Azure 防火墙性能
可靠的防火墙性能对于在 Azure 中运行和保护虚拟网络至关重要。 更高级的功能(如 Azure 防火墙高级版中的功能)需要更复杂的处理,并影响防火墙性能和整体网络性能。
Azure 防火墙有三个版本:基本版、标准版和高级版。
Azure 防火墙基本版
Azure 防火墙基本版适用于中小型 (SMB) 客户,用于保护其 Azure 云环境。 它以合理的价格提供 SMB 客户所需的基本保护。
Azure 防火墙标准版
Azure 防火墙标准版于 2018 年 9 月正式发布。 它是云原生的,具有高度可用性,内置自动缩放防火墙即服务。 你可以使用 DevOps 方法集中管理和记录所有流量流。 该服务支持应用程序和网络级别的筛选规则,并与 Microsoft 威胁情报源集成,用于筛选已知的恶意 IP 地址和域。
Azure 防火墙高级版
Azure 防火墙高级版是下一代防火墙。 它具有高度敏感和受监管的环境所需的功能。 可能影响防火墙性能的功能是 TLS(传输层安全性)检查和 IDPS(入侵检测和预防)。
有关 Azure 防火墙的详细信息,请参阅什么是 Azure 防火墙?
性能测试
在部署 Azure 防火墙前,需要对性能进行测试和评估,以确保其符合预期。 Azure 防火墙不仅应该处理网络上的当前流量,还应该为潜在的流量激增做好准备。 应在测试网络上进行评估,而不是在生产环境中进行评估。 测试应尝试尽可能复制生产环境。 应考虑网络拓扑,并模拟通过防火墙的预期流量的实际特征。
性能数据
以下性能结果集演示了各种用例中的最大 Azure 防火墙吞吐量。 所有用例都经过测量,并将威胁情报模式设置为警报/拒绝。 默认情况下,所有 Azure 防火墙高级部署中都启用了 Azure 防火墙高级性能提升功能。 此功能包括在基础防火墙虚拟机上启用加速网络。
| 防火墙类型和用例 | TCP/UDP 带宽 (Gbps) | HTTP/S 带宽 (Gbps) |
|---|---|---|
| 基本 | 0.25 | 0.25 |
| Standard | 30 | 30 |
| 高级版(无 TLS/IDPS) | 100 | 100 |
| 具有 TLS(无 IDS/IPS)的高级版 | - | 100 |
| 具有 TLS 和 IDS 的高级版 | 100 | 100 |
| 具有 TLS 和 IPS 的高级版 | 10 | 10 |
注意
当一个或多个签名配置为“警报和拒绝”模式时,就会发生 IPS(入侵防御系统)。
单个连接的吞吐量
| 防火墙用例 | 吞吐量 (Gbps) |
|---|---|
| 基本 | 最高可达 250 MBps |
| Standard 单个 TCP 连接的最大带宽 |
最高 1.5 |
| 高级 单个 TCP 连接的最大带宽 |
最高 9 |
| “警报和拒绝”模式下与 IDPS 之间的高级单一 TCP 连接 | 最大 300 Mbps |
初始防火墙部署的总吞吐量
以下吞吐量数字适用于自动缩放(现成部署)之前的 Azure 防火墙标准版和高级版部署。 当平均吞吐量和 CPU 消耗达到 60% 且连接使用率数量达到 80% 时,Azure 防火墙就会逐渐横向扩展。 横向扩展需要 5 到 7 分钟。 当平均吞吐量、CPU 消耗或连接数低于 20% 时,Azure 防火墙就会逐渐横向缩减。
进行性能测试时,请确保至少测试 10 到 15 分钟,并启动新连接以利用新创建的防火墙节点。
| 防火墙用例 | 吞吐量 (Gbps) |
|---|---|
| 标准 最大带宽 |
最高 3 |
| 高级 最大带宽 |
最高 18 |
注意
Azure 防火墙基本版不会自动缩放。
后续步骤
- 了解如何部署和配置 Azure 防火墙。