Zum Inhalt springen
Avanet

Sophos Firewall Sizing Guide: XGS richtig dimensionieren

Beim Sophos Firewall Sizing geht es nicht nur um die Anzahl Benutzer. Eine Firewall kann bei gleicher Benutzerzahl sehr unterschiedlich belastet werden: durch Internet-Bandbreite, TLS Inspection, IPS, VPN, Web Protection, WAF, Reporting, HA, viele VLANs oder viele gleichzeitige Verbindungen.

Ein gutes Sizing sorgt dafür, dass die Sophos Firewall nicht nur am ersten Tag funktioniert, sondern auch mit aktivierten Schutzfunktionen, realistischem Wachstum und sauberem Betrieb noch Reserve hat. Für die Entscheidung zwischen Hardware und Virtual Appliance passt zusätzlich Sophos Firewall - Hardware oder virtuelle Appliance?.

Ziel des Sizings

Das Ziel ist nicht, das kleinste Modell zu finden, das unter idealen Laborbedingungen noch reicht. In der Praxis sollte die Firewall auch dann stabil bleiben, wenn mehrere Dinge gleichzeitig passieren:

  • viele Benutzer arbeiten parallel,
  • TLS Inspection oder IPS ist aktiv,
  • Site-to-Site- oder Remote-Access-VPNs laufen,
  • Reporting und Logging erzeugen zusätzliche Last,
  • Backups, Updates oder Supportdiagnosen laufen im Hintergrund,
  • ein Standort wächst oder bekommt mehr Bandbreite.

Deshalb sollte man immer mit Reserven planen. Eine knapp dimensionierte Firewall erzeugt später Supportaufwand: langsame Internetverbindungen, hohe CPU-Last, Paketverluste, träges WebAdmin, instabile VPN-Verbindungen oder fehlende Reserven für neue Sicherheitsfunktionen.

Die wichtigsten Sizing-Faktoren

Internet-Bandbreite und Traffic-Profil

Die gebuchte Internetleitung ist ein guter Startpunkt, aber nicht die ganze Wahrheit. Wichtig ist, wie viel davon tatsächlich gleichzeitig genutzt wird und welcher Traffic über die Firewall läuft.

Prüfen:

  • symmetrische oder asymmetrische Leitung,
  • Peak-Traffic zu Geschäftszeiten,
  • viele kleine Websessions oder wenige grosse Downloads,
  • Cloud-Backups, Microsoft 365, VoIP, Online-Meetings,
  • Standortvernetzung über VPN oder SD-WAN,
  • interner Traffic zwischen VLANs, der ebenfalls durch die Firewall geführt wird.

Wenn die Firewall auch als internes Routing- und Segmentierungsgerät arbeitet, muss man nicht nur WAN-Durchsatz, sondern auch Ost-West-Traffic einplanen. Die Grundlagen zu Zonen, VLANs und Interface-Design stehen in Sophos Firewall Zonen und Interfaces konfigurieren.

Schutzfunktionen

Je mehr Security-Module aktiv sind, desto stärker muss die Appliance dimensioniert werden. Besonders relevant sind:

  • IPS,
  • Web Protection,
  • Application Control,
  • SSL/TLS Inspection,
  • Zero-Day Protection,
  • WAF,
  • Mail Protection,
  • Threat Feeds,
  • Reporting und Log Viewer.

Datenblattwerte sind nur dann vergleichbar, wenn klar ist, welche Funktion gemessen wurde. Firewall-Durchsatz ohne Security-Inspection ist nicht dasselbe wie Threat-Protection- oder TLS-Inspection-Durchsatz. Für produktive Umgebungen sollte man deshalb nicht nur auf den höchsten Marketingwert schauen, sondern auf die Kennzahl, die zum eigenen Einsatz passt.

Bei TLS Inspection ist zusätzlich wichtig, ob die Organisation den Rollout technisch und organisatorisch sauber betreiben kann. Der praktische Ablauf ist in Sophos Firewall TLS Inspection sauber ausrollen beschrieben.

Benutzer, Geräte und Sessions

Die Benutzerzahl bleibt wichtig, reicht aber nicht aus. Ein Büro mit 50 Benutzern, wenigen Cloud-Diensten und ohne TLS Inspection belastet die Firewall anders als ein Standort mit 50 Benutzern, Terminalservern, vielen SaaS-Anwendungen, VoIP, Gastnetz, IoT, Remote Access und mehreren Serverzonen.

Zusätzlich zählen:

  • Anzahl Endgeräte pro Benutzer,
  • Gast- und IoT-Netze,
  • Server, Drucker, Kameras und Spezialgeräte,
  • gleichzeitige Sessions,
  • viele kleine DNS- oder Webanfragen,
  • Remote-Access-Benutzer,
  • automatisierte Systeme wie Backup, Monitoring oder EDR.

In gemischten Umgebungen mit vielen VLANs sollte man eher nach Traffic-Flüssen planen als nur nach Kopfzahl.

VPN, SD-WAN und Standortvernetzung

VPN kann eine Firewall stark belasten, besonders wenn viele Tunnel, hohe Bandbreite oder viele Remote-Access-Benutzer zusammenkommen.

Einplanen:

  • Site-to-Site IPsec,
  • route-based VPN mit XFRM-Interfaces,
  • Remote Access über Sophos Connect oder SSL VPN,
  • SD-WAN Policy Routes,
  • mehrere WAN-Leitungen,
  • Failover-Szenarien,
  • MTU/MSS-Themen bei VPN-Strecken.

Bei VPN-Performance sollte man nicht nur den Tunnelstatus betrachten. Entscheidend ist, ob der produktive Traffic mit aktivierten Regeln, NAT, Routing und Security-Inspection stabil läuft. Für Routing- und VPN-Pfade sind IPsec Route auf Sophos Firewall und SD-WAN Routing für Reply Packets und System Traffic passende Vertiefungen.

Logging, Reporting und Speicher

Logging hilft im Betrieb, erzeugt aber ebenfalls Last und Speicherbedarf. Wer viele Firewall-Regeln mit Logging, Webfilter, IPS, Application Control und Central Firewall Reporting nutzt, sollte die Reporting-Anforderungen früh klären.

Prüfen:

  • Welche Regeln sollen Logging aktiv haben?
  • Wie lange müssen Logs verfügbar sein?
  • Wird Sophos Central Firewall Reporting genutzt?
  • Gibt es Syslog oder SIEM?
  • Müssen Reports regelmässig erstellt werden?
  • Werden Logdaten für Troubleshooting oder Compliance benötigt?

Für längere Auswertung ist die Firewall allein oft nicht der richtige Ort. Dann sollte man Sophos Central Firewall Reporting oder einen Syslog-/SIEM-Export einplanen.

Hardware, virtuell oder Cloud?

XGS Hardware Appliance

Eine XGS Hardware Appliance ist meistens die planbarste Variante für klassische Standorte. Hardware, Ports, Support, Lifecycle und Performance sind als Gesamtpaket definiert.

Vorteile:

  • dedizierte Firewall-Hardware,
  • klare Port- und Erweiterungsoptionen,
  • einfache Support- und RMA-Abwicklung,
  • planbare Leistung,
  • weniger Abhängigkeit von einem Hypervisor.

Hardware ist besonders sinnvoll, wenn die Firewall am Standort der zentrale Security- und Routing-Punkt ist.

Virtuelle Sophos Firewall

Eine virtuelle Firewall passt gut in Rechenzentren, Cloud-Umgebungen oder virtualisierte Netzwerksegmente. Die Leistung hängt dann stark von CPU, RAM, Storage, Hypervisor, virtuellen Netzwerkkarten und Host-Auslastung ab.

Wichtig:

  • CPU-Ressourcen dürfen nicht dauerhaft überbucht sein.
  • Virtuelle NICs und Portgruppen müssen sauber getrennt sein.
  • Storage-Latenz kann Logging und Reporting beeinflussen.
  • Backup und Restore müssen zur Virtualisierungsplattform passen.
  • HA- und Failover-Design müssen vorab geplant werden.

Die Lizenzierung und Entscheidung zwischen Hardware und virtueller Appliance sollte separat geprüft werden. Dafür passt Sophos Firewall - Hardware oder virtuelle Appliance?.

Appliance-Klassen einordnen

Die folgenden Bereiche helfen bei der groben Orientierung. Die konkrete Auswahl muss danach mit Bandbreite, Funktionen, Reserve und Betriebsmodell geprüft werden.

Sophos Desktop Appliances - Small Business

Desktop-Appliances passen für kleine Standorte, Filialen, Büros und Umgebungen mit begrenztem Platzbedarf. Wichtig ist hier besonders, ob die Appliance nur Internetzugang und grundlegende Security übernimmt oder zusätzlich viele VLANs, VPNs, TLS Inspection und Reporting tragen muss.

XGS 88
XGS 108
XGS 118
XGS 128
XGS 138

Sophos 1U Rack Appliances - Midsize Business

1U-Appliances sind typischerweise für grössere KMU, zentrale Standorte und Umgebungen mit mehr Portbedarf, mehr Durchsatz oder höherer Security-Last relevant. Diese Modelle sind oft die bessere Wahl, wenn mehrere WAN-Leitungen, viele VLANs, mehrere VPN-Tunnel oder hohe Logging-Anforderungen zusammenkommen.

XGS 2100
XGS 2300
XGS 3100
XGS 3300
XGS 4300
XGS 4500

Sophos 2U Rack Appliances - Enterprise Business

2U-Appliances gehören in Umgebungen mit sehr hoher Bandbreite, vielen gleichzeitigen Sessions, mehreren Sicherheitsmodulen und hohen Verfügbarkeitsanforderungen. Hier sollte das Sizing immer mit konkreten Trafficdaten, Wachstumsannahmen und HA-Design erfolgen.

XGS 5500
XGS 6500
XGS 7500
XGS 8500

Reserve, HA und Wachstum

Eine Firewall sollte nicht dauerhaft nahe am Limit laufen. Reserven sind wichtig für:

  • Wachstum der Internetleitung,
  • neue Standorte oder VLANs,
  • spätere Aktivierung von TLS Inspection oder IPS,
  • mehr Remote-Access-Benutzer,
  • zusätzliche Logging- und Reporting-Anforderungen,
  • Firmware-Updates mit neuen Funktionen,
  • Störungssituationen und Failover.

Bei HA muss man besonders sauber planen. In einem Active-Passive-Design muss ein einzelner Node die produktive Last alleine tragen können. Active-Active ist kein Freipass für knappes Sizing, weil nicht jede Last beliebig linear verteilt wird. Die wichtigsten Architekturpunkte stehen in Sophos Firewall HA Cluster Varianten verstehen.

Als Faustregel sollte man bei neuen Projekten nicht auf eine Firewall planen, die im Normalbetrieb bereits dauerhaft sehr hohe CPU-, RAM- oder Session-Auslastung zeigt. Der Artikel Sophos Firewall Performance-Metriken richtig einordnen hilft bei der späteren Betriebsprüfung.

Praktischer Sizing-Ablauf

1. Ausgangslage erfassen

Zuerst wird die Umgebung beschrieben:

  • Standorte und WAN-Leitungen,
  • Benutzer und Geräte,
  • VLANs und interne Zonen,
  • Server- und DMZ-Dienste,
  • VPN- und Remote-Access-Anforderungen,
  • aktiv geplante Security-Module,
  • Reporting- und Loganforderungen,
  • HA- oder Cloud-Anforderungen.

2. Kritische Lasttreiber markieren

Danach werden die Punkte markiert, die das Modell nach oben treiben können:

  • TLS Inspection breit im Einsatz,
  • viele IPS-geschützte Verbindungen,
  • hoher VPN-Durchsatz,
  • viele gleichzeitige Sessions,
  • viele Firewall-Regeln mit Logging,
  • WAF oder Mail Protection,
  • starke Segmentierung mit internem Traffic über die Firewall,
  • Wachstum in den nächsten drei bis fünf Jahren.

3. Datenblattwerte richtig lesen

Datenblattwerte sollten als Vergleichswerte verstanden werden, nicht als Garantie für jede Umgebung. Entscheidend ist, welche Messung zur geplanten Nutzung passt:

Wichtige Kennzahlen:

  • Firewall Throughput: grobe Orientierung für einfachen Paketdurchsatz.
  • IPS Throughput: relevant für Umgebungen mit aktivem Intrusion Prevention.
  • Threat Protection: meist realistischer, wenn mehrere Schutzfunktionen gleichzeitig aktiv sind.
  • TLS Inspection: wichtig für Umgebungen mit entschlüsseltem HTTPS-Traffic.
  • IPsec VPN Throughput: relevant für Standortvernetzung und VPN-Last.
  • Concurrent Connections: wichtig bei vielen Clients, Websessions und Diensten.

Wenn mehrere dieser Punkte gleichzeitig relevant sind, sollte man nicht nur eine einzelne Kennzahl betrachten.

4. Reserve festlegen

Vor der finalen Modellwahl sollte man bewusst entscheiden, wie viel Reserve eingeplant wird. Eine kleine Reserve kann bei sehr einfachen Standorten genügen. Bei zentralen Firewalls, HA-Clustern, starkem Wachstum oder breitem Security-Einsatz sollte die Reserve deutlich grösser sein.

5. Nach Inbetriebnahme validieren

Sizing endet nicht mit der Bestellung. Nach der Inbetriebnahme sollte man prüfen, ob die Annahmen stimmen:

  • CPU- und RAM-Auslastung zu Peak-Zeiten,
  • Session-Zahlen,
  • VPN-Durchsatz,
  • WebAdmin-Reaktionszeit,
  • Log Viewer und Reporting,
  • Paketverluste oder Retransmits,
  • WAN-Auslastung,
  • Performance nach Aktivierung zusätzlicher Schutzfunktionen.

Für reproduzierbare Messungen kann Sophos Firewall iPerf Speedtest für Troubleshooting verwenden helfen. Für einfache WAN-Geschwindigkeitstests ist Sophos Firewall Internet Speedtest richtig einordnen der passende Einstieg.

Häufige Sizing-Fehler

  • Nur nach Benutzerzahl dimensionieren.
  • Datenblattwerte für Firewall-Durchsatz mit Threat-Protection-Last verwechseln.
  • TLS Inspection später aktivieren, ohne Reserve eingeplant zu haben.
  • HA planen, aber nicht prüfen, ob ein Node allein genug Leistung hat.
  • Inter-VLAN-Traffic ignorieren.
  • Reporting und Logging unterschätzen.
  • Virtuelle Firewalls auf überbuchten Hosts betreiben.
  • Wachstum der Internetleitung nicht berücksichtigen.
  • Remote Access und Site-to-Site VPN nur nach Anzahl Tunnel statt nach Durchsatz planen.

Checkliste

  • Internet-Bandbreite und echte Peak-Nutzung bekannt.
  • Benutzer, Geräte, VLANs und Serverzonen erfasst.
  • Geplante Security-Module dokumentiert.
  • TLS Inspection, IPS, VPN, WAF, Mail Protection und Reporting separat bewertet.
  • Interner Traffic über die Firewall berücksichtigt.
  • HA-Design und Failover-Last geprüft.
  • Hardware oder virtuelle Appliance bewusst entschieden.
  • Wachstumsreserve für mehrere Jahre eingeplant.
  • Nach der Inbetriebnahme Performance-Metriken geprüft.

FAQ

Reicht die Benutzerzahl für Sophos Firewall Sizing?

Nein. Die Benutzerzahl ist nur ein Startpunkt. Bandbreite, Security-Inspection, VPN, Sessions, VLANs, Logging und Wachstum sind oft wichtiger.

Welche Sophos Firewall passt zu einer 1-Gbit/s-Internetleitung?

Das hängt davon ab, ob die Leitung nur einfach geroutet wird oder ob IPS, Web Protection, TLS Inspection, VPN und Reporting aktiv sind. Für eine seriöse Auswahl muss man die geplanten Schutzfunktionen und den gleichzeitigen Traffic kennen.

Warum sollte man Reserve einplanen?

Weil Firewalls im Betrieb wachsen: mehr Bandbreite, mehr Cloud-Traffic, mehr VPN, neue Schutzfunktionen und mehr Logging. Ohne Reserve wird die Firewall später zum Engpass.

Ist eine virtuelle Sophos Firewall gleich schnell wie eine Hardware Appliance?

Nicht automatisch. Eine virtuelle Firewall kann sehr gut funktionieren, hängt aber stark von CPU, RAM, Storage, Hypervisor, virtuellen Netzwerkkarten und Host-Auslastung ab. Hardware-Appliances sind als Gesamtpaket planbarer.

Muss man nach der Inbetriebnahme das Sizing erneut prüfen?

Ja. Nach dem Go-live sollte man CPU, RAM, Sessions, VPN-Durchsatz, Log Viewer, Reporting und WAN-Auslastung zu Peak-Zeiten prüfen. So erkennt man früh, ob die Annahmen realistisch waren.