Performances du Pare-feu Azure

Des performances de pare-feu fiables sont essentielles au fonctionnement et à la protection de vos réseaux virtuels dans Azure. Les fonctionnalités plus avancées (comme celles que l’on trouve dans le Pare-feu Azure Premium) nécessitent un traitement plus complexe et ont un impact sur les performances du pare-feu et sur les performances réseau globales.

Le Pare-feu Azure existe en trois versions : De base, Standard et Premium.

  • Pare-feu Azure De base

    Le Pare-feu Azure De base est destiné aux clients de petite et moyenne taille (PME) pour sécuriser leur environnement cloud Azure. Il offre la protection essentielle dont les PME ont besoin à un prix abordable.

  • Pare-feu Azure Standard

    Le Pare-feu Azure Standard est en disponibilité générale depuis septembre 2018. Il s’agit d’un service cloud natif, hautement disponible, doté d’un pare-feu en tant que service intégré avec mise à l’échelle automatique. Vous pouvez gouverner et journaliser de manière centralisée tous vos flux de trafic à l’aide d’une approche DevOps. Le service prend en charge les règles de filtrage au niveau de l’application et du réseau. Il est intégré au flux Microsoft Threat Intelligence pour filtrer les adresses IP et domaines malveillants connus.

  • Pare-feu Azure Premium

    Le Pare-feu Azure Premium est un pare-feu de nouvelle génération. Il dispose des fonctionnalités nécessaires pour les environnements hautement sensibles et réglementés. Les fonctionnalités susceptibles d’affecter les performances du pare-feu sont l’inspection TLS (Transport Layer Security) et le système IDPS (système de détection et de prévention d’intrusion).

Pour plus d’informations sur le Pare-feu Azure, consultez Qu’est-ce que le Pare-feu Azure ?

Tests de performances

Avant de déployer le Pare-feu Azure, vous devez tester et évaluer ses performances pour vérifier qu’elles répondent à vos attentes. Le Pare-feu Azure doit non seulement gérer le trafic actuel d’un réseau, mais il doit également être prêt pour une croissance potentielle du trafic. Vous devez effectuer l’évaluation sur un réseau de test et non dans un environnement de production. Les tests doivent tenter de répliquer l’environnement de production aussi fidèlement que possible. Vous devez tenir compte de la topologie de réseau et émuler les caractéristiques réelles du trafic attendu via le pare-feu.

Données relatives aux performances

L’ensemble suivant de résultats de performances illustre le débit maximal du Pare-feu Azure dans divers cas d’usage. Tous les cas d’usage ont été mesurés alors que Threat Intelligence était en mode alerte/refus. La fonctionnalité d’amélioration des performances du Pare-feu Azure Premium est activée par défaut sur tous les déploiements Premium du Pare-feu Azure. Cette fonctionnalité inclut l’activation de la mise en réseau accélérée sur les machines virtuelles de pare-feu sous-jacentes.

Type de pare-feu et cas d’usage Bande passante TCP/UDP (Gbit/s) Bande passante HTTP/S (Gbit/s)
De base 0,25 0,25
Standard 30 30
Premium (sans TLS/IDPS) 100 100
Premium avec TLS (pas d’IDS/IPS) - 100
Premium avec TLS et IDS 100 100
Premium avec TLS et IPS 10 10

Notes

Le système IPS (système de prévention d’intrusion) se déclenche quand une ou plusieurs signatures sont configurées en mode Alerter et refuser.

Débit pour les connexions uniques

Cas d’usage du pare-feu Débit (Gbits/s)
De base jusqu’à 250 Mbits/s
Standard
Bande passante maximale pour une seule connexion TCP
jusqu’à 1,5
Premium
Bande passante maximale pour une seule connexion TCP
jusqu’à 9
Connexion TCP unique Premium avec IDPS en mode Alerte et Refus Jusqu’à 300 Mbits/s

Débit total pour le déploiement initial du pare-feu

Les numéros de débit suivants concernent les déploiements Pare-feu Azure Standard et Premium avant la mise à l’échelle automatique (déploiement prêt à l’emploi). Le Pare-feu Azure effectue un scale-out progressif lorsque le débit moyen ou la consommation du processeur est de 60 %, ou si le nombre de connexions utilisées est de 80 %. Cette opération prend de cinq à sept minutes. Le Pare-feu Azure effectue un scale-in progressif lorsque le débit moyen, la consommation du processeur ou le nombre de connexions est inférieur à 20 %.

Lors des tests de performances, veillez à tester pendant au moins 10 à 15 minutes et à initier de nouvelles connexions pour tirer parti des nœuds de pare-feu nouvellement créés.

Cas d’usage du pare-feu Débit (Gbits/s)
standard
Bande passante maximale
jusqu’à 3
Premium
Bande passante maximale
jusqu’à 18

Remarque

Le Pare-feu Azure De base ne se met pas à l’échelle automatiquement.

Étapes suivantes