Наилучшие практики для производительности брандмауэра Azure

Чтобы максимизировать производительность вашего Брандмауэра Azure и политики брандмауэра, важно следовать лучшим практикам. Однако некоторые сетевые поведения или функции могут повлиять на производительность и задержку брандмауэра, несмотря на его возможности оптимизации производительности.

Распространенные причины проблем с производительностью

  • Превышение ограничений правил

    Если превышены ограничения, например использование более 20 000 уникальных сочетаний источников или назначения в правилах, можно повлиять на обработку трафика брандмауэра и вызвать задержку. Несмотря на то, что это ограничение обратимо, превышение может повлиять на общую производительность брандмауэра. Дополнительные сведения см. в документированных ограничениях.

  • Высокая пропускная способность трафика

    Брандмауэр Azure Standard поддерживает до 30 Гбит/с, а Премиум поддерживает до 100 Гбит/с. Дополнительные сведения см. в разделе об ограничениях пропускной способности. Пропускную способность или обработку данных можно отслеживать в метриках Брандмауэра Azure. Дополнительные сведения см. в разделе Метрики и оповещения для брандмауэра Azure.

  • Большое количество подключений

    Чрезмерное количество подключений, проходящих через брандмауэр, может привести к исчерпанию портов SNAT (преобразование сетевых адресов источника).

  • Оповещение IDPS и режим запрета

    Если включить оповещение IDPS и режим запрета, брандмауэр удаляет пакеты, соответствующие сигнатуре IDPS. Это действие влияет на производительность.

Рекомендации

  • Оптимизация конфигурации и обработки правил

    • Упорядочивайте правила с помощью политики брандмауэра, структурируя их по группам коллекций правил и коллекциям правил и расставляя приоритеты на основе частоты их использования.
    • Используйте ip-группы или префиксы IP-адресов, чтобы уменьшить количество правил таблицы IP.
    • Устанавливайте приоритет для правил с наибольшим количеством попаданий.
    • Убедитесь, что вы находитесь в следующих ограничениях правил.
  • Используйте или переходите на Брандмауэр Azure Premium

    • Брандмауэр Azure Premium использует расширенное оборудование и предлагает более высокопроизводительный базовый модуль.
    • Лучше всего подходит для более тяжелых рабочих нагрузок и более высоких объемов трафика.
    • Он также включает встроенное программное обеспечение ускорения сети, которое может достичь пропускной способности до 100 Гбит/с, в отличие от стандартной версии.
  • Предотвращение исчерпания портов SNAT

    Когда у вашего брандмауэра заканчиваются порты SNAT, у вас есть два варианта масштабирования исходящей связности. Выберите вариант, который лучше всего соответствует вашим затратам и масштабируемости.

    • Вариант 1. Добавление нескольких общедоступных IP-адресов

      Добавьте дополнительные общедоступные IP-адреса (PIP) в брандмауэр. Брандмауэр Azure предоставляет 2496 портов SNAT на каждый дополнительный PIP, и можно связать до 250 IP-адресов. Инструкции см. в статье "Развертывание Брандмауэр Azure с несколькими общедоступными IP-адресами".

      • Преимущества: низкая стоимость, простая настройка и отсутствие дополнительных ресурсов для управления.
      • Недостатки. Каждый PIP добавляет фиксированное количество портов SNAT, поэтому емкость масштабируется линейно. Кроме того, необходимо разрешить каждый PIP в любом нижнем ip-фильтре.
    • Вариант 2. Использование шлюза NAT

      Свяжите Azure NAT Gateway с подсетью брандмауэра для динамического масштабирования портов SNAT. Инструкции см. в разделе "Масштабирование портов SNAT" с Azure NAT Gateway.

      • Преимущества. Предоставляет до 64512 портов SNAT на общедоступный IP-адрес и динамически выделяет порты в подсети для повышения масштаба и устойчивости.
      • Недостатки. Добавляет другой ресурс для развертывания и управления и не поддерживается в архитектуре защищенного виртуального концентратора (vWAN).

    Если вы учитываете затраты, используйте вариант 1. Если вам требуется более масштабируемое и надежное решение, используйте вариант 2.

  • Начните с режима оповещений IDPS, прежде чем включить режим Оповещения + Запрещения

    • Хотя режим оповещения и запрета обеспечивает повышенную безопасность, блокируя подозрительный трафик, он также может привести к большей нагрузке на обработку. При отключении этого режима можно наблюдать улучшение производительности, особенно в сценариях, когда брандмауэр в основном используется для маршрутизации, а не глубокой проверки пакетов.
    • Важно помнить, что трафик через брандмауэр по умолчанию запрещен, пока не будет явно настроены правила разрешения . Таким образом, даже если отключен режим оповещений IDPS и запрета , сеть остается защищенной, и только явным образом разрешенный трафик может передаваться через брандмауэр. Это может быть стратегический выбор, чтобы отключить этот режим для оптимизации производительности без ущерба для основных функций безопасности, предоставляемых Брандмауэр Azure.

Замечание

Избегайте массового запрета всех подписей. Некоторые подписи задают контекст для последующих обнаружений и не могут быть переопределены, чтобы предотвратить беззвучные пропуски. Дополнительные сведения см. в разделе "Переопределение поведения и ограничения".

Тестирование и мониторинг

Чтобы обеспечить оптимальную производительность брандмауэра Azure, непрерывно и упреждающе отслеживайте его. Регулярно оценивает работоспособность и ключевые метрики брандмауэра для выявления потенциальных проблем и поддержания эффективной работы, особенно во время изменений конфигурации.

Используйте следующие рекомендации по тестированию и мониторингу:

  • Тест задержки, вызванной брандмауэром
    • Чтобы оценить задержку, добавленную брандмауэром, измеряйте задержку трафика из источника в место назначения, временно обходя брандмауэр. Для этого перенастройьте маршруты для обхода брандмауэра. Сравните измерения задержки с брандмауэром и без нее, чтобы понять его влияние на трафик.
  • Измерение задержки брандмауэра с помощью метрик пробы задержки
    • Используйте метрику датчика задержки для измерения средней задержки брандмауэра Azure. Эта метрика предоставляет непрямую метрику производительности брандмауэра. Помните, что временные пики задержки являются нормальными.
  • Измерение метрики пропускной способности трафика
    • Отслеживайте метрику пропускной способности трафика, чтобы понять, сколько данных проходит через брандмауэр. Эта метрика помогает оценить емкость брандмауэра и ее способность обрабатывать сетевой трафик.
  • Измерение обработанных данных
    • Следите за метрикой обработки данных, чтобы оценить объем данных, обработанных брандмауэром.
  • Определите срабатывания правил и всплески производительности
    • Найдите пики производительности сети или задержки. Сопоставляйте временные метки срабатывания правила, такие как срабатывания правил приложения и срабатывания сетевых правил, чтобы определить, является ли обработка правил значимым фактором, влияющим на производительность или задержку. Анализируя эти шаблоны, можно определить определенные правила или конфигурации, которые может потребоваться оптимизировать.
  • Добавление оповещений в ключевые метрики
    • Помимо регулярного мониторинга, настройте оповещения для ключевых метрик брандмауэра. Этот шаг гарантирует, что вас быстро уведомляют, когда определенные метрики превышают предопределенные пороговые значения. Чтобы настроить оповещения, см. журналы и метрики Брандмауэр Azure для получения подробных инструкций по настройке эффективных механизмов оповещения. Упреждающее оповещение повышает способность быстро реагировать на потенциальные проблемы и поддерживать оптимальную производительность брандмауэра.
  • Реализация системы управления и соответствия требованиям
    • Используйте политику Azure для применения согласованных стандартов конфигурации в развертываниях брандмауэра Azure, включая явные параметры прокси-сервера и другие конфигурации безопасности.
    • Отслеживайте изменения конфигурации с помощью Azure Resource Graph для обеспечения соответствия требованиям и оперативной видимости.

Следующие шаги