防火墙性能的最佳做法

xhz

性能问题常见原因

• 超出规则限制
  如果超出限制，例如在规则中使用超过 20000 个唯一的源/目标组合，则可能会影响防火墙流量处理并导致延迟。 尽管这是软限制，但如果超过此值，它可能会影响整体防火墙性能。 有关详细信息，请参阅记录的限制。
• 高流量吞吐量
  Azure 防火墙标准版最高支持 30 Gbps，而高级版支持高达 100 Gbps。 有关详细信息，请参阅吞吐量限制。 可以在 Azure 防火墙指标中监视吞吐量或数据处理。 有关详细信息，请参阅Azure 防火墙指标和警报。
• 大量连接
  通过防火墙传递的连接数量过多可能导致 SNAT（源网络地址转换）端口耗尽。
• IDPS 警报 + 拒绝模式
  如果启用 IDPS 警报 + 拒绝模式，防火墙会删除与 IDPS 签名匹配的数据包。 这会影响性能。
  
  

建议

• 优化规则配置和处理
  
  
  • 使用防火墙策略将规则组织到规则集合组和规则集合中，根据其使用频率对规则进行优先级。
  • 使用 IP 组或 IP 前缀减少 IP 表规则的数量。
  • 优先处理命中次数最多的规则。
  • 确保你处于以下规则限制范围内。
    
• 使用或迁移到 Azure 防火墙高级版
  
  
  • Azure 防火墙高级版使用高级硬件，并提供高性能的基础引擎。
  • 最适合较重的工作负荷和更高的流量。
  • 它还包括内置的加速网络软件，与标准版本不同，它可以实现高达 100 Gbps 的吞吐量。
    
• 将多个公共 IP 地址添加到防火墙，以防止 SNAT 端口耗尽
  
  
  • 若要防止 SNAT 端口耗尽，请考虑将多个公共 IP 地址 (PIP) 添加到防火墙。 Azure 防火墙为每个额外的 PIP 提供 2496 个 SNAT 端口。
  • 如果不想添加更多 PIP，可以添加 Azure NAT 网关来缩放 SNAT 端口使用情况。 这提供了高级 SNAT 端口分配功能。
    
• 在启用警报 + 拒绝模式之前，请先使用 IDPS 警报模式
  
  
  • 虽然警报 + 拒绝模式通过阻止可疑流量提供增强的安全性，但它也会带来更多的处理开销。 如果禁用此模式，可能会观察到性能改善，尤其是在防火墙主要用于路由而非深度数据包检查的情况下。
  • 请务必记住，在显式配置允许规则之前，会默认拒绝通过防火墙的流量。 因此，即使 IDPS 警报 + 拒绝 模式处于禁用状态，网络也处于受保护状态，并且仅允许显式允许的流量通过防火墙。 禁用此模式可以是一种用于优化性能的战略选择，而不会影响 Azure 防火墙提供的核心安全功能。
    
  
  

测试和监视

为了确保 Azure 防火墙的最佳性能，应持续并主动监视它。 请务必定期评估防火墙的健康状况和关键指标，以确定潜在问题并维护高效操作，尤其是在配置更改期间。

使用以下有关测试和监视的最佳做法。

• 测试由防火墙引入的延迟
  
  • 若要评估由防火墙添加的延迟，请通过暂时绕过防火墙来衡量流量从源到目标的延迟。 为此，请重新配置路由以绕过防火墙。 比较有防火墙和无防火墙时的延迟测量结果，以了解其对流量的影响。
    
• 使用延迟探测指标测量防火墙延迟
  
  • 使用延迟探测指标测量 Azure 防火墙的平均延迟。 此指标提供防火墙性能的间接指标。 请记住，间歇性延迟峰值是正常的。
    
• 度量流量吞吐量指标
  
  • 监视流量吞吐量指标，以了解通过防火墙传递的数据量。 这有助于衡量防火墙的容量及其处理网络流量的能力。
    
• 测量已处理的数据
  
  • 跟踪已处理的数据指标，以评估防火墙处理的数据量。
    
• 确定规则命中和性能峰值
  
  • 查找网络性能或延迟的峰值。 关联规则命中时间戳（例如应用程序规则命中计数和网络规则命中计数），以确定规则处理是否是导致性能或延迟问题的一个重要因素。 通过分析这些模式，可以识别可能需要优化的特定规则或配置。
    
• 向关键指标添加警报
  
  • 除了定期监视之外，为关键防火墙指标设置警报至关重要。 这可确保当特定指标超过预定义阈值时，系统会立即收到通知。 若要配置警报，请参阅Azure 防火墙日志和指标，了解有关设置有效警报机制的详细说明。 主动警报可增强快速响应潜在问题并维护最佳防火墙性能的能力。