Aller au contenu
Avanet

Guide de dimensionnement Sophos Firewall : Dimensionner correctement XGS

Sophos Firewall

Le dimensionnement de Sophos Firewall ne concerne pas uniquement le nombre d’utilisateurs. Une firewall peut être sollicitée de manière très différente avec le même nombre d’utilisateurs : par la bande passante Internet, l’inspection TLS, l’IPS, le VPN, la protection Web, le WAF, le reporting, la HA, de nombreux VLAN ou de nombreuses connexions simultanées.

Un bon dimensionnement garantit que le Sophos Firewall fonctionne non seulement le premier jour, mais qu’il dispose également de réserves avec les fonctions de protection activées, une croissance réaliste et un fonctionnement propre. Pour décider entre un appareil matériel et une appliance virtuelle, consultez également Sophos Firewall - Matériel ou appliance virtuelle ?.

Objectif du dimensionnement

L’objectif n’est pas de trouver le plus petit modèle qui suffirait dans des conditions de laboratoire idéales. En pratique, le firewall doit rester stable même lorsque plusieurs choses se produisent simultanément :

  • de nombreux utilisateurs travaillent en parallèle,
  • l’inspection TLS ou l’IPS est activé,
  • des VPN site-à-site ou d’accès distant sont en cours d’exécution,
  • le reporting et la journalisation génèrent une charge supplémentaire,
  • des sauvegardes, mises à jour ou diagnostics de support sont en cours en arrière-plan,
  • un site se développe ou obtient plus de bande passante.

C’est pourquoi il faut toujours planifier avec des réserves. Un firewall dimensionné de manière trop juste génère plus tard des besoins de support : connexions Internet lentes, charge CPU élevée, pertes de paquets, WebAdmin lent, connexions VPN instables ou absence de réserves pour de nouvelles fonctions de sécurité.

Les principaux facteurs de dimensionnement

Bande passante Internet et profil de trafic

La ligne Internet souscrite est un bon point de départ, mais ce n’est pas toute la vérité. Ce qui est important, c’est combien de cette bande passante est réellement utilisée simultanément et quel trafic passe par le firewall.

À vérifier :

  • ligne symétrique ou asymétrique,
  • trafic de pointe pendant les heures de bureau,
  • nombreuses petites sessions Web ou quelques gros téléchargements,
  • sauvegardes cloud, Microsoft 365, VoIP, réunions en ligne,
  • interconnexion de sites via VPN ou SD-WAN,
  • trafic interne entre VLANs, qui passe également par le firewall.

Si le firewall fonctionne également comme un appareil de routage et de segmentation interne, il faut planifier non seulement le débit WAN, mais aussi le trafic Est-Ouest. Les bases sur les zones, VLANs et la conception des interfaces sont expliquées dans Configurer les zones et interfaces Sophos Firewall.

Fonctions de protection

Plus les modules de sécurité sont activés, plus l’appliance doit être dimensionnée. Les plus pertinents sont :

  • IPS,
  • Protection Web,
  • Contrôle des applications,
  • Inspection SSL/TLS,
  • Protection contre les menaces de jour zéro,
  • WAF,
  • Protection des e-mails,
  • Flux de menaces,
  • Reporting et Log Viewer.

Les valeurs des fiches techniques ne sont comparables que si l’on sait quelle fonction a été mesurée. Le débit du firewall sans inspection de sécurité n’est pas le même que le débit de protection contre les menaces ou d’inspection TLS. Pour les environnements de production, il ne faut donc pas se fier uniquement à la valeur marketing la plus élevée, mais à l’indicateur qui correspond à l’utilisation prévue.

Pour l’inspection TLS, il est également important de savoir si l’organisation peut gérer le déploiement de manière technique et organisationnelle. Le déroulement pratique est décrit dans Déployer proprement l’inspection TLS Sophos Firewall.

Utilisateurs, appareils et sessions

Le nombre d’utilisateurs reste important, mais ne suffit pas. Un bureau avec 50 utilisateurs, peu de services cloud et sans inspection TLS sollicite le firewall différemment qu’un site avec 50 utilisateurs, des serveurs terminaux, de nombreuses applications SaaS, VoIP, un réseau invité, IoT, accès distant et plusieurs zones de serveurs.

Il faut également prendre en compte :

  • le nombre d’appareils par utilisateur,
  • les réseaux invités et IoT,
  • les serveurs, imprimantes, caméras et appareils spécialisés,
  • les sessions simultanées,
  • de nombreuses petites requêtes DNS ou Web,
  • les utilisateurs d’accès distant,
  • les systèmes automatisés comme la sauvegarde, la surveillance ou l’EDR.

Dans les environnements mixtes avec de nombreux VLANs, il est préférable de planifier en fonction des flux de trafic plutôt que du simple nombre de têtes.

VPN, SD-WAN et interconnexion de sites

Le VPN peut fortement solliciter un firewall, surtout si de nombreux tunnels, une bande passante élevée ou de nombreux utilisateurs d’accès distant sont combinés.

À planifier :

  • IPsec site-à-site,
  • VPN basé sur des routes avec interfaces XFRM,
  • Accès distant via Sophos Connect ou SSL VPN,
  • Routes de politique SD-WAN,
  • plusieurs lignes WAN,
  • scénarios de basculement,
  • questions MTU/MSS sur les trajets VPN.

Pour la performance VPN, il ne faut pas seulement considérer le statut du tunnel. Ce qui est crucial, c’est si le trafic productif fonctionne de manière stable avec les règles activées, NAT, routage et inspection de sécurité. Pour les chemins de routage et VPN, Route IPsec sur Sophos Firewall et Routage SD-WAN pour les paquets de réponse et le trafic système sont des approfondissements appropriés.

Journalisation, reporting et stockage

La journalisation aide à l’exploitation, mais génère également une charge et un besoin de stockage. Ceux qui utilisent de nombreuses règles de firewall avec journalisation, filtre Web, IPS, contrôle des applications et Central Firewall Reporting doivent clarifier les exigences de reporting dès le début.

À vérifier :

  • Quelles règles doivent avoir la journalisation activée ?
  • Combien de temps les journaux doivent-ils être disponibles ?
  • Le Central Firewall Reporting de Sophos est-il utilisé ?
  • Y a-t-il un Syslog ou un SIEM ?
  • Les rapports doivent-ils être créés régulièrement ?
  • Les données de journalisation sont-elles nécessaires pour le dépannage ou la conformité ?

Pour une analyse plus longue, le firewall seul n’est souvent pas le bon endroit. Il faut alors planifier Sophos Central Firewall Reporting ou une exportation Syslog/SIEM.

Matériel, virtuel ou Cloud ?

Appliance matérielle XGS

Une appliance matérielle XGS est généralement la variante la plus planifiable pour les sites classiques. Le matériel, les ports, le support, le cycle de vie et la performance sont définis comme un package global.

Avantages :

  • matériel de firewall dédié,
  • options claires de ports et d’extension,
  • gestion simple du support et des RMA,
  • performance planifiable,
  • moins de dépendance à un hyperviseur.

Le matériel est particulièrement utile lorsque le firewall est le point central de sécurité et de routage sur le site.

Sophos Firewall virtuel

Un firewall virtuel convient bien aux centres de données, environnements cloud ou segments de réseau virtualisés. La performance dépend alors fortement du CPU, de la RAM, du stockage, de l’hyperviseur, des cartes réseau virtuelles et de la charge de l’hôte.

Important :

  • Les ressources CPU ne doivent pas être sursouscrites en permanence.
  • Les NICs virtuelles et les groupes de ports doivent être clairement séparés.
  • La latence de stockage peut influencer la journalisation et le reporting.
  • La sauvegarde et la restauration doivent correspondre à la plateforme de virtualisation.
  • La conception de la HA et du basculement doit être planifiée à l’avance.

La licence et la décision entre matériel et appliance virtuelle doivent être examinées séparément. Pour cela, Sophos Firewall - Matériel ou appliance virtuelle ? est approprié.

Classer les appliances

Les domaines suivants aident à une orientation générale. Le choix concret doit ensuite être vérifié avec la bande passante, les fonctions, la réserve et le modèle d’exploitation.

Appliances de bureau Sophos - Petites entreprises

Les appliances de bureau conviennent aux petits sites, succursales, bureaux et environnements avec des besoins d’espace limités. Il est particulièrement important ici de savoir si l’appliance ne gère que l’accès Internet et la sécurité de base ou si elle doit également supporter de nombreux VLANs, VPNs, inspection TLS et reporting.

XGS 88
XGS 108
XGS 118
XGS 128
XGS 138

Appliances rack 1U Sophos - Moyennes entreprises

Les appliances 1U sont généralement pertinentes pour les PME plus grandes, les sites centraux et les environnements avec un besoin accru de ports, un débit plus élevé ou une charge de sécurité plus élevée. Ces modèles sont souvent le meilleur choix lorsque plusieurs lignes WAN, de nombreux VLANs, plusieurs tunnels VPN ou des exigences de journalisation élevées se combinent.

XGS 2100
XGS 2300
XGS 3100
XGS 3300
XGS 4300
XGS 4500

Appliances rack 2U Sophos - Grandes entreprises

Les appliances 2U appartiennent aux environnements avec une très haute bande passante, de nombreuses sessions simultanées, plusieurs modules de sécurité et des exigences de haute disponibilité. Ici, le dimensionnement doit toujours être effectué avec des données de trafic concrètes, des hypothèses de croissance et une conception HA.

XGS 5500
XGS 6500
XGS 7500
XGS 8500

Réserve, HA et croissance

Un firewall ne doit pas fonctionner en permanence près de sa limite. Les réserves sont importantes pour :

  • la croissance de la ligne Internet,
  • de nouveaux sites ou VLANs,
  • l’activation ultérieure de l’inspection TLS ou de l’IPS,
  • plus d’utilisateurs d’accès distant,
  • des exigences supplémentaires de journalisation et de reporting,
  • les mises à jour de firmware avec de nouvelles fonctions,
  • les situations de perturbation et de basculement.

Pour la HA, il faut planifier de manière particulièrement rigoureuse. Dans un design actif-passif, un seul nœud doit pouvoir supporter la charge productive seul. Actif-actif n’est pas un laissez-passer pour un dimensionnement serré, car toute la charge ne se répartit pas de manière linéaire. Les points d’architecture les plus importants sont expliqués dans Comprendre les variantes de cluster HA Sophos Firewall.

En règle générale, pour les nouveaux projets, il ne faut pas planifier un firewall qui montre déjà une utilisation très élevée du CPU, de la RAM ou des sessions en fonctionnement normal. L’article Bien comprendre les métriques de performance Sophos Firewall aide à l’évaluation ultérieure de l’exploitation.

Processus pratique de dimensionnement

1. Évaluer la situation de départ

Tout d’abord, l’environnement est décrit :

  • Sites et lignes WAN,
  • Utilisateurs et appareils,
  • VLANs et zones internes,
  • Services de serveur et DMZ,
  • Exigences VPN et accès distant,
  • Modules de sécurité planifiés activement,
  • Exigences de reporting et de journalisation,
  • Exigences HA ou cloud.

2. Identifier les facteurs de charge critiques

Ensuite, les points qui peuvent faire monter le modèle sont identifiés :

  • Inspection TLS largement utilisée,
  • De nombreuses connexions protégées par IPS,
  • Débit VPN élevé,
  • De nombreuses sessions simultanées,
  • De nombreuses règles de firewall avec journalisation,
  • WAF ou protection des e-mails,
  • Forte segmentation avec trafic interne via le firewall,
  • Croissance dans les trois à cinq prochaines années.

3. Lire correctement les valeurs des fiches techniques

Les valeurs des fiches techniques doivent être comprises comme des valeurs de comparaison, pas comme une garantie pour chaque environnement. Ce qui est crucial, c’est quelle mesure correspond à l’utilisation prévue :

IndicateurUtilité
Débit du firewallOrientation générale pour le débit de paquets simple
Débit IPSEnvironnements avec prévention des intrusions active
Protection contre les menacesCharge de sécurité plus réaliste avec plusieurs fonctions de protection
Inspection TLSEnvironnements avec trafic HTTPS déchiffré
Débit VPN IPsecInterconnexion de sites et charge VPN
Connexions simultanéesDe nombreux clients, sessions Web et services

Si plusieurs de ces points sont pertinents en même temps, il ne faut pas se concentrer uniquement sur un seul indicateur.

4. Définir la réserve

Avant de choisir le modèle final, il faut décider consciemment de la quantité de réserve à planifier. Une petite réserve peut suffire pour des sites très simples. Pour les firewalls centraux, les clusters HA, une forte croissance ou une utilisation large de la sécurité, la réserve doit être nettement plus grande.

5. Valider après la mise en service

Le dimensionnement ne se termine pas avec la commande. Après la mise en service, il faut vérifier si les hypothèses sont correctes :

  • Utilisation du CPU et de la RAM aux heures de pointe,
  • Nombre de sessions,
  • Débit VPN,
  • Temps de réponse de WebAdmin,
  • Log Viewer et reporting,
  • Pertes de paquets ou retransmissions,
  • Utilisation du WAN,
  • Performance après activation de fonctions de protection supplémentaires.

Pour des mesures reproductibles, Utiliser le test de vitesse iPerf Sophos Firewall pour le dépannage peut aider. Pour des tests de vitesse WAN simples, Bien comprendre le test de vitesse Internet Sophos Firewall est le point de départ approprié.

Erreurs fréquentes de dimensionnement

  • Dimensionner uniquement en fonction du nombre d’utilisateurs.
  • Confondre les valeurs des fiches techniques pour le débit du firewall avec la charge de protection contre les menaces.
  • Activer l’inspection TLS plus tard sans avoir planifié de réserve.
  • Planifier la HA, mais ne pas vérifier si un nœud a suffisamment de puissance seul.
  • Ignorer le trafic inter-VLAN.
  • Sous-estimer le reporting et la journalisation.
  • Exploiter des firewalls virtuels sur des hôtes sursouscrits.
  • Ne pas tenir compte de la croissance de la ligne Internet.
  • Planifier l’accès distant et le VPN site-à-site uniquement en fonction du nombre de tunnels au lieu du débit.

Liste de contrôle

  • Bande passante Internet et utilisation de pointe réelle connues.
  • Utilisateurs, appareils, VLANs et zones de serveurs enregistrés.
  • Modules de sécurité planifiés documentés.
  • Inspection TLS, IPS, VPN, WAF, protection des e-mails et reporting évalués séparément.
  • Trafic interne via le firewall pris en compte.
  • Conception HA et charge de basculement vérifiées.
  • Décision consciente entre matériel ou appliance virtuelle.
  • Réserve de croissance planifiée pour plusieurs années.
  • Métriques de performance vérifiées après la mise en service.

FAQ

Le nombre d'utilisateurs suffit-il pour le dimensionnement de Sophos Firewall ?

Non. Le nombre d’utilisateurs n’est qu’un point de départ. La bande passante, l’inspection de sécurité, le VPN, les sessions, les VLANs, la journalisation et la croissance sont souvent plus importants.

Quel Sophos Firewall convient à une ligne Internet de 1 Gbit/s ?

Cela dépend de si la ligne est simplement routée ou si l’IPS, la protection Web, l’inspection TLS, le VPN et le reporting sont actifs. Pour un choix sérieux, il faut connaître les fonctions de protection prévues et le trafic simultané.

Pourquoi faut-il planifier une réserve ?

Parce que les firewalls croissent en exploitation : plus de bande passante, plus de trafic cloud, plus de VPN, de nouvelles fonctions de protection et plus de journalisation. Sans réserve, le firewall deviendra plus tard un goulot d’étranglement.

Une Sophos Firewall virtuelle est-elle aussi rapide qu'une appliance matérielle ?

Pas automatiquement. Un firewall virtuel peut très bien fonctionner, mais dépend fortement du CPU, de la RAM, du stockage, de l’hyperviseur, des cartes réseau virtuelles et de la charge de l’hôte. Les appliances matérielles sont plus planifiables en tant que package global.

Faut-il vérifier à nouveau le dimensionnement après la mise en service ?

Oui. Après le go-live, il faut vérifier le CPU, la RAM, les sessions, le débit VPN, le Log Viewer, le reporting et l’utilisation du WAN aux heures de pointe. Cela permet de détecter tôt si les hypothèses étaient réalistes.