为最大化您的Azure 防火墙和防火墙策略的性能,请务必遵循最佳实践。 然而,尽管防火墙具有性能优化功能,但某些网络行为或功能可能会影响防火墙的性能和延迟。
性能问题的常见原因
超出规则限制
如果超出限制,例如在规则中使用超过 20,000 个唯一源或目标组合,则可能会影响防火墙流量处理并导致延迟。 尽管此限制是软的,但超过此限制可能会影响整体防火墙性能。 有关详细信息,请参阅记录的限制。
高流量吞吐量
Azure Firewall Standard 最多支持 30 Gbps,而 Premium 支持高达 100 Gbps。 有关详细信息,请参阅吞吐量限制。 可以在Azure Firewall指标中监视吞吐量或数据处理。 有关详细信息,请参阅 Azure Firewall 指标和警报。
连接数高
通过防火墙传递的连接数量过多可能导致 SNAT(源网络地址转换)端口耗尽。
IDPS 警报 + 拒绝模式
如果启用 IDPS 警报 + 拒绝模式,防火墙会删除与 IDPS 签名匹配的数据包。 此操作会影响性能。
建议
优化规则配置和处理
使用或迁移到 Azure Firewall Premium
- Azure Firewall Premium 使用高级硬件并提供高性能的基础引擎。
- 它最适合较重的工作负荷和更高的流量。
- 它还包括内置的加速网络软件,与标准版本不同,它可以实现高达 100 Gbps 的吞吐量。
将多个公共 IP 地址添加到防火墙,以防止 SNAT 端口耗尽
- 若要防止 SNAT 端口耗尽,请考虑将多个公共 IP 地址 (PIP) 添加到防火墙。 Azure Firewall为每个额外的 PIP提供2,496 SNAT端口。
- 如果不想添加更多 PIP,可以添加Azure NAT Gateway来缩放 SNAT 端口使用情况。 此解决方案提供高级 SNAT 端口分配功能。
在启用警报 + 拒绝模式之前,请先使用 IDPS 警报模式
- 虽然警报 + 拒绝模式通过阻止可疑流量提供增强的安全性,但它也会带来更多的处理开销。 如果禁用此模式,可能会观察到性能改善,尤其是在防火墙主要用于路由而非深度数据包检查的情况下。
- 请务必记住,在显式配置允许规则之前,会默认拒绝通过防火墙的流量。 因此,即使 IDPS 警报 + 拒绝 模式处于禁用状态,网络也处于受保护状态,并且仅允许显式允许的流量通过防火墙。 禁用此模式可以采用战略选择来优化性能,而不会影响Azure Firewall提供的核心安全功能。
测试和监视
为了确保Azure Firewall的最佳性能,请持续并主动监视它。 定期评估防火墙的运行状况和关键指标,以确定潜在问题并维护高效操作,尤其是在配置更改期间。
使用以下有关测试和监视的最佳做法。
-
测试由防火墙引入的延迟
- 若要评估由防火墙添加的延迟,请通过暂时绕过防火墙来衡量流量从源到目标的延迟。 为此,请重新配置路由以绕过防火墙。 比较有防火墙和无防火墙时的延迟测量结果,以了解其对流量的影响。
-
使用延迟探测指标测量防火墙延迟
- 使用 延迟探测器 度量来测量 Azure Firewall 的平均延迟。 此指标提供防火墙性能的间接指标。 请记住,间歇性延迟峰值是正常的。
-
度量流量吞吐量指标
- 监视流量吞吐量指标,以了解通过防火墙传递的数据量。 此指标可帮助你衡量防火墙的容量及其处理网络流量的能力。
-
测量已处理的数据
- 跟踪已处理的数据指标,以评估防火墙处理的数据量。
-
确定规则命中和性能峰值
- 查找网络性能或延迟的峰值。 关联规则命中时间戳(例如应用程序规则命中计数和网络规则命中计数),以确定规则处理是否是导致性能或延迟问题的一个重要因素。 通过分析这些模式,可以识别可能需要优化的特定规则或配置。
-
向关键指标添加警报
- 除了定期监视,还针对关键防火墙指标设置警报。 此步骤可确保当特定指标超过预定义阈值时,系统会立即收到通知。 若要配置警报,请参阅 Azure Firewall 日志和指标,了解有关设置有效警报机制的详细说明。 主动警报可增强快速响应潜在问题并维护最佳防火墙性能的能力。
-
实现治理和合规性
- 使用 Azure Policy在整个Azure Firewall部署(包括显式代理设置和其他安全配置)中强制实施一致的配置标准。
- 使用 Azure Resource Graph 跟踪配置更改,以保持合规性和操作可见性。