Azure 防火牆效能
可靠的防火牆效能對於操作和保護 Azure 中的虛擬網路至關重要。 更進階的功能 (例如可在 Azure 防火牆進階版中找到的功能) 需要更多處理複雜度,並且會影響防火牆效能和整體網路效能。
Azure 防火牆有三個版本:基本版、標準版和進階版。
Azure 防火牆基本
Azure 防火牆基本版適用於中小型 (SMB) 客戶,可保護其 Azure 雲端環境。 它以實惠的價格為提供 SMB 客戶所需的基本保護。
Azure 防火牆標準
Azure 防火牆標準版已於 2018 年 9 月正式推出。 其是雲端原生、高可用性的防火牆,內建自動調整防火牆即服務。 您可以使用 DevOps 方法集中治理和記錄所有流量。 此服務同時支援應用程式和網路層級篩選規則,並與 Microsoft 威脅情報摘要整合,以篩選已知的惡意 IP 位址和網域。
Azure 防火牆進階
Azure 防火牆進階版是下一代防火牆。 其具有高度敏感性和受管制環境所需的功能。 可能會影響防火牆效能的功能為 TLS (傳輸層安全性) 檢查和 IDPS (入侵偵測和防護)。
如需 Azure 防火牆的詳細資訊,請參閱什麼是 Azure 防火牆?
效能測試
在部署 Azure 防火牆之前,必須測試並評估效能,以確保其符合您的期望。 Azure 防火牆不僅應該處理網路上目前的流量,也應該為潛在的流量成長做好準備。 您應該在測試網路上進行評估,而不是在生產環境中進行評估。 測試應該盡可能嘗試複寫生產環境。 您應該考慮網路拓撲,並模擬預期流量通過防火牆的實際特性。
效能資料
下列一組效能結果示範各種使用案例中的最大 Azure 防火牆輸送量。 所有使用案例都是在威脅情報模式設定為警示/拒絕時測量的。 Azure 防火牆進階版效能提升功能預設會在所有 Azure 防火牆進階版部署上啟用。 此功能包括在基礎防火牆虛擬機器上啟用加速網路。
| 防火牆類型和使用案例 | TCP/UDP 頻寬 (Gbps) | HTTP/S 頻寬 (Gbps) |
|---|---|---|
| 基本 | 0.25 | 0.25 |
| 標準 | 30 | 30 |
| 進階版 (沒有 TLS/IDPS) | 100 | 100 |
| 具有 TLS 的進階版 (沒有 IDS/IPS) | - | 100 |
| 具有 TLS 和 IDS 的進階版 | 100 | 100 |
| 具有 TLS 和 IPS 的進階版 | 10 | 10 |
注意
當一或多個簽章設定為 [警示和拒絕] 模式時,就會發生 IPS (入侵防護系統)。
單一連線的輸送量
| 防火牆使用案例 | 輸送量 (Gbps) |
|---|---|
| 基本 | 最高 250 Mbps |
| 標準 單一 TCP 連線的最大頻寬 |
最高 1.5 |
| 進階 單一 TCP 連線的最大頻寬 |
最高 9 |
| 警示並拒絕模式下對 IDPS 的進階單一 TCP 連線 | 最高 300 Mbps |
初始防火牆部署的輸送量總計
下列輸送量數目適合自動調整前的 Azure 防火牆標準版和進階版部署 (預設部署)。 當平均輸送量和 CPU 耗用量為 60%,或如果連線數目使用量為 80% 時,Azure 防火牆會逐漸擴增。 擴增需要五到七分鐘。 當平均輸送量、CPU 耗用量或連線數目低於 20% 時,Azure 防火牆會逐漸縮減。
執行效能測試時,請確定您至少測試 10 到 15 分鐘,並起始新連線以利用新建立的防火牆節點。
| 防火牆使用案例 | 輸送量 (Gbps) |
|---|---|
| 標準 最大頻寬 |
最高 3 |
| 進階 最大頻寬 |
最高 18 |
注意
Azure 防火牆基本版不會自動調整。
下一步
- 深入了解如何部署和設定 Azure 防火牆。