Zum Inhalt springen
Avanet

Sophos Firewall - Hardware oder virtuelle Appliance?

Sophos Firewall

Sophos Firewall wird heute in der Regel als XGS Hardware Appliance oder als virtuelle Appliance betrieben. Für neue Projekte zählen deshalb vor allem Leistung, Betriebsmodell, vorhandene Infrastruktur, Supportfähigkeit und ein sauberes Sizing.

Kurzentscheidung

  • XGS Hardware Appliance: Wenn eine dedizierte Firewall mit klar kalkulierbarer Leistung, integrierten Ports, Hardware-Beschleunigung und einfachem Support gewünscht ist.
  • Virtuelle Appliance: Wenn bereits eine stabile Virtualisierungs- oder Cloud-Umgebung vorhanden ist und CPU, RAM, Storage und Netzwerk flexibel zugewiesen werden sollen.
  • Sizing zuerst: Die Entscheidung sollte nicht nur anhand der Benutzerzahl getroffen werden. SSL/TLS Inspection, IPS, VPN, Web Protection, Mail Protection, RED-Standorte, Access Points und Internet-Bandbreite beeinflussen die benötigte Leistung deutlich.

XGS Hardware Appliance

Eine XGS Hardware Appliance ist meist die einfachste und planbarste Variante. Die Leistung ergibt sich aus dem gewählten Modell. Damit sind Firewall-Durchsatz, VPN-Leistung, verfügbare Ports, Erweiterungsmöglichkeiten und Hardware-Ressourcen klar definiert.

Hardware Appliances eignen sich besonders für Standorte, an denen die Firewall als dedizierte Security-Komponente betrieben werden soll. Zusätzlich sind Support, Austauschgerät und Lifecycle einfacher zu handhaben, weil Hardware und Firewall-Betriebssystem als abgestimmtes System geliefert werden.

Für die Auswahl der passenden Appliance sollte man die benötigte Leistung konservativ berechnen. Dabei sind nicht nur Benutzer oder Geräte relevant, sondern auch aktivierte Schutzfunktionen und der erwartete Traffic. Eine Orientierung bietet unser Sophos Firewall Sizing Guide.

Virtuelle Appliance

Eine virtuelle Sophos Firewall ist sinnvoll, wenn bereits eine leistungsfähige Virtualisierungsplattform oder Cloud-Infrastruktur vorhanden ist. Die Firewall kann dann näher an bestehenden Server-Workloads betrieben werden und Ressourcen lassen sich flexibler anpassen.

Bei virtuellen Appliances hängt die Leistung stärker von der Umgebung ab. Wichtig sind ausreichend CPU-Leistung, genügend RAM, performanter Storage, passende virtuelle Netzwerkkarten und eine saubere Trennung der Netzwerkzonen. Die Firewall sollte nicht auf einem überlasteten Host betrieben werden, da Security-Funktionen wie IPS oder SSL/TLS Inspection sehr ressourcenintensiv sein können.

Das Lizenzmodell für virtuelle und softwarebasierte Sophos Firewall Instanzen wurde vereinfacht: Seit dem 1. März 2025 wird nur noch nach CPU-Cores lizenziert. Die frühere RAM-Begrenzung entfällt, sodass der zugewiesene Arbeitsspeicher nicht mehr durch die Lizenz limitiert wird. Mehr Details dazu stehen im Blogpost vom 3. März 2025: Sophos Firewall VM & SW - Nur CPU zählt - Kein RAM Limit mehr.

Empfehlung

Für klassische Standorte ist eine XGS Hardware Appliance meistens die robustere Wahl, weil Leistung, Ports und Support klar definiert sind. Eine virtuelle Appliance ist besonders dann interessant, wenn die Firewall in ein Rechenzentrum, eine Cloud-Umgebung oder eine bestehende Virtualisierungsstrategie eingebunden werden soll.

Wenn die Umgebung hohe Anforderungen an Durchsatz, SSL/TLS Inspection, viele VPN-Verbindungen oder mehrere Security-Module hat, sollte das Sizing vor dem Kauf sorgfältig geprüft werden. Wir unterstützen dich gerne bei der Auswahl der passenden Sophos Firewall.