Vai al contenuto
Avanet

Eseguire un test di velocità Internet su Sophos Firewall tramite SSH

Un test di velocità Internet nel browser non mostra sempre ciò che la connessione Internet può realmente offrire. Browser, client, WLAN, proxy, IPS, filtro web, TLS Inspection, VPN, NAT e regole del firewall possono influenzare il risultato. A volte è utile eseguire un test direttamente su Sophos Firewall per distinguere i problemi di connessione WAN della firewall da quelli del client o delle regole.

L’articolo descrive un semplice test di download tramite SSH su Sophos Firewall, la corretta interpretazione del risultato e i limiti rispetto a iPerf, Log Viewer o Packet Capture. È particolarmente importante delimitare i problemi con più connessioni WAN: il test misura il traffico di download della firewall stessa, non automaticamente lo stesso percorso di un client dietro la firewall.

Quale test di performance è adatto?

Un download diretto sulla firewall è solo uno strumento. A seconda della domanda, un altro test può essere più significativo:

Questa separazione evita interpretazioni errate. Un download veloce sulla firewall non dimostra che un percorso client, un tratto VPN o una regola di TLS Inspection siano altrettanto veloci.

Cosa dimostra un test di velocità sulla firewall

Un test di velocità direttamente sulla firewall risponde a una domanda concreta: la firewall può scaricare un file da Internet alla velocità prevista attraverso il suo attuale percorso di routing?

Questo è utile se si vuole sapere:

  • se la connessione WAN è generalmente abbastanza veloce
  • se la connessione del provider fornisce approssimativamente la velocità di download prevista
  • se un problema si trova più probabilmente prima o dopo la firewall
  • se client, WLAN, switch, filtro web, TLS Inspection o VPN devono essere inclusi nell’analisi

Il test non dimostra automaticamente che i client dietro la firewall debbano raggiungere la stessa velocità. Il traffico client passa attraverso regole del firewall, NAT, politiche di sicurezza e, a seconda della configurazione, attraverso IPS, Web Protection, Application Control o TLS Inspection. Il download locale sulla firewall evita parte di questa elaborazione e quindi è adatto come delimitazione, non come test completo end-to-end.

Per l’interpretazione dei valori del datasheet, delle funzionalità di sicurezza e della performance reale, è utile anche Comprendere correttamente i dati di performance di Sophos Firewall.

Considerare più connessioni WAN e SD-WAN

Con firewall che hanno più collegamenti WAN, è importante chiarire prima del test quale percorso la firewall stessa utilizza per accedere a Internet. Il download è generato da Sophos Firewall. È quindi traffico di sistema e non segue necessariamente la stessa decisione di un flusso client elaborato da una regola del firewall, una regola NAT o un percorso SD-WAN.

Assunzioni errate tipiche:

  • Più gateway WAN: Il download della firewall può passare attraverso un gateway diverso rispetto al traffico client interessato
  • Routing SD-WAN per i client: Le regole SD-WAN del client non dimostrano automaticamente il percorso per il traffico di sistema della firewall
  • Failover o WAN di backup attivo: Il test potrebbe misurare il percorso alternativo
  • Routing basato su policy o NAT speciale: Un percorso client può essere trattato diversamente rispetto al download locale della firewall

In tali configurazioni, è sempre opportuno documentare il risultato con l’ora, il collegamento WAN attivo e il gateway osservato. Se il traffico di sistema, i pacchetti di risposta o le decisioni SD-WAN non sono chiari, è utile anche Comprendere il routing SD-WAN, i pacchetti di risposta e il traffico di sistema su Sophos Firewall.

Prerequisiti

Prima del test, assicurarsi che siano soddisfatti i seguenti punti:

  • L’accesso SSH o Advanced Shell è consentito consapevolmente, preferibilmente solo da una rete di amministrazione attendibile.
  • La firewall ha accesso a Internet e il DNS funziona.
  • È disponibile una finestra di manutenzione o almeno un momento non critico.
  • È chiaro attraverso quale interfaccia WAN la firewall eseguirà il download.
  • È disponibile spazio di archiviazione sufficiente per il file di test.
  • Il file di test viene eliminato dopo il test.

Per un accesso SSH sicuro, vedere Collegarsi a Sophos Firewall tramite SSH. In SFOS, SSH viene consentito in Administration > Device access tramite Local service ACL oppure, in modo più preciso, tramite una Local service ACL exception rule. SSH non dovrebbe essere consentito in modo ampio dalle zone WAN o Wi-Fi e, dopo le attività di troubleshooting, dovrebbe essere limitato al minimo necessario. Sophos Firewall chiude le sessioni SSH inattive dopo 15 minuti.

⚠️ Un test di download genera traffico reale e può saturare temporaneamente la connessione. Su firewall in produzione, tali test non dovrebbero essere eseguiti durante orari di lavoro critici o in parallelo a backup, VoIP o finestre di manutenzione.

Verificare DNS e routing prima del download

Prima di scaricare un file di test grande, è opportuno verificare brevemente se risoluzione dei nomi e raggiungibilità funzionano in linea di principio. Altrimenti si rischia di confondere problemi DNS, di routing o del provider con un risultato di speedtest.

Nel menu principale della CLI aprire prima 4 Device Console ed eseguire semplici controlli:

dnslookup www.avanet.io
ping www.avanet.io
traceroute www.avanet.io

dnslookup verifica la risoluzione dei nomi, ping fornisce un rapido test di raggiungibilità e traceroute mostra il percorso approssimativo verso la destinazione. In Device Console Sophos supporta per ping parametri aggiuntivi come interface o sourceip. Questo è utile con più collegamenti WAN quando si vuole verificare una sorgente o un’interfaccia specifica.

Se DNS fallisce già, il successivo test curl non è significativo. In quel caso verificare prima DNS, default route, gateway WAN, decisione SD-WAN o disponibilità del provider.

Eseguire il test di velocità tramite SSH

Accedere a Sophos Firewall tramite SSH come admin. Nel menu principale della CLI selezionare 5 Device Management e poi aprire 3 Advanced Shell. Advanced Shell è una shell Linux con accesso profondo ai componenti di sistema. In questo articolo viene usata solo per scaricare un file in /tmp ed eliminarlo di nuovo dopo il test.

Successivamente, scaricare il file di test in una directory temporanea per evitare che rimanga accidentalmente in una directory di lavoro inappropriata.

cd /tmp
curl -L -o 1GB.bin https://www.avanet.io/1GB.bin

Il server di test si trova in Svizzera ed è pensato per una misurazione approssimativa della connessione. Per test più piccoli, è possibile utilizzare 100MB.bin al posto di 1GB.bin:

cd /tmp
curl -L -o 100MB.bin https://www.avanet.io/100MB.bin

Se il DNS non funziona, il test fallirà già nella risoluzione dei nomi. In tal caso, non si dovrebbe analizzare la velocità della connessione, ma prima il DNS, il routing e la disponibilità WAN.

Con firewall che hanno più collegamenti WAN, il test non dovrebbe essere considerato isolatamente. In parallelo, si dovrebbe controllare nel WebAdmin quale collegamento WAN è attivo e se è in corso un failover, una modifica SD-WAN o un’interruzione del provider.

Eliminare il file di test

Dopo il test, il file dovrebbe essere rimosso:

rm /tmp/1GB.bin

In caso di test con il file più piccolo:

rm /tmp/100MB.bin

Se il test è stato interrotto, verificare comunque se è presente un file parzialmente scaricato:

ls -lh /tmp/*GB.bin

I file di test di grandi dimensioni non dovrebbero rimanere sulla firewall. Soprattutto su appliance piccole o partizioni già piene, un consumo di memoria non necessario può causare problemi difficili da diagnosticare in seguito.

Valutare il test di velocità

Durante e dopo il download, curl mostra, tra le altre cose, la velocità media di download. Nell’esempio, il valore è di circa 107 MB/s.

Test di velocità della connessione Internet su Sophos Firewall
Test di velocità della connessione Internet su Sophos Firewall

È importante l’unità:

  • MB/s significa Megabyte al secondo.
  • Mbit/s o Mbps significa Megabit al secondo.
  • 1 Byte corrisponde a 8 Bit.

Come conversione approssimativa:

MB/s x 8 = Mbit/s

107 MB/s corrispondono quindi a circa 856 Mbit/s. Overhead, comportamento TCP, controparte, routing e carico possono influenzare il valore. Pertanto, non si dovrebbe utilizzare una singola misurazione come prova definitiva.

Convertire la velocità di download
Convertire la velocità di download

È utile eseguire più test in diversi momenti della giornata. Se i valori variano notevolmente, si dovrebbe controllare il provider, il collegamento WAN, il routing SD-WAN, gli errori dell’interfaccia e il carico.

Per supporto o documentazione interna, non si dovrebbe annotare solo il numero. Un breve set di dati di misurazione aiuta notevolmente in seguito:

  • Momento: 2026-06-21 10:15
  • Firewall e firmware: XGS 2100, SFOS 22.0 MR1
  • File di test: 1GB.bin
  • Velocità misurata: 107 MB/s, circa 856 Mbit/s
  • Collegamento WAN attivo: WAN1 Fiber
  • Anomalie: backup parallelo, failover, alta CPU, Packet Capture attivo

Quando si confrontano più misurazioni, file di test, destinazione, ora e percorso WAN dovrebbero rimanere il più possibile invariati. Altrimenti, si rischia di confrontare l’ora del giorno, il percorso del provider o la controparte invece della reale performance della firewall.

Confrontare con i test del client

Il passo successivo è il confronto con un client dietro la firewall. In questo modo si può delimitare dove si perde performance.

  • Download diretto sulla firewall è veloce: La connessione WAN della firewall probabilmente non è il principale collo di bottiglia
  • Download diretto sulla firewall è lento: Controllare provider, collegamento WAN, routing, DNS o uplink della firewall
  • Firewall veloce, client lento: Controllare client, WLAN, switch, regola del firewall, NAT, politica di sicurezza o TLS Inspection
  • Solo alcune applicazioni lente: Controllare filtro web, Application Control, DNS, proxy o server di destinazione
  • Solo VPN lenta: Controllare protocollo VPN, MTU/MSS, routing, regole del firewall e rete client

Per test di percorso mirati, iPerf è spesso migliore di un download pubblico. Con iPerf si può definire dove si trovano server e client, se testare TCP o UDP e quale larghezza di banda ci si aspetta.

Interpretazioni errate tipiche

Il test di velocità della firewall è veloce, ma gli utenti segnalano comunque Internet lento

In tal caso, la connessione WAN non è automaticamente innocente, ma il focus si sposta. Si dovrebbe controllare la rete client, WLAN, porta dello switch, DNS, regola del firewall, NAT, IPS, Web Protection, Application Control e TLS Inspection. In particolare, TLS Inspection o profili di sicurezza aggressivi possono trattare il traffico client in modo significativamente diverso rispetto a un download diretto sulla firewall.

Il test di velocità del browser è lento, il test di velocità della firewall è veloce

Questo spesso indica un problema dietro la firewall o nel percorso del client. Tuttavia, si dovrebbero testare più browser, un client cablato e una seconda destinazione prima di assumere una causa fissa.

Il test di velocità della firewall è lento

In tal caso, controllare prima lo stato WAN, la velocità del collegamento, il duplex, il routing SD-WAN, il DNS, le interruzioni del provider e il carico. Con più connessioni WAN, dovrebbe essere chiaro attraverso quale gateway avviene il download.

Solo l’upload è lento

Il download curl descritto qui testa principalmente la direzione del download. Per test di upload o bidirezionali, iPerf o un’altra configurazione di test definita è più adatta.

Risoluzione dei problemi dopo il test

Se dopo il test di velocità non è chiaro dove si trova il problema, si dovrebbe procedere in modo strutturato:

  1. Controllare Device Console: usare dnslookup, ping e traceroute prima di interpretare i valori di download.
  2. Controllare Log Viewer: Quale regola del firewall colpisce il traffico client?
  3. Utilizzare Policy Test: Verificare origine, destinazione, servizio e utente previsti.
  4. Avviare Packet Capture: Si vedono pacchetti, pacchetti di risposta e NAT?
  5. Controllare lo stato dell’interfaccia: Valutare velocità del collegamento, errori, drop e carico.
  6. Controllare le funzionalità di sicurezza: IPS, filtro web, TLS Inspection, Application Control.
  7. Eseguire un test di controprova con iPerf: Testare percorso, TCP/UDP e direzione in modo mirato.

Per analisi di regole e flusso di pacchetti, vedere Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture. Per i log più approfonditi, vedere Risoluzione dei problemi su Sophos Firewall: Servizi e Log.

Checklist

Prima del test

  • Accesso SSH o Advanced Shell consentito consapevolmente.
  • Device Access o Local Service ACL exception rule per SSH limitati correttamente.
  • DNS e raggiungibilità verificati tramite Device Console.
  • Momento del test scelto.
  • Percorso WAN noto.
  • Spazio di archiviazione sufficiente disponibile.
  • Obiettivo della misurazione definito: test WAN, confronto client o delimitazione VPN.

Durante il test

  • Scaricare il file di test in /tmp.
  • Annotare la velocità di download e l’unità.
  • In caso di errori, non confondere DNS, routing o raggiungibilità con la velocità.
  • Non eseguire grandi modifiche parallele alle regole del firewall o SD-WAN.

Dopo il test

  • Eliminare il file di test.
  • Convertire il risultato in Mbit/s.
  • Confrontare con test del client o iPerf.
  • In caso di discrepanze, utilizzare Log Viewer, Policy Test e Packet Capture.
  • Documentare il risultato con ora, collegamento WAN e obiettivo del test.

FAQ

È possibile misurare la vera velocità di Internet con questo test?

Si misura la velocità di download della firewall verso un obiettivo di test specifico. È un buon indicatore della connessione WAN, ma non un test completo end-to-end per i client dietro la firewall.

Perché un test di velocità del browser dietro la firewall è diverso?

Il traffico client può essere influenzato da WLAN, switch, regole del firewall, NAT, IPS, Web Protection, TLS Inspection o Application Control. Un download diretto sulla firewall non utilizza lo stesso percorso di elaborazione.

Dovrei testare 100 MB o 1 GB?

Per connessioni veloci, 1 GB è più significativo perché il test dura più a lungo. Per controlli brevi o connessioni più piccole, spesso bastano 100 MB. Su firewall piccole o con memoria limitata, si dovrebbe testare con cautela e poi eliminare.

iPerf è migliore di curl?

Per analisi di performance mirate, spesso sì. curl è veloce e semplice per un test di download WAN. iPerf è migliore se si vuole controllare direzione, destinazione, TCP/UDP, durata e larghezza di banda.

Il test curl è uno speedtest ufficiale di Sophos?

No. Sophos documenta accesso CLI, Device Console e Advanced Shell, ma non uno speedtest Internet ufficiale tramite curl. Il test è un metodo pratico Avanet per delimitare la connessione WAN e deve essere completato con test client, log o iPerf.

Perché il file di test deve essere eliminato?

La firewall non è un server di file. I file di test di grandi dimensioni consumano spazio di archiviazione e possono causare problemi su appliance piccole o partizioni piene.

Perché il test di velocità della firewall con più WAN può differire da un test client?

Il test è generato dalla firewall stessa. Può quindi utilizzare un percorso di routing diverso rispetto al traffico client, che passa attraverso regole del firewall, NAT o percorsi SD-WAN. Con più collegamenti WAN, il percorso attivo dovrebbe essere sempre documentato.