Naar de inhoud
Avanet

Sophos Firewall - hardware of virtuele appliance?

Sophos Firewall

Update: De informatie in dit artikel is niet meer helemaal actueel. De UTM Hardware bestaat niet meer en wij zouden in elk geval de nieuwe XG Firewall aanraden.

Iedereen zou een firewall moeten gebruiken. Of het nu de gratis Home Version is om het thuisnetwerk te beveiligen, of de Business Version voor het bedrijf: er zijn verschillende manieren om deze te gebruiken. Enerzijds zijn er UTM- en SG-boxen, virtual appliances, cloud images en de softwarevariant voor eigen hardware. In dit artikel ga ik kort in op drie verschillende mogelijkheden. Daarna zou je moeten weten welke deploymentvariant voor jou de juiste is.

Productnamen

Sophos, vroeger nog Astaro, heeft moeite met productnamen en het lijkt ook alsof ze zelf nog niet helemaal zeker zijn waar het heen moet.

Vroeger heetten de apparaten “Astaro Security Gateway” (ASG), na de overname door Sophos “Sophos UTM” en momenteel “Sophos Security Gateway” (SG).

Ook bij modules zoals “Web Security” of “Web Protection” is alleen de naam verschillend. Of er nu Astaro, Sophos, UTM of SG op de box staat, het systeem is steeds hetzelfde.

Hardware Appliance

De hardwarevariant van Sophos is verkrijgbaar als kleine box of als 19" rackoplossing. De apparaten verschillen in performance en zijn geschikt voor kleine bedrijven met een medewerker tot grote ondernemingen met 5000 medewerkers.

Er zijn momenteel (stand januari 2015) 19 verschillende boxen van Sophos. Daarvan zijn 7 UTM’s en 14 modellen uit de SG-serie. Een nieuwe UTM kopen heeft volgens mij geen zin meer. De SG’s zijn qua prijs gelijk, maar bieden meer performance. De UTM’s blijven voorlopig wel in onze shop, zodat klanten licenties kunnen afnemen of een defecte UTM in een cluster kunnen vervangen.

Er blijven dus 14 verschillende Sophos SG-modellen over. Om een model te kiezen, moet je jezelf twee vragen stellen:

  1. Hoeveel gebruikers of apparaten zitten achter de firewall?
  2. Welke modules wil ik licentieren?

Neem de volgende mogelijkheden mee:

  • Sophos RED, waarmee extra locaties via VPN worden gekoppeld.
  • Sophos Wireless Access Points, die nog meer gebruikers in het netwerk brengen.

Op basis van deze informatie helpt de volgende schaal vrij goed om een hardwarekeuze te maken.

Sophos Sizing Guide-tabel

Bij twijfel liever een maat groter. Elk jaar komen er nieuwe functies bij die meer resources nodig hebben. De SG105 tot SG135 bestaan ook als (w)-model met geïntegreerde WLAN-module. In de meeste gevallen staat de firewall echter niet centraal genoeg voor goede ontvangst.

Virtuele Appliance

Sophos is ook als virtuele variant beschikbaar. Als je al een virtuele omgeving in gebruik hebt, hoef je geen kosten meer in hardware te investeren. Het systeem kan op VMware vSphere Hypervisor, Microsoft Hyper-V, Citrix XEN of in een KVM-omgeving worden geïnstalleerd. Een ISO kan gratis van de Sophos FTP-servers worden gedownload en biedt een testperiode van 30 dagen. Ook Amazon Web Services biedt een EC2-image waarmee je meteen kunt beginnen.

Anders dan bij de hardwarebox kun je bij de virtuele oplossing de performance zelf reguleren. Daarom gebruikt Sophos hier ook een ander licentiemodel.

Elk IP-adres moet worden gelicentieerd. Dus ook elke WLAN-client of netwerkprinter. In sommige gevallen is de hardwarevariant daarom aanzienlijk voordeliger. Een kantoor met 3 medewerkers komt met smartphones en tablets al snel boven de 10 apparaten. Het volgende hogere package is 25 IP-adressen, gevolgd door 50.

Eigen hardware

Ook op eigen hardware kan Sophos Firewall worden geïnstalleerd. Je moet er wel op letten dat de hardware aan de minimale eisen voor het Sophos-systeem voldoet.

Sophos UTM combineert alle securitytoepassingen in een besturingssysteem. Alle componenten zijn samengevoegd in een enkel software-image en kunnen eenvoudig op hardware naar keuze worden geïnstalleerd. Het zelfbootende softwarepakket kan binnen enkele minuten op een dedicated Intel-compatibele computer worden geïnstalleerd. Een latere overstap naar Sophos-hardware is via backup/restore van de config mogelijk. De performancecijfers zijn afhankelijk van de gekozen hardware. Informatie over aanbevolen en geteste serversystemen en componenten vind je in de hardware compatibility list. Het licentiemodel is dan, net als bij de virtuele appliance, IP-gebaseerd.

We helpen je in elk geval graag verder en delen onze ervaring met je.