Prestatiedata van Sophos Firewall goed begrijpen
Op onze productpagina, in de firewall-vergelijkingstabel of in de Sophos Firewall-datasheet vind je prestatiedata voor de firewall. Voor de keuze van het juiste model is het belangrijk om de prestatiedata van Sophos Firewall goed te begrijpen.
Onze Sophos Firewall Sizing Guide legt uit waar je bij de firewallkeuze op moet letten. Om het juiste model te kiezen, is het ook belangrijk om de prestatiedata van Sophos Firewall te begrijpen.
De performance van je Sophos Firewall is een doorslaggevende factor voor de veiligheid en efficiëntie van je netwerk. In deze blogpost bekijken we de verschillende aspecten van performance-analyse bij Sophos Firewalls en leggen we uit hoe je de prestatiedata correct interpreteert.
Performance-testmethodiek
Hoe ontstaan de performancedata van Sophos?
De performance van een firewall wordt meestal onder ideale testomstandigheden gemeten. Sophos gebruikt daarvoor de toonaangevende performance-testtool Keysight-Ixia BreakingPoint.
Keysight’s Ixia BreakingPoint is een erkende performance-testtool voor het beoordelen van de veiligheid, betrouwbaarheid en performance van netwerken en netwerkapparaten. De tool wordt vaak gebruikt om maximale capaciteit, performance en veiligheid van netwerkapparaten zoals firewalls, Intrusion Prevention Systems (IPS) en routers te testen.
BreakingPoint simuleert realistisch dataverkeer en verschillende soorten bedreigingen, waaronder malware, DDoS-aanvallen en andere veiligheidsrisico’s. De tool kan grote hoeveelheden verkeer genereren om te testen hoe netwerkapparaten onder hoge belasting en in stresssituaties reageren. Ook kan worden getest hoe apparaten op verschillende veiligheidsrisico’s reageren en hoe effectief beveiligingsmechanismen zijn.
Voor een firewall zoals Sophos Firewall kan BreakingPoint worden gebruikt om te bepalen hoe de firewall onder verschillende omstandigheden functioneert. Zo kun je testen hoe snel de firewall data kan verwerken (throughput), hoe hij op bepaalde soorten bedreigingen reageert (security tests) en hoe hij zich onder hoge belasting gedraagt (performance tests).
Het is belangrijk om te weten dat de resultaten van BreakingPoint-tests onder ideale testomstandigheden worden behaald en dat de werkelijke performance in een echte netwerkomgeving door verschillende factoren kan afwijken.
Tegelijk wordt de daadwerkelijke performance van je firewall door veel factoren beïnvloed. Denk aan het aantal gelijktijdig verbonden gebruikers, het soort dataverkeer en de security services die op je firewall actief zijn. Voor optimale performance is het daarom belangrijk om de performance van je firewall regelmatig te controleren en waar nodig aan te passen.
Firewall
De performance van de firewall wordt gemeten aan de hand van de throughput van HTTP-verkeer. Deze throughput geeft aan hoeveel data de firewall binnen een bepaalde tijd kan verwerken en wordt meestal weergegeven in megabit per seconde (Mbps) of gigabit per seconde (Gbps). De metingen zijn gebaseerd op een responsegrootte van 512 KB.
Om dit in een zakelijke context te plaatsen: stel je voor dat je in je bedrijf een fileserver hebt waar veel medewerkers toegang toe nodig hebben. Elke file access, download of upload van documenten genereert dataverkeer dat door je firewall loopt.
Stel dat je firewall een throughput van 1 Gbps heeft. Dat betekent dat hij tot 1 gigabit data per seconde kan verwerken. Als een medewerker een bestand van 512 KB op de server opent, kan je firewall dat datapakket zeer snel verwerken, omdat 512 KB ruim onder de maximale capaciteit van 1 Gbps ligt. Zo kan de medewerker snel en efficiënt bij de benodigde bestanden, zonder merkbare vertraging.
Een ander scenario is de nachtelijke backup van bedrijfsdata. Als grote hoeveelheden data door je firewall lopen, wordt het vermogen van de firewall om hoge throughput aan te kunnen zeer belangrijk om te zorgen dat de backup efficiënt en binnen een redelijke tijd wordt uitgevoerd.
Firewall-IMIX
IMIX staat voor “Internet Mix” en verwijst naar een type dataverkeer dat uit een mix van verschillende pakketgroottes bestaat. In de context van firewalls en netwerken is dit nuttig om de performance van een systeem te beoordelen, omdat het een realistischer beeld van typisch internetverkeer geeft dan tests met slechts een pakketgrootte.
Bij de performancemeting van Sophos Firewall met IMIX wordt UDP-throughput gemeten met een combinatie van pakketgroottes van 66, 570 en 1518 byte. Dat betekent dat de firewall datapakketten van deze drie verschillende groottes verwerkt, die samen een realistischer internetverkeer voorstellen.
Ter illustratie: je medewerkers gebruiken verschillende diensten via je netwerk. Sommigen versturen of ontvangen e-mails (kleinere datapakketten), anderen openen bestanden op de bedrijfsserver (middelgrote datapakketten) en weer anderen uploaden of downloaden grotere bestanden of documenten (grotere datapakketten). Al die acties genereren datapakketten van verschillende grootte die door je firewall moeten worden verwerkt.
Door een IMIX-verkeersprofiel te gebruiken kan Sophos Firewall deze gemengde pakketgroottes simuleren en zo de performance van de firewall onder realistischer omstandigheden meten. Dit type meting geeft je een duidelijker beeld van hoe goed je firewall omgaat met het daadwerkelijke, gemengde verkeer dat hij in een echte bedrijfsomgeving moet verwerken.
IPS (Intrusion Prevention System)
Een Intrusion Prevention System (IPS) is een belangrijk onderdeel van netwerkbeveiliging dat bekende bedreigingen identificeert en blokkeert. Het bewaakt netwerkverkeer op afwijkingen of signatures die op kwaadaardige activiteit kunnen wijzen en neemt maatregelen om die te stoppen voordat ze schade kunnen veroorzaken.
De performance van IPS wordt gemeten aan de hand van HTTP-verkeer met een standaard IPS-ruleset en een objectgrootte van 512 KB. De ruleset bestaat in feite uit een lijst criteria waarmee IPS het dataverkeer controleert. Voldoet het verkeer aan die criteria, dan wordt het als potentieel schadelijk beoordeeld en overeenkomstig behandeld.
In een bedrijfscontext: een medewerker opent een e-mail met een kwaadaardige link. Als de medewerker op de link klikt, wordt een datapakket naar je server gestuurd dat mogelijk schadelijke code bevat. Als het aan de criteria van de ruleset voldoet, wordt het als bedreiging geclassificeerd en geblokkeerd voordat het je netwerk kan beschadigen.
Het meten van IPS-performance is daarom essentieel om te begrijpen hoe goed je firewall bedreigingen in realtime kan herkennen en blokkeren. Een hogere IPS-performance betekent dat meer verkeer in kortere tijd kan worden gescand, wat de netwerkbeveiliging verhoogt.
IPsec-VPN
De performance van IPsec-VPN wordt gemeten aan de hand van HTTP-throughput, waarbij meerdere tunnels en een HTTP-responsegrootte van 512 KB worden gebruikt. Een hogere throughput betekent dat meer data in kortere tijd kan worden overgedragen, wat zorgt voor een snellere en efficiëntere VPN-verbinding.
TLS Inspection
De TLS Inspection-functie op Sophos Firewall maakt het mogelijk om versleuteld verkeer te bewaken en te controleren. De firewall kan in het versleutelde dataverkeer kijken om mogelijk schadelijke inhoud te herkennen en te blokkeren die anders door de versleuteling verborgen zou blijven.
Als voorbeeld: een medewerker opent een versleutelde website. Hoewel versleuteling normaal voorkomt dat buitenstaanders de inhoud van de website kunnen bekijken, kan Sophos Firewall dankzij TLS Inspection de inhoud controleren om zeker te stellen dat er geen malware of andere schadelijke inhoud aanwezig is. Herkent de firewall schadelijke inhoud, dan kan hij de toegang tot de website blokkeren om het bedrijfsnetwerk te beschermen.
De performance van TLS Inspection wordt bepaald door de performance met IPS bij HTTPS-sessies en verschillende cipher suites te meten.
Bedreigingsbescherming
Bedreigingsbescherming op Sophos Firewall is een uitgebreide beveiligingsoplossing die verschillende technologieën en functies combineert om je netwerk tegen uiteenlopende bedreigingen te beschermen. Deze omvat functies zoals de firewall zelf, Intrusion Prevention System (IPS), Application Control en malwarebescherming.
Stel je voor dat een medewerker een bestand probeert te downloaden van een website die als mogelijk gevaarlijk is beoordeeld. Sophos Firewall controleert eerst de toegang tot de website (firewallfunctie), daarna de inhoud van het bestand op bekende schadelijke code (IPS en malwarebescherming) en tot slot het type bestand en de applicatie waarmee de download wordt uitgevoerd (Application Control). Als in een van deze stappen een bedreiging wordt herkend, blokkeert Sophos Firewall de download en beschermt zo het bedrijfsnetwerk.
De performance van bedreigingsbescherming wordt gemeten door Firewall, IPS, Application Control en Malware Protection te activeren. De metingen worden uitgevoerd met een HTTP-responsegrootte van 200 KB.
NGFW (Next-Generation Firewall)
Een Next-Generation Firewall (NGFW) op Sophos Firewall is meer dan een klassieke firewall. Hij bevat geavanceerde functies zoals Intrusion Prevention Systems (IPS) en Application Control om een hoger niveau van netwerkbeveiliging te bieden. Hij geeft diepere en gedetailleerdere controle over netwerkverkeer, wat bedreigingen effectiever helpt afweren.
Voorbeeld: een medewerker probeert toegang te krijgen tot een cloudapplicatie die niet voor gebruik binnen het bedrijf is toegestaan, zoals een persoonlijke cloudopslagdienst. De NGFW op Sophos Firewall herkent deze toegangspoging (via Application Control), controleert de inhoud van de aanvraag (via IPS) en blokkeert vervolgens de toegang tot de dienst. Dankzij deze extra functies gaat Sophos Firewall verder dan alleen het bewaken van poorten en protocollen en biedt hij in plaats daarvan dieper inzicht en controle over netwerkverkeer.
De performance van de Next-Generation Firewall wordt gemeten door IPS en Application Control met HTTP-verkeer te activeren. Daarbij wordt een standaard IPS-ruleset en een objectgrootte van 512 KB gebruikt.