Sophos Firewall Sizing Gids: XGS correct dimensioneren
Bij het dimensioneren van een Sophos Firewall gaat het niet alleen om het aantal gebruikers. Een firewall kan bij hetzelfde aantal gebruikers zeer verschillend belast worden: door internetbandbreedte, TLS Inspection, IPS, VPN, Web Protection, WAF, rapportage, HA, veel VLAN’s of veel gelijktijdige verbindingen.
Een goede dimensionering zorgt ervoor dat de Sophos Firewall niet alleen op de eerste dag werkt, maar ook met geactiveerde beveiligingsfuncties, realistische groei en een schone werking nog reserve heeft. Voor de keuze tussen hardware en virtuele appliance is er ook Sophos Firewall - Hardware of virtuele appliance?.
Doel van de dimensionering
Het doel is niet om het kleinste model te vinden dat onder ideale laboratoriumomstandigheden nog voldoende is. In de praktijk moet de firewall ook stabiel blijven als meerdere dingen tegelijkertijd gebeuren:
- veel gebruikers werken parallel,
- TLS Inspection of IPS is actief,
- Site-to-Site- of Remote-Access-VPN’s draaien,
- rapportage en logging veroorzaken extra belasting,
- back-ups, updates of ondersteuningsdiagnoses draaien op de achtergrond,
- een locatie groeit of krijgt meer bandbreedte.
Daarom moet men altijd met reserves plannen. Een krap gedimensioneerde firewall veroorzaakt later ondersteuningsproblemen: trage internetverbindingen, hoge CPU-belasting, pakketverlies, trage WebAdmin, instabiele VPN-verbindingen of ontbrekende reserves voor nieuwe beveiligingsfuncties.
De belangrijkste dimensioneringsfactoren
Internetbandbreedte en verkeersprofiel
De geboekte internetverbinding is een goed startpunt, maar niet de hele waarheid. Belangrijk is hoeveel daarvan daadwerkelijk tegelijkertijd wordt gebruikt en welk verkeer via de firewall loopt.
Controleren:
- symmetrische of asymmetrische verbinding,
- piekverkeer tijdens kantooruren,
- veel kleine websessies of enkele grote downloads,
- cloudback-ups, Microsoft 365, VoIP, online vergaderingen,
- locatieverbinding via VPN of SD-WAN,
- intern verkeer tussen VLAN’s dat ook via de firewall wordt geleid.
Als de firewall ook als intern routerings- en segmentatieapparaat werkt, moet men niet alleen WAN-doorvoer, maar ook Oost-West-verkeer inplannen. De basisprincipes van zones, VLAN’s en interface-ontwerp staan in Sophos Firewall Zones en Interfaces configureren.
Beveiligingsfuncties
Hoe meer beveiligingsmodules actief zijn, hoe sterker de appliance moet worden gedimensioneerd. Vooral relevant zijn:
- IPS,
- Web Protection,
- Application Control,
- SSL/TLS Inspection,
- Zero-Day Protection,
- WAF,
- Mail Protection,
- Threat Feeds,
- Reporting en Log Viewer.
Databladwaarden zijn alleen vergelijkbaar als duidelijk is welke functie is gemeten. Firewall-doorvoer zonder beveiligingsinspectie is niet hetzelfde als Threat-Protection- of TLS-Inspection-doorvoer. Voor productieve omgevingen moet men daarom niet alleen naar de hoogste marketingwaarde kijken, maar naar de kengetal die bij het eigen gebruik past.
Bij TLS Inspection is het bovendien belangrijk of de organisatie de uitrol technisch en organisatorisch goed kan uitvoeren. Het praktische verloop is beschreven in Sophos Firewall TLS Inspection correct uitrollen.
Gebruikers, apparaten en sessies
Het aantal gebruikers blijft belangrijk, maar is niet voldoende. Een kantoor met 50 gebruikers, weinig clouddiensten en zonder TLS Inspection belast de firewall anders dan een locatie met 50 gebruikers, terminalservers, veel SaaS-toepassingen, VoIP, gastnetwerk, IoT, Remote Access en meerdere serverzones.
Daarnaast tellen:
- Aantal apparaten per gebruiker,
- Gast- en IoT-netwerken,
- Servers, printers, camera’s en speciale apparaten,
- Gelijktijdige sessies,
- Veel kleine DNS- of webaanvragen,
- Remote-Access-gebruikers,
- Geautomatiseerde systemen zoals back-up, monitoring of EDR.
In gemengde omgevingen met veel VLAN’s moet men eerder naar verkeersstromen plannen dan alleen naar het aantal gebruikers.
VPN, SD-WAN en locatieverbinding
VPN kan een firewall sterk belasten, vooral als veel tunnels, hoge bandbreedte of veel Remote-Access-gebruikers samenkomen.
Inplannen:
- Site-to-Site IPsec,
- route-based VPN met XFRM-interfaces,
- Remote Access via Sophos Connect of SSL VPN,
- SD-WAN Policy Routes,
- meerdere WAN-verbindingen,
- failover-scenario’s,
- MTU/MSS-onderwerpen bij VPN-trajecten.
Bij VPN-prestaties moet men niet alleen de tunnelstatus bekijken. Belangrijk is of het productieve verkeer met geactiveerde regels, NAT, routing en beveiligingsinspectie stabiel loopt. Voor routing- en VPN-paden zijn IPsec Route op Sophos Firewall en SD-WAN Routing voor Reply Packets en System Traffic geschikte verdiepingen.
Logging, rapportage en opslag
Logging helpt in de operatie, maar veroorzaakt ook belasting en opslagbehoefte. Wie veel firewallregels met logging, webfilter, IPS, Application Control en Central Firewall Reporting gebruikt, moet de rapportage-eisen vroegtijdig verduidelijken.
Controleren:
- Welke regels moeten logging actief hebben?
- Hoe lang moeten logs beschikbaar zijn?
- Wordt Sophos Central Firewall Reporting gebruikt?
- Is er Syslog of SIEM?
- Moeten rapporten regelmatig worden gemaakt?
- Worden loggegevens voor probleemoplossing of compliance vereist?
Voor langere evaluatie is de firewall alleen vaak niet de juiste plek. Dan moet men Sophos Central Firewall Reporting of een Syslog-/SIEM-export inplannen.
Hardware, virtueel of cloud?
XGS Hardware Appliance
Een XGS Hardware Appliance is meestal de meest planbare variant voor klassieke locaties. Hardware, poorten, ondersteuning, levenscyclus en prestaties zijn als totaalpakket gedefinieerd.
Voordelen:
- toegewijde firewall-hardware,
- duidelijke poort- en uitbreidingsopties,
- eenvoudige ondersteuning en RMA-afhandeling,
- planbare prestaties,
- minder afhankelijkheid van een hypervisor.
Hardware is vooral zinvol als de firewall op locatie het centrale beveiligings- en routeringspunt is.
Virtuele Sophos Firewall
Een virtuele firewall past goed in datacenters, cloudomgevingen of gevirtualiseerde netwerksegmenten. De prestaties hangen dan sterk af van CPU, RAM, opslag, hypervisor, virtuele netwerkkaarten en hostbelasting.
Belangrijk:
- CPU-bronnen mogen niet permanent overboekt zijn.
- Virtuele NIC’s en poortgroepen moeten goed gescheiden zijn.
- Opslaglatentie kan logging en rapportage beïnvloeden.
- Back-up en herstel moeten bij het virtualisatieplatform passen.
- HA- en failover-ontwerp moeten vooraf worden gepland.
De licentieverlening en keuze tussen hardware en virtuele appliance moet apart worden beoordeeld. Daarvoor past Sophos Firewall - Hardware of virtuele appliance?.
Appliance-klassen indelen
De volgende gebieden helpen bij de grove oriëntatie. De concrete keuze moet daarna met bandbreedte, functies, reserve en bedrijfsmodel worden beoordeeld.
Sophos Desktop Appliances - Kleinbedrijf
Desktop-appliances passen voor kleine locaties, filialen, kantoren en omgevingen met beperkte ruimtebehoefte. Belangrijk is hier vooral of de appliance alleen internettoegang en basisbeveiliging verzorgt of daarnaast veel VLAN’s, VPN’s, TLS Inspection en rapportage moet dragen.
Sophos 1U Rack Appliances - Middelgroot bedrijf
1U-appliances zijn typisch voor grotere MKB, centrale locaties en omgevingen met meer poortbehoefte, meer doorvoer of hogere beveiligingsbelasting relevant. Deze modellen zijn vaak de betere keuze als meerdere WAN-verbindingen, veel VLAN’s, meerdere VPN-tunnels of hoge logging-eisen samenkomen.
Sophos 2U Rack Appliances - Enterprise bedrijf
2U-appliances behoren in omgevingen met zeer hoge bandbreedte, veel gelijktijdige sessies, meerdere beveiligingsmodules en hoge beschikbaarheidseisen. Hier moet de dimensionering altijd met concrete verkeersgegevens, groeiveronderstellingen en HA-ontwerp worden uitgevoerd.
Reserve, HA en groei
Een firewall moet niet permanent dicht bij de limiet draaien. Reserves zijn belangrijk voor:
- Groei van de internetverbinding,
- Nieuwe locaties of VLAN’s,
- Latere activering van TLS Inspection of IPS,
- Meer Remote-Access-gebruikers,
- Extra logging- en rapportage-eisen,
- Firmware-updates met nieuwe functies,
- Storingssituaties en failover.
Bij HA moet men bijzonder zorgvuldig plannen. In een Active-Passive-ontwerp moet een enkele node de productieve belasting alleen kunnen dragen. Active-Active is geen vrijbrief voor krappe dimensionering, omdat niet elke belasting willekeurig lineair wordt verdeeld. De belangrijkste architectuurpunten staan in Sophos Firewall HA Cluster Varianten begrijpen.
Als vuistregel moet men bij nieuwe projecten niet op een firewall plannen die in normaal bedrijf al permanent zeer hoge CPU-, RAM- of sessiebelasting vertoont. Het artikel Sophos Firewall Performance-Metrieken correct interpreteren helpt bij de latere bedrijfscontrole.
Praktische dimensioneringsprocedure
1. Startpunt vaststellen
Eerst wordt de omgeving beschreven:
- Locaties en WAN-verbindingen,
- Gebruikers en apparaten,
- VLAN’s en interne zones,
- Server- en DMZ-diensten,
- VPN- en Remote-Access-eisen,
- Actief geplande beveiligingsmodules,
- Rapportage- en logeisen,
- HA- of cloudeisen.
2. Kritische belastingdrijvers markeren
Daarna worden de punten gemarkeerd die het model naar boven kunnen drijven:
- TLS Inspection breed in gebruik,
- Veel IPS-beschermde verbindingen,
- Hoge VPN-doorvoer,
- Veel gelijktijdige sessies,
- Veel firewallregels met logging,
- WAF of Mail Protection,
- Sterke segmentatie met intern verkeer via de firewall,
- Groei in de komende drie tot vijf jaar.
3. Databladwaarden correct lezen
Databladwaarden moeten als vergelijkingswaarden worden begrepen, niet als garantie voor elke omgeving. Belangrijk is welke meting bij het geplande gebruik past:
Belangrijke kengetallen:
- Firewall Throughput: grove indicatie voor eenvoudige pakketdoorvoer.
- IPS Throughput: relevant voor omgevingen met actieve Intrusion Prevention.
- Threat Protection: vaak realistischer wanneer meerdere beveiligingsfuncties tegelijk actief zijn.
- TLS Inspection: belangrijk voor omgevingen met ontsleuteld HTTPS-verkeer.
- IPsec VPN Throughput: relevant voor sitekoppelingen en VPN-belasting.
- Concurrent Connections: belangrijk bij veel clients, websessies en diensten.
Als meerdere van deze punten tegelijkertijd relevant zijn, moet men niet alleen naar één enkele kengetal kijken.
4. Reserve vaststellen
Voor de definitieve modelkeuze moet men bewust beslissen hoeveel reserve wordt ingepland. Een kleine reserve kan bij zeer eenvoudige locaties voldoende zijn. Bij centrale firewalls, HA-clusters, sterke groei of brede beveiligingsinzet moet de reserve aanzienlijk groter zijn.
5. Na ingebruikname valideren
Dimensionering eindigt niet met de bestelling. Na de ingebruikname moet men controleren of de aannames kloppen:
- CPU- en RAM-belasting tijdens piektijden,
- Sessiecijfers,
- VPN-doorvoer,
- WebAdmin-reactietijd,
- Log Viewer en rapportage,
- Pakketverlies of retransmits,
- WAN-belasting,
- Prestaties na activering van extra beveiligingsfuncties.
Voor reproduceerbare metingen kan Sophos Firewall iPerf Speedtest voor probleemoplossing gebruiken helpen. Voor eenvoudige WAN-snelheidstests is Sophos Firewall Internet Speedtest correct interpreteren de juiste start.
Veelvoorkomende dimensioneringsfouten
- Alleen op basis van het aantal gebruikers dimensioneren.
- Databladwaarden voor firewall-doorvoer verwarren met Threat-Protection-belasting.
- TLS Inspection later activeren zonder reserve ingepland te hebben.
- HA plannen, maar niet controleren of een node alleen voldoende prestaties heeft.
- Inter-VLAN-verkeer negeren.
- Rapportage en logging onderschatten.
- Virtuele firewalls op overboekte hosts draaien.
- Groei van de internetverbinding niet in overweging nemen.
- Remote Access en Site-to-Site VPN alleen op basis van het aantal tunnels in plaats van doorvoer plannen.
Checklist
- Internetbandbreedte en echte piekgebruik bekend.
- Gebruikers, apparaten, VLAN’s en serverzones vastgelegd.
- Geplande beveiligingsmodules gedocumenteerd.
- TLS Inspection, IPS, VPN, WAF, Mail Protection en rapportage afzonderlijk beoordeeld.
- Intern verkeer via de firewall in overweging genomen.
- HA-ontwerp en failover-belasting gecontroleerd.
- Hardware of virtuele appliance bewust gekozen.
- Groeireserve voor meerdere jaren ingepland.
- Na de ingebruikname prestatiemetingen gecontroleerd.