Przejdz do tresci
Avanet

Jak prawidłowo interpretować dane wydajnościowe Sophos Firewall

Dane wydajnościowe Sophos Firewall są ważne dla określenia rozmiaru, ale często są źle interpretowane. Najwyższa przepustowość zapory w arkuszu danych nie jest automatycznie wydajnością, jaką osiąga lokalizacja z włączonymi funkcjami IPS, Ochroną sieci, Inspekcją TLS, VPN, NAT, raportowaniem i wieloma jednoczesnymi użytkownikami.

Przy wyborze modelu nie należy skupiać się tylko na jednej liczbie Gbit/s. Kluczowe jest, które funkcje ochrony są aktywne, jaki ruch przechodzi przez zaporę i jakie rezerwy są potrzebne w codziennym użytkowaniu. Przewodnik po rozmiarze Sophos Firewall wyjaśnia wybór modelu; ten artykuł wyjaśnia, jak interpretować podstawowe metryki wydajności.

Tabela z danymi wydajnościowymi serii Sophos Firewall XGS
Dane wydajnościowe to wartości porównawcze uzyskane w określonych warunkach testowych, a nie gwarancja dla każdej rzeczywistej konfiguracji.

Krótka zasada dotycząca określania rozmiaru

W praktyce czysta przepustowość zapory nie jest zazwyczaj najlepszym punktem wyjścia.

  • Tylko routing i proste reguły zapory: Zwróć uwagę na przepustowość zapory i IMIX.
  • Typowa sieć firmowa z IPS i Kontrolą aplikacji: Większą wagę przyłóż do wartości NGFW lub Ochrony przed zagrożeniami.
  • Wiele połączeń HTTPS z deszyfracją: Zaplanuj wydajność inspekcji TLS i rezerwy CPU.
  • Wiele połączeń VPN: Rozważ osobno wymagania dotyczące IPsec lub Zdalnego dostępu.
  • Wirtualna zapora: Weź pod uwagę hypervisor, CPU, RAM, pamięć masową i wirtualne karty sieciowe tak samo poważnie jak licencję Sophos.

Jeśli nie jest jasne, czy lepiej pasuje sprzęt czy wirtualna aplikacja, pomocny będzie Sophos Firewall - Sprzęt czy wirtualna aplikacja?.

Dlaczego wartości z arkusza danych nie wystarczą jeden do jednego

Wartości wydajnościowe są określane w zdefiniowanych warunkach laboratoryjnych. Jest to sensowne, ponieważ modele stają się porównywalne. Jednak środowisko produkcyjne zachowuje się inaczej:

  • Rozmiary pakietów są mieszane.
  • Użytkownicy generują równoległe sesje.
  • Profile bezpieczeństwa różnie sprawdzają ruch.
  • Ruch HTTPS wymaga znacznie więcej zasobów przy inspekcji TLS.
  • VPN, SD-WAN, NAT, logowanie i raportowanie działają równolegle.
  • WLAN, przełączniki, klienci, serwery i dostawcy wpływają na odczuwaną wydajność.

Wartość z arkusza danych jest zatem wartością porównawczą, a nie obietnicą dla każdego pojedynczego przepływu. Dla solidnego określenia rozmiaru należy planować z rezerwami i uwzględniać późniejsze funkcje operacyjne przed zakupem.

Najważniejsze metryki

  • Przepustowość zapory: Porównanie przy prostym ruchu warstwy 3/warstwy 4 Często odczytywana jako rzeczywista przepustowość internetu ze wszystkimi funkcjami bezpieczeństwa
  • Firewall IMIX: bardziej realistyczna mieszanka różnych rozmiarów pakietów Ignorowana, mimo że prawdziwe sieci rzadko mają tylko duże pakiety
  • Przepustowość IPS: Ruch z zapobieganiem włamaniom Niedoceniana, gdy IPS jest później aktywny dla wielu reguł
  • Przepustowość NGFW: Zapora z dodatkowymi funkcjami nowej generacji, takimi jak IPS i Kontrola aplikacji Mylnie utożsamiana z czystą przepustowością zapory
  • Ochrona przed zagrożeniami: silniejsza wartość przybliżona dla aktywowanych funkcji ochrony Rozumiana jako stała wartość minimalna zamiast metryki porównawczej
  • Inspekcja TLS: Deszyfrowanie i sprawdzanie HTTPS Zapominana przy określaniu rozmiaru, mimo że może być bardzo zasobożerna
  • IPsec VPN: Połączenia między lokalizacjami i szyfrowane tunele Planowana tylko na podstawie łącza internetowego, bez uwzględnienia punktu końcowego, rozmiarów pakietów i CPU
  • Sesje i połączenia na sekundę: wielu użytkowników, ruch sieciowy, publikowanie serwerów, krótkie połączenia Rzadko sprawdzane, ale może być istotne przy wielu klientach lub opublikowanych usługach

Przepustowość zapory i IMIX

Czysta przepustowość zapory opisuje stosunkowo prostą obróbkę ruchu. Ta wartość jest przydatna, gdy zapora głównie routuje, wykonuje NAT i przetwarza klasyczne reguły zapory.

IMIX jest bliższy rzeczywistemu obciążeniu sieci, ponieważ mieszane są różne rozmiary pakietów. Jest to ważne, ponieważ małe pakiety obciążają zaporę inaczej niż duże pobrania. W sieciach firmowych rzadko występuje tylko jeden czysty duży strumień danych. Dostępy do sieci, DNS, VoIP, aplikacje chmurowe, aktualizacje i transfery plików generują różne wzorce.

Dla lokalizacji z normalnym ruchem użytkowników IMIX jest często bardziej wymowny niż najpiękniejsza wartość maksymalna.

IPS, NGFW i Ochrona przed zagrożeniami

Gdy IPS, Kontrola aplikacji, Ochrona sieci lub sprawdzanie złośliwego oprogramowania są aktywne, zapora musi robić więcej niż tylko przekazywać pakiety. Zapora musi klasyfikować ruch, rozpoznawać wzorce, stosować reguły i w zależności od polityki sprawdzać treści.

Terminy te są często mylone:

  • IPS ocenia ruch na podstawie sygnatur i reguł dla znanych wzorców ataków.
  • NGFW opisuje wydajność zapory z dodatkowymi funkcjami, takimi jak IPS i Kontrola aplikacji.
  • Ochrona przed zagrożeniami to silniejsza wartość przybliżona dla środowisk, w których jednocześnie aktywne są różne funkcje ochrony.

Dla firmy, która rzeczywiście używa Sophos Firewall jako bramy bezpieczeństwa, wartości NGFW i Ochrony przed zagrożeniami są zazwyczaj bardziej istotne niż czysta przepustowość zapory.

Realistyczne planowanie inspekcji TLS

Inspekcja TLS jest jednym z największych czynników wpływających na wydajność. Zapora deszyfruje połączenia HTTPS, sprawdza zawartość i ponownie szyfruje połączenie. To generuje obciążenie CPU i może być zauważalne w zależności od zestawu szyfrów, serwera docelowego, klienta, wyjątków i polityki.

Inspekcja TLS nie powinna być aktywowana mimochodem. Sensowne jest stopniowe wdrażanie z grupą pilotażową, wyjątkami, monitorowaniem i jasnym rozwiązywaniem problemów. Artykuł Jak prawidłowo wprowadzić inspekcję TLS w Sophos Firewall opisuje operacyjny przebieg.

Również certyfikat CA musi być poprawnie rozprowadzony. Dla klientów odpowiednim wprowadzeniem jest Instalacja certyfikatu CA Sophos Firewall dla skanowania HTTPS.

Oddzielne rozważanie wydajności VPN

Wydajność VPN nie zależy tylko od modelu zapory. Istotne są również punkt końcowy, łącze internetowe, opóźnienia, rozmiary pakietów, MTU/MSS, parametry szyfrowania, routing i równoległe tunele.

Dla połączeń Site-to-Site należy realistycznie oszacować planowane strumienie danych: transfery plików, kopie zapasowe, ERP, VoIP, RDP, monitorowanie i replikacja zachowują się różnie. Dla Zdalnego dostępu dochodzą dodatkowo urządzenie klienckie, WLAN, dostawca i klient VPN.

Jeśli połączenie VPN wydaje się wolne, nie należy sprawdzać tylko wartości z arkusza danych. Zdefiniowany test połączenia z iPerf jest zazwyczaj bardziej wymowny niż test prędkości przeglądarki.

Co wpływa na rzeczywistą wydajność

W praktyce działa jednocześnie wiele czynników:

  • aktywne profile bezpieczeństwa dla każdej reguły zapory
  • Inspekcja TLS i wyjątki
  • Polityka IPS i zakres sygnatur
  • Ochrona sieci, Kontrola aplikacji i sprawdzanie złośliwego oprogramowania
  • NAT, DNAT, publikowanie serwerów i WAF
  • IPsec, SSL VPN, Sophos Connect i tunele Site-to-Site
  • Logowanie, raportowanie, Central Reporting i Syslog
  • wiele małych sesji zamiast kilku dużych pobrań
  • Przyspieszenie zapory, FastPath, Przyspieszenie IPsec i ruch, który nie może być offloadowany
  • Tryb HA, wersja oprogramowania i poprawki
  • zasoby wirtualne w przypadku aplikacji programowych lub chmurowych

Dlatego wydajność należy zawsze sprawdzać w kontekście konkretnej polityki. Reguła zapory bez profili bezpieczeństwa zachowuje się inaczej niż reguła z IPS, filtrem sieciowym, Kontrolą aplikacji i Inspekcją TLS.

Prawidłowe zrozumienie FastPath i Offloading

Nowoczesne zapory Sophos nie przetwarzają każdego strumienia danych w ten sam sposób. W zależności od urządzenia, oprogramowania, reguły, profilu bezpieczeństwa i rodzaju ruchu, ruch może być częściowo przyspieszony lub sprawdzany w wolniejszej ścieżce przetwarzania. Ważne pojęcia to FastPath, przyspieszenie zapory, przyspieszenie PKI i przyspieszenie IPsec.

Dla sizingu jest to ważne, ponieważ szybki test nie dowodzi, że każdy produkcyjny strumień danych korzysta z tej samej ścieżki. Wiele appliance XGS używa dedykowanego Xstream Flow Processor dla FastPath. Niektóre nowsze modele desktop, takie jak XGS 88/88w, 108/108w, 118/118w i 128/128w, używają zamiast tego Virtual FastPath w jądrze x86. Modele te mogą przyspieszać przetwarzanie firewall i IPsec, ale nie oferują dedykowanej PKI Acceleration dla przetwarzania certyfikatów TLS. Appliance wirtualne i software jeszcze bardziej zależą od udostępnionego środowiska x86. Offloading nie powinien więc być traktowany jako ogólna gwarancja dla każdego modelu i każdego projektu.

  • SSL VPN
  • WAF i ruch proxy
  • QoS i DoS
  • Bezprzewodowe, RED, LAG i PPPoE
  • zfragmentowany ruch IP
  • niektóre scenariusze mostkowania, HA lub wirtualizacji

Przy HA trzeba patrzeć szczególnie dokładnie. Active-Active HA nie obsługuje Firewall Acceleration. W Active-Passive HA z Firewall i IPsec Acceleration korzysta tylko node podstawowy. Sizing dla HA nie powinien więc po prostu przenosić wartości laboratoryjnych standalone na oba node.

Również rozwiązywanie problemów może wpływać na wyniki pomiarów. Jeśli działa Packet Capture lub iftop, ruch może być przetwarzany inaczej niż w normalnym trybie. Dlatego wyniki pomiarów wydajności i wyniki Packet Capture należy zawsze dokumentować z uwzględnieniem czasu, metody testu, wersji oprogramowania, typu interfejsu i aktywnej polityki.

Przyspieszenie IPsec to osobny przypadek. Zmiany w tym zakresie mogą powodować ponowne uruchomienie tuneli i wymagają okna konserwacyjnego. W środowisku produkcyjnym nie należy przełączać tych ustawień jako szybkiego testu, lecz najpierw sprawdzić z Log Viewer, Packet Capture, Rozwiązywanie problemów z IPsec i jasnym przypadkiem testowym, czy podejrzenie jest rzeczywiście uzasadnione.

Sprawdzanie wydajności w działaniu

Wartości z arkusza danych pomagają przed zakupem. W działaniu potrzebne są inne narzędzia. Ważne jest rozróżnienie pojęć: Control Center nie pokazuje wydajności z arkusza danych, lecz aktualne wskaźniki operacyjne. Kafelek Performance bazuje na load average liczonym względem rdzeni CPU. Wartości powyżej liczby dostępnych rdzeni oznaczają, że w danym momencie system ma więcej pracy, niż może przetworzyć.

Istotne są także CPU, memory, bandwidth, sessions, Decryption Capacity i Decrypt Sessions. Szczególnie przy TLS Inspection Decryption Capacity jest przydatne, ponieważ pokazuje, jak mocno bieżące deszyfrowanie SSL/TLS wykorzystuje dostępną wydajność deszyfrowania. Szczegóły decryption nie są aktualizowane jako pomiar live co sekundę, lecz zwykle co pięć minut. Te wartości należy zawsze czytać razem z polityką, regułą, profilem bezpieczeństwa, godziną i typem ruchu.

Praktyczny przebieg:

  1. Sprawdź Centrum Kontroli: Obserwuj CPU, RAM, obciążenie interfejsu i ostrzeżenia.
  2. Otwórz Log Viewer: Czy działa oczekiwana reguła zapory i czy logowanie jest aktywne?
  3. Kontroluj politykę i profile bezpieczeństwa: Jakie funkcje wpływają na dany ruch?
  4. Użyj Packet Capture: Czy widać pakiety, pakiety odpowiedzi, NAT i odrzuty?
  5. Przeprowadź test połączenia: Sprawdź z iPerf lub zdefiniowanym pobraniem, która ścieżka jest naprawdę wolna.
  6. Zanotuj kontekst offloadingu: Typ interfejsu, tryb HA, rodzaj VPN, PPPoE, WAF, SSL VPN lub Packet Capture mogą wpływać na pomiar.
  7. Zanotuj czas: Szczyty obciążenia, kopie zapasowe, aktualizacje lub raporty mogą zniekształcać wyniki.

Dla szybkiego rozgraniczenia łącza WAN pomocny jest Przeprowadzenie testu prędkości internetu Sophos Firewall przez SSH. Dla testów end-to-end między dwoma systemami lepiej nadaje się Testowanie wydajności Sophos Firewall za pomocą iPerf. Jeśli reguła nie działa zgodnie z oczekiwaniami, odpowiedni jest Testowanie reguł Sophos Firewall.

Typowe błędy przy określaniu rozmiaru

  • Porównywana jest tylko najwyższa przepustowość zapory.
  • Planowana jest inspekcja TLS, ale nie jest uwzględniana w rezerwie wydajności.
  • VPN i Zdalny dostęp są oceniane na podstawie liczby użytkowników, a nie rzeczywistego użytkowania.
  • Uwzględniane jest łącze internetowe, ale nie wewnętrzny ruch wschód-zachód.
  • Wirtualne zapory są uruchamiane na przeciążonych hostach.
  • Raportowanie, logowanie i połączenie z Central są rozważane dopiero później.
  • Wzrost, nowe lokalizacje, dodatkowe VLAN-y lub publikowanie serwerów nie są uwzględniane w planowaniu.
  • Nie ma rozróżnienia między wartością laboratoryjną, rzeczywistą a doświadczeniem użytkownika.

Praktyczna lista kontrolna dotycząca określania rozmiaru

Przed wyborem modelu należy wyjaśnić następujące kwestie:

  1. Przepustowość internetu dziś i planowana na najbliższe lata.
  2. Liczba użytkowników, urządzeń, serwerów i lokalizacji.
  3. Udział ruchu sieciowego, aplikacji chmurowych, VoIP, kopii zapasowych i transferów plików.
  4. Planowane funkcje bezpieczeństwa dla każdej grupy ruchu.
  5. Zakres inspekcji TLS i konieczne wyjątki.
  6. Liczba i wykorzystanie połączeń IPsec, SSL VPN i Sophos Connect.
  7. Potrzeba WAF, Ochrony poczty, RED, WLAN lub Central Reporting.
  8. Oczekiwane rezerwy na aktualizacje, wzrost i szczyty obciążenia.
  9. Model operacyjny: sprzęt XGS, wirtualna aplikacja, chmura lub klaster HA.

FAQ

Który parametr wydajności Sophos Firewall jest najważniejszy przy wyborze modelu?

To zależy od zastosowania. Dla prostych reguł zapory istotna jest przepustowość zapory. Dla typowych środowisk firmowych z IPS, Ochroną sieci i Kontrolą aplikacji bardziej wymowne są wartości NGFW lub Ochrony przed zagrożeniami.

Dlaczego zapora nie osiąga najwyższej wartości z arkusza danych?

Najwyższa wartość jest uzyskiwana w zdefiniowanych warunkach testowych. W rzeczywistości na wynik wpływają rozmiary pakietów, profile bezpieczeństwa, inspekcja TLS, VPN, NAT, logowanie, równoległe sesje, klienci i punkty końcowe.

Czy inspekcja TLS zawsze musi być uwzględniana przy określaniu rozmiaru?

Tak, jeśli inspekcja TLS ma być używana dziś lub w przyszłości. Deszyfrowanie HTTPS jest zasobożerne i powinno być planowane z rezerwą, grupą pilotażową i czystym wdrożeniem.

Jak sprawdzić, czy zapora czy klient jest wolny?

Porównuje się kilka testów: pobranie bezpośrednio na zaporze, test z klienta przewodowego, iPerf między zdefiniowanymi punktami końcowymi, Log Viewer, Packet Capture i obciążenie interfejsu. Pojedynczy pomiar rzadko wystarcza.

Czy wirtualne zapory Sophos są wolniejsze niż sprzętowe urządzenia?

Nie automatycznie. Wirtualne zapory mogą działać bardzo dobrze, jeśli CPU, RAM, pamięć masowa i sieć są dobrze zaplanowane. Wydajność zależy jednak bardziej od platformy wirtualizacyjnej niż w przypadku dedykowanego urządzenia sprzętowego XGS.

Dlaczego Packet Capture może wpływać na pomiar wydajności?

Packet Capture to narzędzie analityczne, a nie neutralny test prędkości. W zależności od ruchu i ścieżki offloadingu, przetwarzanie podczas nagrywania może się różnić od normalnego działania. Dlatego wyniki Capture należy dokumentować z czasem testu, filtrem, interfejsem i polityką.