Sophos Firewall Sizing Guide: XGS richtig dimensionieren
Beim Sophos Firewall Sizing geht es nicht nur um die Anzahl Benutzer. Eine Firewall kann bei gleicher Benutzerzahl sehr unterschiedlich belastet werden: durch Internet-Bandbreite, TLS Inspection, IPS, VPN, Web Protection, WAF, Reporting, HA, viele VLANs oder viele gleichzeitige Verbindungen.
Ein gutes Sizing sorgt dafür, dass die Sophos Firewall nicht nur am ersten Tag funktioniert, sondern auch mit aktivierten Schutzfunktionen, realistischem Wachstum und sauberem Betrieb noch Reserve hat. Für die Entscheidung zwischen Hardware und Virtual Appliance passt zusätzlich Sophos Firewall - Hardware oder virtuelle Appliance?.
Ziel des Sizings
Das Ziel ist nicht, das kleinste Modell zu finden, das unter idealen Laborbedingungen noch reicht. In der Praxis sollte die Firewall auch dann stabil bleiben, wenn mehrere Dinge gleichzeitig passieren:
- viele Benutzer arbeiten parallel,
- TLS Inspection oder IPS ist aktiv,
- Site-to-Site- oder Remote-Access-VPNs laufen,
- Reporting und Logging erzeugen zusätzliche Last,
- Backups, Updates oder Supportdiagnosen laufen im Hintergrund,
- ein Standort wächst oder bekommt mehr Bandbreite.
Deshalb sollte man immer mit Reserven planen. Eine knapp dimensionierte Firewall erzeugt später Supportaufwand: langsame Internetverbindungen, hohe CPU-Last, Paketverluste, träges WebAdmin, instabile VPN-Verbindungen oder fehlende Reserven für neue Sicherheitsfunktionen.
Die wichtigsten Sizing-Faktoren
Internet-Bandbreite und Traffic-Profil
Die gebuchte Internetleitung ist ein guter Startpunkt, aber nicht die ganze Wahrheit. Wichtig ist, wie viel davon tatsächlich gleichzeitig genutzt wird und welcher Traffic über die Firewall läuft.
Prüfen:
- symmetrische oder asymmetrische Leitung,
- Peak-Traffic zu Geschäftszeiten,
- viele kleine Websessions oder wenige grosse Downloads,
- Cloud-Backups, Microsoft 365, VoIP, Online-Meetings,
- Standortvernetzung über VPN oder SD-WAN,
- interner Traffic zwischen VLANs, der ebenfalls durch die Firewall geführt wird.
Wenn die Firewall auch als internes Routing- und Segmentierungsgerät arbeitet, muss man nicht nur WAN-Durchsatz, sondern auch Ost-West-Traffic einplanen. Die Grundlagen zu Zonen, VLANs und Interface-Design stehen in Sophos Firewall Zonen und Interfaces konfigurieren.
Schutzfunktionen
Je mehr Security-Module aktiv sind, desto stärker muss die Appliance dimensioniert werden. Besonders relevant sind:
- IPS,
- Web Protection,
- Application Control,
- SSL/TLS Inspection,
- Zero-Day Protection,
- WAF,
- Mail Protection,
- Threat Feeds,
- Reporting und Log Viewer.
Datenblattwerte sind nur dann vergleichbar, wenn klar ist, welche Funktion gemessen wurde. Firewall-Durchsatz ohne Security-Inspection ist nicht dasselbe wie Threat-Protection- oder TLS-Inspection-Durchsatz. Für produktive Umgebungen sollte man deshalb nicht nur auf den höchsten Marketingwert schauen, sondern auf die Kennzahl, die zum eigenen Einsatz passt.
Bei TLS Inspection ist zusätzlich wichtig, ob die Organisation den Rollout technisch und organisatorisch sauber betreiben kann. Der praktische Ablauf ist in Sophos Firewall TLS Inspection sauber ausrollen beschrieben.
Benutzer, Geräte und Sessions
Die Benutzerzahl bleibt wichtig, reicht aber nicht aus. Ein Büro mit 50 Benutzern, wenigen Cloud-Diensten und ohne TLS Inspection belastet die Firewall anders als ein Standort mit 50 Benutzern, Terminalservern, vielen SaaS-Anwendungen, VoIP, Gastnetz, IoT, Remote Access und mehreren Serverzonen.
Zusätzlich zählen:
- Anzahl Endgeräte pro Benutzer,
- Gast- und IoT-Netze,
- Server, Drucker, Kameras und Spezialgeräte,
- gleichzeitige Sessions,
- viele kleine DNS- oder Webanfragen,
- Remote-Access-Benutzer,
- automatisierte Systeme wie Backup, Monitoring oder EDR.
In gemischten Umgebungen mit vielen VLANs sollte man eher nach Traffic-Flüssen planen als nur nach Kopfzahl.
VPN, SD-WAN und Standortvernetzung
VPN kann eine Firewall stark belasten, besonders wenn viele Tunnel, hohe Bandbreite oder viele Remote-Access-Benutzer zusammenkommen.
Einplanen:
- Site-to-Site IPsec,
- route-based VPN mit XFRM-Interfaces,
- Remote Access über Sophos Connect oder SSL VPN,
- SD-WAN Policy Routes,
- mehrere WAN-Leitungen,
- Failover-Szenarien,
- MTU/MSS-Themen bei VPN-Strecken.
Bei VPN-Performance sollte man nicht nur den Tunnelstatus betrachten. Entscheidend ist, ob der produktive Traffic mit aktivierten Regeln, NAT, Routing und Security-Inspection stabil läuft. Für Routing- und VPN-Pfade sind IPsec Route auf Sophos Firewall und SD-WAN Routing für Reply Packets und System Traffic passende Vertiefungen.
Logging, Reporting und Speicher
Logging hilft im Betrieb, erzeugt aber ebenfalls Last und Speicherbedarf. Wer viele Firewall-Regeln mit Logging, Webfilter, IPS, Application Control und Central Firewall Reporting nutzt, sollte die Reporting-Anforderungen früh klären.
Prüfen:
- Welche Regeln sollen Logging aktiv haben?
- Wie lange müssen Logs verfügbar sein?
- Wird Sophos Central Firewall Reporting genutzt?
- Gibt es Syslog oder SIEM?
- Müssen Reports regelmässig erstellt werden?
- Werden Logdaten für Troubleshooting oder Compliance benötigt?
Für längere Auswertung ist die Firewall allein oft nicht der richtige Ort. Dann sollte man Sophos Central Firewall Reporting oder einen Syslog-/SIEM-Export einplanen.
Hardware, virtuell oder Cloud?
XGS Hardware Appliance
Eine XGS Hardware Appliance ist meistens die planbarste Variante für klassische Standorte. Hardware, Ports, Support, Lifecycle und Performance sind als Gesamtpaket definiert.
Vorteile:
- dedizierte Firewall-Hardware,
- klare Port- und Erweiterungsoptionen,
- einfache Support- und RMA-Abwicklung,
- planbare Leistung,
- weniger Abhängigkeit von einem Hypervisor.
Hardware ist besonders sinnvoll, wenn die Firewall am Standort der zentrale Security- und Routing-Punkt ist.
Virtuelle Sophos Firewall
Eine virtuelle Firewall passt gut in Rechenzentren, Cloud-Umgebungen oder virtualisierte Netzwerksegmente. Die Leistung hängt dann stark von CPU, RAM, Storage, Hypervisor, virtuellen Netzwerkkarten und Host-Auslastung ab.
Wichtig:
- CPU-Ressourcen dürfen nicht dauerhaft überbucht sein.
- Virtuelle NICs und Portgruppen müssen sauber getrennt sein.
- Storage-Latenz kann Logging und Reporting beeinflussen.
- Backup und Restore müssen zur Virtualisierungsplattform passen.
- HA- und Failover-Design müssen vorab geplant werden.
Die Lizenzierung und Entscheidung zwischen Hardware und virtueller Appliance sollte separat geprüft werden. Dafür passt Sophos Firewall - Hardware oder virtuelle Appliance?.
Appliance-Klassen einordnen
Die folgenden Bereiche helfen bei der groben Orientierung. Die konkrete Auswahl muss danach mit Bandbreite, Funktionen, Reserve und Betriebsmodell geprüft werden.
Sophos Desktop Appliances - Small Business
Desktop-Appliances passen für kleine Standorte, Filialen, Büros und Umgebungen mit begrenztem Platzbedarf. Wichtig ist hier besonders, ob die Appliance nur Internetzugang und grundlegende Security übernimmt oder zusätzlich viele VLANs, VPNs, TLS Inspection und Reporting tragen muss.
Sophos 1U Rack Appliances - Midsize Business
1U-Appliances sind typischerweise für grössere KMU, zentrale Standorte und Umgebungen mit mehr Portbedarf, mehr Durchsatz oder höherer Security-Last relevant. Diese Modelle sind oft die bessere Wahl, wenn mehrere WAN-Leitungen, viele VLANs, mehrere VPN-Tunnel oder hohe Logging-Anforderungen zusammenkommen.
Sophos 2U Rack Appliances - Enterprise Business
2U-Appliances gehören in Umgebungen mit sehr hoher Bandbreite, vielen gleichzeitigen Sessions, mehreren Sicherheitsmodulen und hohen Verfügbarkeitsanforderungen. Hier sollte das Sizing immer mit konkreten Trafficdaten, Wachstumsannahmen und HA-Design erfolgen.
Reserve, HA und Wachstum
Eine Firewall sollte nicht dauerhaft nahe am Limit laufen. Reserven sind wichtig für:
- Wachstum der Internetleitung,
- neue Standorte oder VLANs,
- spätere Aktivierung von TLS Inspection oder IPS,
- mehr Remote-Access-Benutzer,
- zusätzliche Logging- und Reporting-Anforderungen,
- Firmware-Updates mit neuen Funktionen,
- Störungssituationen und Failover.
Bei HA muss man besonders sauber planen. In einem Active-Passive-Design muss ein einzelner Node die produktive Last alleine tragen können. Active-Active ist kein Freipass für knappes Sizing, weil nicht jede Last beliebig linear verteilt wird. Die wichtigsten Architekturpunkte stehen in Sophos Firewall HA Cluster Varianten verstehen.
Als Faustregel sollte man bei neuen Projekten nicht auf eine Firewall planen, die im Normalbetrieb bereits dauerhaft sehr hohe CPU-, RAM- oder Session-Auslastung zeigt. Der Artikel Sophos Firewall Performance-Metriken richtig einordnen hilft bei der späteren Betriebsprüfung.
Praktischer Sizing-Ablauf
1. Ausgangslage erfassen
Zuerst wird die Umgebung beschrieben:
- Standorte und WAN-Leitungen,
- Benutzer und Geräte,
- VLANs und interne Zonen,
- Server- und DMZ-Dienste,
- VPN- und Remote-Access-Anforderungen,
- aktiv geplante Security-Module,
- Reporting- und Loganforderungen,
- HA- oder Cloud-Anforderungen.
2. Kritische Lasttreiber markieren
Danach werden die Punkte markiert, die das Modell nach oben treiben können:
- TLS Inspection breit im Einsatz,
- viele IPS-geschützte Verbindungen,
- hoher VPN-Durchsatz,
- viele gleichzeitige Sessions,
- viele Firewall-Regeln mit Logging,
- WAF oder Mail Protection,
- starke Segmentierung mit internem Traffic über die Firewall,
- Wachstum in den nächsten drei bis fünf Jahren.
3. Datenblattwerte richtig lesen
Datenblattwerte sollten als Vergleichswerte verstanden werden, nicht als Garantie für jede Umgebung. Entscheidend ist, welche Messung zur geplanten Nutzung passt:
Wichtige Kennzahlen:
- Firewall Throughput: grobe Orientierung für einfachen Paketdurchsatz.
- IPS Throughput: relevant für Umgebungen mit aktivem Intrusion Prevention.
- Threat Protection: meist realistischer, wenn mehrere Schutzfunktionen gleichzeitig aktiv sind.
- TLS Inspection: wichtig für Umgebungen mit entschlüsseltem HTTPS-Traffic.
- IPsec VPN Throughput: relevant für Standortvernetzung und VPN-Last.
- Concurrent Connections: wichtig bei vielen Clients, Websessions und Diensten.
Wenn mehrere dieser Punkte gleichzeitig relevant sind, sollte man nicht nur eine einzelne Kennzahl betrachten.
4. Reserve festlegen
Vor der finalen Modellwahl sollte man bewusst entscheiden, wie viel Reserve eingeplant wird. Eine kleine Reserve kann bei sehr einfachen Standorten genügen. Bei zentralen Firewalls, HA-Clustern, starkem Wachstum oder breitem Security-Einsatz sollte die Reserve deutlich grösser sein.
5. Nach Inbetriebnahme validieren
Sizing endet nicht mit der Bestellung. Nach der Inbetriebnahme sollte man prüfen, ob die Annahmen stimmen:
- CPU- und RAM-Auslastung zu Peak-Zeiten,
- Session-Zahlen,
- VPN-Durchsatz,
- WebAdmin-Reaktionszeit,
- Log Viewer und Reporting,
- Paketverluste oder Retransmits,
- WAN-Auslastung,
- Performance nach Aktivierung zusätzlicher Schutzfunktionen.
Für reproduzierbare Messungen kann Sophos Firewall iPerf Speedtest für Troubleshooting verwenden helfen. Für einfache WAN-Geschwindigkeitstests ist Sophos Firewall Internet Speedtest richtig einordnen der passende Einstieg.
Häufige Sizing-Fehler
- Nur nach Benutzerzahl dimensionieren.
- Datenblattwerte für Firewall-Durchsatz mit Threat-Protection-Last verwechseln.
- TLS Inspection später aktivieren, ohne Reserve eingeplant zu haben.
- HA planen, aber nicht prüfen, ob ein Node allein genug Leistung hat.
- Inter-VLAN-Traffic ignorieren.
- Reporting und Logging unterschätzen.
- Virtuelle Firewalls auf überbuchten Hosts betreiben.
- Wachstum der Internetleitung nicht berücksichtigen.
- Remote Access und Site-to-Site VPN nur nach Anzahl Tunnel statt nach Durchsatz planen.
Checkliste
- Internet-Bandbreite und echte Peak-Nutzung bekannt.
- Benutzer, Geräte, VLANs und Serverzonen erfasst.
- Geplante Security-Module dokumentiert.
- TLS Inspection, IPS, VPN, WAF, Mail Protection und Reporting separat bewertet.
- Interner Traffic über die Firewall berücksichtigt.
- HA-Design und Failover-Last geprüft.
- Hardware oder virtuelle Appliance bewusst entschieden.
- Wachstumsreserve für mehrere Jahre eingeplant.
- Nach der Inbetriebnahme Performance-Metriken geprüft.