Eseguire un test di velocità Internet su Sophos Firewall tramite SSH
Un test di velocità Internet nel browser non mostra sempre ciò che la connessione Internet può realmente offrire. Browser, client, WLAN, proxy, IPS, filtro web, TLS Inspection, VPN, NAT e regole del firewall possono influenzare il risultato. A volte è utile eseguire un test direttamente su Sophos Firewall per distinguere i problemi di connessione WAN della firewall da quelli del client o delle regole.
L’articolo descrive un semplice test di download tramite SSH su Sophos Firewall, la corretta interpretazione del risultato e i limiti rispetto a iPerf, Log Viewer o Packet Capture. È particolarmente importante delimitare i problemi con più connessioni WAN: il test misura il traffico di download della firewall stessa, non automaticamente lo stesso percorso di un client dietro la firewall.
Quale test di performance è adatto?
Un download diretto sulla firewall è solo uno strumento. A seconda della domanda, un altro test può essere più significativo:
- Verificare il download WAN direttamente sulla firewall: Questo articolo
- Misurare il throughput tra due reti definite: Utilizzare correttamente iPerf dietro Sophos Firewall
- Interpretare i valori del datasheet e la reale performance di sicurezza: Comprendere correttamente i dati di performance di Sophos Firewall
- Verificare quale regola o policy del firewall viene applicata: Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture
- Analizzare pacchetti singoli, NAT o percorso di ritorno: Utilizzare miratamente Packet Capture su Sophos Firewall
- VPN è lenta o instabile: Verificare MTU e MSS per problemi VPN su Sophos Firewall
- Visualizzare modelli di traffico e picchi di volume su interfacce: Configurare il monitoraggio sFlow su Sophos Firewall
Questa separazione evita interpretazioni errate. Un download veloce sulla firewall non dimostra che un percorso client, un tratto VPN o una regola di TLS Inspection siano altrettanto veloci.
Cosa dimostra un test di velocità sulla firewall
Un test di velocità direttamente sulla firewall risponde a una domanda concreta: la firewall può scaricare un file da Internet alla velocità prevista attraverso il suo attuale percorso di routing?
Questo è utile se si vuole sapere:
- se la connessione WAN è generalmente abbastanza veloce
- se la connessione del provider fornisce approssimativamente la velocità di download prevista
- se un problema si trova più probabilmente prima o dopo la firewall
- se client, WLAN, switch, filtro web, TLS Inspection o VPN devono essere inclusi nell’analisi
Il test non dimostra automaticamente che i client dietro la firewall debbano raggiungere la stessa velocità. Il traffico client passa attraverso regole del firewall, NAT, politiche di sicurezza e, a seconda della configurazione, attraverso IPS, Web Protection, Application Control o TLS Inspection. Il download locale sulla firewall evita parte di questa elaborazione e quindi è adatto come delimitazione, non come test completo end-to-end.
Per l’interpretazione dei valori del datasheet, delle funzionalità di sicurezza e della performance reale, è utile anche Comprendere correttamente i dati di performance di Sophos Firewall.
Considerare più connessioni WAN e SD-WAN
Con firewall che hanno più collegamenti WAN, è importante chiarire prima del test quale percorso la firewall stessa utilizza per accedere a Internet. Il download è generato da Sophos Firewall. È quindi traffico di sistema e non segue necessariamente la stessa decisione di un flusso client elaborato da una regola del firewall, una regola NAT o un percorso SD-WAN.
Assunzioni errate tipiche:
- Più gateway WAN: Il download della firewall può passare attraverso un gateway diverso rispetto al traffico client interessato
- Routing SD-WAN per i client: Le regole SD-WAN del client non dimostrano automaticamente il percorso per il traffico di sistema della firewall
- Failover o WAN di backup attivo: Il test potrebbe misurare il percorso alternativo
- Routing basato su policy o NAT speciale: Un percorso client può essere trattato diversamente rispetto al download locale della firewall
In tali configurazioni, è sempre opportuno documentare il risultato con l’ora, il collegamento WAN attivo e il gateway osservato. Se il traffico di sistema, i pacchetti di risposta o le decisioni SD-WAN non sono chiari, è utile anche Comprendere il routing SD-WAN, i pacchetti di risposta e il traffico di sistema su Sophos Firewall.
Prerequisiti
Prima del test, assicurarsi che siano soddisfatti i seguenti punti:
- L’accesso SSH o Advanced Shell è consentito consapevolmente, preferibilmente solo da una rete di amministrazione attendibile.
- La firewall ha accesso a Internet e il DNS funziona.
- È disponibile una finestra di manutenzione o almeno un momento non critico.
- È chiaro attraverso quale interfaccia WAN la firewall eseguirà il download.
- È disponibile spazio di archiviazione sufficiente per il file di test.
- Il file di test viene eliminato dopo il test.
Per un accesso SSH sicuro, vedere Collegarsi a Sophos Firewall tramite SSH. In SFOS, SSH viene consentito in Administration > Device access tramite Local service ACL oppure, in modo più preciso, tramite una Local service ACL exception rule. SSH non dovrebbe essere consentito in modo ampio dalle zone WAN o Wi-Fi e, dopo le attività di troubleshooting, dovrebbe essere limitato al minimo necessario. Sophos Firewall chiude le sessioni SSH inattive dopo 15 minuti.
⚠️ Un test di download genera traffico reale e può saturare temporaneamente la connessione. Su firewall in produzione, tali test non dovrebbero essere eseguiti durante orari di lavoro critici o in parallelo a backup, VoIP o finestre di manutenzione.
Verificare DNS e routing prima del download
Prima di scaricare un file di test grande, è opportuno verificare brevemente se risoluzione dei nomi e raggiungibilità funzionano in linea di principio. Altrimenti si rischia di confondere problemi DNS, di routing o del provider con un risultato di speedtest.
Nel menu principale della CLI aprire prima 4 Device Console ed eseguire semplici controlli:
dnslookup www.avanet.io
ping www.avanet.io
traceroute www.avanet.io
dnslookup verifica la risoluzione dei nomi, ping fornisce un rapido test di raggiungibilità e traceroute mostra il percorso approssimativo verso la destinazione. In Device Console Sophos supporta per ping parametri aggiuntivi come interface o sourceip. Questo è utile con più collegamenti WAN quando si vuole verificare una sorgente o un’interfaccia specifica.
Se DNS fallisce già, il successivo test curl non è significativo. In quel caso verificare prima DNS, default route, gateway WAN, decisione SD-WAN o disponibilità del provider.
Eseguire il test di velocità tramite SSH
Accedere a Sophos Firewall tramite SSH come admin. Nel menu principale della CLI selezionare 5 Device Management e poi aprire 3 Advanced Shell. Advanced Shell è una shell Linux con accesso profondo ai componenti di sistema. In questo articolo viene usata solo per scaricare un file in /tmp ed eliminarlo di nuovo dopo il test.
Successivamente, scaricare il file di test in una directory temporanea per evitare che rimanga accidentalmente in una directory di lavoro inappropriata.
cd /tmp
curl -L -o 1GB.bin https://www.avanet.io/1GB.bin
Il server di test si trova in Svizzera ed è pensato per una misurazione approssimativa della connessione. Per test più piccoli, è possibile utilizzare 100MB.bin al posto di 1GB.bin:
cd /tmp
curl -L -o 100MB.bin https://www.avanet.io/100MB.bin
Se il DNS non funziona, il test fallirà già nella risoluzione dei nomi. In tal caso, non si dovrebbe analizzare la velocità della connessione, ma prima il DNS, il routing e la disponibilità WAN.
Con firewall che hanno più collegamenti WAN, il test non dovrebbe essere considerato isolatamente. In parallelo, si dovrebbe controllare nel WebAdmin quale collegamento WAN è attivo e se è in corso un failover, una modifica SD-WAN o un’interruzione del provider.
Eliminare il file di test
Dopo il test, il file dovrebbe essere rimosso:
rm /tmp/1GB.bin
In caso di test con il file più piccolo:
rm /tmp/100MB.bin
Se il test è stato interrotto, verificare comunque se è presente un file parzialmente scaricato:
ls -lh /tmp/*GB.bin
I file di test di grandi dimensioni non dovrebbero rimanere sulla firewall. Soprattutto su appliance piccole o partizioni già piene, un consumo di memoria non necessario può causare problemi difficili da diagnosticare in seguito.
Valutare il test di velocità
Durante e dopo il download, curl mostra, tra le altre cose, la velocità media di download. Nell’esempio, il valore è di circa 107 MB/s.

È importante l’unità:
MB/ssignifica Megabyte al secondo.Mbit/soMbpssignifica Megabit al secondo.- 1 Byte corrisponde a 8 Bit.
Come conversione approssimativa:
MB/s x 8 = Mbit/s
107 MB/s corrispondono quindi a circa 856 Mbit/s. Overhead, comportamento TCP, controparte, routing e carico possono influenzare il valore. Pertanto, non si dovrebbe utilizzare una singola misurazione come prova definitiva.

È utile eseguire più test in diversi momenti della giornata. Se i valori variano notevolmente, si dovrebbe controllare il provider, il collegamento WAN, il routing SD-WAN, gli errori dell’interfaccia e il carico.
Per supporto o documentazione interna, non si dovrebbe annotare solo il numero. Un breve set di dati di misurazione aiuta notevolmente in seguito:
- Momento:
2026-06-21 10:15 - Firewall e firmware:
XGS 2100, SFOS 22.0 MR1 - File di test:
1GB.bin - Velocità misurata:
107 MB/s, circa856 Mbit/s - Collegamento WAN attivo:
WAN1 Fiber - Anomalie: backup parallelo, failover, alta CPU, Packet Capture attivo
Quando si confrontano più misurazioni, file di test, destinazione, ora e percorso WAN dovrebbero rimanere il più possibile invariati. Altrimenti, si rischia di confrontare l’ora del giorno, il percorso del provider o la controparte invece della reale performance della firewall.
Confrontare con i test del client
Il passo successivo è il confronto con un client dietro la firewall. In questo modo si può delimitare dove si perde performance.
- Download diretto sulla firewall è veloce: La connessione WAN della firewall probabilmente non è il principale collo di bottiglia
- Download diretto sulla firewall è lento: Controllare provider, collegamento WAN, routing, DNS o uplink della firewall
- Firewall veloce, client lento: Controllare client, WLAN, switch, regola del firewall, NAT, politica di sicurezza o TLS Inspection
- Solo alcune applicazioni lente: Controllare filtro web, Application Control, DNS, proxy o server di destinazione
- Solo VPN lenta: Controllare protocollo VPN, MTU/MSS, routing, regole del firewall e rete client
Per test di percorso mirati, iPerf è spesso migliore di un download pubblico. Con iPerf si può definire dove si trovano server e client, se testare TCP o UDP e quale larghezza di banda ci si aspetta.
Interpretazioni errate tipiche
Il test di velocità della firewall è veloce, ma gli utenti segnalano comunque Internet lento
In tal caso, la connessione WAN non è automaticamente innocente, ma il focus si sposta. Si dovrebbe controllare la rete client, WLAN, porta dello switch, DNS, regola del firewall, NAT, IPS, Web Protection, Application Control e TLS Inspection. In particolare, TLS Inspection o profili di sicurezza aggressivi possono trattare il traffico client in modo significativamente diverso rispetto a un download diretto sulla firewall.
Il test di velocità del browser è lento, il test di velocità della firewall è veloce
Questo spesso indica un problema dietro la firewall o nel percorso del client. Tuttavia, si dovrebbero testare più browser, un client cablato e una seconda destinazione prima di assumere una causa fissa.
Il test di velocità della firewall è lento
In tal caso, controllare prima lo stato WAN, la velocità del collegamento, il duplex, il routing SD-WAN, il DNS, le interruzioni del provider e il carico. Con più connessioni WAN, dovrebbe essere chiaro attraverso quale gateway avviene il download.
Solo l’upload è lento
Il download curl descritto qui testa principalmente la direzione del download. Per test di upload o bidirezionali, iPerf o un’altra configurazione di test definita è più adatta.
Risoluzione dei problemi dopo il test
Se dopo il test di velocità non è chiaro dove si trova il problema, si dovrebbe procedere in modo strutturato:
- Controllare Device Console: usare
dnslookup,pingetracerouteprima di interpretare i valori di download. - Controllare Log Viewer: Quale regola del firewall colpisce il traffico client?
- Utilizzare Policy Test: Verificare origine, destinazione, servizio e utente previsti.
- Avviare Packet Capture: Si vedono pacchetti, pacchetti di risposta e NAT?
- Controllare lo stato dell’interfaccia: Valutare velocità del collegamento, errori, drop e carico.
- Controllare le funzionalità di sicurezza: IPS, filtro web, TLS Inspection, Application Control.
- Eseguire un test di controprova con iPerf: Testare percorso, TCP/UDP e direzione in modo mirato.
Per analisi di regole e flusso di pacchetti, vedere Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture. Per i log più approfonditi, vedere Risoluzione dei problemi su Sophos Firewall: Servizi e Log.
Checklist
Prima del test
- Accesso SSH o Advanced Shell consentito consapevolmente.
- Device Access o Local Service ACL exception rule per SSH limitati correttamente.
- DNS e raggiungibilità verificati tramite Device Console.
- Momento del test scelto.
- Percorso WAN noto.
- Spazio di archiviazione sufficiente disponibile.
- Obiettivo della misurazione definito: test WAN, confronto client o delimitazione VPN.
Durante il test
- Scaricare il file di test in
/tmp. - Annotare la velocità di download e l’unità.
- In caso di errori, non confondere DNS, routing o raggiungibilità con la velocità.
- Non eseguire grandi modifiche parallele alle regole del firewall o SD-WAN.
Dopo il test
- Eliminare il file di test.
- Convertire il risultato in Mbit/s.
- Confrontare con test del client o iPerf.
- In caso di discrepanze, utilizzare Log Viewer, Policy Test e Packet Capture.
- Documentare il risultato con ora, collegamento WAN e obiettivo del test.
FAQ
È possibile misurare la vera velocità di Internet con questo test?
Perché un test di velocità del browser dietro la firewall è diverso?
Dovrei testare 100 MB o 1 GB?
iPerf è migliore di curl?
curl è veloce e semplice per un test di download WAN. iPerf è migliore se si vuole controllare direzione, destinazione, TCP/UDP, durata e larghezza di banda.Il test curl è uno speedtest ufficiale di Sophos?
curl. Il test è un metodo pratico Avanet per delimitare la connessione WAN e deve essere completato con test client, log o iPerf.