Ir al contenido
Avanet

Guía de Dimensionamiento de Sophos Firewall: Dimensionar correctamente XGS

Sophos Firewall

El dimensionamiento de Sophos Firewall no se trata solo del número de usuarios. Un firewall puede tener una carga muy diferente con el mismo número de usuarios debido al ancho de banda de Internet, inspección TLS, IPS, VPN, protección web, WAF, informes, HA, muchos VLAN o muchas conexiones simultáneas.

Un buen dimensionamiento asegura que el Sophos Firewall no solo funcione el primer día, sino que también tenga reserva con funciones de protección activadas, crecimiento realista y operación limpia. Para decidir entre hardware y appliance virtual, consulte Sophos Firewall - ¿Hardware o appliance virtual?.

Objetivo del dimensionamiento

El objetivo no es encontrar el modelo más pequeño que aún funcione bajo condiciones ideales de laboratorio. En la práctica, el firewall debe permanecer estable incluso cuando ocurren varias cosas al mismo tiempo:

  • muchos usuarios trabajan en paralelo,
  • la inspección TLS o IPS está activa,
  • se ejecutan VPNs de sitio a sitio o de acceso remoto,
  • los informes y registros generan carga adicional,
  • las copias de seguridad, actualizaciones o diagnósticos de soporte se ejecutan en segundo plano,
  • una ubicación crece o recibe más ancho de banda.

Por lo tanto, siempre se debe planificar con reservas. Un firewall ajustado genera más tarde trabajo de soporte: conexiones a Internet lentas, alta carga de CPU, pérdida de paquetes, WebAdmin lento, conexiones VPN inestables o falta de reservas para nuevas funciones de seguridad.

Los factores de dimensionamiento más importantes

Ancho de banda de Internet y perfil de tráfico

La línea de Internet contratada es un buen punto de partida, pero no toda la verdad. Es importante cuánto de eso se utiliza realmente al mismo tiempo y qué tráfico pasa por el firewall.

Verificar:

  • línea simétrica o asimétrica,
  • tráfico máximo en horas de trabajo,
  • muchas sesiones web pequeñas o pocas descargas grandes,
  • copias de seguridad en la nube, Microsoft 365, VoIP, reuniones en línea,
  • conexión de ubicaciones a través de VPN o SD-WAN,
  • tráfico interno entre VLANs que también pasa por el firewall.

Si el firewall también funciona como dispositivo de enrutamiento y segmentación interna, no solo se debe planificar el rendimiento WAN, sino también el tráfico este-oeste. Los fundamentos sobre zonas, VLANs y diseño de interfaces están en Configurar zonas e interfaces de Sophos Firewall.

Funciones de protección

Cuantos más módulos de seguridad estén activos, más fuerte debe dimensionarse el appliance. Son especialmente relevantes:

  • IPS,
  • Protección web,
  • Control de aplicaciones,
  • Inspección SSL/TLS,
  • Protección contra amenazas de día cero,
  • WAF,
  • Protección de correo,
  • Fuentes de amenazas,
  • Informes y visor de registros.

Los valores de las hojas de datos solo son comparables si está claro qué función se midió. El rendimiento del firewall sin inspección de seguridad no es lo mismo que el rendimiento de protección contra amenazas o inspección TLS. Para entornos productivos, no solo se debe mirar el valor de marketing más alto, sino la métrica que se adapta a su uso.

En la inspección TLS, también es importante si la organización puede implementar el despliegue técnica y organizativamente de manera limpia. El procedimiento práctico se describe en Implementar correctamente la inspección TLS de Sophos Firewall.

Usuarios, dispositivos y sesiones

El número de usuarios sigue siendo importante, pero no es suficiente. Una oficina con 50 usuarios, pocos servicios en la nube y sin inspección TLS carga el firewall de manera diferente a una ubicación con 50 usuarios, servidores terminales, muchas aplicaciones SaaS, VoIP, red de invitados, IoT, acceso remoto y varias zonas de servidores.

Además, se cuentan:

  • Número de dispositivos por usuario,
  • Redes de invitados e IoT,
  • Servidores, impresoras, cámaras y dispositivos especiales,
  • Sesiones simultáneas,
  • Muchas pequeñas solicitudes DNS o web,
  • Usuarios de acceso remoto,
  • Sistemas automatizados como copias de seguridad, monitoreo o EDR.

En entornos mixtos con muchos VLANs, se debe planificar más en función de los flujos de tráfico que solo por número de cabezas.

VPN, SD-WAN y conexión de ubicaciones

VPN puede cargar mucho un firewall, especialmente cuando se combinan muchos túneles, alto ancho de banda o muchos usuarios de acceso remoto.

Planificar:

  • IPsec de sitio a sitio,
  • VPN basado en rutas con interfaces XFRM,
  • Acceso remoto a través de Sophos Connect o SSL VPN,
  • Rutas de política SD-WAN,
  • Múltiples líneas WAN,
  • Escenarios de conmutación por error,
  • Temas de MTU/MSS en rutas VPN.

En el rendimiento de VPN, no solo se debe considerar el estado del túnel. Lo crucial es si el tráfico productivo con reglas activadas, NAT, enrutamiento e inspección de seguridad funciona de manera estable. Para rutas de enrutamiento y VPN, Ruta IPsec en Sophos Firewall y Enrutamiento SD-WAN para paquetes de respuesta y tráfico del sistema son profundizaciones adecuadas.

Registro, informes y almacenamiento

El registro ayuda en la operación, pero también genera carga y necesidad de almacenamiento. Quienes utilizan muchas reglas de firewall con registro, filtro web, IPS, control de aplicaciones e informes de firewall central deben aclarar los requisitos de informes desde el principio.

Verificar:

  • ¿Qué reglas deben tener el registro activado?
  • ¿Cuánto tiempo deben estar disponibles los registros?
  • ¿Se utiliza Sophos Central Firewall Reporting?
  • ¿Hay Syslog o SIEM?
  • ¿Se deben crear informes regularmente?
  • ¿Se necesitan datos de registro para resolución de problemas o cumplimiento?

Para evaluaciones más largas, el firewall solo a menudo no es el lugar adecuado. Entonces, se debe planificar Sophos Central Firewall Reporting o una exportación Syslog/SIEM.

¿Hardware, virtual o en la nube?

Appliance de hardware XGS

Un appliance de hardware XGS es generalmente la opción más planificable para ubicaciones clásicas. Hardware, puertos, soporte, ciclo de vida y rendimiento están definidos como un paquete completo.

Ventajas:

  • Hardware de firewall dedicado,
  • Opciones claras de puertos y expansión,
  • Manejo sencillo de soporte y RMA,
  • Rendimiento planificable,
  • Menor dependencia de un hipervisor.

El hardware es especialmente útil cuando el firewall es el punto central de seguridad y enrutamiento en la ubicación.

Sophos Firewall virtual

Un firewall virtual se adapta bien a centros de datos, entornos en la nube o segmentos de red virtualizados. El rendimiento depende en gran medida de la CPU, RAM, almacenamiento, hipervisor, tarjetas de red virtuales y carga del host.

Importante:

  • Los recursos de CPU no deben estar sobrecargados de manera permanente.
  • Las NIC virtuales y los grupos de puertos deben estar claramente separados.
  • La latencia de almacenamiento puede afectar el registro y los informes.
  • La copia de seguridad y restauración deben coincidir con la plataforma de virtualización.
  • El diseño de HA y conmutación por error debe planificarse con anticipación.

La licencia y la decisión entre hardware y appliance virtual deben revisarse por separado. Para ello, consulte Sophos Firewall - ¿Hardware o appliance virtual?.

Clasificación de appliances

Las siguientes áreas ayudan en la orientación general. La selección concreta debe verificarse luego con el ancho de banda, funciones, reserva y modelo operativo.

Sophos Desktop Appliances - Pequeñas empresas

Los appliances de escritorio son adecuados para ubicaciones pequeñas, sucursales, oficinas y entornos con necesidades de espacio limitadas. Aquí es especialmente importante si el appliance solo proporciona acceso a Internet y seguridad básica o si también debe manejar muchos VLANs, VPNs, inspección TLS e informes.

XGS 88
XGS 108
XGS 118
XGS 128
XGS 138

Sophos 1U Rack Appliances - Empresas medianas

Los appliances 1U son típicamente relevantes para medianas empresas, ubicaciones centrales y entornos con mayor necesidad de puertos, mayor rendimiento o mayor carga de seguridad. Estos modelos suelen ser la mejor opción cuando se combinan múltiples líneas WAN, muchos VLANs, varios túneles VPN o altas demandas de registro.

XGS 2100
XGS 2300
XGS 3100
XGS 3300
XGS 4300
XGS 4500

Sophos 2U Rack Appliances - Empresas grandes

Los appliances 2U pertenecen a entornos con muy alto ancho de banda, muchas sesiones simultáneas, múltiples módulos de seguridad y altas demandas de disponibilidad. Aquí, el dimensionamiento siempre debe realizarse con datos de tráfico concretos, suposiciones de crecimiento y diseño de HA.

XGS 5500
XGS 6500
XGS 7500
XGS 8500

Reserva, HA y crecimiento

Un firewall no debe funcionar constantemente cerca del límite. Las reservas son importantes para:

  • Crecimiento de la línea de Internet,
  • Nuevas ubicaciones o VLANs,
  • Activación posterior de inspección TLS o IPS,
  • Más usuarios de acceso remoto,
  • Requisitos adicionales de registro e informes,
  • Actualizaciones de firmware con nuevas funciones,
  • Situaciones de interrupción y conmutación por error.

En HA, se debe planificar con especial cuidado. En un diseño activo-pasivo, un solo nodo debe poder manejar la carga productiva por sí solo. Activo-activo no es un pase libre para un dimensionamiento ajustado, ya que no toda la carga se distribuye linealmente. Los puntos arquitectónicos más importantes están en Entender las variantes de clúster HA de Sophos Firewall.

Como regla general, en nuevos proyectos no se debe planificar un firewall que ya muestre constantemente una alta carga de CPU, RAM o sesiones en operación normal. El artículo Interpretar correctamente las métricas de rendimiento de Sophos Firewall ayuda en la revisión operativa posterior.

Proceso práctico de dimensionamiento

1. Capturar la situación inicial

Primero se describe el entorno:

  • Ubicaciones y líneas WAN,
  • Usuarios y dispositivos,
  • VLANs y zonas internas,
  • Servicios de servidor y DMZ,
  • Requisitos de VPN y acceso remoto,
  • Módulos de seguridad planificados activamente,
  • Requisitos de informes y registros,
  • Requisitos de HA o nube.

2. Marcar los impulsores de carga críticos

Luego se marcan los puntos que pueden elevar el modelo:

  • Inspección TLS ampliamente utilizada,
  • Muchas conexiones protegidas por IPS,
  • Alto rendimiento de VPN,
  • Muchas sesiones simultáneas,
  • Muchas reglas de firewall con registro,
  • WAF o protección de correo,
  • Fuerte segmentación con tráfico interno a través del firewall,
  • Crecimiento en los próximos tres a cinco años.

3. Leer correctamente los valores de la hoja de datos

Los valores de la hoja de datos deben entenderse como valores comparativos, no como garantía para cada entorno. Lo crucial es qué medición se adapta al uso planificado:

MétricaPara qué ayuda
Rendimiento del firewallorientación general para el rendimiento de paquetes simple
Rendimiento IPSentornos con prevención de intrusiones activa
Protección contra amenazascarga de seguridad más realista con múltiples funciones de protección
Inspección TLSentornos con tráfico HTTPS descifrado
Rendimiento VPN IPsecconexión de ubicaciones y carga de VPN
Conexiones concurrentesmuchos clientes, sesiones web y servicios

Si varios de estos puntos son relevantes al mismo tiempo, no se debe considerar solo una métrica.

4. Establecer reserva

Antes de la elección final del modelo, se debe decidir conscientemente cuánta reserva se planificará. Una pequeña reserva puede ser suficiente en ubicaciones muy simples. En firewalls centrales, clústeres HA, fuerte crecimiento o uso amplio de seguridad, la reserva debe ser significativamente mayor.

5. Validar después de la puesta en marcha

El dimensionamiento no termina con el pedido. Después de la puesta en marcha, se debe verificar si las suposiciones son correctas:

  • Carga de CPU y RAM en momentos pico,
  • Números de sesiones,
  • Rendimiento VPN,
  • Tiempo de respuesta de WebAdmin,
  • Visor de registros e informes,
  • Pérdida de paquetes o retransmisiones,
  • Carga WAN,
  • Rendimiento después de activar funciones de protección adicionales.

Para mediciones reproducibles, Usar la prueba de velocidad iPerf de Sophos Firewall para resolución de problemas puede ayudar. Para pruebas simples de velocidad WAN, Interpretar correctamente la prueba de velocidad de Internet de Sophos Firewall es la entrada adecuada.

Errores comunes de dimensionamiento

  • Dimensionar solo según el número de usuarios.
  • Confundir valores de la hoja de datos para rendimiento del firewall con carga de protección contra amenazas.
  • Activar la inspección TLS más tarde sin haber planificado reserva.
  • Planificar HA pero no verificar si un nodo tiene suficiente rendimiento por sí solo.
  • Ignorar el tráfico entre VLANs.
  • Subestimar el registro y los informes.
  • Operar firewalls virtuales en hosts sobrecargados.
  • No considerar el crecimiento de la línea de Internet.
  • Planificar acceso remoto y VPN de sitio a sitio solo según el número de túneles en lugar de rendimiento.

Lista de verificación

  • Ancho de banda de Internet y uso máximo real conocido.
  • Usuarios, dispositivos, VLANs y zonas de servidores capturados.
  • Módulos de seguridad planificados documentados.
  • Inspección TLS, IPS, VPN, WAF, protección de correo e informes evaluados por separado.
  • Tráfico interno a través del firewall considerado.
  • Diseño de HA y carga de conmutación por error verificados.
  • Decisión consciente entre hardware o appliance virtual.
  • Reserva de crecimiento planificada para varios años.
  • Métricas de rendimiento verificadas después de la puesta en marcha.

Preguntas frecuentes

¿Es suficiente el número de usuarios para el dimensionamiento de Sophos Firewall?

No. El número de usuarios es solo un punto de partida. El ancho de banda, la inspección de seguridad, VPN, sesiones, VLANs, registro y crecimiento son a menudo más importantes.

¿Qué Sophos Firewall es adecuado para una línea de Internet de 1 Gbit/s?

Depende de si la línea solo se enruta o si están activos IPS, protección web, inspección TLS, VPN e informes. Para una selección seria, se deben conocer las funciones de protección planificadas y el tráfico simultáneo.

¿Por qué se debe planificar reserva?

Porque los firewalls crecen en operación: más ancho de banda, más tráfico en la nube, más VPN, nuevas funciones de protección y más registro. Sin reserva, el firewall se convertirá en un cuello de botella más tarde.

¿Es un Sophos Firewall virtual tan rápido como un appliance de hardware?

No automáticamente. Un firewall virtual puede funcionar muy bien, pero depende en gran medida de la CPU, RAM, almacenamiento, hipervisor, tarjetas de red virtuales y carga del host. Los appliances de hardware son más planificables como paquete completo.

¿Se debe revisar el dimensionamiento después de la puesta en marcha?

Sí. Después del lanzamiento, se debe verificar la CPU, RAM, sesiones, rendimiento VPN, visor de registros, informes y carga WAN en momentos pico. Así se reconoce temprano si las suposiciones eran realistas.