Jak prawidłowo rozumieć dane wydajności Sophos Firewall
Na naszej stronie produktu, w tabeli porównawczej firewalli oraz w karcie katalogowej Sophos Firewall można znaleźć dane wydajnościowe firewalla. Przy wyborze odpowiedniego modelu ważne jest, aby prawidłowo rozumieć te wartości.
Nasz Sophos Firewall Sizing Guide wyjaśnia, na co zwracać uwagę przy wyborze firewalla. Aby wybrać właściwy model, trzeba również rozumieć dane wydajności Sophos Firewall.
Wydajność Sophos Firewall jest kluczowym czynnikiem dla bezpieczeństwa i efektywności sieci. W tym artykule omawiamy różne aspekty analizy wydajności firewalli Sophos i wyjaśniamy, jak właściwie interpretować podawane dane.
Metodyka testów wydajności
Jak powstają dane wydajności Sophos?
Wydajność firewalla mierzy się zwykle w idealnych warunkach testowych. Sophos używa do tego branżowego narzędzia do testów wydajności Keysight-Ixia BreakingPoint.
Keysight Ixia BreakingPoint to uznane narzędzie testowe służące do oceny bezpieczeństwa, niezawodności i wydajności sieci oraz urządzeń sieciowych. Często wykorzystuje się je do sprawdzania maksymalnej przepustowości, wydajności i odporności urządzeń takich jak firewalle, systemy Intrusion Prevention System (IPS) czy routery.
BreakingPoint symuluje realistyczny ruch sieciowy oraz różne typy zagrożeń, w tym malware, ataki DDoS i inne ryzyka bezpieczeństwa. Narzędzie potrafi generować duże ilości ruchu, aby sprawdzić, jak urządzenia sieciowe reagują pod wysokim obciążeniem i w sytuacjach stresowych. Pozwala też testować reakcję urządzeń na różne zagrożenia oraz skuteczność mechanizmów bezpieczeństwa.
W przypadku Sophos Firewall BreakingPoint może służyć do sprawdzania działania firewalla w różnych warunkach. Można na przykład testować, jak szybko firewall przetwarza dane (przepustowość), jak reaguje na określone typy zagrożeń (testy bezpieczeństwa) oraz jak zachowuje się przy dużym obciążeniu (testy wydajności).
Warto pamiętać, że wyniki testów BreakingPoint uzyskuje się w idealnych warunkach testowych, a rzeczywista wydajność w prawdziwym środowisku sieciowym może różnić się z powodu wielu czynników.
Rzeczywista wydajność firewalla zależy między innymi od liczby jednocześnie połączonych użytkowników, rodzaju ruchu oraz usług bezpieczeństwa aktywnych na firewallu. Dlatego, aby zapewnić optymalną pracę, warto regularnie kontrolować wydajność firewalla i w razie potrzeby dostosowywać konfigurację.
Firewall
Wydajność firewalla mierzy się na podstawie przepustowości ruchu HTTP. Przepustowość oznacza ilość danych, którą firewall może przetworzyć w określonym czasie. Zazwyczaj podaje się ją w megabitach na sekundę (Mbps) albo gigabitach na sekundę (Gbps). Pomiary bazują na rozmiarze odpowiedzi 512 KB.
Aby pokazać to w kontekście biznesowym, wyobraź sobie firmowy serwer plików, z którego korzysta wielu pracowników. Każdy dostęp do pliku, pobranie lub wysłanie dokumentu generuje ruch przechodzący przez firewall.
Załóżmy, że firewall ma przepustowość 1 Gbps. Oznacza to, że może przetwarzać do 1 gigabita danych na sekundę. Jeśli pracownik otwiera plik na serwerze o rozmiarze 512 KB, firewall może przetworzyć taki pakiet bardzo szybko, ponieważ 512 KB jest znacznie poniżej maksymalnej przepustowości 1 Gbps. Dzięki temu pracownik może szybko i sprawnie uzyskać dostęp do potrzebnych plików bez odczuwalnych opóźnień.
Inny przykład to nocna kopia zapasowa danych firmowych. Jeśli przez firewall przepływają duże ilości danych, zdolność firewalla do obsługi wysokiej przepustowości staje się szczególnie ważna, aby backup zakończył się sprawnie i w rozsądnym czasie.
Firewall-IMIX
IMIX oznacza “Internet Mix” i opisuje typ ruchu składający się z mieszanki różnych rozmiarów pakietów. W kontekście firewalli i sieci jest to przydatne pojęcie, ponieważ pozwala oceniać wydajność systemu bardziej realistycznie niż testy używające tylko jednego rozmiaru pakietu.
Podczas pomiaru wydajności Sophos Firewall z użyciem IMIX przepustowość UDP mierzy się na podstawie kombinacji pakietów o rozmiarach 66, 570 i 1518 bajtów. Firewall przetwarza więc pakiety trzech różnych wielkości, które razem lepiej odzwierciedlają typowy ruch internetowy.
Wyobraź sobie, że pracownicy korzystają w sieci z różnych usług. Część wysyła lub odbiera e-maile (mniejsze pakiety), inni otwierają pliki na firmowym serwerze (średnie pakiety), a jeszcze inni pobierają lub wysyłają większe pliki i dokumenty (większe pakiety). Te działania generują pakiety o różnych rozmiarach, które firewall musi przetworzyć.
Dzięki profilowi ruchu IMIX Sophos Firewall może symulować taką mieszaninę pakietów i mierzyć wydajność w warunkach bardziej zbliżonych do rzeczywistości. Daje to lepszy obraz tego, jak firewall poradzi sobie z faktycznym, zróżnicowanym ruchem w firmowej sieci.
IPS (Intrusion Prevention System)
Intrusion Prevention System (IPS) jest ważnym elementem bezpieczeństwa sieci. Służy do wykrywania i blokowania znanych zagrożeń. Monitoruje ruch sieciowy pod kątem anomalii lub sygnatur wskazujących na złośliwą aktywność i podejmuje działania, zanim zagrożenie wyrządzi szkody.
Wydajność IPS mierzy się na podstawie ruchu HTTP z użyciem standardowego zestawu reguł IPS oraz obiektu o rozmiarze 512 KB. Zestaw reguł to w uproszczeniu lista kryteriów, według których IPS sprawdza ruch. Jeśli ruch spełnia te kryteria, zostaje uznany za potencjalnie szkodliwy i odpowiednio obsłużony.
W praktyce firmowej może to wyglądać tak: pracownik otwiera e-mail zawierający złośliwy link. Po kliknięciu linku do serwera wysyłany jest pakiet danych, który może zawierać szkodliwy kod. Jeśli pakiet spełnia kryteria reguł, zostaje sklasyfikowany jako zagrożenie i zablokowany, zanim zaszkodzi sieci.
Pomiar wydajności IPS jest więc kluczowy, aby zrozumieć, jak dobrze firewall potrafi wykrywać i blokować zagrożenia w czasie rzeczywistym. Wyższa wydajność IPS oznacza, że w krótszym czasie można skanować większy ruch, co przekłada się na wyższy poziom bezpieczeństwa sieci.
IPsec-VPN
Wydajność IPsec-VPN mierzy się na podstawie przepustowości HTTP przy użyciu wielu tuneli oraz rozmiaru odpowiedzi HTTP 512 KB. Wyższa przepustowość oznacza, że więcej danych można przesłać w krótszym czasie, co daje szybsze i bardziej efektywne połączenie VPN.
TLS Inspection
Funkcja TLS Inspection w Sophos Firewall umożliwia monitorowanie i kontrolowanie zaszyfrowanego ruchu. Firewall może zajrzeć do zaszyfrowanych danych, aby wykrywać i blokować potencjalnie szkodliwe treści, które normalnie byłyby ukryte przez szyfrowanie.
Przykładowo pracownik otwiera zaszyfrowaną stronę internetową. Chociaż szyfrowanie zwykle uniemożliwia osobom trzecim wgląd w treść strony, TLS Inspection pozwala Sophos Firewall sprawdzić zawartość i upewnić się, że nie ma w niej malware ani innych szkodliwych elementów. Jeśli firewall wykryje niebezpieczną treść, może zablokować dostęp do strony i ochronić sieć firmową.
Wydajność TLS Inspection określa się przez pomiar wydajności z IPS przy sesjach HTTPS oraz różnych zestawach szyfrów.
Ochrona przed zagrożeniami
Ochrona przed zagrożeniami w Sophos Firewall to kompleksowe rozwiązanie bezpieczeństwa, które łączy różne technologie i funkcje, aby chronić sieć przed szerokim zakresem zagrożeń. Obejmuje między innymi sam firewall, Intrusion Prevention System (IPS), Application Control oraz ochronę przed malware.
Wyobraź sobie, że pracownik próbuje pobrać plik ze strony internetowej uznanej za potencjalnie niebezpieczną. Sophos Firewall najpierw sprawdzi dostęp do strony (funkcja firewall), następnie przeanalizuje zawartość pliku pod kątem znanego złośliwego kodu (IPS i ochrona przed malware), a na końcu sprawdzi typ pliku oraz aplikację używaną do pobrania (Application Control). Jeśli na którymkolwiek etapie zostanie wykryte zagrożenie, Sophos Firewall zablokuje pobieranie i ochroni sieć firmową.
Wydajność ochrony przed zagrożeniami mierzy się przy aktywnym firewallu, IPS, Application Control i ochronie przed malware. Pomiary wykonuje się przy rozmiarze odpowiedzi HTTP 200 KB.
NGFW (Next-Generation Firewall)
Next-Generation Firewall (NGFW) w Sophos Firewall to więcej niż klasyczny firewall. Zawiera rozszerzone funkcje, takie jak Intrusion Prevention System (IPS) i Application Control, aby zapewnić wyższy poziom bezpieczeństwa sieci. Daje głębszą i bardziej szczegółową kontrolę nad ruchem sieciowym, co pozwala skuteczniej odpierać zagrożenia.
Przykład: pracownik próbuje uzyskać dostęp do aplikacji chmurowej, która nie została dopuszczona do użycia w firmie, na przykład prywatnej usługi przechowywania plików. NGFW w Sophos Firewall rozpozna próbę dostępu (dzięki kontroli aplikacji), sprawdzi treść żądania (dzięki IPS), a następnie zablokuje dostęp do usługi. Te dodatkowe funkcje pozwalają Sophos Firewall wyjść poza samo monitorowanie portów i protokołów i zapewnić głębsze zrozumienie oraz kontrolę ruchu sieciowego.
Wydajność Next-Generation Firewall mierzy się przy aktywnym IPS i Application Control dla ruchu HTTP. Używany jest przy tym standardowy zestaw reguł IPS oraz obiekt o rozmiarze 512 KB.