Naar de inhoud
Avanet

Sophos Firewall Sizing Gids: XGS correct dimensioneren

Bij het dimensioneren van een Sophos Firewall gaat het niet alleen om het aantal gebruikers. Een firewall kan bij hetzelfde aantal gebruikers zeer verschillend belast worden: door internetbandbreedte, TLS Inspection, IPS, VPN, Web Protection, WAF, rapportage, HA, veel VLAN’s of veel gelijktijdige verbindingen.

Een goede dimensionering zorgt ervoor dat de Sophos Firewall niet alleen op de eerste dag werkt, maar ook met geactiveerde beveiligingsfuncties, realistische groei en een schone werking nog reserve heeft. Voor de keuze tussen hardware en virtuele appliance is er ook Sophos Firewall - Hardware of virtuele appliance?.

Doel van de dimensionering

Het doel is niet om het kleinste model te vinden dat onder ideale laboratoriumomstandigheden nog voldoende is. In de praktijk moet de firewall ook stabiel blijven als meerdere dingen tegelijkertijd gebeuren:

  • veel gebruikers werken parallel,
  • TLS Inspection of IPS is actief,
  • Site-to-Site- of Remote-Access-VPN’s draaien,
  • rapportage en logging veroorzaken extra belasting,
  • back-ups, updates of ondersteuningsdiagnoses draaien op de achtergrond,
  • een locatie groeit of krijgt meer bandbreedte.

Daarom moet men altijd met reserves plannen. Een krap gedimensioneerde firewall veroorzaakt later ondersteuningsproblemen: trage internetverbindingen, hoge CPU-belasting, pakketverlies, trage WebAdmin, instabiele VPN-verbindingen of ontbrekende reserves voor nieuwe beveiligingsfuncties.

De belangrijkste dimensioneringsfactoren

Internetbandbreedte en verkeersprofiel

De geboekte internetverbinding is een goed startpunt, maar niet de hele waarheid. Belangrijk is hoeveel daarvan daadwerkelijk tegelijkertijd wordt gebruikt en welk verkeer via de firewall loopt.

Controleren:

  • symmetrische of asymmetrische verbinding,
  • piekverkeer tijdens kantooruren,
  • veel kleine websessies of enkele grote downloads,
  • cloudback-ups, Microsoft 365, VoIP, online vergaderingen,
  • locatieverbinding via VPN of SD-WAN,
  • intern verkeer tussen VLAN’s dat ook via de firewall wordt geleid.

Als de firewall ook als intern routerings- en segmentatieapparaat werkt, moet men niet alleen WAN-doorvoer, maar ook Oost-West-verkeer inplannen. De basisprincipes van zones, VLAN’s en interface-ontwerp staan in Sophos Firewall Zones en Interfaces configureren.

Beveiligingsfuncties

Hoe meer beveiligingsmodules actief zijn, hoe sterker de appliance moet worden gedimensioneerd. Vooral relevant zijn:

  • IPS,
  • Web Protection,
  • Application Control,
  • SSL/TLS Inspection,
  • Zero-Day Protection,
  • WAF,
  • Mail Protection,
  • Threat Feeds,
  • Reporting en Log Viewer.

Databladwaarden zijn alleen vergelijkbaar als duidelijk is welke functie is gemeten. Firewall-doorvoer zonder beveiligingsinspectie is niet hetzelfde als Threat-Protection- of TLS-Inspection-doorvoer. Voor productieve omgevingen moet men daarom niet alleen naar de hoogste marketingwaarde kijken, maar naar de kengetal die bij het eigen gebruik past.

Bij TLS Inspection is het bovendien belangrijk of de organisatie de uitrol technisch en organisatorisch goed kan uitvoeren. Het praktische verloop is beschreven in Sophos Firewall TLS Inspection correct uitrollen.

Gebruikers, apparaten en sessies

Het aantal gebruikers blijft belangrijk, maar is niet voldoende. Een kantoor met 50 gebruikers, weinig clouddiensten en zonder TLS Inspection belast de firewall anders dan een locatie met 50 gebruikers, terminalservers, veel SaaS-toepassingen, VoIP, gastnetwerk, IoT, Remote Access en meerdere serverzones.

Daarnaast tellen:

  • Aantal apparaten per gebruiker,
  • Gast- en IoT-netwerken,
  • Servers, printers, camera’s en speciale apparaten,
  • Gelijktijdige sessies,
  • Veel kleine DNS- of webaanvragen,
  • Remote-Access-gebruikers,
  • Geautomatiseerde systemen zoals back-up, monitoring of EDR.

In gemengde omgevingen met veel VLAN’s moet men eerder naar verkeersstromen plannen dan alleen naar het aantal gebruikers.

VPN, SD-WAN en locatieverbinding

VPN kan een firewall sterk belasten, vooral als veel tunnels, hoge bandbreedte of veel Remote-Access-gebruikers samenkomen.

Inplannen:

  • Site-to-Site IPsec,
  • route-based VPN met XFRM-interfaces,
  • Remote Access via Sophos Connect of SSL VPN,
  • SD-WAN Policy Routes,
  • meerdere WAN-verbindingen,
  • failover-scenario’s,
  • MTU/MSS-onderwerpen bij VPN-trajecten.

Bij VPN-prestaties moet men niet alleen de tunnelstatus bekijken. Belangrijk is of het productieve verkeer met geactiveerde regels, NAT, routing en beveiligingsinspectie stabiel loopt. Voor routing- en VPN-paden zijn IPsec Route op Sophos Firewall en SD-WAN Routing voor Reply Packets en System Traffic geschikte verdiepingen.

Logging, rapportage en opslag

Logging helpt in de operatie, maar veroorzaakt ook belasting en opslagbehoefte. Wie veel firewallregels met logging, webfilter, IPS, Application Control en Central Firewall Reporting gebruikt, moet de rapportage-eisen vroegtijdig verduidelijken.

Controleren:

  • Welke regels moeten logging actief hebben?
  • Hoe lang moeten logs beschikbaar zijn?
  • Wordt Sophos Central Firewall Reporting gebruikt?
  • Is er Syslog of SIEM?
  • Moeten rapporten regelmatig worden gemaakt?
  • Worden loggegevens voor probleemoplossing of compliance vereist?

Voor langere evaluatie is de firewall alleen vaak niet de juiste plek. Dan moet men Sophos Central Firewall Reporting of een Syslog-/SIEM-export inplannen.

Hardware, virtueel of cloud?

XGS Hardware Appliance

Een XGS Hardware Appliance is meestal de meest planbare variant voor klassieke locaties. Hardware, poorten, ondersteuning, levenscyclus en prestaties zijn als totaalpakket gedefinieerd.

Voordelen:

  • toegewijde firewall-hardware,
  • duidelijke poort- en uitbreidingsopties,
  • eenvoudige ondersteuning en RMA-afhandeling,
  • planbare prestaties,
  • minder afhankelijkheid van een hypervisor.

Hardware is vooral zinvol als de firewall op locatie het centrale beveiligings- en routeringspunt is.

Virtuele Sophos Firewall

Een virtuele firewall past goed in datacenters, cloudomgevingen of gevirtualiseerde netwerksegmenten. De prestaties hangen dan sterk af van CPU, RAM, opslag, hypervisor, virtuele netwerkkaarten en hostbelasting.

Belangrijk:

  • CPU-bronnen mogen niet permanent overboekt zijn.
  • Virtuele NIC’s en poortgroepen moeten goed gescheiden zijn.
  • Opslaglatentie kan logging en rapportage beïnvloeden.
  • Back-up en herstel moeten bij het virtualisatieplatform passen.
  • HA- en failover-ontwerp moeten vooraf worden gepland.

De licentieverlening en keuze tussen hardware en virtuele appliance moet apart worden beoordeeld. Daarvoor past Sophos Firewall - Hardware of virtuele appliance?.

Appliance-klassen indelen

De volgende gebieden helpen bij de grove oriëntatie. De concrete keuze moet daarna met bandbreedte, functies, reserve en bedrijfsmodel worden beoordeeld.

Sophos Desktop Appliances - Kleinbedrijf

Desktop-appliances passen voor kleine locaties, filialen, kantoren en omgevingen met beperkte ruimtebehoefte. Belangrijk is hier vooral of de appliance alleen internettoegang en basisbeveiliging verzorgt of daarnaast veel VLAN’s, VPN’s, TLS Inspection en rapportage moet dragen.

XGS 88
XGS 108
XGS 118
XGS 128
XGS 138

Sophos 1U Rack Appliances - Middelgroot bedrijf

1U-appliances zijn typisch voor grotere MKB, centrale locaties en omgevingen met meer poortbehoefte, meer doorvoer of hogere beveiligingsbelasting relevant. Deze modellen zijn vaak de betere keuze als meerdere WAN-verbindingen, veel VLAN’s, meerdere VPN-tunnels of hoge logging-eisen samenkomen.

XGS 2100
XGS 2300
XGS 3100
XGS 3300
XGS 4300
XGS 4500

Sophos 2U Rack Appliances - Enterprise bedrijf

2U-appliances behoren in omgevingen met zeer hoge bandbreedte, veel gelijktijdige sessies, meerdere beveiligingsmodules en hoge beschikbaarheidseisen. Hier moet de dimensionering altijd met concrete verkeersgegevens, groeiveronderstellingen en HA-ontwerp worden uitgevoerd.

XGS 5500
XGS 6500
XGS 7500
XGS 8500

Reserve, HA en groei

Een firewall moet niet permanent dicht bij de limiet draaien. Reserves zijn belangrijk voor:

  • Groei van de internetverbinding,
  • Nieuwe locaties of VLAN’s,
  • Latere activering van TLS Inspection of IPS,
  • Meer Remote-Access-gebruikers,
  • Extra logging- en rapportage-eisen,
  • Firmware-updates met nieuwe functies,
  • Storingssituaties en failover.

Bij HA moet men bijzonder zorgvuldig plannen. In een Active-Passive-ontwerp moet een enkele node de productieve belasting alleen kunnen dragen. Active-Active is geen vrijbrief voor krappe dimensionering, omdat niet elke belasting willekeurig lineair wordt verdeeld. De belangrijkste architectuurpunten staan in Sophos Firewall HA Cluster Varianten begrijpen.

Als vuistregel moet men bij nieuwe projecten niet op een firewall plannen die in normaal bedrijf al permanent zeer hoge CPU-, RAM- of sessiebelasting vertoont. Het artikel Sophos Firewall Performance-Metrieken correct interpreteren helpt bij de latere bedrijfscontrole.

Praktische dimensioneringsprocedure

1. Startpunt vaststellen

Eerst wordt de omgeving beschreven:

  • Locaties en WAN-verbindingen,
  • Gebruikers en apparaten,
  • VLAN’s en interne zones,
  • Server- en DMZ-diensten,
  • VPN- en Remote-Access-eisen,
  • Actief geplande beveiligingsmodules,
  • Rapportage- en logeisen,
  • HA- of cloudeisen.

2. Kritische belastingdrijvers markeren

Daarna worden de punten gemarkeerd die het model naar boven kunnen drijven:

  • TLS Inspection breed in gebruik,
  • Veel IPS-beschermde verbindingen,
  • Hoge VPN-doorvoer,
  • Veel gelijktijdige sessies,
  • Veel firewallregels met logging,
  • WAF of Mail Protection,
  • Sterke segmentatie met intern verkeer via de firewall,
  • Groei in de komende drie tot vijf jaar.

3. Databladwaarden correct lezen

Databladwaarden moeten als vergelijkingswaarden worden begrepen, niet als garantie voor elke omgeving. Belangrijk is welke meting bij het geplande gebruik past:

Belangrijke kengetallen:

  • Firewall Throughput: grove indicatie voor eenvoudige pakketdoorvoer.
  • IPS Throughput: relevant voor omgevingen met actieve Intrusion Prevention.
  • Threat Protection: vaak realistischer wanneer meerdere beveiligingsfuncties tegelijk actief zijn.
  • TLS Inspection: belangrijk voor omgevingen met ontsleuteld HTTPS-verkeer.
  • IPsec VPN Throughput: relevant voor sitekoppelingen en VPN-belasting.
  • Concurrent Connections: belangrijk bij veel clients, websessies en diensten.

Als meerdere van deze punten tegelijkertijd relevant zijn, moet men niet alleen naar één enkele kengetal kijken.

4. Reserve vaststellen

Voor de definitieve modelkeuze moet men bewust beslissen hoeveel reserve wordt ingepland. Een kleine reserve kan bij zeer eenvoudige locaties voldoende zijn. Bij centrale firewalls, HA-clusters, sterke groei of brede beveiligingsinzet moet de reserve aanzienlijk groter zijn.

5. Na ingebruikname valideren

Dimensionering eindigt niet met de bestelling. Na de ingebruikname moet men controleren of de aannames kloppen:

  • CPU- en RAM-belasting tijdens piektijden,
  • Sessiecijfers,
  • VPN-doorvoer,
  • WebAdmin-reactietijd,
  • Log Viewer en rapportage,
  • Pakketverlies of retransmits,
  • WAN-belasting,
  • Prestaties na activering van extra beveiligingsfuncties.

Voor reproduceerbare metingen kan Sophos Firewall iPerf Speedtest voor probleemoplossing gebruiken helpen. Voor eenvoudige WAN-snelheidstests is Sophos Firewall Internet Speedtest correct interpreteren de juiste start.

Veelvoorkomende dimensioneringsfouten

  • Alleen op basis van het aantal gebruikers dimensioneren.
  • Databladwaarden voor firewall-doorvoer verwarren met Threat-Protection-belasting.
  • TLS Inspection later activeren zonder reserve ingepland te hebben.
  • HA plannen, maar niet controleren of een node alleen voldoende prestaties heeft.
  • Inter-VLAN-verkeer negeren.
  • Rapportage en logging onderschatten.
  • Virtuele firewalls op overboekte hosts draaien.
  • Groei van de internetverbinding niet in overweging nemen.
  • Remote Access en Site-to-Site VPN alleen op basis van het aantal tunnels in plaats van doorvoer plannen.

Checklist

  • Internetbandbreedte en echte piekgebruik bekend.
  • Gebruikers, apparaten, VLAN’s en serverzones vastgelegd.
  • Geplande beveiligingsmodules gedocumenteerd.
  • TLS Inspection, IPS, VPN, WAF, Mail Protection en rapportage afzonderlijk beoordeeld.
  • Intern verkeer via de firewall in overweging genomen.
  • HA-ontwerp en failover-belasting gecontroleerd.
  • Hardware of virtuele appliance bewust gekozen.
  • Groeireserve voor meerdere jaren ingepland.
  • Na de ingebruikname prestatiemetingen gecontroleerd.

FAQ

Is het aantal gebruikers voldoende voor Sophos Firewall Sizing?

Nee. Het aantal gebruikers is slechts een startpunt. Bandbreedte, beveiligingsinspectie, VPN, sessies, VLAN’s, logging en groei zijn vaak belangrijker.

Welke Sophos Firewall past bij een 1-Gbit/s-internetverbinding?

Dat hangt ervan af of de verbinding alleen eenvoudig wordt gerouteerd of dat IPS, Web Protection, TLS Inspection, VPN en rapportage actief zijn. Voor een serieuze keuze moet men de geplande beveiligingsfuncties en het gelijktijdige verkeer kennen.

Waarom moet men reserve inplannen?

Omdat firewalls in gebruik groeien: meer bandbreedte, meer cloudverkeer, meer VPN, nieuwe beveiligingsfuncties en meer logging. Zonder reserve wordt de firewall later een knelpunt.

Is een virtuele Sophos Firewall net zo snel als een hardware appliance?

Niet automatisch. Een virtuele firewall kan zeer goed functioneren, maar hangt sterk af van CPU, RAM, opslag, hypervisor, virtuele netwerkkaarten en hostbelasting. Hardware-appliances zijn als totaalpakket planbaarder.

Moet men na de ingebruikname de dimensionering opnieuw controleren?

Ja. Na de ingebruikname moet men CPU, RAM, sessies, VPN-doorvoer, Log Viewer, rapportage en WAN-belasting tijdens piektijden controleren. Zo herkent men vroeg of de aannames realistisch waren.