LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1346|回复: 0

防火墙性能的最佳做法

[复制链接]
发表于 2024-1-5 17:01:18 | 显示全部楼层 |阅读模式
性能问题常见原因
  • 超出规则限制
    如果超出限制,例如在规则中使用超过 20000 个唯一的源/目标组合,则可能会影响防火墙流量处理并导致延迟。 尽管这是软限制,但如果超过此值,它可能会影响整体防火墙性能。 有关详细信息,请参阅记录的限制。
  • 高流量吞吐量
    Azure 防火墙标准版最高支持 30 Gbps,而高级版支持高达 100 Gbps。 有关详细信息,请参阅吞吐量限制。 可以在 Azure 防火墙指标中监视吞吐量或数据处理。 有关详细信息,请参阅Azure 防火墙指标和警报
  • 大量连接
    通过防火墙传递的连接数量过多可能导致 SNAT(源网络地址转换)端口耗尽。
  • IDPS 警报 + 拒绝模式
    如果启用 IDPS 警报 + 拒绝模式,防火墙会删除与 IDPS 签名匹配的数据包。 这会影响性能。

建议
  • 优化规则配置和处理

    • 使用防火墙策略将规则组织到规则集合组和规则集合中,根据其使用频率对规则进行优先级。
    • 使用 IP 组或 IP 前缀减少 IP 表规则的数量。
    • 优先处理命中次数最多的规则。
    • 确保你处于以下规则限制范围内。
  • 使用或迁移到 Azure 防火墙高级版

    • Azure 防火墙高级版使用高级硬件,并提供高性能的基础引擎。
    • 最适合较重的工作负荷和更高的流量。
    • 它还包括内置的加速网络软件,与标准版本不同,它可以实现高达 100 Gbps 的吞吐量。
  • 将多个公共 IP 地址添加到防火墙,以防止 SNAT 端口耗尽

    • 若要防止 SNAT 端口耗尽,请考虑将多个公共 IP 地址 (PIP) 添加到防火墙。 Azure 防火墙为每个额外的 PIP 提供 2496 个 SNAT 端口
    • 如果不想添加更多 PIP,可以添加 Azure NAT 网关来缩放 SNAT 端口使用情况。 这提供了高级 SNAT 端口分配功能。
  • 在启用警报 + 拒绝模式之前,请先使用 IDPS 警报模式

    • 虽然警报 + 拒绝模式通过阻止可疑流量提供增强的安全性,但它也会带来更多的处理开销。 如果禁用此模式,可能会观察到性能改善,尤其是在防火墙主要用于路由而非深度数据包检查的情况下。
    • 请务必记住,在显式配置允许规则之前,会默认拒绝通过防火墙的流量。 因此,即使 IDPS 警报 + 拒绝 模式处于禁用状态,网络也处于受保护状态,并且仅允许显式允许的流量通过防火墙。 禁用此模式可以是一种用于优化性能的战略选择,而不会影响 Azure 防火墙提供的核心安全功能。

测试和监视
为了确保 Azure 防火墙的最佳性能,应持续并主动监视它。 请务必定期评估防火墙的健康状况和关键指标,以确定潜在问题并维护高效操作,尤其是在配置更改期间。
使用以下有关测试和监视的最佳做法。
  • 测试由防火墙引入的延迟
    • 若要评估由防火墙添加的延迟,请通过暂时绕过防火墙来衡量流量从源到目标的延迟。 为此,请重新配置路由以绕过防火墙。 比较有防火墙和无防火墙时的延迟测量结果,以了解其对流量的影响。
  • 使用延迟探测指标测量防火墙延迟
    • 使用延迟探测指标测量 Azure 防火墙的平均延迟。 此指标提供防火墙性能的间接指标。 请记住,间歇性延迟峰值是正常的。
  • 度量流量吞吐量指标
    • 监视流量吞吐量指标,以了解通过防火墙传递的数据量。 这有助于衡量防火墙的容量及其处理网络流量的能力。
  • 测量已处理的数据
    • 跟踪已处理的数据指标,以评估防火墙处理的数据量。
  • 确定规则命中和性能峰值
    • 查找网络性能或延迟的峰值。 关联规则命中时间戳(例如应用程序规则命中计数和网络规则命中计数),以确定规则处理是否是导致性能或延迟问题的一个重要因素。 通过分析这些模式,可以识别可能需要优化的特定规则或配置。
  • 向关键指标添加警报
    • 除了定期监视之外,为关键防火墙指标设置警报至关重要。 这可确保当特定指标超过预定义阈值时,系统会立即收到通知。 若要配置警报,请参阅Azure 防火墙日志和指标,了解有关设置有效警报机制的详细说明。 主动警报可增强快速响应潜在问题并维护最佳防火墙性能的能力。


您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表