Interpretar correctamente los datos de rendimiento de Sophos Firewall
Los datos de rendimiento de un Sophos Firewall son importantes para el dimensionamiento, pero a menudo se interpretan incorrectamente. El mayor rendimiento del firewall en la hoja de datos no es automáticamente el rendimiento que un sitio alcanzará con IPS, Protección web, Inspección TLS, VPN, NAT, informes y muchos usuarios simultáneos.
Por lo tanto, al elegir un modelo, no se debe mirar solo un número de Gbit/s. Lo importante es qué funciones de protección están activas, qué tráfico pasa por el firewall y qué reservas necesita el entorno en el día a día. La Guía de dimensionamiento de Sophos Firewall explica la elección del modelo; este artículo explica cómo evaluar las métricas de rendimiento subyacentes.

Regla rápida para el dimensionamiento
En la práctica, generalmente no es el rendimiento puro del firewall el mejor punto de partida.
- Solo enrutamiento y reglas de firewall simples: Considerar el rendimiento del firewall e IMIX.
- Red empresarial normal con IPS y Control de aplicaciones: Dar más peso a los valores de NGFW o Protección contra amenazas.
- Muchas conexiones HTTPS con descifrado: Planificar el rendimiento de la Inspección TLS y la reserva de CPU.
- Muchas conexiones VPN: Considerar por separado los requisitos de IPsec o Acceso remoto.
- Firewall virtual: Tomar en serio el hipervisor, CPU, RAM, almacenamiento y tarjetas de red virtuales tanto como la licencia de Sophos.
Si no está claro si es mejor el hardware o la aplicación virtual, Sophos Firewall - ¿Hardware o aplicación virtual? puede ayudar en la decisión.
Por qué los valores de la hoja de datos no son suficientes
Los valores de rendimiento se determinan bajo condiciones de laboratorio definidas. Esto es útil porque hace que los modelos sean comparables. Sin embargo, un entorno productivo se comporta de manera diferente:
- Los tamaños de los paquetes son mixtos.
- Los usuarios generan sesiones paralelas.
- Los perfiles de seguridad examinan el tráfico con diferentes profundidades.
- El tráfico HTTPS requiere significativamente más recursos con la Inspección TLS.
- VPN, SD-WAN, NAT, registro e informes funcionan en paralelo.
- WLAN, switches, clientes, servidores y proveedores influyen en el rendimiento percibido.
Por lo tanto, un valor de la hoja de datos es un valor comparativo, no una promesa para cada flujo individual. Para un dimensionamiento sólido, se debe planificar con reservas y no considerar las funciones operativas posteriores a la compra.
Las métricas más importantes
- Rendimiento del firewall: Comparación en tráfico simple de capa 3/capa 4 A menudo se lee como rendimiento real de Internet con todas las funciones de seguridad
- Firewall IMIX: mezcla más realista de diferentes tamaños de paquetes Se ignora, aunque las redes reales rara vez tienen solo paquetes grandes
- Rendimiento IPS: Tráfico con Prevención de Intrusiones Se subestima cuando IPS está activo para muchas reglas
- Rendimiento NGFW: Firewall con funciones adicionales de próxima generación como IPS y Control de aplicaciones Se confunde con el rendimiento puro del firewall
- Protección contra amenazas: Valor de aproximación más fuerte para funciones de protección activadas Se entiende como un valor mínimo fijo en lugar de una métrica comparativa
- Inspección TLS: Descifrado y examen de HTTPS Se olvida en el dimensionamiento, aunque puede ser muy intensivo en recursos
- VPN IPsec: Conexión de sitios y túneles cifrados Se planifica solo en función de la conexión a Internet, sin considerar el punto final, tamaños de paquetes y CPU
- Sesiones y conexiones por segundo: Muchos usuarios, tráfico web, publicación de servidores, conexiones cortas Rara vez se verifica, pero puede ser relevante con muchos clientes o servicios publicados
Rendimiento del firewall e IMIX
El rendimiento puro del firewall describe un procesamiento relativamente simple del tráfico. Este valor es útil cuando un firewall principalmente enruta, realiza NAT y procesa reglas de firewall clásicas.
IMIX está más cerca de la carga real de la red porque mezcla diferentes tamaños de paquetes. Esto es importante porque los paquetes pequeños cargan un firewall de manera diferente a las descargas grandes. En las redes empresariales, rara vez hay solo un flujo de datos grande y limpio. Los accesos web, DNS, VoIP, aplicaciones en la nube, actualizaciones y transferencias de archivos generan diferentes patrones.
Para ubicaciones con tráfico de usuarios normal, IMIX es a menudo más significativo que el valor máximo más atractivo.
IPS, NGFW y Protección contra amenazas
Una vez que IPS, Control de aplicaciones, Protección web o el examen de malware están activos, el firewall debe hacer más que simplemente reenviar paquetes. El firewall debe clasificar el tráfico, reconocer patrones, aplicar reglas y, según la política, examinar el contenido.
Los términos a menudo se mezclan:
- IPS evalúa el tráfico en función de firmas y reglas para patrones de ataque conocidos.
- NGFW describe el rendimiento del firewall con funciones adicionales como IPS y Control de aplicaciones.
- Protección contra amenazas es un valor de aproximación más fuerte para entornos donde varias funciones de protección están activas simultáneamente.
Para una empresa que realmente opera Sophos Firewall como un gateway de seguridad, los valores de NGFW y Protección contra amenazas suelen ser más relevantes que el rendimiento puro del firewall.
Planificar la Inspección TLS de manera realista
La Inspección TLS es uno de los mayores factores de rendimiento. El firewall descifra las conexiones HTTPS, examina el contenido y vuelve a cifrar la conexión. Esto genera carga en la CPU y puede ser notablemente perceptible según el conjunto de cifrado, el servidor de destino, el cliente, las excepciones y la política.
Por lo tanto, la Inspección TLS no debe activarse de manera casual. Es sensato un despliegue gradual con un grupo piloto, excepciones, monitoreo y una búsqueda de errores clara. El artículo Implementar correctamente la Inspección TLS de Sophos Firewall describe el proceso operativo.
También se debe distribuir correctamente el certificado CA. Para los clientes, Instalar el certificado CA de Sophos Firewall para el escaneo HTTPS es el punto de partida adecuado.
Evaluar el rendimiento de VPN por separado
El rendimiento de VPN no solo depende del modelo de firewall. También son relevantes el punto final, la conexión a Internet, la latencia, los tamaños de paquetes, MTU/MSS, los parámetros de cifrado, el enrutamiento y los túneles paralelos.
Para las conexiones de sitio a sitio, se deben estimar de manera realista los flujos de datos planificados: transferencias de archivos, copias de seguridad, ERP, VoIP, RDP, monitoreo y replicación se comportan de manera diferente. Para el acceso remoto, también se añaden el dispositivo cliente, WLAN, proveedor y cliente VPN.
Si un enlace VPN parece lento, no se debe verificar solo el valor de la hoja de datos. Una prueba de enlace definida con iPerf suele ser más significativa que una prueba de velocidad en el navegador.
Qué influye en el rendimiento real
En la práctica, varios factores actúan simultáneamente:
- perfiles de seguridad activos por regla de firewall
- Inspección TLS y excepciones
- Política IPS y alcance de firmas
- Protección web, Control de aplicaciones y examen de malware
- NAT, DNAT, publicación de servidores y WAF
- IPsec, SSL VPN, Sophos Connect y túneles de sitio a sitio
- Registro, informes, informes centrales y Syslog
- muchas sesiones pequeñas en lugar de pocas descargas grandes
- Aceleración del firewall, FastPath, Aceleración IPsec y tráfico que no se puede descargar
- Operación HA, versión de firmware y hotfixes
- Recursos virtuales en aplicaciones de software o en la nube
Por lo tanto, el rendimiento siempre debe evaluarse en el contexto de la política concreta. Una regla de firewall sin perfiles de seguridad se comporta de manera diferente a una regla con IPS, filtro web, Control de aplicaciones e Inspección TLS.
Interpretar correctamente FastPath y Offloading
Los firewalls modernos de Sophos no procesan cada flujo de datos de la misma manera. Dependiendo de la aplicación, firmware, regla, perfil de seguridad y tipo de tráfico, el tráfico puede acelerarse parcialmente o examinarse en una ruta de procesamiento más lenta. Los términos importantes para esto son FastPath, aceleración del firewall, aceleración PKI y aceleración IPsec.
Para el dimensionamiento, esto es importante porque una prueba rápida no demuestra que cada flujo de datos productivo utilice la misma ruta. Muchos appliances XGS usan un Xstream Flow Processor dedicado para FastPath. Algunos modelos desktop más recientes, como XGS 88/88w, 108/108w, 118/118w y 128/128w, usan Virtual FastPath en el kernel x86. Estos modelos pueden acelerar el procesamiento de firewall e IPsec, pero no ofrecen PKI Acceleration dedicada para el procesamiento de certificados TLS. Los appliances virtuales y de software dependen aún más del entorno x86 proporcionado. Por eso, offloading nunca debe leerse como garantía general para cada modelo y cada diseño.
- SSL VPN
- WAF y tráfico proxy
- QoS y DoS
- Inalámbrico, RED, LAG y PPPoE
- Tráfico IP fragmentado
- Ciertas situaciones de puente, HA o virtualización
En HA hay que mirar con especial cuidado. Active-Active HA no admite Firewall Acceleration. En Active-Passive HA, Firewall e IPsec Acceleration solo las usa el nodo primario. Por tanto, el sizing para HA no debe extrapolar sin más valores de laboratorio standalone a ambos nodos.
Además, la búsqueda de errores puede influir en los valores de medición. Si Packet Capture o iftop están en ejecución, el tráfico puede procesarse de manera diferente según la situación que en el funcionamiento normal. Por lo tanto, los resultados de las mediciones de rendimiento y de Packet Capture siempre deben documentarse con el momento, el método de prueba, la versión del firmware, el tipo de interfaz y la política activa.
La aceleración IPsec es un caso especial propio. Los cambios en ella pueden reiniciar túneles y requieren una ventana de mantenimiento. En un entorno productivo, no se deben cambiar estas configuraciones como un intento rápido, sino primero verificar con el Visor de registros, Packet Capture, Solución de problemas de IPsec y un caso de prueba claro si la sospecha realmente se ajusta.
Verificar el rendimiento en operación
Los valores de la hoja de datos ayudan antes de la compra. En operación, se necesitan otras herramientas. Es importante separar los conceptos: el Control Center no muestra rendimiento de ficha técnica, sino indicadores operativos actuales. La tarjeta Performance se basa en el load average sobre los núcleos de CPU. Valores por encima del número de núcleos disponibles significan que hay más trabajo pendiente del que el sistema puede procesar en ese momento.
También son relevantes CPU, memoria, ancho de banda, sesiones, Decryption Capacity y Decrypt Sessions. Decryption Capacity es especialmente útil con TLS Inspection porque muestra cuánto utiliza la descifrado SSL/TLS actual la capacidad de descifrado disponible. Los detalles de decryption no se actualizan como medición en vivo segundo a segundo, sino normalmente cada cinco minutos. Estos valores deben leerse siempre junto con política, regla, perfil de seguridad, hora y tipo de tráfico.
Procedimiento práctico:
- Verificar el Centro de control: Observar CPU, RAM, carga de interfaz y advertencias.
- Abrir el Visor de registros: ¿La regla de firewall esperada está activa y el registro está habilitado?
- Controlar la política y los perfiles de seguridad: ¿Qué funciones afectan al tráfico afectado?
- Usar Packet Capture: ¿Se ven paquetes, paquetes de respuesta, NAT y caídas?
- Realizar una prueba de enlace: Con iPerf o una descarga definida, verificar qué ruta realmente es lenta.
- Anotar el contexto de offloading: El tipo de interfaz, el modo HA, el tipo de VPN, PPPoE, WAF, SSL VPN o Packet Capture pueden influir en la medición.
- Anotar el momento: Picos de carga, copias de seguridad, actualizaciones o informes pueden distorsionar los resultados.
Para una rápida delimitación de la conexión WAN, Realizar una prueba de velocidad de Internet de Sophos Firewall por SSH es útil. Para pruebas de extremo a extremo entre dos sistemas, Probar el rendimiento de Sophos Firewall con iPerf es más adecuado. Si una regla no se aplica como se esperaba, Probar reglas de Sophos Firewall de manera específica es apropiado.
Errores típicos de dimensionamiento
- Solo se compara el mayor rendimiento del firewall.
- Se planifica la Inspección TLS, pero no se incluye en la reserva de rendimiento.
- VPN y Acceso remoto se evalúan según el número de usuarios en lugar del uso real.
- Se considera la conexión a Internet, pero no el tráfico interno este-oeste.
- Los firewalls virtuales se ejecutan en hosts sobrecargados.
- Los informes, registros y la conexión central se consideran solo después.
- El crecimiento, nuevas ubicaciones, VLAN adicionales o publicación de servidores faltan en la planificación.
- No se hace diferencia entre el valor de laboratorio, el valor real y la experiencia del usuario.
Lista de verificación práctica para el dimensionamiento
Antes de elegir un modelo, se deben aclarar estos puntos:
- Ancho de banda de Internet hoy y planificado para los próximos años.
- Número de usuarios, dispositivos, servidores y ubicaciones.
- Proporción de tráfico web, aplicaciones en la nube, VoIP, copias de seguridad y transferencias de archivos.
- Funciones de seguridad planificadas por grupo de tráfico.
- Alcance de la Inspección TLS y excepciones necesarias.
- Número y uso de conexiones IPsec, SSL VPN y Sophos Connect.
- Necesidad de WAF, Protección de correo, RED, WLAN o Informes centrales.
- Reservas esperadas para actualizaciones, crecimiento y picos de carga.
- Modelo operativo: Hardware XGS, aplicación virtual, nube o clúster HA.