Sophos Firewall-prestaties correct interpreteren
De prestaties van een Sophos Firewall zijn belangrijk voor de dimensionering, maar worden vaak verkeerd gelezen. De hoogste firewall-doorvoer in het datasheet is niet automatisch de prestatie die een locatie bereikt met IPS, Web Protection, TLS Inspection, VPN, NAT, rapportage en veel gelijktijdige gebruikers.
Voor de keuze van een model moet men daarom niet alleen naar een enkel Gbit/s-getal kijken. Belangrijk is welke beveiligingsfuncties actief zijn, welk verkeer door de firewall stroomt en welke reserves de omgeving in het dagelijks leven nodig heeft. De Sophos Firewall Sizing Guide legt de modelkeuze uit; dit artikel legt uit hoe de onderliggende prestatiestatistieken te beoordelen.

Vuistregel voor dimensionering
Voor de praktijk is meestal niet de pure firewall-doorvoer de beste startwaarde.
- Alleen routing en eenvoudige firewallregels: Let op firewall-doorvoer en IMIX.
- Normaal bedrijfsnetwerk met IPS en Application Control: Geef meer gewicht aan NGFW- of Threat-Protection-waarden.
- Veel HTTPS-verbindingen met decryptie: Plan TLS-Inspection-prestaties en CPU-reserve in.
- Veel VPN-verbindingen: Bekijk IPsec- of Remote-Access-vereisten afzonderlijk.
- Virtuele firewall: Neem hypervisor, CPU, RAM, opslag en virtuele netwerkkaarten net zo serieus als de Sophos-licentie.
Als het onduidelijk is of hardware of een virtuele appliance beter past, helpt Sophos Firewall - Hardware of virtuele appliance? als beslissingshulp.
Waarom datasheetwaarden niet één op één voldoende zijn
Prestatiegegevens worden onder gedefinieerde laboratoriumomstandigheden bepaald. Dit is zinvol omdat modellen zo vergelijkbaar worden. Een productieve omgeving gedraagt zich echter anders:
- Pakketgroottes zijn gemengd.
- Gebruikers genereren parallelle sessies.
- Beveiligingsprofielen controleren verkeer op verschillende diepten.
- HTTPS-verkeer vereist bij TLS Inspection aanzienlijk meer middelen.
- VPN, SD-WAN, NAT, logging en rapportage draaien parallel.
- WLAN, switches, clients, servers en providers beïnvloeden de waargenomen prestaties.
Een datasheetwaarde is daarom een vergelijkingswaarde, geen belofte voor elke afzonderlijke flow. Voor een solide dimensionering moet men met reserves plannen en de latere operationele functies niet pas na aankoop in overweging nemen.
De belangrijkste statistieken
- Firewall-doorvoer: Vergelijking bij eenvoudig Layer-3/Layer-4-verkeer Wordt vaak gelezen als echte internetdoorvoer met alle beveiligingsfuncties
- Firewall IMIX: realistischere mix van verschillende pakketgroottes Wordt genegeerd, hoewel echte netwerken zelden alleen grote pakketten hebben
- IPS-doorvoer: Verkeer met Intrusion Prevention Wordt onderschat als IPS later voor veel regels actief is
- NGFW-doorvoer: Firewall met extra Next-Generation-functies zoals IPS en Application Control Wordt verward met pure firewall-doorvoer
- Threat Protection: sterkere benaderingswaarde voor geactiveerde beveiligingsfuncties Wordt begrepen als vaste minimumwaarde in plaats van als vergelijkingsstatistiek
- TLS Inspection: HTTPS-decryptie en controle Wordt vergeten in de dimensionering, hoewel het zeer middelenintensief kan zijn
- IPsec VPN: Locatieverbindingen en versleutelde tunnels Wordt alleen gepland op basis van de internetverbinding, zonder rekening te houden met tegenpartij, pakketgroottes en CPU
- Sessies en verbindingen per seconde: veel gebruikers, webverkeer, serverpublicatie, korte verbindingen Wordt zelden gecontroleerd, maar kan relevant zijn bij veel clients of gepubliceerde diensten
Firewall-doorvoer en IMIX
De pure firewall-doorvoer beschrijft een relatief eenvoudige verwerking van verkeer. Deze waarde is nuttig wanneer een firewall vooral routeert, NAT uitvoert en klassieke firewallregels verwerkt.
IMIX ligt dichter bij echte netwerkbelasting omdat verschillende pakketgroottes worden gemengd. Dit is belangrijk omdat kleine pakketten een firewall anders belasten dan grote downloads. In bedrijfsnetwerken is er zelden slechts één schone grote datastroom. Webtoegang, DNS, VoIP, cloudtoepassingen, updates en bestandsoverdrachten genereren verschillende patronen.
Voor locaties met normaal gebruikersverkeer is IMIX daarom vaak veelzeggender dan de mooiste maximale waarde.
IPS, NGFW en Threat Protection
Zodra IPS, Application Control, Web Protection of malwarecontrole actief zijn, moet de firewall meer doen dan alleen pakketten doorsturen. De firewall moet verkeer classificeren, patronen herkennen, regels toepassen en afhankelijk van het beleid inhoud controleren.
De termen worden vaak door elkaar gehaald:
- IPS beoordeelt verkeer op basis van handtekeningen en regels voor bekende aanvalspatronen.
- NGFW beschrijft firewallprestaties met extra functies zoals IPS en Application Control.
- Threat Protection is een sterkere benaderingswaarde voor omgevingen waarin meerdere beveiligingsfuncties tegelijkertijd actief zijn.
Voor een bedrijf dat de Sophos Firewall daadwerkelijk als Security Gateway gebruikt, zijn NGFW- en Threat-Protection-waarden meestal relevanter dan de pure firewall-doorvoer.
TLS Inspection realistisch plannen
TLS Inspection is een van de grootste prestatiefactoren. De firewall ontsleutelt HTTPS-verbindingen, controleert de inhoud en versleutelt de verbinding opnieuw. Dit genereert CPU-belasting en kan afhankelijk van de cipher suite, doelserver, client, uitzonderingen en beleid aanzienlijk merkbaar zijn.
TLS Inspection moet daarom niet zomaar worden geactiveerd. Een stapsgewijze uitrol met een pilotgroep, uitzonderingen, monitoring en duidelijke foutopsporing is zinvol. Het artikel Sophos Firewall TLS Inspection correct implementeren beschrijft de operationele procedure.
Ook het CA-certificaat moet correct worden verspreid. Voor clients is Sophos Firewall CA-certificaat voor HTTPS-scanning installeren de juiste start.
VPN-prestaties afzonderlijk bekijken
VPN-prestaties hangen niet alleen af van het firewallmodel. Ook de tegenpartij, internetverbinding, latentie, pakketgroottes, MTU/MSS, versleutelingsparameters, routing en parallelle tunnels zijn relevant.
Voor site-to-site-verbindingen moet men de geplande datastromen realistisch inschatten: bestandsoverdrachten, back-ups, ERP, VoIP, RDP, monitoring en replicatie gedragen zich verschillend. Voor Remote Access komen daar nog clientapparaat, WLAN, provider en VPN-client bij.
Als een VPN-verbinding traag lijkt, moet men niet alleen de datasheetwaarde controleren. Een gedefinieerde verbindingstest met iPerf is meestal veelzeggender dan een browser-snelheidstest.
Wat de werkelijke prestaties beïnvloedt
In de praktijk werken meerdere factoren tegelijkertijd:
- actieve beveiligingsprofielen per firewallregel
- TLS Inspection en uitzonderingen
- IPS-beleid en handtekeningomvang
- Web Protection, Application Control en malwarecontrole
- NAT, DNAT, serverpublicatie en WAF
- IPsec, SSL VPN, Sophos Connect en site-to-site-tunnels
- Logging, rapportage, Central Reporting en Syslog
- veel kleine sessies in plaats van enkele grote downloads
- Firewall Acceleration, FastPath, IPsec Acceleration en verkeer dat niet kan worden offloaded
- HA-bedrijf, firmwareversie en hotfixes
- virtuele middelen bij software- of cloud-appliances
Daarom moet men prestaties altijd in de context van het specifieke beleid controleren. Een firewallregel zonder beveiligingsprofielen gedraagt zich anders dan een regel met IPS, webfilter, Application Control en TLS Inspection.
FastPath en Offloading correct beoordelen
Moderne Sophos Firewalls verwerken niet elke datastroom op dezelfde manier. Afhankelijk van de appliance, firmware, regel, beveiligingsprofiel en verkeerstype kan verkeer gedeeltelijk worden versneld of in een langzamer verwerkingspad worden gecontroleerd. Belangrijke termen hiervoor zijn FastPath, Firewall acceleration, PKI acceleration en IPsec acceleration.
Voor de dimensionering is dit belangrijk, omdat een snelle test niet bewijst dat elke productieve datastroom hetzelfde pad gebruikt. Veel XGS-appliances gebruiken voor FastPath een dedicated Xstream Flow Processor. Sommige nieuwere desktopmodellen, zoals XGS 88/88w, 108/108w, 118/118w en 128/128w, gebruiken daarentegen Virtual FastPath in de x86-kernel. Deze modellen kunnen firewall- en IPsec-verwerking versnellen, maar bieden geen dedicated PKI Acceleration voor TLS-certificaatverwerking. Virtuele en software-appliances hangen nog sterker af van de aangeboden x86-omgeving. Offloading mag daarom nooit als algemene garantie voor elk model en elk ontwerp worden gelezen.
- SSL VPN
- WAF en proxyverkeer
- QoS en DoS
- Draadloos, RED, LAG en PPPoE
- gefragmenteerd IP-verkeer
- bepaalde bridge-, HA- of virtualisatiescenario’s
Bij HA moet extra goed worden gekeken. Active-active HA ondersteunt geen Firewall Acceleration. In active-passive HA gebruiken alleen de primaire node Firewall en IPsec Acceleration. Een sizing voor HA mag daarom niet simpelweg standalone-labwaarden naar beide nodes doortrekken.
Ook foutopsporing kan meetwaarden beïnvloeden. Wanneer Packet Capture of iftop actief is, kan verkeer afhankelijk van de situatie anders worden verwerkt dan in normale werking. Daarom moet men prestatiemetingen en Packet-Capture-resultaten altijd documenteren met tijdstip, testmethode, firmwareversie, interface-type en actief beleid.
IPsec Acceleration is een eigen bijzonder geval. Wijzigingen hieraan kunnen tunnels opnieuw starten en vereisen een onderhoudsvenster. In een productieve omgeving moet men dergelijke instellingen niet als snelle poging omschakelen, maar eerst met Log Viewer, Packet Capture, IPsec Troubleshooting en een duidelijke testcase controleren of de verdenking echt klopt.
Prestaties in bedrijf controleren
Datasheetwaarden helpen voor de aankoop. In bedrijf heeft men andere hulpmiddelen nodig. Belangrijk is het onderscheid tussen de begrippen: het Control Center toont geen datasheetperformance, maar actuele bedrijfsindicatoren. De Performance-tegel is gebaseerd op de load average over CPU-cores. Waarden boven het aantal beschikbare cores betekenen dat er op dat moment meer werk ligt dan het systeem kan verwerken.
Daarnaast zijn CPU, memory, bandwidth, sessions, Decryption Capacity en Decrypt Sessions relevant. Vooral bij TLS Inspection is Decryption Capacity nuttig, omdat deze waarde laat zien hoe sterk de actuele SSL/TLS-decryptie de beschikbare decryptiecapaciteit belast. Decryption details worden niet als live-meting per seconde bijgewerkt, maar meestal elke vijf minuten. Deze waarden moeten altijd samen met policy, regel, beveiligingsprofiel, tijdstip en verkeerstype worden gelezen.
Praktische werkwijze:
- Control Center controleren: CPU, RAM, interface-belasting en waarschuwingen observeren.
- Log Viewer openen: Wordt de verwachte firewallregel toegepast en is logging geactiveerd?
- Beleid en beveiligingsprofielen controleren: Welke functies hebben invloed op het betreffende verkeer?
- Packet Capture gebruiken: Ziet men pakketten, antwoordpakketten, NAT en drops?
- Verbindingstest uitvoeren: Met iPerf of een gedefinieerde download controleren welk pad echt traag is.
- Offloading-context noteren: Interface-type, HA-modus, VPN-type, PPPoE, WAF, SSL VPN of Packet Capture kunnen de meting beïnvloeden.
- Tijdstip noteren: Piekbelastingen, back-ups, updates of rapporten kunnen resultaten vertekenen.
Voor een snelle afbakening van de WAN-verbinding helpt Sophos Firewall Internet-snelheidstest via SSH uitvoeren. Voor end-to-end-tests tussen twee systemen is Sophos Firewall-prestaties met iPerf testen beter geschikt. Als een regel niet zoals verwacht werkt, past Sophos Firewall-regels gericht testen.
Typische dimensioneringsfouten
- Alleen de hoogste firewall-doorvoer wordt vergeleken.
- TLS Inspection wordt gepland, maar niet in de prestatiereserve opgenomen.
- VPN en Remote Access worden beoordeeld op basis van het aantal gebruikers in plaats van op basis van het werkelijke gebruik.
- De internetverbinding wordt in aanmerking genomen, maar intern oost-west-verkeer niet.
- Virtuele firewalls worden op overbelaste hosts uitgevoerd.
- Rapportage, logging en Central-koppeling worden pas achteraf bekeken.
- Groei, nieuwe locaties, extra VLAN’s of serverpublicatie ontbreken in de planning.
- Er wordt geen onderscheid gemaakt tussen laboratoriumwaarde, reële waarde en gebruikerservaring.
Praktische dimensioneringschecklist
Voor de modelkeuze moeten deze punten duidelijk zijn:
- Huidige en geplande internetbandbreedte voor de komende jaren.
- Aantal gebruikers, apparaten, servers en locaties.
- Aandeel van webverkeer, cloudtoepassingen, VoIP, back-ups en bestandsoverdrachten.
- Geplande beveiligingsfuncties per verkeersgroep.
- TLS-Inspection-omvang en noodzakelijke uitzonderingen.
- Aantal en gebruik van IPsec-, SSL-VPN- en Sophos-Connect-verbindingen.
- Behoefte aan WAF, Mail Protection, RED, WLAN of Central Reporting.
- Verwachte reserves voor updates, groei en piekbelastingen.
- Bedrijfsmodel: XGS-hardware, virtuele appliance, cloud of HA-cluster.