IT-beveiligingsbeheerders worden vaak ingeschakeld om netwerkproblemen op te lossen. Een belangrijke toepassing kan bijvoorbeeld latentie of verbroken verbinding vertonen, waardoor eindgebruikers worden gefrustreerd. Deze problemen kunnen worden veroorzaakt door een recente routeringsupdate of beveiligingswijzigingen. In sommige gevallen kan de oorzaak een plotselinge uitbarsting van netwerkverkeer zijn – overweldigende netwerkbronnen.
Microsoft Azure Firewall biedt nu nieuwe logboekregistratie en metrische verbeteringen die zijn ontworpen om de zichtbaarheid te vergroten en meer inzicht te bieden in het verkeer dat door de firewall wordt afgehandeld. IT-beveiligingsbeheerders kunnen een combinatie van het volgende gebruiken om prestatieproblemen met roottoepassingen op te lossen:
o De latentieschaal van de sonde is Nu in voorvertoning.
o Flow tracking log is Nu in voorvertoning.
o Log vetstromen is Nu in voorvertoning.
Azure Firewall is een cloud-native firewall-as-a-service waarmee klanten al hun verkeersstromen centraal kunnen beheren en loggen met behulp van een DevOps-benadering. De service ondersteunt filterregels op netwerk- en applicatieniveau en wordt gecombineerd met de Microsoft Defender Threat Intelligence-feed om bekende kwaadaardige IP-adressen en domeinen uit te filteren. Azure Firewall is maximaal beschikbaar met ingebouwde automatische schaling.
Responstijdsondestatistiek – nu in preview
In de netwerkinfrastructuur kan men een toename van de latentie opmerken, afhankelijk van verschillende factoren. De mogelijkheid om de latentie van de firewall te bewaken is essentieel om proactief eventuele problemen met verkeer of services in de infrastructuur aan te pakken.
De Latency Probe is ontworpen om de algehele latentie van Azure Firewall te meten en inzicht te geven in de status van de service. IT-beheerders kunnen de meting gebruiken om te bewaken en te waarschuwen als er waarneembare latentie is en om vast te stellen of Azure Firewall netwerklatentie veroorzaakt.
Als Azure Firewall latentie ervaart, kan dit verschillende redenen hebben, zoals een hoog CPU-gebruik, gegevensoverdrachtssnelheid of netwerkproblemen. Een belangrijke opmerking is dat deze tool wordt aangedreven door Pingmesh-technologie, wat betekent dat de statistiek de gemiddelde latentie van de firewall zelf meet. De statistiek meet geen end-to-end latentie of latentie van individuele pakketten.
Flow Trace-logboeken — Nu in preview
Azure Firewall-logboekregistratie biedt logboeken van verschillende soorten verkeer, zoals netwerk-, toepassings- en bedreigingsinformatieverkeer. Tegenwoordig tonen deze logboeken verkeer door de firewall bij de eerste poging tot een TCP-verbinding (Transmission Control Protocol), ook wel bekend als een SYN-pakket. Dit laat echter niet de volledige reis van het pakket in de TCP-handshake zien. De mogelijkheid om elk pakket via de firewall te bewaken en te traceren is van cruciaal belang voor het identificeren van pakketdroppings of asymmetrische paden.
Om dieper in te gaan op het voorbeeld van asymmetrische routering: Azure Firewall – als een stateful firewall – onderhoudt stateful verbindingen en zorgt ervoor dat verkeer automatisch en dynamisch kan terugkeren naar de firewall. Asymmetrische routering kan echter optreden wanneer een pakket het ene pad naar de bestemming neemt via de firewall en een ander pad neemt wanneer het probeert terug te keren naar de bron. Dit kan te wijten zijn aan een gebruikersfout in de configuratie, zoals het toevoegen van een onnodige route in het firewallpad.
Als gevolg hiervan kan men controleren of het pakket met succes door de firewall is gestroomd of dat er asymmetrische routering is door extra TCP-handshake-records te bekijken in Flow Trace.
Om dit te doen, kunt u de netwerklogboeken controleren om het eerste SYN-pakket te bekijken en op “Enable Flow Trace” klikken om aanvullende vlaggen voor verificatie te zien:
o SYN-ACK
wie binnen
o FIN-ACK
hoi eerst
Q is ongeldig
Door deze extra vlaggen toe te voegen aan stroomtraceerlogboeken, kunnen IT-beheerders nu het retourpakket zien, als er een mislukte verbinding is of een onbekend pakket. Lees de onderstaande documentatie om deze logboeken in te schakelen.
Topstreams – nu in preview
Tegenwoordig ondersteunt Microsoft Azure Firewall Standard tot 30 Gbps en Azure Firewall Premium tot 100 Gbps aan verkeersverwerking. In ieder geval kunnen verkeersstromen soms onbedoeld of opzettelijk “zwaar” zijn, afhankelijk van de pakketgrootte, de duur en andere factoren. Aangezien deze stromen andere stromen en de verwerking van de firewall kunnen beïnvloeden, is het belangrijk om deze verkeersstromen te monitoren, zodat de firewall optimaal kan functioneren.
Een geschiedenis van Top Flows – of in de branche bekend als Fat Flows – toont de topverbindingen die in een bepaald tijdsbestek via de firewall de hoogste bandbreedte bijdragen.
Dit inzicht biedt de volgende voordelen voor IT-beheerders:
o Bepaal welke verkeersstromen het beste door de firewall gaan.
o Identificeer onverwacht of afwijkend verkeer.
o Bepaal welk verkeer u wilt toestaan of weigeren, op basis van resultaten en doelen.
Lees de onderstaande documentatie om deze logboeken in te schakelen.
volgende stappen
Raadpleeg de volgende bronnen voor meer informatie over Azure Firewall en alles wat we in dit blogbericht hebben besproken:
Azure Firewall-documentatie.
Azure Firewall Manager-documentatie.
Implementeer en configureer Azure Firewall-logboeken en -statistieken.
Schakel flow-tracking en topflows-tutorialrecords in.