Leistungsdaten der Sophos Firewall richtig verstehen

Auf unserer Produktseite, in der Firewall-Vergleichstabelle oder im Sophos Firewall-Datenblatt können Sie Leistungsdaten zur Firewall finden. Für die Auswahl des richtigen Modells ist es wichtig, die Leistungsdaten der Sophos Firewall richtig zu verstehen.

Unser Sophos Firewall Sizing Guide erklärt, worauf Sie bei der Firewall-Auswahl achten sollten. Um das richtige Modell zu wählen, ist es auch wichtig, die Leistungsdaten der Sophos Firewall zu verstehen.

Die Leistung Ihrer Sophos Firewall ist ein entscheidender Faktor für die Sicherheit und Effizienz Ihres Netzwerks. In diesem Blogpost werden wir die verschiedenen Aspekte der Performance-Analyse von Sophos Firewalls beleuchten und erklären, wie man die Leistungsdaten richtig interpretiert.

Performance-Prüfmethodik

Wie entstehen die Performancedaten von Sophos?

Die Leistung einer Firewall wird in der Regel unter idealen Testbedingungen gemessen. Sophos verwendet dazu das branchenführende Performance-Testtool Keysight-Ixia Breaking Point.

Keysight’s Ixia BreakingPoint ist ein anerkanntes Performance-Testtool, das dazu dient, die Sicherheit, Zuverlässigkeit und Performance von Netzwerken und Netzwerkgeräten zu bewerten. Es wird oft verwendet, um die Maximalkapazität, Leistung und Sicherheit von Netzwerkgeräten wie Firewalls, Intrusion Prevention Systems (IPS) und Routern zu testen.

BreakingPoint simuliert realistischen Datenverkehr sowie verschiedene Arten von Bedrohungen, einschliesslich Malware, DDoS-Angriffe und andere Sicherheitsrisiken. Es ist in der Lage, eine grosse Menge an Datenverkehr zu generieren, um zu testen, wie Netzwerkgeräte unter hoher Last und in Stresssituationen reagieren. Es ermöglicht auch, wie Geräte auf verschiedene Sicherheitsrisiken reagieren, und testet die Wirksamkeit von Sicherheitsmechanismen.

Für eine Firewall wie die Sophos Firewall kann BreakingPoint dazu verwendet werden, um zu ermitteln, wie die Firewall unter verschiedenen Bedingungen funktioniert. Beispielsweise könnte es verwendet werden, um zu testen, wie schnell die Firewall Daten verarbeiten kann (Durchsatz), wie sie auf bestimmte Arten von Bedrohungen reagiert (Sicherheitstests), und wie sie sich unter hoher Last verhält (Performance-Tests).

Es ist wichtig zu beachten, dass die Ergebnisse von BreakingPoint-Tests unter idealen Testbedingungen erzielt werden und dass die tatsächliche Leistung in einer realen Netzwerkumgebung aufgrund verschiedener Faktoren variieren kann.

Es ist jedoch wichtig zu beachten, dass die tatsächliche Leistung Ihrer Firewall von einer Vielzahl von Faktoren beeinflusst werden kann. Dazu gehören die Anzahl der gleichzeitig verbundenen Benutzer, die Art des Datenverkehrs und die Sicherheitsdienste, die auf Ihrer Firewall aktiviert sind. Um eine optimale Leistung zu gewährleisten, ist es daher wichtig, die Leistung Ihrer Firewall regelmässig zu überprüfen und gegebenenfalls anzupassen.

Firewall

Die Leistung der Firewall wird anhand des Durchsatzes des HTTP-Verkehrs gemessen. Dieser Durchsatz bezeichnet die Datenmenge, die die Firewall in einer bestimmten Zeit verarbeiten kann, und wird üblicherweise in Megabit pro Sekunde (Mbps) oder Gigabit pro Sekunde (Gbps) angegeben. Die Messungen basieren auf einer Antwortgrösse von 512 KB.

Um dies in einen geschäftlichen Kontext zu stellen, stellen Sie sich vor, Sie haben in Ihrem Unternehmen einen Fileserver, auf den viele Mitarbeiter zugreifen müssen. Jeder Dateizugriff, Download oder Upload von Dokumenten erzeugt Datenverkehr, der durch Ihre Firewall fliesst.

Nehmen wir an, dass Ihre Firewall einen Durchsatz von 1 Gbps hat. Das bedeutet, dass sie bis zu 1 Gigabit Daten pro Sekunde verarbeiten kann. Wenn ein Mitarbeiter auf eine Datei auf dem Server zugreift, die 512 KB gross ist, kann Ihre Firewall dieses Datenpaket sehr schnell verarbeiten, da 512 KB weit unter der maximalen Kapazität von 1 Gbps liegt. Dies stellt sicher, dass der Mitarbeiter schnell und effizient auf die benötigten Dateien zugreifen kann, ohne dass es zu nennenswerten Verzögerungen kommt.

Ein weiteres Szenario könnte die nächtliche Sicherung Ihrer Unternehmensdaten sein. Wenn grosse Datenmengen durch Ihre Firewall fliessen, wird die Fähigkeit der Firewall, einen hohen Durchsatz zu bewältigen, äusserst wichtig, um sicherzustellen, dass das Backup effizient und in angemessener Zeit durchgeführt wird.

Firewall-IMIX

IMIX steht für „Internet Mix“ und bezieht sich auf eine Art von Datenverkehr, der eine Mischung verschiedener Paketgrössen enthält. Im Zusammenhang mit Firewalls und Netzwerken ist dies ein nützliches Konzept, um die Leistung eines Systems zu bewerten, da es eine realistischere Darstellung des typischen Internetverkehrs bietet als Tests, die nur eine Paketgrösse verwenden.

Bei der Leistungsmessung der Sophos Firewall mit IMIX wird der UDP-Durchsatz anhand einer Kombination von Paketgrössen von 66, 570 und 1518 Byte gemessen. Das bedeutet, dass die Firewall Datenpakete dieser drei verschiedenen Grössen verarbeitet, die zusammen einen eher realistischen Internetverkehr darstellen.

Um dies zu veranschaulichen, stellen Sie sich vor, dass Ihre Mitarbeiter verschiedene Dienste über Ihr Netzwerk nutzen. Einige versenden oder empfangen E-Mails (kleinere Datenpakete), andere greifen auf Dateien auf dem Firmenserver zu (mittlere Datenpakete) und wieder andere laden grössere Dateien oder Dokumente hoch oder runter (grössere Datenpakete). Diese verschiedenen Aktionen erzeugen Datenpakete unterschiedlicher Grösse, die alle von Ihrer Firewall verarbeitet werden müssen.

Durch die Verwendung eines IMIX-Datenverkehrsprofils kann die Sophos Firewall diese gemischten Paketgrössen simulieren und so die Leistung der Firewall unter realistischeren Bedingungen messen. Diese Art der Messung gibt Ihnen ein klareres Bild davon, wie gut Ihre Firewall mit dem tatsächlichen, gemischten Datenverkehr umgehen kann, den sie in einer realen Unternehmensumgebung verarbeiten muss.

IPS (Intrusion Prevention System)

Ein Intrusion Prevention System (IPS) ist eine wichtige Komponente der Netzwerksicherheit, die dazu dient, bekannte Bedrohungen zu identifizieren und zu blockieren. Es überwacht den Netzwerkverkehr auf Anomalien oder Signaturen, die auf bösartige Aktivitäten hinweisen könnten, und ergreift Massnahmen, um diese zu stoppen, bevor sie Schaden anrichten können.

Die Leistung des IPS wird anhand des HTTP-Verkehrs unter Verwendung eines Standard-IPS-Regelsatzes und einer Objektgrösse von 512 KB gemessen. Das Regelwerk besteht im Grunde aus einer Liste von Kriterien, anhand derer das IPS den Datenverkehr überprüft. Erfüllt der Datenverkehr diese Kriterien, wird er als potenziell schädlich eingestuft und entsprechend behandelt.

Um dies in einen unternehmerischen Kontext zu stellen: Ein Mitarbeiter öffnet eine E-Mail, die einen bösartigen Link enthält. Wenn der Mitarbeiter auf den Link klickt, wird ein Datenpaket an Ihren Server gesendet, das möglicherweise schädlichen Code enthält. Wenn es den Kriterien des Regelsatzes entspricht, wird es als Bedrohung eingestuft und blockiert, bevor es Ihrem Netzwerk Schaden zufügen kann.

Die Messung der IPS-Leistung ist daher entscheidend, um zu verstehen, wie gut Ihre Firewall in der Lage ist, Bedrohungen in Echtzeit zu erkennen und zu blockieren. Eine höhere IPS-Leistung bedeutet, dass mehr Datenverkehr in kürzerer Zeit gescannt werden kann, was zu einer höheren Netzwerksicherheit führt.

IPsec-VPN

Die Leistung von IPsec-VPN wird anhand des HTTP-Durchsatzes gemessen, wobei mehrere Tunnel und eine HTTP-Antwortgrösse von 512 KB verwendet werden. Ein höherer Durchsatz bedeutet, dass mehr Daten in kürzerer Zeit übertragen werden können, was zu einer schnelleren und effizienteren VPN-Verbindung führt.

TLS Inspection

Die TLS-Inspection-Funktion auf der Sophos Firewall ermöglicht es, verschlüsselten Traffic zu überwachen und zu kontrollieren. Sie ermöglicht es der Firewall, in den verschlüsselten Datenverkehr hineinzuschauen, um möglicherweise schädliche Inhalte zu erkennen und zu blockieren, die sonst durch die Verschlüsselung verborgen wären.

Als Beispiel könnte man sich vorstellen, dass ein Mitarbeiter auf eine verschlüsselte Website zugreift. Obwohl die Verschlüsselung normalerweise verhindert, dass der Inhalt der Website von Aussenstehenden eingesehen wird, ermöglicht die TLS-Inspection der Sophos Firewall, den Inhalt zu überprüfen, um sicherzustellen, dass keine Malware oder andere schädliche Inhalte vorhanden sind. Wenn die Firewall schädlichen Inhalt erkennt, kann sie den Zugriff auf die Website blockieren, um das Netzwerk des Unternehmens zu schützen.

Die Leistung der TLS Inspection wird durch Messung der Performance mit IPS bei HTTPS-Sessions und verschiedenen Cipher Suites ermittelt.

Bedrohungsschutz

Der Bedrohungsschutz auf der Sophos Firewall ist eine umfassende Sicherheitslösung, die verschiedene Technologien und Funktionen kombiniert, um Ihr Netzwerk vor einer Vielzahl von Bedrohungen zu schützen. Er umfasst Funktionen wie die Firewall selbst, das Intrusion Prevention System (IPS), die Anwendungskontrolle und die Malware-Abwehr.

Stellen Sie sich vor, ein Mitarbeiter versucht, eine Datei von einer Website herunterzuladen, die als potenziell gefährlich eingestuft wird. Die Sophos Firewall würde zuerst den Zugriff auf die Website überprüfen (Firewall-Funktion), dann den Inhalt der Datei auf bekannte Schadcodes überprüfen (IPS und Malware-Abwehr) und schliesslich die Art der Datei und die Anwendung, die zum Download verwendet wird, überprüfen (Anwendungskontrolle). Wenn in einem dieser Schritte eine Bedrohung erkannt wird, würde die Sophos Firewall den Download blockieren und so das Netzwerk des Unternehmens schützen.

Die Leistung des Bedrohungsschutzes wird durch Aktivierung von Firewall, IPS, Application Control und Malware-Abwehr gemessen. Die Messungen werden mit einer HTTP-Antwortgrösse von 200 KB durchgeführt.

NGFW (Next-Generation Firewall)

Eine Next-Generation Firewall (NGFW) auf der Sophos Firewall ist mehr als eine herkömmliche Firewall. Sie beinhaltet erweiterte Funktionen, wie Intrusion Prevention Systeme (IPS) und Application Control, um ein höheres Mass an Netzwerksicherheit zu gewährleisten. Sie bietet eine tiefere und detailliertere Kontrolle des Netzwerkverkehrs, was eine effektivere Abwehr von Bedrohungen ermöglicht.

Beispiel: Ein Mitarbeiter versucht, auf eine Cloud-Anwendung zuzugreifen, die nicht für die Verwendung im Unternehmen freigegeben ist, wie etwa einen persönlichen Cloud-Speicherdienst. Die NGFW auf der Sophos Firewall würde diesen Zugriffsversuch erkennen (durch die Anwendungskontrolle), den Inhalt der Anfrage überprüfen (durch das IPS) und dann den Zugriff auf den Dienst blockieren. Diese zusätzlichen Funktionen ermöglichen es der Sophos Firewall, über die blosse Überwachung von Ports und Protokollen hinauszugehen und stattdessen ein tieferes Verständnis und Kontrolle des Netzwerkverkehrs zu bieten.

Die Performance der Next-Generation Firewall wird durch Aktivierung von IPS und Application Control mit HTTP-Datenverkehr gemessen. Dabei wird ein Standard-IPS-Regelsatz und eine Objektgrösse von 512 KB verwendet.