Поделиться через

Наилучшие практики для производительности брандмауэра Azure

Чтобы максимизировать производительность вашего Брандмауэра Azure и политики брандмауэра, важно следовать лучшим практикам. Однако некоторые сетевые поведения или функции могут повлиять на производительность и задержку брандмауэра, несмотря на его возможности оптимизации производительности.

Распространенные причины проблем с производительностью

  • Превышение ограничений правил

    Если превышены ограничения, например использование более 20 000 уникальных сочетаний источника и назначения в правилах, это может повлиять на обработку трафика брандмауэра и вызвать задержку. Несмотря на то, что это обратимое ограничение, если вы превысите это значение, это может повлиять на общую производительность брандмауэра. Дополнительные сведения см. в документированных ограничениях.

  • Высокая пропускная способность трафика

    Брандмауэр Azure Standard поддерживает до 30 Гбит/с, а Премиум поддерживает до 100 Гбит/с. Дополнительные сведения см. в разделе об ограничениях пропускной способности. Пропускную способность или обработку данных можно отслеживать в метриках Брандмауэра Azure. Дополнительные сведения см. в разделе Метрики и оповещения для брандмауэра Azure.

  • Большое количество подключений

    Чрезмерное количество подключений, проходящих через брандмауэр, может привести к исчерпанию портов SNAT (преобразование сетевых адресов источника).

  • Оповещение IDPS и режим запрета

    Если включить оповещение IDPS и режим запрета, брандмауэр удаляет пакеты, соответствующие сигнатуре IDPS. Это влияет на производительность.

Рекомендации

  • Оптимизация конфигурации и обработки правил

    • Упорядочивайте правила с помощью политики брандмауэра, организуя их в Группы Коллекций Правил и Коллекции Правил. Устанавливайте приоритеты для этих групп на основе частоты их использования.
    • Используйте ip-группы или префиксы IP-адресов, чтобы уменьшить количество правил таблицы IP.
    • Устанавливайте приоритет для правил с наибольшим количеством попаданий.
    • Убедитесь, что вы соблюдаете следующие ограничения правил.

  • Используйте или переходите на Azure Firewall Premium

    • Брандмауэр Azure Premium использует расширенное оборудование и предлагает более высокопроизводительный базовый модуль.
    • Лучше всего подходит для более тяжелых рабочих нагрузок и более высоких объемов трафика.
    • Он также включает встроенное программное обеспечение ускорения сети, которое может достичь пропускной способности до 100 Гбит/с, в отличие от стандартной версии.

  • Добавление нескольких общедоступных IP-адресов в брандмауэр, чтобы предотвратить исчерпание портов SNAT

    • Чтобы предотвратить исчерпание портов SNAT, попробуйте добавить несколько общедоступных IP-адресов (PIP) в брандмауэр. Брандмауэр Azure предоставляет 2496 портов SNAT на каждый дополнительный PIP.
    • Если вы предпочитаете не добавлять дополнительные общедоступные IP-адреса, можно добавить шлюз NAT Azure для масштабирования уровня использования портов SNAT. Это обеспечивает расширенные возможности по распределению портов SNAT.

  • Начните с режима оповещений IDPS, прежде чем включить режим Оповещения + Запрещения

    • Хотя режим оповещения и запрета обеспечивает повышенную безопасность, блокируя подозрительный трафик, он также может привести к большей нагрузке на обработку. При отключении этого режима можно наблюдать улучшение производительности, особенно в сценариях, когда брандмауэр в основном используется для маршрутизации, а не глубокой проверки пакетов.
    • Важно помнить, что трафик через брандмауэр по умолчанию запрещен, пока не будет явно настроены правила разрешения . Таким образом, даже если отключен режим оповещений IDPS и запрета , сеть остается защищенной, и только явным образом разрешенный трафик может передаваться через брандмауэр. Это может быть стратегический выбор, чтобы отключить этот режим для оптимизации производительности без ущерба для основных функций безопасности, предоставляемых Брандмауэр Azure.

Тестирование и мониторинг

Чтобы обеспечить оптимальную производительность для Брандмауэр Azure, необходимо постоянно и заранее отслеживать его. Важно регулярно оценивать работоспособность и ключевые метрики брандмауэра для выявления потенциальных проблем и поддержания эффективной работы, особенно во время изменений конфигурации.

Используйте следующие рекомендации по тестированию и мониторингу:

  • Тест задержки, вызванной брандмауэром
    • Чтобы оценить задержку, добавленную брандмауэром, измеряйте задержку трафика из источника в место назначения, временно обходя брандмауэр. Для этого перенастройьте маршруты для обхода брандмауэра. Сравните измерения задержки с брандмауэром и без нее, чтобы понять его влияние на трафик.
  • Измерение задержки брандмауэра с помощью метрик пробы задержки
    • Используйте метрику датчика задержки для измерения средней задержки брандмауэра Azure. Эта метрика предоставляет непрямую метрику производительности брандмауэра. Помните, что временные пики задержки являются нормальными.
  • Измерение метрики пропускной способности трафика
    • Отслеживайте метрику пропускной способности трафика, чтобы понять, сколько данных проходит через брандмауэр. Это помогает оценить емкость брандмауэра и его способность обрабатывать сетевой трафик.
  • Измерение обработанных данных
    • Следите за метрикой обработки данных, чтобы оценить объем данных, обработанных брандмауэром.
  • Определите срабатывания правил и всплески производительности
    • Найдите пики производительности сети или задержки. Сопоставляйте временные метки срабатывания правила, такие как срабатывания правил приложения и срабатывания сетевых правил, чтобы определить, является ли обработка правил значимым фактором, влияющим на производительность или задержку. Анализируя эти шаблоны, можно определить определенные правила или конфигурации, которые может потребоваться оптимизировать.
  • Добавление оповещений в ключевые метрики
    • Помимо регулярного мониторинга, важно настроить оповещения для ключевых метрик брандмауэра. Это гарантирует, что вы быстро уведомляетесь, когда определенные метрики превышают предопределенные пороговые значения. Чтобы настроить оповещения, см. журналы и метрики Azure Firewall для получения подробных инструкций по настройке эффективных механизмов оповещения. Упреждающее оповещение повышает способность быстро реагировать на потенциальные проблемы и поддерживать оптимальную производительность брандмауэра.

Следующие шаги