Guida al dimensionamento di Sophos Firewall: dimensionare correttamente XGS
Il dimensionamento di Sophos Firewall non riguarda solo il numero di utenti. Un firewall può essere caricato in modo molto diverso con lo stesso numero di utenti: a causa della larghezza di banda Internet, dell’ispezione TLS, dell’IPS, della VPN, della protezione web, del WAF, del reporting, dell’HA, di molti VLAN o di molte connessioni simultanee.
Un buon dimensionamento garantisce che Sophos Firewall funzioni non solo il primo giorno, ma anche con le funzioni di protezione attivate, una crescita realistica e un funzionamento pulito, mantenendo una riserva. Per decidere tra hardware e appliance virtuale, consulta Sophos Firewall - Hardware o appliance virtuale?.
Obiettivo del dimensionamento
L’obiettivo non è trovare il modello più piccolo che sia sufficiente in condizioni di laboratorio ideali. In pratica, il firewall dovrebbe rimanere stabile anche quando accadono più cose contemporaneamente:
- molti utenti lavorano in parallelo,
- l’ispezione TLS o l’IPS è attivo,
- le VPN site-to-site o di accesso remoto sono in esecuzione,
- il reporting e il logging generano carico aggiuntivo,
- i backup, gli aggiornamenti o le diagnosi di supporto sono in esecuzione in background,
- una sede cresce o ottiene più larghezza di banda.
Pertanto, è sempre consigliabile pianificare con riserve. Un firewall dimensionato al limite genera successivamente richieste di supporto: connessioni Internet lente, elevato carico della CPU, perdite di pacchetti, WebAdmin lento, connessioni VPN instabili o mancanza di riserve per nuove funzioni di sicurezza.
I fattori di dimensionamento più importanti
Larghezza di banda Internet e profilo del traffico
La linea Internet prenotata è un buon punto di partenza, ma non è tutta la verità. È importante sapere quanto di essa viene effettivamente utilizzato contemporaneamente e quale traffico passa attraverso il firewall.
Verifica:
- linea simmetrica o asimmetrica,
- traffico di picco durante l’orario lavorativo,
- molte piccole sessioni web o pochi grandi download,
- backup su cloud, Microsoft 365, VoIP, riunioni online,
- collegamento tra sedi tramite VPN o SD-WAN,
- traffico interno tra VLAN che passa anch’esso attraverso il firewall.
Se il firewall funge anche da dispositivo di routing e segmentazione interno, è necessario pianificare non solo il throughput WAN, ma anche il traffico est-ovest. Le basi su zone, VLAN e design delle interfacce sono disponibili in Configurare zone e interfacce di Sophos Firewall.
Funzioni di protezione
Più moduli di sicurezza sono attivi, più l’appliance deve essere dimensionata. Particolarmente rilevanti sono:
- IPS,
- Protezione web,
- Controllo delle applicazioni,
- Ispezione SSL/TLS,
- Protezione Zero-Day,
- WAF,
- Protezione della posta,
- Threat Feeds,
- Reporting e Log Viewer.
I valori delle schede tecniche sono comparabili solo se è chiaro quale funzione è stata misurata. Il throughput del firewall senza ispezione di sicurezza non è lo stesso del throughput di protezione dalle minacce o di ispezione TLS. Per ambienti produttivi, non si dovrebbe guardare solo al valore di marketing più alto, ma alla metrica che si adatta al proprio utilizzo.
Per l’ispezione TLS è inoltre importante sapere se l’organizzazione può gestire il rollout in modo tecnico e organizzativo. Il processo pratico è descritto in Distribuire correttamente l’ispezione TLS di Sophos Firewall.
Utenti, dispositivi e sessioni
Il numero di utenti rimane importante, ma non è sufficiente. Un ufficio con 50 utenti, pochi servizi cloud e senza ispezione TLS carica il firewall in modo diverso rispetto a una sede con 50 utenti, server terminali, molte applicazioni SaaS, VoIP, rete ospiti, IoT, accesso remoto e più zone server.
Inoltre, contano:
- Numero di dispositivi per utente,
- Reti ospiti e IoT,
- Server, stampanti, telecamere e dispositivi speciali,
- Sessioni simultanee,
- Molte piccole richieste DNS o web,
- Utenti di accesso remoto,
- Sistemi automatizzati come backup, monitoraggio o EDR.
In ambienti misti con molti VLAN, è meglio pianificare in base ai flussi di traffico piuttosto che solo in base al numero di utenti.
VPN, SD-WAN e collegamento tra sedi
La VPN può caricare notevolmente un firewall, soprattutto quando si combinano molti tunnel, alta larghezza di banda o molti utenti di accesso remoto.
Pianificare:
- IPsec site-to-site,
- VPN basata su route con interfacce XFRM,
- Accesso remoto tramite Sophos Connect o SSL VPN,
- Route delle policy SD-WAN,
- Più linee WAN,
- Scenari di failover,
- Temi MTU/MSS per i percorsi VPN.
Per le prestazioni VPN, non si dovrebbe considerare solo lo stato del tunnel. È fondamentale che il traffico produttivo funzioni stabilmente con regole attivate, NAT, routing e ispezione di sicurezza. Per i percorsi di routing e VPN, Route IPsec su Sophos Firewall e Routing SD-WAN per pacchetti di risposta e traffico di sistema sono approfondimenti adatti.
Logging, reporting e archiviazione
Il logging aiuta nel funzionamento, ma genera anche carico e necessità di archiviazione. Chi utilizza molte regole del firewall con logging, filtro web, IPS, controllo delle applicazioni e Central Firewall Reporting dovrebbe chiarire presto i requisiti di reporting.
Verifica:
- Quali regole devono avere il logging attivo?
- Per quanto tempo devono essere disponibili i log?
- Viene utilizzato Sophos Central Firewall Reporting?
- Esistono Syslog o SIEM?
- I report devono essere creati regolarmente?
- I dati di log sono necessari per il troubleshooting o la conformità?
Per un’analisi più lunga, il firewall da solo spesso non è il posto giusto. In tal caso, si dovrebbe pianificare Sophos Central Firewall Reporting o un’esportazione Syslog/SIEM.
Hardware, virtuale o cloud?
Appliance hardware XGS
Un’appliance hardware XGS è spesso la variante più pianificabile per le sedi classiche. Hardware, porte, supporto, ciclo di vita e prestazioni sono definiti come pacchetto completo.
Vantaggi:
- Hardware firewall dedicato,
- Opzioni chiare di porte ed espansione,
- Gestione semplice del supporto e RMA,
- Prestazioni pianificabili,
- Minore dipendenza da un hypervisor.
L’hardware è particolarmente utile quando il firewall è il punto centrale di sicurezza e routing nella sede.
Sophos Firewall virtuale
Un firewall virtuale si adatta bene a data center, ambienti cloud o segmenti di rete virtualizzati. Le prestazioni dipendono fortemente da CPU, RAM, storage, hypervisor, schede di rete virtuali e carico dell’host.
Importante:
- Le risorse CPU non devono essere sovraccaricate in modo permanente.
- Le NIC virtuali e i gruppi di porte devono essere separati correttamente.
- La latenza dello storage può influenzare il logging e il reporting.
- Backup e ripristino devono adattarsi alla piattaforma di virtualizzazione.
- Il design HA e failover deve essere pianificato in anticipo.
La licenza e la decisione tra hardware e appliance virtuale dovrebbero essere esaminate separatamente. Per questo, consulta Sophos Firewall - Hardware o appliance virtuale?.
Classificazione delle appliance
Le seguenti aree aiutano nell’orientamento generale. La scelta concreta deve essere poi verificata con larghezza di banda, funzioni, riserva e modello operativo.
Sophos Desktop Appliances - Piccole imprese
Le appliance desktop sono adatte per piccole sedi, filiali, uffici e ambienti con esigenze di spazio limitate. È particolarmente importante sapere se l’appliance gestisce solo l’accesso a Internet e la sicurezza di base o se deve gestire anche molti VLAN, VPN, ispezione TLS e reporting.
Sophos 1U Rack Appliances - Medie imprese
Le appliance 1U sono tipicamente rilevanti per PMI più grandi, sedi centrali e ambienti con maggiore necessità di porte, maggiore throughput o carico di sicurezza più elevato. Questi modelli sono spesso la scelta migliore quando si combinano più linee WAN, molti VLAN, più tunnel VPN o elevate esigenze di logging.
Sophos 2U Rack Appliances - Grandi imprese
Le appliance 2U appartengono ad ambienti con larghezza di banda molto elevata, molte sessioni simultanee, più moduli di sicurezza e requisiti di alta disponibilità. Qui il dimensionamento dovrebbe sempre essere effettuato con dati di traffico concreti, ipotesi di crescita e design HA.
Riserva, HA e crescita
Un firewall non dovrebbe funzionare costantemente vicino al limite. Le riserve sono importanti per:
- Crescita della linea Internet,
- Nuove sedi o VLAN,
- Attivazione successiva di ispezione TLS o IPS,
- Più utenti di accesso remoto,
- Ulteriori requisiti di logging e reporting,
- Aggiornamenti firmware con nuove funzioni,
- Situazioni di disturbo e failover.
Con HA è necessario pianificare con particolare attenzione. In un design Active-Passive, un singolo nodo deve essere in grado di gestire il carico produttivo da solo. Active-Active non è un lasciapassare per un dimensionamento al limite, poiché non ogni carico viene distribuito linearmente. I punti architettonici più importanti sono disponibili in Comprendere le varianti del cluster HA di Sophos Firewall.
Come regola generale, nei nuovi progetti non si dovrebbe pianificare un firewall che in condizioni normali mostri già un utilizzo molto elevato di CPU, RAM o sessioni. L’articolo Interpretare correttamente le metriche delle prestazioni di Sophos Firewall aiuta nella verifica operativa successiva.
Processo pratico di dimensionamento
1. Raccogliere la situazione di partenza
Per prima cosa, viene descritta l’ambiente:
- Sedi e linee WAN,
- Utenti e dispositivi,
- VLAN e zone interne,
- Servizi server e DMZ,
- Requisiti VPN e accesso remoto,
- Moduli di sicurezza pianificati attivamente,
- Requisiti di reporting e log,
- Requisiti HA o cloud.
2. Identificare i driver di carico critici
Successivamente, vengono identificati i punti che possono far salire il modello:
- Ispezione TLS ampiamente utilizzata,
- Molte connessioni protette da IPS,
- Elevato throughput VPN,
- Molte sessioni simultanee,
- Molte regole del firewall con logging,
- WAF o protezione della posta,
- Forte segmentazione con traffico interno attraverso il firewall,
- Crescita nei prossimi tre-cinque anni.
3. Leggere correttamente i valori delle schede tecniche
I valori delle schede tecniche dovrebbero essere intesi come valori di confronto, non come garanzia per ogni ambiente. È fondamentale sapere quale misurazione si adatta all’uso pianificato:
Metriche importanti:
- Firewall Throughput: orientamento generale per il semplice throughput dei pacchetti.
- IPS Throughput: rilevante per ambienti con Intrusion Prevention attiva.
- Threat Protection: spesso più realistico quando più funzioni di protezione sono attive contemporaneamente.
- TLS Inspection: importante per ambienti con traffico HTTPS decrittografato.
- IPsec VPN Throughput: rilevante per l’interconnessione tra sedi e il carico VPN.
- Concurrent Connections: importante con molti client, sessioni web e servizi.
Se più di questi punti sono rilevanti contemporaneamente, non si dovrebbe considerare solo una singola metrica.
4. Stabilire la riserva
Prima della scelta finale del modello, si dovrebbe decidere consapevolmente quanta riserva pianificare. Una piccola riserva può essere sufficiente per sedi molto semplici. Per firewall centrali, cluster HA, forte crescita o ampio utilizzo della sicurezza, la riserva dovrebbe essere significativamente maggiore.
5. Validare dopo l’implementazione
Il dimensionamento non termina con l’ordine. Dopo l’implementazione, si dovrebbe verificare se le ipotesi erano corrette:
- Utilizzo di CPU e RAM nei momenti di picco,
- Numeri di sessione,
- Throughput VPN,
- Tempo di risposta di WebAdmin,
- Log Viewer e reporting,
- Perdite di pacchetti o ritrasmissioni,
- Utilizzo WAN,
- Prestazioni dopo l’attivazione di funzioni di protezione aggiuntive.
Per misurazioni riproducibili, Utilizzare il test di velocità iPerf di Sophos Firewall per il troubleshooting può essere utile. Per test di velocità WAN semplici, Interpretare correttamente il test di velocità Internet di Sophos Firewall è il punto di partenza adatto.
Errori comuni di dimensionamento
- Dimensionare solo in base al numero di utenti.
- Confondere i valori delle schede tecniche per il throughput del firewall con il carico di protezione dalle minacce.
- Attivare l’ispezione TLS in seguito senza aver pianificato una riserva.
- Pianificare l’HA ma non verificare se un nodo ha abbastanza potenza da solo.
- Ignorare il traffico inter-VLAN.
- Sottovalutare il reporting e il logging.
- Eseguire firewall virtuali su host sovraccaricati.
- Non considerare la crescita della linea Internet.
- Pianificare l’accesso remoto e la VPN site-to-site solo in base al numero di tunnel anziché al throughput.
Checklist
- Larghezza di banda Internet e utilizzo di picco reale conosciuti.
- Utenti, dispositivi, VLAN e zone server registrati.
- Moduli di sicurezza pianificati documentati.
- Ispezione TLS, IPS, VPN, WAF, protezione della posta e reporting valutati separatamente.
- Traffico interno attraverso il firewall considerato.
- Design HA e carico di failover verificati.
- Deciso consapevolmente tra hardware o appliance virtuale.
- Pianificata riserva di crescita per diversi anni.
- Dopo l’implementazione, metriche di prestazione verificate.