Interpretare correttamente i dati sulle prestazioni di Sophos Firewall
I dati sulle prestazioni di un Sophos Firewall sono importanti per il dimensionamento, ma spesso vengono interpretati erroneamente. Il massimo throughput del firewall nel datasheet non è automaticamente la prestazione che un sito raggiunge con IPS, Web Protection, ispezione TLS, VPN, NAT, reporting e molti utenti simultanei.
Per scegliere un modello, non si dovrebbe guardare solo a un singolo numero in Gbit/s. È cruciale quali funzioni di protezione sono attive, quale traffico attraversa il firewall e quali riserve l’ambiente necessita quotidianamente. La Guida al dimensionamento di Sophos Firewall spiega la scelta del modello; questo articolo spiega come interpretare le metriche di prestazione sottostanti.

Regola pratica per il dimensionamento
Nella pratica, spesso il puro throughput del firewall non è il miglior punto di partenza.
- Solo routing e semplici regole firewall: Considerare throughput del firewall e IMIX.
- Rete aziendale normale con IPS e Application Control: Dare maggiore peso ai valori NGFW o Threat Protection.
- Molte connessioni HTTPS con decrittazione: Pianificare la capacità di ispezione TLS e la riserva della CPU.
- Molte connessioni VPN: Considerare separatamente i requisiti IPsec o Remote Access.
- Firewall virtuale: Prendere sul serio hypervisor, CPU, RAM, storage e schede di rete virtuali tanto quanto la licenza Sophos.
Se non è chiaro se sia meglio un hardware o un’appliance virtuale, Sophos Firewall - Hardware o appliance virtuale? può aiutare nella decisione.
Perché i valori del datasheet non bastano da soli
I valori di prestazione vengono determinati in condizioni di laboratorio definite. Questo è utile perché rende i modelli comparabili. Tuttavia, un ambiente produttivo si comporta diversamente:
- Le dimensioni dei pacchetti sono miste.
- Gli utenti generano sessioni parallele.
- I profili di sicurezza esaminano il traffico a profondità diverse.
- Il traffico HTTPS richiede molte più risorse con l’ispezione TLS.
- VPN, SD-WAN, NAT, logging e reporting funzionano in parallelo.
- WLAN, switch, client, server e provider influenzano le prestazioni percepite.
Un valore del datasheet è quindi un valore di confronto, non una promessa per ogni singolo flusso. Per un dimensionamento solido, si dovrebbe pianificare con riserve e considerare le funzioni operative future non solo dopo l’acquisto.
Le metriche più importanti
- Throughput del firewall: Confronto per traffico semplice Layer-3/Layer-4 Spesso letto come throughput Internet reale con tutte le funzioni di sicurezza
- Firewall IMIX: Miscela più realistica di diverse dimensioni di pacchetto Ignorato, sebbene le reti reali raramente abbiano solo pacchetti grandi
- Throughput IPS: Traffico con Intrusion Prevention Sottovalutato se l’IPS è attivo per molte regole
- Throughput NGFW: Firewall con funzioni aggiuntive di nuova generazione come IPS e Application Control Confuso con il puro throughput del firewall
- Threat Protection: Valore di approssimazione più forte per funzioni di protezione attivate Inteso come valore minimo fisso anziché come metrica di confronto
- Ispezione TLS: Decrittazione e verifica HTTPS Dimenticata nel dimensionamento, sebbene possa essere molto intensiva in termini di risorse
- VPN IPsec: Collegamento di siti e tunnel crittografati Pianificato solo in base alla connessione Internet, senza considerare il punto finale, le dimensioni dei pacchetti e la CPU
- Sessioni e connessioni al secondo: Molti utenti, traffico web, pubblicazione server, connessioni brevi Raramente controllato, ma può essere rilevante con molti client o servizi pubblicati
Throughput del firewall e IMIX
Il puro throughput del firewall descrive un’elaborazione relativamente semplice del traffico. Questo valore è utile quando un firewall principalmente instrada, esegue NAT e gestisce regole firewall classiche.
IMIX è più vicino al carico di rete reale perché mescola diverse dimensioni di pacchetto. Questo è importante perché i pacchetti piccoli caricano un firewall in modo diverso rispetto ai grandi download. Nelle reti aziendali, raramente c’è solo un grande flusso di dati pulito. Accessi web, DNS, VoIP, applicazioni cloud, aggiornamenti e trasferimenti di file generano modelli diversi.
Per i siti con traffico utente normale, IMIX è quindi spesso più significativo del massimo valore più bello.
IPS, NGFW e Threat Protection
Non appena IPS, Application Control, Web Protection o la verifica del malware sono attivi, il firewall deve fare più che inoltrare pacchetti. Deve classificare il traffico, riconoscere modelli, applicare regole e, a seconda della policy, verificare i contenuti.
I termini vengono spesso confusi:
- IPS valuta il traffico in base a firme e regole per modelli di attacco noti.
- NGFW descrive le prestazioni del firewall con funzioni aggiuntive come IPS e Application Control.
- Threat Protection è un valore di approssimazione più forte per ambienti in cui sono attive più funzioni di protezione contemporaneamente.
Per un’azienda che utilizza effettivamente Sophos Firewall come Security Gateway, i valori NGFW e Threat Protection sono generalmente più rilevanti del puro throughput del firewall.
Pianificare realisticamente l’ispezione TLS
L’ispezione TLS è uno dei maggiori fattori di prestazione. Il firewall decrittografa le connessioni HTTPS, verifica il contenuto e crittografa nuovamente la connessione. Questo genera carico sulla CPU e può essere notevolmente percepibile a seconda della suite di cifratura, del server di destinazione, del client, delle eccezioni e della policy.
L’ispezione TLS non dovrebbe quindi essere attivata casualmente. È sensato un rollout graduale con un gruppo pilota, eccezioni, monitoraggio e una chiara ricerca degli errori. L’articolo Implementare correttamente l’ispezione TLS di Sophos Firewall descrive il processo operativo.
Anche il certificato CA deve essere distribuito correttamente. Per i client, Installare il certificato CA di Sophos Firewall per la scansione HTTPS è il punto di partenza appropriato.
Considerare separatamente le prestazioni VPN
Le prestazioni VPN non dipendono solo dal modello di firewall. Sono rilevanti anche il punto finale, la connessione Internet, la latenza, le dimensioni dei pacchetti, MTU/MSS, i parametri di crittografia, il routing e i tunnel paralleli.
Per le connessioni site-to-site, si dovrebbero stimare realisticamente i flussi di dati pianificati: trasferimenti di file, backup, ERP, VoIP, RDP, monitoraggio e replica si comportano diversamente. Per l’accesso remoto, si aggiungono anche il dispositivo client, WLAN, provider e client VPN.
Se una connessione VPN sembra lenta, non si dovrebbe controllare solo il valore del datasheet. Un test di percorso definito con iPerf è generalmente più significativo di un test di velocità del browser.
Cosa influenza le prestazioni reali
Nella pratica, diversi fattori agiscono contemporaneamente:
- profili di sicurezza attivi per regola firewall
- ispezione TLS ed eccezioni
- policy IPS e portata delle firme
- Web Protection, Application Control e verifica del malware
- NAT, DNAT, pubblicazione server e WAF
- IPsec, SSL VPN, Sophos Connect e tunnel site-to-site
- logging, reporting, Central Reporting e Syslog
- molte piccole sessioni invece di pochi grandi download
- accelerazione del firewall, FastPath, accelerazione IPsec e traffico che non può essere offloadato
- operatività HA, versione firmware e hotfix
- risorse virtuali per appliance software o cloud
Pertanto, le prestazioni dovrebbero sempre essere verificate nel contesto della policy concreta. Una regola firewall senza profili di sicurezza si comporta diversamente da una regola con IPS, filtro web, Application Control e ispezione TLS.
Interpretare correttamente FastPath e Offloading
I firewall Sophos moderni non elaborano ogni flusso di dati allo stesso modo. A seconda dell’appliance, del firmware, della regola, del profilo di sicurezza e del tipo di traffico, il traffico può essere parzialmente accelerato o verificato in un percorso di elaborazione più lento. Termini importanti per questo sono FastPath, accelerazione del firewall, accelerazione PKI e accelerazione IPsec.
Per il dimensionamento questo è importante, perché un test veloce non dimostra che ogni flusso produttivo utilizzi lo stesso percorso. Molte appliance XGS usano un Xstream Flow Processor dedicato per FastPath. Alcuni modelli desktop più recenti, come XGS 88/88w, 108/108w, 118/118w e 128/128w, usano invece Virtual FastPath nel kernel x86. Questi modelli possono accelerare l elaborazione firewall e IPsec, ma non offrono una PKI Acceleration dedicata per l elaborazione dei certificati TLS. Le appliance virtuali e software dipendono ancora di più dall ambiente x86 fornito. L offloading quindi non va mai letto come garanzia generale per ogni modello e ogni design.
- SSL VPN
- WAF e traffico proxy
- QoS e DoS
- Wireless, RED, LAG e PPPoE
- traffico IP frammentato
- scenari specifici di bridge, HA o virtualizzazione
Con HA bisogna guardare con particolare attenzione. Active-Active HA non supporta Firewall Acceleration. In Active-Passive HA, Firewall e IPsec Acceleration vengono usate solo dal nodo primario. Un dimensionamento HA quindi non dovrebbe semplicemente proiettare valori di laboratorio standalone su entrambi i nodi.
Anche la ricerca degli errori può influenzare i valori di misurazione. Se Packet Capture o iftop sono in esecuzione, il traffico può essere elaborato diversamente rispetto al normale funzionamento. Pertanto, le misurazioni delle prestazioni e i risultati del Packet Capture dovrebbero sempre essere documentati con il momento, il metodo di test, la versione del firmware, il tipo di interfaccia e la policy attiva.
L’accelerazione IPsec è un caso speciale. Le modifiche a essa possono riavviare i tunnel e richiedono una finestra di manutenzione. In un ambiente produttivo, tali impostazioni non dovrebbero essere modificate come un tentativo rapido, ma prima verificate con Log Viewer, Packet Capture, Risoluzione dei problemi IPsec e un caso di test chiaro per verificare se il sospetto è davvero fondato.
Verificare le prestazioni in esercizio
I valori del datasheet aiutano prima dell’acquisto. In esercizio, sono necessari altri strumenti. È importante distinguere i concetti: il Control Center non mostra la performance del datasheet, ma indicatori operativi attuali. Il riquadro Performance si basa sul load average distribuito sui core CPU. Valori superiori al numero di core disponibili significano che in quel momento c’è più lavoro in coda di quanto il sistema possa elaborare.
Sono inoltre rilevanti CPU, memoria, bandwidth, sessions, Decryption Capacity e Decrypt Sessions. Decryption Capacity è particolarmente utile con TLS Inspection, perché mostra quanto la decifratura SSL/TLS attuale utilizza la capacità di decifratura disponibile. I dettagli di decryption non vengono aggiornati come misura live al secondo, ma tipicamente ogni cinque minuti. Questi valori vanno sempre letti insieme a policy, regola, profilo di sicurezza, ora e tipo di traffico.
Procedura pratica:
- Controllare il Control Center: Monitorare CPU, RAM, utilizzo delle interfacce e avvisi.
- Aprire il Log Viewer: La regola firewall prevista viene applicata e il logging è attivato?
- Controllare policy e profili di sicurezza: Quali funzioni influenzano il traffico interessato?
- Utilizzare Packet Capture: Si vedono pacchetti, pacchetti di risposta, NAT e drop?
- Eseguire un test di percorso: Verificare con iPerf o un download definito quale percorso è veramente lento.
- Annotare il contesto di offloading: Tipo di interfaccia, modalità HA, tipo di VPN, PPPoE, WAF, SSL VPN o Packet Capture possono influenzare la misurazione.
- Annotare il momento: Picchi di carico, backup, aggiornamenti o report possono falsare i risultati.
Per una rapida delimitazione della connessione WAN, Eseguire un test di velocità Internet di Sophos Firewall tramite SSH è utile. Per test end-to-end tra due sistemi, Testare le prestazioni di Sophos Firewall con iPerf è più adatto. Se una regola non viene applicata come previsto, Testare le regole di Sophos Firewall in modo mirato è appropriato.
Errori tipici di dimensionamento
- Si confronta solo il massimo throughput del firewall.
- L’ispezione TLS viene pianificata, ma non viene inclusa nella riserva di prestazioni.
- VPN e Remote Access vengono valutati in base al numero di utenti anziché all’uso reale.
- Si considera la connessione Internet, ma non il traffico interno Est-Ovest.
- I firewall virtuali vengono eseguiti su host sovraccarichi.
- Reporting, logging e connessione Central vengono considerati solo successivamente.
- Crescita, nuovi siti, VLAN aggiuntive o pubblicazione server mancano nella pianificazione.
- Non si fa distinzione tra valore di laboratorio, valore reale ed esperienza utente.
Lista di controllo pratica per il dimensionamento
Prima di scegliere un modello, questi punti dovrebbero essere chiariti:
- Larghezza di banda Internet attuale e pianificata nei prossimi anni.
- Numero di utenti, dispositivi, server e siti.
- Percentuale di traffico web, applicazioni cloud, VoIP, backup e trasferimenti di file.
- Funzioni di sicurezza pianificate per gruppo di traffico.
- Portata dell’ispezione TLS ed eccezioni necessarie.
- Numero e utilizzo delle connessioni IPsec, SSL VPN e Sophos Connect.
- Necessità di WAF, Mail Protection, RED, WLAN o Central Reporting.
- Riserve previste per aggiornamenti, crescita e picchi di carico.
- Modello operativo: hardware XGS, appliance virtuale, cloud o cluster HA.