mer information om Azure Firewall finns i Vad är Azure Firewall?

Prestandatest

Innan du distribuerar Azure Firewall måste prestandan testas och utvärderas för att säkerställa att den uppfyller dina förväntningar. Azure Firewall bör inte bara hantera den aktuella trafiken i ett nätverk, utan även vara redo för potentiell trafiktillväxt. Du bör utvärdera i ett testnätverk och inte i en produktionsmiljö. Testningen bör försöka replikera produktionsmiljön så nära som möjligt. Du bör ta hänsyn till nätverkstopologin och emulera de faktiska egenskaperna för den förväntade trafiken via brandväggen.

Prestandadata

Följande uppsättning prestandaresultat visar maximalt Azure Firewall-dataflöde i olika användningsfall. Alla användningsfall mättes medan hotinformationsläget var inställt på avisering/neka. Prestandaökningsfunktionen i Azure Firewall Premium är aktiverad på alla Azure Firewall Premium-distributioner som standard. Den här funktionen omfattar aktivering av accelererat nätverk på de underliggande virtuella brandväggsdatorerna.

Brandväggstyp och användningsfall TCP/UDP-bandbredd (Gbit/s) HTTP/S-bandbredd (Gbit/s)
Grundläggande 0.25 0.25
Standard 30 30
Premium (ingen TLS/IDPS) 100 100
Premium med TLS (inget IDS/IPS) - 100
Premium med TLS och IDS 100 100
Premium med TLS och IPS 10 10

Kommentar

IPS (Intrusion Prevention System) sker när en eller flera signaturer är konfigurerade för aviserings - och neka-läge .

Dataflöde för enskilda anslutningar

Användningsfall för brandvägg Dataflöde (Gbit/s)
Grundläggande upp till 250 Mbit/s
Standard
Maximal bandbredd för enkel TCP-anslutning
upp till 1,5
Premium
Maximal bandbredd för enkel TCP-anslutning
upp till 9
Premium enkel TCP-anslutning med IDPS i aviserings- och neka-läge upp till 300 Mbit/s

Totalt dataflöde för den första brandväggsdistributionen

Följande dataflödesnummer gäller för en Azure Firewall Standard- och Premium-distribution före autoskalning (out of the box deployment). Azure Firewall skalas gradvis ut när det genomsnittliga dataflödet och CPU-förbrukningen är 60 % eller om antalet anslutningar är 80 %. Utskalning tar fem till sju minuter. Azure Firewall skalas gradvis in när det genomsnittliga dataflödet, CPU-förbrukningen eller antalet anslutningar är under 20 %.

När du testar prestanda kontrollerar du att du testar i minst 10 till 15 minuter och startar nya anslutningar för att dra nytta av nyligen skapade brandväggsnoder.

Användningsfall för brandvägg Dataflöde (Gbit/s)
Standard
Maximal bandbredd
upp till 3
Premium
Maximal bandbredd
upp till 18

Kommentar

Azure Firewall Basic skalas inte automatiskt.

Nästa steg