Azure Firewall とファイアウォール ポリシーのパフォーマンスを最大にするには、ベスト プラクティスのとおりにすることが重要です。 ただし、パフォーマンス最適化機能にもかかわらず、ネットワークの特定の動作または機能が、ファイアウォールのパフォーマンスと待ち時間に影響を与える可能性があります。
パフォーマンスの問題の一般的な原因
規則の制限の超過
ルールで 20,000 を超える一意の送信元または宛先の組み合わせを使用するなど、制限を超える場合は、ファイアウォール トラフィックの処理に影響を与え、待機時間が発生する可能性があります。 この制限はソフトですが、それを超える場合は、ファイアウォールの全体的なパフォーマンスに影響する可能性があります。 詳しくは、制限に関するドキュメントをご覧ください。
高いトラフィック スループット
Azure Firewall Standard では最大 30 Gbps がサポートされ、Premium では最大 100 Gbps がサポートされます。 詳しくは、スループットの制限に関する記事をご覧ください。 Azure Firewall のメトリックでスループットまたはデータ処理を監視できます。 詳しくは、「Azure Firewall のメトリックとアラート」をご覧ください。
接続の数が多い
ファイアウォールを通過する接続の数が多すぎると、SNAT (ソース ネットワーク アドレス変換) ポートが枯渇する可能性があります。
IDPS アラート + 拒否モード
IDPS アラート + 拒否モードを有効にした場合、ファイアウォールは IDPS 署名に一致するパケットをドロップします。 このアクションはパフォーマンスに影響します。
推奨事項
規則の構成と処理を最適化する
Azure Firewall Premium を使う、またはそれに移行する
- Azure Firewall Premium では、高度なハードウェアが使われており、基になるエンジンのパフォーマンスがいっそう高くなります。
- ワークロードの負荷が高く、トラフィック量が多い場合に最適です。
- また、Standard バージョンとは異なり、最大 100 Gbps のスループットを実現できる高速ネットワーク ソフトウェアも組み込まれています。
SNAT ポートの枯渇を防ぐため、複数のパブリック IP アドレスをファイアウォールに追加する
- SNAT ポートの枯渇を防ぐには、複数のパブリック IP アドレス (PIP) をファイアウォールに追加することを検討します。 Azure Firewall では、追加の PIP ごとに 2,496 個の SNAT ポートが提供されます。
- PIP を追加したくない場合は、Azure NAT Gateway を追加して SNAT ポートの使用をスケーリングできます。 このソリューションは、高度な SNAT ポート割り当て機能を提供します。
アラート + 拒否モードを有効にする前に、IDPS アラート モードで開始する
- "アラート + 拒否" モードでは、疑わしいトラフィックをブロックすることでセキュリティが強化されますが、処理のオーバーヘッドが増える可能性もあります。 このモードを無効にすると、ファイアウォールの主な用途がルーティングで、パケットの詳細な検査ではないシナリオで特に、パフォーマンスが向上する可能性があります。
- "許可" 規則を明示的に構成するまで、ファイアウォールを通過するトラフィックは既定で拒否されることを覚えておく必要があります。 そのため、IDPS "アラート + 拒否" モードが無効になっている場合でも、ネットワークは保護されており、明示的に許可されたトラフィックのみがファイアウォールを通過できます。 Azure Firewall によって提供される主要なセキュリティ機能を損なうことなくパフォーマンスを最適化するため、このモードを無効にすることが戦略的な選択肢になる場合があります。
注
すべての署名を拒否するオーバーライドを一括して行わないようにします。 一部のシグネチャは、後で検出するためにコンテキストを設定し、サイレント ドロップを防ぐためにオーバーライドすることはできません。 詳細については、「 オーバーライドの動作と制限事項」を参照してください。
テストと監視
Azure Firewall の最適なパフォーマンスを確保するには、継続的かつ積極的に監視します。 ファイアウォールの正常性と主要メトリックを定期的に評価して潜在的な問題を特定し、特に構成の変更中に効率的な操作を維持します。
テストと監視に関しては、次のベスト プラクティスを使います。
-
ファイアウォールによって発生する待機時間をテストする
- ファイアウォールによって増える待機時間を評価するには、ファイアウォールを一時的にバイパスすることで、トラフィックの送信元から送信先までの待機時間を測定します。 これを行うには、ファイアウォールをバイパスするようにルートを再構成します。 ファイアウォールがあるときとないときの待機時間の測定値を比べて、トラフィックへの影響を把握します。
-
待機時間プローブ メトリックを使ってファイアウォールの待機時間を測定する
- "待機時間プローブ" メトリックを使って、Azure Firewall の平均待機時間を測定します。 このメトリックでは、ファイアウォールのパフォーマンスの間接的なメトリックが提供されます。 待機時間の間欠的な急増は正常時でも起こることに注意してください。
-
トラフィック スループット メトリックを測定する
- "トラフィック スループット" メトリックを監視して、ファイアウォールを通過するデータの量を把握します。 このメトリックは、ファイアウォールの容量とネットワーク トラフィックを処理する機能を測定するのに役立ちます。
-
処理済みデータを測定する
- "処理済みデータ" メトリックを追跡して、ファイアウォールによって処理されたデータの量を評価します。
-
規則のヒットとパフォーマンスの急上昇を特定する
- ネットワーク パフォーマンスまたは待機時間の急上昇を探します。 アプリケーション規則ヒット数やネットワーク規則ヒット数などの規則ヒットのタイムスタンプを関連付けて、規則の処理がパフォーマンスや待機時間の問題に影響を与える重要な要因であるかどうかを判断します。 これらのパターンを分析することで、最適化が必要になる可能性がある特定の規則または構成を明らかにできます。
-
主要なメトリックにアラートを追加する
- 通常の監視に加えて、主要なファイアウォール メトリックのアラートを設定します。 この手順により、特定のメトリックが定義済みのしきい値を超えたときに、すぐに通知されます。 アラートを構成するための、効果的なアラート メカニズムの設定に関する詳細な手順については、「Azure Firewall のログとメトリック」をご覧ください。 プロアクティブなアラートにより、潜在的な問題にいっそうすばやく対応し、ファイアウォールの最適なパフォーマンスを維持できるようになります。
-
ガバナンスとコンプライアンスを実装する
- Azure Policy を使用して、明示的なプロキシ設定やその他のセキュリティ構成など、Azure Firewall デプロイ全体で一貫した構成標準を適用します。
- Azure Resource Graph を使用して構成の変更を追跡し、コンプライアンスと運用上の可視性を維持します。