Zum Inhalt springen
Avanet

Sophos Firewall Leistungsdaten richtig interpretieren

Sophos Firewall

Die Leistungsdaten einer Sophos Firewall sind wichtig für das Sizing, werden aber oft falsch gelesen. Der höchste Firewall-Durchsatz im Datenblatt ist nicht automatisch die Leistung, die ein Standort mit IPS, Web Protection, TLS Inspection, VPN, NAT, Reporting und vielen gleichzeitigen Benutzern erreicht.

Für die Auswahl eines Modells sollte man deshalb nicht nur auf eine einzelne Gbit/s-Zahl schauen. Entscheidend ist, welche Schutzfunktionen aktiv sind, welcher Traffic durch die Firewall fliesst und welche Reserven die Umgebung im Alltag braucht. Der Sophos Firewall Sizing Guide erklärt die Modellwahl; dieser Artikel erklärt, wie man die zugrunde liegenden Performance-Metriken einordnet.

Sophos Firewall XGS Serie Tabelle mit Leistungsdaten
Leistungsdaten sind Vergleichswerte unter definierten Testbedingungen, nicht die Garantie für jede reale Umgebung.

Kurzregel für das Sizing

Für die Praxis ist meist nicht der reine Firewall-Durchsatz der beste Startwert.

  • Nur Routing und einfache Firewall-Regeln: Firewall-Durchsatz und IMIX beachten.
  • Normales Unternehmensnetz mit IPS und Application Control: NGFW- oder Threat-Protection-Werte stärker gewichten.
  • Viele HTTPS-Verbindungen mit Entschlüsselung: TLS-Inspection-Leistung und CPU-Reserve einplanen.
  • Viele VPN-Verbindungen: IPsec- oder Remote-Access-Anforderungen separat betrachten.
  • Virtuelle Firewall: Hypervisor, CPU, RAM, Storage und virtuelle Netzwerkkarten genauso ernst nehmen wie die Sophos Lizenz.

Wenn unklar ist, ob Hardware oder virtuelle Appliance besser passt, hilft Sophos Firewall - Hardware oder virtuelle Appliance? als Entscheidungshilfe.

Warum Datenblattwerte nicht eins zu eins reichen

Performance-Werte werden unter definierten Laborbedingungen ermittelt. Das ist sinnvoll, weil Modelle so vergleichbar werden. Eine produktive Umgebung verhält sich aber anders:

  • Paketgrössen sind gemischt.
  • Benutzer erzeugen parallele Sessions.
  • Security-Profile prüfen Traffic unterschiedlich tief.
  • HTTPS-Traffic benötigt bei TLS Inspection deutlich mehr Ressourcen.
  • VPN, SD-WAN, NAT, Logging und Reporting laufen parallel.
  • WLAN, Switches, Clients, Server und Provider beeinflussen die gefühlte Performance.

Ein Datenblattwert ist deshalb ein Vergleichswert, kein Versprechen für jeden einzelnen Flow. Für ein solides Sizing sollte man mit Reserven planen und die späteren Betriebsfunktionen nicht erst nach dem Kauf berücksichtigen.

Die wichtigsten Metriken

MetrikWofür sie nützlich istTypische Fehlinterpretation
Firewall-DurchsatzVergleich bei einfachem Layer-3/Layer-4-VerkehrWird oft als realer Internetdurchsatz mit allen Security-Funktionen gelesen
Firewall IMIXrealistischere Mischung verschiedener PaketgrössenWird ignoriert, obwohl echte Netze selten nur grosse Pakete haben
IPS-DurchsatzVerkehr mit Intrusion PreventionWird unterschätzt, wenn IPS später für viele Regeln aktiv ist
NGFW-DurchsatzFirewall mit zusätzlichen Next-Generation-Funktionen wie IPS und Application ControlWird mit reinem Firewall-Durchsatz verwechselt
Threat Protectionstärkerer Näherungswert für aktivierte SchutzfunktionenWird als fester Mindestwert statt als Vergleichsmetrik verstanden
TLS InspectionHTTPS-Entschlüsselung und PrüfungWird im Sizing vergessen, obwohl sie sehr ressourcenintensiv sein kann
IPsec VPNStandortvernetzung und verschlüsselte TunnelWird nur anhand der Internetleitung geplant, ohne Gegenstelle, Paketgrössen und CPU zu beachten
Sessions und Connections per secondviele Benutzer, Webtraffic, Serverpublishing, kurze VerbindungenWird selten geprüft, kann aber bei vielen Clients oder veröffentlichten Diensten relevant sein

Firewall-Durchsatz und IMIX

Der reine Firewall-Durchsatz beschreibt eine vergleichsweise einfache Verarbeitung von Traffic. Dieser Wert ist nützlich, wenn eine Firewall vor allem routet, NAT macht und klassische Firewall-Regeln verarbeitet.

IMIX ist näher an echter Netzwerklast, weil unterschiedliche Paketgrössen gemischt werden. Das ist wichtig, weil kleine Pakete eine Firewall anders belasten als grosse Downloads. In Unternehmensnetzen gibt es selten nur einen sauberen grossen Datenstrom. Webzugriffe, DNS, VoIP, Cloud-Anwendungen, Updates und Dateiübertragungen erzeugen unterschiedliche Muster.

Für Standorte mit normalem Benutzertraffic ist IMIX deshalb oft aussagekräftiger als der schönste Maximalwert.

IPS, NGFW und Threat Protection

Sobald IPS, Application Control, Web Protection oder Malware-Prüfung aktiv sind, muss die Firewall mehr tun als Pakete weiterleiten. Die Firewall muss Traffic klassifizieren, Muster erkennen, Regeln anwenden und je nach Policy Inhalte prüfen.

Die Begriffe werden häufig vermischt:

  • IPS bewertet Traffic anhand von Signaturen und Regeln für bekannte Angriffsmuster.
  • NGFW beschreibt Firewall-Leistung mit zusätzlichen Funktionen wie IPS und Application Control.
  • Threat Protection ist ein stärkerer Näherungswert für Umgebungen, in denen mehrere Schutzfunktionen gleichzeitig aktiv sind.

Für ein Unternehmen, das die Sophos Firewall tatsächlich als Security Gateway betreibt, sind NGFW- und Threat-Protection-Werte meist relevanter als der reine Firewall-Durchsatz.

TLS Inspection realistisch planen

TLS Inspection ist einer der grössten Performance-Faktoren. Die Firewall entschlüsselt HTTPS-Verbindungen, prüft den Inhalt und verschlüsselt die Verbindung wieder. Das erzeugt CPU-Last und kann je nach Cipher Suite, Zielserver, Client, Ausnahmen und Policy deutlich spürbar sein.

TLS Inspection sollte deshalb nicht nebenbei aktiviert werden. Sinnvoll ist ein schrittweiser Rollout mit Pilotgruppe, Ausnahmen, Monitoring und klarer Fehlersuche. Der Artikel Sophos Firewall TLS Inspection richtig einführen beschreibt den operativen Ablauf.

Auch das CA-Zertifikat muss sauber verteilt werden. Für Clients ist Sophos Firewall CA Zertifikat für HTTPS Scanning installieren der passende Einstieg.

VPN-Leistung getrennt betrachten

VPN-Performance hängt nicht nur vom Firewall-Modell ab. Relevant sind auch Gegenstelle, Internetleitung, Latenz, Paketgrössen, MTU/MSS, Verschlüsselungsparameter, Routing und parallele Tunnel.

Für Site-to-Site-Verbindungen sollte man die geplanten Datenströme realistisch schätzen: Dateiübertragungen, Backups, ERP, VoIP, RDP, Monitoring und Replikation verhalten sich unterschiedlich. Für Remote Access kommen zusätzlich Clientgerät, WLAN, Provider und VPN-Client hinzu.

Wenn eine VPN-Strecke langsam wirkt, sollte man nicht nur den Datenblattwert prüfen. Ein definierter Streckentest mit iPerf ist meistens aussagekräftiger als ein Browser-Speedtest.

Was die reale Performance beeinflusst

In der Praxis wirken mehrere Faktoren gleichzeitig:

  • aktive Security-Profile pro Firewall-Regel
  • TLS Inspection und Ausnahmen
  • IPS-Policy und Signaturumfang
  • Web Protection, Application Control und Malware-Prüfung
  • NAT, DNAT, Serverpublishing und WAF
  • IPsec, SSL VPN, Sophos Connect und Site-to-Site-Tunnel
  • Logging, Reporting, Central Reporting und Syslog
  • viele kleine Sessions statt weniger grosser Downloads
  • Firewall Acceleration, FastPath, IPsec Acceleration und Traffic, der nicht offloaded werden kann
  • HA-Betrieb, Firmwarestand und Hotfixes
  • virtuelle Ressourcen bei Software- oder Cloud-Appliances

Deshalb sollte man Performance immer im Kontext der konkreten Policy prüfen. Eine Firewall-Regel ohne Security-Profile verhält sich anders als eine Regel mit IPS, Webfilter, Application Control und TLS Inspection.

FastPath und Offloading richtig einordnen

Moderne Sophos Firewalls verarbeiten nicht jeden Datenstrom gleich. Je nach Appliance, Firmware, Regel, Security-Profil und Traffic-Art kann Traffic teilweise beschleunigt oder in einem langsameren Verarbeitungspfad geprüft werden. Wichtige Begriffe dafür sind FastPath, Firewall acceleration, PKI acceleration und IPsec acceleration.

Für das Sizing ist das wichtig, weil ein schneller Test nicht beweist, dass jeder produktive Datenstrom denselben Pfad nutzt. Bestimmte Funktionen oder Traffic-Arten können Offloading einschränken oder verhindern, zum Beispiel:

  • SSL VPN
  • WAF und Proxy-Verkehr
  • QoS und DoS
  • Wireless, RED, LAG und PPPoE
  • fragmentierter IP-Traffic
  • bestimmte Bridge-, HA- oder Virtualisierungs-Szenarien

Auch die Fehlersuche kann Messwerte beeinflussen. Wenn Packet Capture oder iftop läuft, kann Traffic je nach Situation anders verarbeitet werden als im normalen Betrieb. Deshalb sollte man Performance-Messungen und Packet-Capture-Ergebnisse immer mit Zeitpunkt, Testmethode, Firmwarestand, Interface-Typ und aktiver Policy dokumentieren.

IPsec Acceleration ist ein eigener Sonderfall. Änderungen daran können Tunnel neu starten und benötigen ein Wartungsfenster. In einer Produktivumgebung sollte man solche Einstellungen nicht als schnellen Versuch umschalten, sondern zuerst mit Log Viewer, Packet Capture, IPsec Troubleshooting und einem klaren Testfall prüfen, ob der Verdacht wirklich passt.

Performance im Betrieb prüfen

Datenblattwerte helfen vor dem Kauf. Im Betrieb braucht man andere Werkzeuge:

  1. Control Center prüfen: CPU, RAM, Interface-Auslastung und Warnungen beobachten.
  2. Log Viewer öffnen: Greift die erwartete Firewall-Regel und ist Logging aktiviert?
  3. Policy und Security-Profile kontrollieren: Welche Funktionen wirken auf den betroffenen Traffic?
  4. Packet Capture verwenden: Sieht man Pakete, Antwortpakete, NAT und Drops?
  5. Streckentest durchführen: Mit iPerf oder einem definierten Download prüfen, welcher Pfad wirklich langsam ist.
  6. Offloading-Kontext notieren: Interface-Typ, HA-Modus, VPN-Art, PPPoE, WAF, SSL VPN oder Packet Capture können die Messung beeinflussen.
  7. Zeitpunkt notieren: Lastspitzen, Backups, Updates oder Reports können Ergebnisse verfälschen.

Für eine schnelle Abgrenzung der WAN-Leitung hilft Sophos Firewall Internet-Speedtest per SSH durchführen. Für End-to-End-Tests zwischen zwei Systemen ist Sophos Firewall Performance mit iPerf testen besser geeignet. Wenn eine Regel nicht wie erwartet greift, passt Sophos Firewall-Regeln gezielt testen.

Typische Sizing-Fehler

  • Es wird nur der höchste Firewall-Durchsatz verglichen.
  • TLS Inspection wird geplant, aber nicht in die Leistungsreserve eingerechnet.
  • VPN und Remote Access werden anhand der Benutzerzahl statt anhand der realen Nutzung bewertet.
  • Die Internetleitung wird berücksichtigt, interner Ost-West-Traffic aber nicht.
  • Virtuelle Firewalls werden auf überlasteten Hosts betrieben.
  • Reporting, Logging und Central-Anbindung werden erst nachträglich betrachtet.
  • Wachstum, neue Standorte, zusätzliche VLANs oder Serverpublishing fehlen in der Planung.
  • Es wird kein Unterschied zwischen Laborwert, Realwert und Benutzererfahrung gemacht.

Praktische Sizing-Checkliste

Vor der Modellwahl sollten diese Punkte geklärt sein:

  1. Internetbandbreite heute und geplant in den nächsten Jahren.
  2. Anzahl Benutzer, Geräte, Server und Standorte.
  3. Anteil von Webtraffic, Cloud-Anwendungen, VoIP, Backups und Dateiübertragungen.
  4. Geplante Security-Funktionen pro Traffic-Gruppe.
  5. TLS-Inspection-Umfang und notwendige Ausnahmen.
  6. Anzahl und Nutzung von IPsec-, SSL-VPN- und Sophos-Connect-Verbindungen.
  7. Bedarf für WAF, Mail Protection, RED, WLAN oder Central Reporting.
  8. Erwartete Reserven für Updates, Wachstum und Lastspitzen.
  9. Betriebsmodell: XGS Hardware, virtuelle Appliance, Cloud oder HA-Cluster.

FAQ

Welcher Sophos Firewall Leistungswert ist für die Modellwahl am wichtigsten?

Das hängt vom Einsatz ab. Für einfache Firewall-Regeln ist der Firewall-Durchsatz relevant. Für typische Unternehmensumgebungen mit IPS, Web Protection und Application Control sind NGFW- oder Threat-Protection-Werte meist aussagekräftiger.

Warum erreicht eine Firewall nicht den höchsten Datenblattwert?

Der höchste Wert entsteht unter definierten Testbedingungen. In der Realität beeinflussen Paketgrössen, Security-Profile, TLS Inspection, VPN, NAT, Logging, parallele Sessions, Clients und Gegenstellen das Ergebnis.

Muss TLS Inspection immer ins Sizing einbezogen werden?

Ja, wenn TLS Inspection heute oder später produktiv genutzt werden soll. HTTPS-Entschlüsselung ist ressourcenintensiv und sollte mit Reserve, Pilotgruppe und sauberem Rollout geplant werden.

Wie prüft man, ob die Firewall oder der Client langsam ist?

Man vergleicht mehrere Tests: Download direkt auf der Firewall, Test von einem kabelgebundenen Client, iPerf zwischen definierten Endpunkten, Log Viewer, Packet Capture und Interface-Auslastung. Eine einzelne Messung reicht selten.

Sind virtuelle Sophos Firewalls langsamer als Hardware Appliances?

Nicht automatisch. Virtuelle Firewalls können sehr gut funktionieren, wenn CPU, RAM, Storage und Netzwerk sauber geplant sind. Die Leistung hängt aber stärker von der Virtualisierungsplattform ab als bei einer dedizierten XGS Hardware Appliance.

Warum kann Packet Capture eine Performance-Messung beeinflussen?

Packet Capture ist ein Analysewerkzeug, kein neutraler Speedtest. Je nach Traffic und Offloading-Pfad kann sich die Verarbeitung während einer Aufnahme anders verhalten als im Normalbetrieb. Deshalb sollte man Capture-Ergebnisse mit Testzeitpunkt, Filter, Interface und Policy dokumentieren.