Aller au contenu
Avanet

Interpréter correctement les données de performance du Sophos Firewall

Les données de performance d’un Sophos Firewall sont importantes pour le dimensionnement, mais elles sont souvent mal interprétées. Le débit maximal du pare-feu indiqué dans la fiche technique n’est pas automatiquement la performance qu’un site atteindra avec IPS, Web Protection, Inspection TLS, VPN, NAT, Reporting et de nombreux utilisateurs simultanés.

Pour choisir un modèle, il ne faut donc pas se concentrer uniquement sur un chiffre en Gbit/s. Ce qui est crucial, c’est de savoir quelles fonctions de protection sont activées, quel trafic traverse le pare-feu et quelles réserves l’environnement nécessite au quotidien. Le Guide de dimensionnement du Sophos Firewall explique le choix du modèle ; cet article explique comment évaluer les métriques de performance sous-jacentes.

Tableau des données de performance de la série Sophos Firewall XGS
Les données de performance sont des valeurs de comparaison sous des conditions de test définies, pas une garantie pour chaque environnement réel.

Règle rapide pour le dimensionnement

Dans la pratique, le débit pur du pare-feu n’est généralement pas le meilleur point de départ.

  • Seulement routage et règles de pare-feu simples : Considérez le débit du pare-feu et IMIX.
  • Réseau d’entreprise normal avec IPS et Application Control : Accordez plus de poids aux valeurs NGFW ou de Protection contre les menaces.
  • Beaucoup de connexions HTTPS avec déchiffrement : Prévoyez la performance de l’Inspection TLS et la réserve CPU.
  • Beaucoup de connexions VPN : Considérez séparément les exigences IPsec ou d’accès à distance.
  • Pare-feu virtuel : Prenez au sérieux l’hyperviseur, le CPU, la RAM, le stockage et les cartes réseau virtuelles autant que la licence Sophos.

Si vous n’êtes pas sûr de savoir si le matériel ou l’appliance virtuelle convient mieux, Sophos Firewall - Matériel ou appliance virtuelle ? peut vous aider à décider.

Pourquoi les valeurs des fiches techniques ne suffisent pas

Les valeurs de performance sont déterminées dans des conditions de laboratoire définies. Cela est utile car cela rend les modèles comparables. Cependant, un environnement productif se comporte différemment :

  • Les tailles de paquets sont mélangées.
  • Les utilisateurs génèrent des sessions parallèles.
  • Les profils de sécurité examinent le trafic à des niveaux de profondeur différents.
  • Le trafic HTTPS nécessite beaucoup plus de ressources avec l’Inspection TLS.
  • VPN, SD-WAN, NAT, journalisation et reporting fonctionnent en parallèle.
  • WLAN, commutateurs, clients, serveurs et fournisseurs influencent la performance perçue.

Une valeur de fiche technique est donc une valeur de comparaison, pas une promesse pour chaque flux individuel. Pour un dimensionnement solide, il faut planifier avec des réserves et ne pas considérer les fonctions opérationnelles futures seulement après l’achat.

Les métriques les plus importantes

  • Débit du pare-feu: Comparaison pour le trafic simple de couche 3/couche 4 Souvent lu comme le débit Internet réel avec toutes les fonctions de sécurité
  • Firewall IMIX: Mélange plus réaliste de différentes tailles de paquets Ignoré, bien que les réseaux réels aient rarement seulement de gros paquets
  • Débit IPS: Trafic avec prévention des intrusions Sous-estimé lorsque l’IPS est activé pour de nombreuses règles
  • Débit NGFW: Pare-feu avec des fonctions supplémentaires de nouvelle génération comme IPS et Application Control Confondu avec le débit pur du pare-feu
  • Protection contre les menaces: Valeur approximative plus forte pour les fonctions de protection activées Compris comme une valeur minimale fixe au lieu d’une métrique de comparaison
  • Inspection TLS: Déchiffrement et vérification HTTPS Oublié dans le dimensionnement, bien qu’il puisse être très gourmand en ressources
  • VPN IPsec: Interconnexion de sites et tunnels chiffrés Planifié uniquement en fonction de la connexion Internet, sans tenir compte de l’autre extrémité, des tailles de paquets et du CPU
  • Sessions et connexions par seconde: De nombreux utilisateurs, trafic Web, publication de serveurs, connexions courtes Rarement vérifié, mais peut être pertinent pour de nombreux clients ou services publiés

Débit du pare-feu et IMIX

Le débit pur du pare-feu décrit un traitement relativement simple du trafic. Cette valeur est utile lorsqu’un pare-feu effectue principalement du routage, du NAT et traite des règles de pare-feu classiques.

IMIX est plus proche de la charge réseau réelle car il mélange différentes tailles de paquets. C’est important car les petits paquets sollicitent un pare-feu différemment des gros téléchargements. Dans les réseaux d’entreprise, il y a rarement un seul flux de données propre et important. Les accès Web, DNS, VoIP, applications cloud, mises à jour et transferts de fichiers génèrent des modèles différents.

Pour les sites avec un trafic utilisateur normal, IMIX est donc souvent plus significatif que la plus belle valeur maximale.

IPS, NGFW et Protection contre les menaces

Dès que l’IPS, Application Control, Web Protection ou l’analyse des malwares sont activés, le pare-feu doit faire plus que simplement transférer des paquets. Le pare-feu doit classifier le trafic, reconnaître les modèles, appliquer des règles et vérifier les contenus selon la politique.

Les termes sont souvent confondus :

  • IPS évalue le trafic en fonction de signatures et de règles pour des modèles d’attaque connus.
  • NGFW décrit la performance du pare-feu avec des fonctions supplémentaires comme IPS et Application Control.
  • Protection contre les menaces est une valeur approximative plus forte pour les environnements où plusieurs fonctions de protection sont activées simultanément.

Pour une entreprise qui utilise réellement le Sophos Firewall comme passerelle de sécurité, les valeurs NGFW et de Protection contre les menaces sont généralement plus pertinentes que le débit pur du pare-feu.

Planifier l’Inspection TLS de manière réaliste

L’Inspection TLS est l’un des plus grands facteurs de performance. Le pare-feu déchiffre les connexions HTTPS, vérifie le contenu et chiffre à nouveau la connexion. Cela génère une charge CPU et peut être sensiblement perceptible selon la suite de chiffrement, le serveur cible, le client, les exceptions et la politique.

L’Inspection TLS ne doit donc pas être activée à la légère. Un déploiement progressif avec un groupe pilote, des exceptions, une surveillance et une recherche d’erreurs claire est judicieux. L’article Introduire correctement l’Inspection TLS du Sophos Firewall décrit le processus opérationnel.

Le certificat CA doit également être distribué proprement. Pour les clients, Installer le certificat CA du Sophos Firewall pour le scan HTTPS est le point de départ approprié.

Considérer séparément la performance VPN

La performance VPN ne dépend pas seulement du modèle de pare-feu. Sont également pertinents l’autre extrémité, la connexion Internet, la latence, les tailles de paquets, MTU/MSS, les paramètres de chiffrement, le routage et les tunnels parallèles.

Pour les connexions site-à-site, il faut estimer de manière réaliste les flux de données prévus : transferts de fichiers, sauvegardes, ERP, VoIP, RDP, surveillance et réplication se comportent différemment. Pour l’accès à distance, s’ajoutent l’appareil client, le WLAN, le fournisseur et le client VPN.

Si une connexion VPN semble lente, il ne faut pas seulement vérifier la valeur de la fiche technique. Un test de connexion défini avec iPerf est généralement plus significatif qu’un test de vitesse de navigateur.

Ce qui influence la performance réelle

En pratique, plusieurs facteurs agissent simultanément :

  • Profils de sécurité actifs par règle de pare-feu
  • Inspection TLS et exceptions
  • Politique IPS et étendue des signatures
  • Web Protection, Application Control et analyse des malwares
  • NAT, DNAT, publication de serveurs et WAF
  • IPsec, SSL VPN, Sophos Connect et tunnels site-à-site
  • Journalisation, reporting, Central Reporting et Syslog
  • De nombreuses petites sessions au lieu de quelques gros téléchargements
  • Accélération du pare-feu, FastPath, Accélération IPsec et trafic qui ne peut pas être déchargé
  • Fonctionnement HA, version du firmware et correctifs
  • Ressources virtuelles pour les appliances logicielles ou cloud

Il est donc important de toujours vérifier la performance dans le contexte de la politique concrète. Une règle de pare-feu sans profils de sécurité se comporte différemment d’une règle avec IPS, filtre Web, Application Control et Inspection TLS.

Bien comprendre FastPath et Offloading

Les pare-feux Sophos modernes ne traitent pas tous les flux de données de la même manière. Selon l’appliance, le firmware, la règle, le profil de sécurité et le type de trafic, le trafic peut être partiellement accéléré ou vérifié dans un chemin de traitement plus lent. Les termes importants pour cela sont FastPath, accélération du pare-feu, accélération PKI et accélération IPsec.

Pour le dimensionnement, c est important, car un test rapide ne prouve pas que chaque flux de production utilise le même chemin. De nombreuses appliances XGS utilisent un Xstream Flow Processor dédié pour FastPath. Certains modèles desktop plus récents, comme XGS 88/88w, 108/108w, 118/118w et 128/128w, utilisent plutôt Virtual FastPath dans le noyau x86. Ces modèles peuvent accélérer le traitement firewall et IPsec, mais ne fournissent pas d accélération PKI dédiée pour le traitement des certificats TLS. Les appliances virtuelles et logicielles dépendent encore davantage de l environnement x86 fourni. L offloading ne doit donc jamais être lu comme une garantie générale pour chaque modèle et chaque design.

  • SSL VPN
  • WAF et trafic proxy
  • QoS et DoS
  • Sans fil, RED, LAG et PPPoE
  • Trafic IP fragmenté
  • Certains scénarios de pont, HA ou virtualisation

En HA, il faut regarder particulièrement attentivement. Active-Active HA ne prend pas en charge Firewall Acceleration. En Active-Passive HA, Firewall Acceleration et IPsec Acceleration ne sont utilisées que par le noeud primaire. Un dimensionnement HA ne doit donc pas simplement extrapoler des valeurs de laboratoire standalone sur les deux noeuds.

Même la recherche d’erreurs peut influencer les mesures. Lorsque Packet Capture ou iftop est en cours, le trafic peut être traité différemment selon la situation par rapport au fonctionnement normal. Il est donc important de toujours documenter les mesures de performance et les résultats de capture de paquets avec le moment, la méthode de test, la version du firmware, le type d’interface et la politique active.

L’accélération IPsec est un cas particulier. Les modifications peuvent redémarrer les tunnels et nécessitent une fenêtre de maintenance. Dans un environnement de production, ces paramètres ne doivent pas être modifiés rapidement, mais d’abord vérifiés avec Log Viewer, Packet Capture, Dépannage IPsec et un cas de test clair pour voir si le soupçon est vraiment justifié.

Vérifier la performance en opération

Les valeurs des fiches techniques aident avant l’achat. En opération, d’autres outils sont nécessaires. Il est important de distinguer les notions : le Control Center n’affiche pas une performance de fiche technique, mais des indicateurs d’exploitation actuels. La tuile Performance repose sur le load average réparti sur les coeurs CPU. Des valeurs supérieures au nombre de coeurs disponibles signifient qu’il y a plus de travail en attente que le système ne peut en traiter à ce moment-là.

CPU, mémoire, bande passante, sessions, Decryption Capacity et Decrypt Sessions sont aussi pertinents. Decryption Capacity est particulièrement utile avec TLS Inspection, car elle montre dans quelle mesure le déchiffrement SSL/TLS actuel utilise la capacité de déchiffrement disponible. Les détails de déchiffrement ne sont pas mis à jour comme une mesure live à la seconde, mais typiquement toutes les cinq minutes. Ces valeurs doivent toujours être lues avec la policy, la règle, le profil de sécurité, l heure et le type de trafic.

Procédure pratique :

  1. Vérifier le Control Center : Observer le CPU, la RAM, l’utilisation des interfaces et les alertes.
  2. Ouvrir le Log Viewer : La règle de pare-feu attendue est-elle appliquée et la journalisation est-elle activée ?
  3. Contrôler la politique et les profils de sécurité : Quelles fonctions agissent sur le trafic concerné ?
  4. Utiliser Packet Capture : Peut-on voir les paquets, les paquets de réponse, le NAT et les pertes ?
  5. Effectuer un test de connexion : Avec iPerf ou un téléchargement défini, vérifier quel chemin est vraiment lent.
  6. Noter le contexte de déchargement : Le type d’interface, le mode HA, le type de VPN, PPPoE, WAF, SSL VPN ou Packet Capture peuvent influencer la mesure.
  7. Noter le moment : Les pics de charge, les sauvegardes, les mises à jour ou les rapports peuvent fausser les résultats.

Pour une délimitation rapide de la connexion WAN, Effectuer un test de vitesse Internet du Sophos Firewall via SSH est utile. Pour des tests de bout en bout entre deux systèmes, Tester la performance du Sophos Firewall avec iPerf est mieux adapté. Si une règle ne s’applique pas comme prévu, Tester spécifiquement les règles du Sophos Firewall est approprié.

Erreurs typiques de dimensionnement

  • Seul le débit maximal du pare-feu est comparé.
  • L’Inspection TLS est planifiée, mais pas incluse dans la réserve de performance.
  • Le VPN et l’accès à distance sont évalués en fonction du nombre d’utilisateurs plutôt que de l’utilisation réelle.
  • La connexion Internet est prise en compte, mais pas le trafic interne Est-Ouest.
  • Les pare-feux virtuels sont exploités sur des hôtes surchargés.
  • Le reporting, la journalisation et la connexion Central sont considérés après coup.
  • La croissance, les nouveaux sites, les VLAN supplémentaires ou la publication de serveurs manquent dans la planification.
  • Aucune distinction n’est faite entre la valeur de laboratoire, la valeur réelle et l’expérience utilisateur.

Liste de vérification pratique pour le dimensionnement

Avant de choisir un modèle, ces points doivent être clarifiés :

  1. Bande passante Internet actuelle et prévue pour les prochaines années.
  2. Nombre d’utilisateurs, d’appareils, de serveurs et de sites.
  3. Part de trafic Web, d’applications cloud, de VoIP, de sauvegardes et de transferts de fichiers.
  4. Fonctions de sécurité prévues par groupe de trafic.
  5. Étendue de l’Inspection TLS et exceptions nécessaires.
  6. Nombre et utilisation des connexions IPsec, SSL VPN et Sophos Connect.
  7. Besoin de WAF, Mail Protection, RED, WLAN ou Central Reporting.
  8. Réserves attendues pour les mises à jour, la croissance et les pics de charge.
  9. Modèle d’exploitation : Matériel XGS, appliance virtuelle, cloud ou cluster HA.

FAQ

Quelle valeur de performance du Sophos Firewall est la plus importante pour le choix du modèle ?

Cela dépend de l’utilisation. Pour des règles de pare-feu simples, le débit du pare-feu est pertinent. Pour les environnements d’entreprise typiques avec IPS, Web Protection et Application Control, les valeurs NGFW ou de Protection contre les menaces sont généralement plus significatives.

Pourquoi un pare-feu n'atteint-il pas la valeur maximale de la fiche technique ?

La valeur maximale est obtenue dans des conditions de test définies. En réalité, les tailles de paquets, les profils de sécurité, l’Inspection TLS, le VPN, le NAT, la journalisation, les sessions parallèles, les clients et les contreparties influencent le résultat.

L'Inspection TLS doit-elle toujours être incluse dans le dimensionnement ?

Oui, si l’Inspection TLS doit être utilisée de manière productive aujourd’hui ou plus tard. Le déchiffrement HTTPS est gourmand en ressources et doit être planifié avec réserve, groupe pilote et déploiement propre.

Comment vérifier si le pare-feu ou le client est lent ?

On compare plusieurs tests : téléchargement directement sur le pare-feu, test depuis un client câblé, iPerf entre des points définis, Log Viewer, Packet Capture et utilisation des interfaces. Une seule mesure ne suffit généralement pas.

Les pare-feux virtuels Sophos sont-ils plus lents que les appliances matérielles ?

Pas automatiquement. Les pare-feux virtuels peuvent très bien fonctionner si le CPU, la RAM, le stockage et le réseau sont bien planifiés. La performance dépend cependant plus de la plateforme de virtualisation que pour une appliance matérielle XGS dédiée.

Pourquoi Packet Capture peut-il influencer une mesure de performance ?

Packet Capture est un outil d’analyse, pas un test de vitesse neutre. Selon le trafic et le chemin de déchargement, le traitement peut se comporter différemment pendant une capture qu’en fonctionnement normal. Il est donc important de documenter les résultats de capture avec le moment du test, le filtre, l’interface et la politique.