可靠防火墙性能对于在 Azure 中运行和保护虚拟网络至关重要。 更高级的功能(如在 Azure Firewall Premium 中找到的功能)需要更多的处理复杂性,并影响防火墙性能和整体网络性能。
Azure Firewall有三个版本:基本版本、标准版和高级版。
基本Azure Firewall
Azure Firewall Basic 适用于中小型客户,以保护其Azure云环境。 它以合理的价格提供 SMB 客户所需的基本保护。
Azure Firewall 标准
Azure Firewall标准版于 2018 年 9 月正式发布。 它是云原生的,具有高度可用性,内置自动缩放防火墙即服务。 可以使用 DevOps 方法集中管理和记录所有流量流。 该服务同时支持应用程序和网络级筛选规则,并与Microsoft威胁智能源集成,用于筛选已知的恶意 IP 地址和域。
Azure 防火墙高级版
Azure Firewall Premium 是下一代防火墙。 它具有高度敏感和受监管的环境所需的功能。 可能影响防火墙性能的功能包括 TLS(传输层安全性)检查和 IDPS(入侵检测和防护)。
有关Azure Firewall的详细信息,请参阅 什么是 Azure Firewall?
性能测试
在部署Azure Firewall之前,请测试和评估性能,以确保其符合预期。 Azure Firewall应处理网络上的当前流量,并为潜在的流量增长做好准备。 评估测试网络上的性能,而不是在生产环境中。 测试应尽量尝试复制生产环境。 考虑网络拓扑,并模拟通过防火墙的预期流量的实际特征。
性能数据
以下性能结果演示了各种用例中的最大Azure Firewall吞吐量。 当威胁智能模式设置为警报或拒绝时,可以测量所有用例。 默认情况下,Azure Firewall高级性能提升功能在所有Azure Firewall高级部署上启用。 此功能包括在基础防火墙虚拟机上启用加速网络。
| 防火墙类型和用例 | TCP/UDP 带宽 (Gbps) | HTTP/S 带宽 (Gbps) |
|---|---|---|
| 基本 SKU | 0.25 | 0.25 |
| 标准 SKU | 30 | 30 |
| 同时禁用了 TLS 和 IDPS 的高级 SKU | 100 | 100 |
| 启用了 TLS 检查并禁用了 IDPS 的高级 SKU | - | 100 |
| 启用了 TLS 和 IDPS(“仅警报”模式)的高级 SKU | 100 | 100 |
| 启用了 TLS 并在拒绝模式下启用了 IDPS 的高级 SKU | 10 | 10 |
单个连接的吞吐量
| 防火墙用例 | 吞吐量 (Gbps) |
|---|---|
| 基本 | 最高可达 250 MBps |
| 标准 单个 TCP 连接的最大带宽 |
最高 1.5 |
| 高级 单个 TCP 连接的最大带宽 |
最高 9 |
| “警报和拒绝”模式下与 IDPS 之间的高级单一 TCP 连接 | 最大 300 Mbps |
初始防火墙部署的总吞吐量
在自动缩放(现成部署)之前,以下吞吐量数字适用于Azure Firewall标准和高级部署。 当平均吞吐量和 CPU 消耗量达到 60% 或连接使用率达到 80%时,Azure Firewall逐渐横向扩展。 横向扩展需要 5 到 7 分钟。 Azure Firewall 在平均吞吐量、CPU 消耗量或连接数下降到 20%以下时逐步缩减规模。
在性能测试时,测试至少 10 到 15 分钟,并启动新连接以利用新创建的防火墙节点。
| 防火墙用例 | 吞吐量 (Gbps) |
|---|---|
| 标准 最大带宽 |
最高 3 |
| 高级 最大带宽 |
最高 18 |
注释
Azure Firewall Basic 不会自动缩放。