Práticas recomendadas para o desempenho do Firewall do Azure

Para maximizar o desempenho da sua política de Firewall e Firewall do Azure, é importante seguir as práticas recomendadas. No entanto, determinados comportamentos ou recursos de rede podem afetar o desempenho e a latência do firewall, apesar de seus recursos de otimização de desempenho.

Causas comuns de problemas de desempenho

  • Exceder as limitações da regra

    Se exceder limitações, como usar mais de 20.000 combinações únicas de origem ou destino nas regras, pode afetar o processamento do tráfego do firewall e causar latência. Embora este limite seja suave, ultrapassá-lo pode afetar o desempenho global do firewall. Para obter mais informações, consulte os limites documentados.

  • Alto débito de tráfego

    O Firewall do Azure Standard suporta até 30 Gbps, enquanto o Premium suporta até 100 Gbps. Para obter mais informações, consulte as limitações de taxa de transferência. Você pode monitorar sua taxa de transferência ou processamento de dados nas métricas do Firewall do Azure. Para obter mais informações, consulte Métricas e alertas do Firewall do Azure.

  • Elevado número de ligações

    Um número excessivo de conexões passando pelo firewall pode levar ao esgotamento da porta SNAT (Source Network Address Translation).

  • Alerta IDPS + Modo de Negação

    Se ativares o modo IDPS Alert + Negar, o firewall elimina pacotes que correspondem a uma assinatura IDPS. Esta ação afeta o desempenho.

Recomendações

  • Otimize a configuração e o processamento de regras

    • Organize as regras usando a política de firewall em Grupos de Recolha de Regras e Coleções de Regras, e priorice-as com base na frequência com que são usadas.
    • Use Grupos IP ou prefixos IP para reduzir o número de regras de tabela IP.
    • Dê prioridade às regras com o maior número de ocorrências.
    • Certifique-se de que está dentro das seguintes limitações de regras.

  • Usar ou migrar para o Firewall Premium do Azure

    • O Firewall Premium do Azure usa hardware avançado e oferece um mecanismo subjacente de melhor desempenho.
    • É melhor para cargas de trabalho mais pesadas e volumes de tráfego elevados.
    • Ele também inclui software de rede acelerado integrado, que pode atingir uma taxa de transferência de até 100 Gbps, ao contrário da versão Standard.

  • Adicione vários endereços IP públicos ao firewall para evitar o esgotamento da porta SNAT

    • Para evitar o esgotamento da porta SNAT, considere adicionar vários endereços IP públicos (PIPs) ao firewall. O Firewall do Azure fornece 2.496 portas SNAT por cada PIP adicional.
    • Se preferir não adicionar mais PIP, pode adicionar um NAT Gateway do Azure para dimensionar a utilização da porta SNAT. Esta solução oferece capacidades avançadas de alocação de portas SNAT.

  • Comece com o modo de alerta IDPS antes de ativar o modo Alerta + Negar

    • Embora o modo Alerta + Negação ofereça segurança aprimorada ao bloquear tráfego suspeito, ele também pode introduzir mais sobrecarga de processamento. Se você desabilitar esse modo, poderá observar melhorias no desempenho, especialmente em cenários em que o firewall é usado principalmente para roteamento e não para inspeção profunda de pacotes.
    • É essencial lembrar que o tráfego através do firewall é negado por padrão até que você configure explicitamente as regras de permissão . Portanto, mesmo quando o modo IDPS Alert + Deny está desativado, sua rede permanece protegida e apenas o tráfego explicitamente permitido pode passar pelo firewall. Pode ser uma escolha estratégica desativar esse modo para otimizar o desempenho sem comprometer os principais recursos de segurança fornecidos pelo Firewall do Azure.

Observação

Evite negar em massa todas as substituições de assinaturas . Algumas assinaturas definem o contexto para deteções posteriores e não podem ser substituídas para impedir descartes silenciosos. Para obter detalhes, consulte Comportamento de Substituição e Limitações.

Testes e monitorização

Para garantir o desempenho ótimo do seu Azure Firewall, monitorize-o de forma contínua e proativa. Avalie regularmente a saúde e as métricas-chave do seu firewall para identificar potenciais problemas e manter uma operação eficiente, especialmente durante alterações de configuração.

Use as seguintes práticas recomendadas para teste e monitoramento:

  • Latência de teste introduzida pelo firewall
    • Para avaliar a latência adicionada pelo firewall, meça a latência do seu tráfego da origem para o destino ignorando temporariamente o firewall. Para fazer isso, reconfigure suas rotas para ignorar o firewall. Compare as medições de latência com e sem o firewall para entender seu efeito no tráfego.
  • Meça a latência do firewall usando métricas de teste de latência
    • Utilize a métrica de sondagem de latência para medir a latência média do Firewall do Azure. Essa métrica fornece uma métrica indireta do desempenho do firewall. Lembre-se de que picos intermitentes de latência são normais.
  • Meça a métrica de taxa de transferência de tráfego
    • Monitore a métrica de transferência de tráfego para entender a quantidade de dados que passa pelo firewall. Esta métrica ajuda-te a avaliar a capacidade do firewall e a sua capacidade de lidar com o tráfego da rede.
  • Medição de dados processados
    • Acompanhe a métrica de dados processados para avaliar o volume de dados processados pelo firewall.
  • Identificar acertos de regras e picos de desempenho
    • Procure picos no desempenho ou latência da rede. Correlacionar carimbos de data/hora de acertos de regras, como a contagem de acertos de regras de aplicações e a contagem de acertos de regras de rede, para determinar se o processamento de regras é um fator significativo que contribui para problemas de desempenho ou de latência. Ao analisar esses padrões, você pode identificar regras ou configurações específicas que talvez seja necessário otimizar.
  • Adicionar alertas às principais métricas
    • Para além da monitorização regular, configure alertas para métricas chave do firewall. Este passo garante que é rapidamente notificado quando métricas específicas ultrapassam limiares pré-definidos. Para configurar alertas, consulte Logs e métricas do Firewall do Azure para obter instruções detalhadas sobre como configurar mecanismos de alerta eficazes. O alerta proativo melhora sua capacidade de responder rapidamente a possíveis problemas e manter o desempenho ideal do firewall.
  • Implementar governança e conformidade
    • Use a Política do Azure para impor padrões de configuração consistentes em suas implantações do Firewall do Azure, incluindo configurações de proxy explícitas e outras configurações de segurança.
    • Acompanhe as alterações de configuração usando o Azure Resource Graph para manter a conformidade e a visibilidade operacional.

Próximos passos

  • Last updated on