Przejdz do tresci
Avanet

Przewodnik po rozmiarze Sophos Firewall: prawidłowe wymiarowanie XGS

Wymiarowanie Sophos Firewall nie polega tylko na liczbie użytkowników. Zapora może być różnie obciążona przy tej samej liczbie użytkowników: przez przepustowość internetu, inspekcję TLS, IPS, VPN, ochronę sieci Web, WAF, raportowanie, HA, wiele VLAN-ów lub wiele jednoczesnych połączeń.

Dobre wymiarowanie zapewnia, że Sophos Firewall działa nie tylko pierwszego dnia, ale także z włączonymi funkcjami ochrony, realistycznym wzrostem i czystą eksploatacją, mając jeszcze rezerwę. Dla decyzji między sprzętem a wirtualną aplikacją pasuje dodatkowo Sophos Firewall - sprzęt czy wirtualna aplikacja?.

Cel wymiarowania

Celem nie jest znalezienie najmniejszego modelu, który wystarczy w idealnych warunkach laboratoryjnych. W praktyce zapora powinna pozostać stabilna, nawet gdy dzieje się kilka rzeczy jednocześnie:

  • wielu użytkowników pracuje równolegle,
  • inspekcja TLS lub IPS jest aktywna,
  • działają VPN-y Site-to-Site lub Remote-Access,
  • raportowanie i logowanie generują dodatkowe obciążenie,
  • w tle działają kopie zapasowe, aktualizacje lub diagnostyka wsparcia,
  • lokalizacja rośnie lub zyskuje większą przepustowość.

Dlatego zawsze należy planować z rezerwą. Zapora o zbyt małych wymiarach generuje później problemy wsparcia: wolne połączenia internetowe, wysokie obciążenie CPU, utraty pakietów, powolne WebAdmin, niestabilne połączenia VPN lub brak rezerwy na nowe funkcje bezpieczeństwa.

Najważniejsze czynniki wymiarowania

Przepustowość internetu i profil ruchu

Zamówiona linia internetowa to dobry punkt wyjścia, ale nie cała prawda. Ważne jest, ile z niej jest faktycznie używane jednocześnie i jaki ruch przechodzi przez zaporę.

Sprawdź:

  • symetryczna czy asymetryczna linia,
  • szczytowy ruch w godzinach pracy,
  • wiele małych sesji internetowych czy kilka dużych pobrań,
  • kopie zapasowe w chmurze, Microsoft 365, VoIP, spotkania online,
  • połączenia lokalizacji przez VPN lub SD-WAN,
  • ruch wewnętrzny między VLAN-ami, który również przechodzi przez zaporę.

Jeśli zapora działa również jako wewnętrzne urządzenie routingu i segmentacji, należy uwzględnić nie tylko przepustowość WAN, ale także ruch wschód-zachód. Podstawy dotyczące stref, VLAN-ów i projektowania interfejsów znajdują się w Konfigurowanie stref i interfejsów Sophos Firewall.

Funkcje ochrony

Im więcej modułów bezpieczeństwa jest aktywnych, tym mocniej musi być wymiarowana aplikacja. Szczególnie istotne są:

  • IPS,
  • Ochrona sieci Web,
  • Kontrola aplikacji,
  • Inspekcja SSL/TLS,
  • Ochrona przed zagrożeniami zerowego dnia,
  • WAF,
  • Ochrona poczty,
  • Kanały zagrożeń,
  • Raportowanie i Log Viewer.

Wartości z arkusza danych są porównywalne tylko wtedy, gdy wiadomo, która funkcja była mierzona. Przepustowość zapory bez inspekcji bezpieczeństwa to nie to samo co przepustowość ochrony przed zagrożeniami czy inspekcji TLS. Dla środowisk produkcyjnych nie należy patrzeć tylko na najwyższą wartość marketingową, ale na wskaźnik, który pasuje do własnego zastosowania.

Przy inspekcji TLS ważne jest również, czy organizacja może przeprowadzić wdrożenie technicznie i organizacyjnie. Praktyczny przebieg opisano w Czyste wdrożenie inspekcji TLS Sophos Firewall.

Użytkownicy, urządzenia i sesje

Liczba użytkowników pozostaje ważna, ale nie wystarcza. Biuro z 50 użytkownikami, niewieloma usługami w chmurze i bez inspekcji TLS obciąża zaporę inaczej niż lokalizacja z 50 użytkownikami, serwerami terminalowymi, wieloma aplikacjami SaaS, VoIP, siecią gościnną, IoT, zdalnym dostępem i wieloma strefami serwerowymi.

Dodatkowo liczą się:

  • liczba urządzeń końcowych na użytkownika,
  • sieci gościnne i IoT,
  • serwery, drukarki, kamery i urządzenia specjalne,
  • jednoczesne sesje,
  • wiele małych zapytań DNS lub internetowych,
  • użytkownicy zdalnego dostępu,
  • zautomatyzowane systemy, takie jak kopie zapasowe, monitorowanie lub EDR.

W mieszanych środowiskach z wieloma VLAN-ami lepiej planować według przepływów ruchu niż tylko według liczby głów.

VPN, SD-WAN i połączenia lokalizacji

VPN może mocno obciążać zaporę, szczególnie gdy wiele tuneli, duża przepustowość lub wielu użytkowników zdalnego dostępu występuje jednocześnie.

Uwzględnij:

  • IPsec Site-to-Site,
  • VPN oparte na trasach z interfejsami XFRM,
  • Zdalny dostęp przez Sophos Connect lub SSL VPN,
  • Trasy polityki SD-WAN,
  • wiele linii WAN,
  • scenariusze awaryjne,
  • tematy MTU/MSS przy trasach VPN.

Przy wydajności VPN nie należy patrzeć tylko na status tunelu. Kluczowe jest, czy ruch produkcyjny z włączonymi regułami, NAT, routingu i inspekcji bezpieczeństwa działa stabilnie. Dla tras routingu i VPN odpowiednie są Trasa IPsec na Sophos Firewall i Routing SD-WAN dla pakietów odpowiedzi i ruchu systemowego.

Logowanie, raportowanie i przechowywanie

Logowanie pomaga w eksploatacji, ale również generuje obciążenie i zapotrzebowanie na pamięć. Kto używa wielu reguł zapory z logowaniem, filtrem sieci Web, IPS, kontrolą aplikacji i raportowaniem Central Firewall, powinien wcześnie określić wymagania dotyczące raportowania.

Sprawdź:

  • Które reguły mają aktywne logowanie?
  • Jak długo muszą być dostępne logi?
  • Czy używane jest raportowanie Central Firewall?
  • Czy istnieje Syslog lub SIEM?
  • Czy raporty muszą być regularnie tworzone?
  • Czy dane logów są potrzebne do rozwiązywania problemów lub zgodności?

Dla dłuższej analizy sama zapora często nie jest właściwym miejscem. Wtedy należy zaplanować Raportowanie Central Firewall Sophos lub eksport Syslog/SIEM.

Sprzęt, wirtualnie czy w chmurze?

Sprzętowa aplikacja XGS

Sprzętowa aplikacja XGS jest zazwyczaj najbardziej przewidywalną opcją dla klasycznych lokalizacji. Sprzęt, porty, wsparcie, cykl życia i wydajność są zdefiniowane jako pakiet całościowy.

Zalety:

  • dedykowany sprzęt zapory,
  • jasne opcje portów i rozszerzeń,
  • prosta obsługa wsparcia i RMA,
  • przewidywalna wydajność,
  • mniejsza zależność od hypervisora.

Sprzęt jest szczególnie sensowny, gdy zapora jest centralnym punktem bezpieczeństwa i routingu w lokalizacji.

Wirtualna zapora Sophos

Wirtualna zapora dobrze pasuje do centrów danych, środowisk chmurowych lub zwirtualizowanych segmentów sieci. Wydajność zależy wtedy mocno od CPU, RAM, pamięci, hypervisora, wirtualnych kart sieciowych i obciążenia hosta.

Ważne:

  • Zasoby CPU nie mogą być stale nadmiernie przydzielane.
  • Wirtualne NIC i grupy portów muszą być czysto oddzielone.
  • Opóźnienie pamięci może wpływać na logowanie i raportowanie.
  • Kopia zapasowa i przywracanie muszą pasować do platformy wirtualizacyjnej.
  • Projekt HA i failover musi być wcześniej zaplanowany.

Licencjonowanie i decyzja między sprzętem a wirtualną aplikacją powinny być sprawdzone osobno. Do tego pasuje Sophos Firewall - sprzęt czy wirtualna aplikacja?.

Klasyfikacja urządzeń

Poniższe obszary pomagają w ogólnej orientacji. Konkretna selekcja musi być następnie sprawdzona pod kątem przepustowości, funkcji, rezerwy i modelu operacyjnego.

Urządzenia desktopowe Sophos - Małe firmy

Urządzenia desktopowe pasują do małych lokalizacji, oddziałów, biur i środowisk z ograniczonym zapotrzebowaniem na miejsce. Ważne jest tutaj szczególnie, czy urządzenie obsługuje tylko dostęp do internetu i podstawowe zabezpieczenia, czy też dodatkowo wiele VLAN-ów, VPN-ów, inspekcję TLS i raportowanie.

XGS 88
XGS 108
XGS 118
XGS 128
XGS 138

Urządzenia rackowe 1U Sophos - Średnie firmy

Urządzenia 1U są zazwyczaj istotne dla większych MŚP, centralnych lokalizacji i środowisk z większym zapotrzebowaniem na porty, większą przepustowością lub wyższym obciążeniem bezpieczeństwa. Te modele są często lepszym wyborem, gdy występuje wiele linii WAN, wiele VLAN-ów, wiele tuneli VPN lub wysokie wymagania dotyczące logowania.

XGS 2100
XGS 2300
XGS 3100
XGS 3300
XGS 4300
XGS 4500

Urządzenia rackowe 2U Sophos - Duże przedsiębiorstwa

Urządzenia 2U należą do środowisk z bardzo dużą przepustowością, wieloma jednoczesnymi sesjami, wieloma modułami bezpieczeństwa i wysokimi wymaganiami dotyczącymi dostępności. Tutaj wymiarowanie powinno zawsze odbywać się z konkretnymi danymi o ruchu, założeniami wzrostu i projektem HA.

XGS 5500
XGS 6500
XGS 7500
XGS 8500

Rezerwa, HA i wzrost

Zapora nie powinna działać stale blisko limitu. Rezerwy są ważne dla:

  • wzrostu przepustowości internetu,
  • nowych lokalizacji lub VLAN-ów,
  • późniejszej aktywacji inspekcji TLS lub IPS,
  • większej liczby użytkowników zdalnego dostępu,
  • dodatkowych wymagań dotyczących logowania i raportowania,
  • aktualizacji oprogramowania z nowymi funkcjami,
  • sytuacji awaryjnych i failover.

Przy HA należy szczególnie dokładnie planować. W projekcie Active-Passive jeden węzeł musi być w stanie samodzielnie obsłużyć obciążenie produkcyjne. Active-Active nie jest przepustką dla ciasnego wymiarowania, ponieważ nie każde obciążenie jest równomiernie rozłożone. Najważniejsze punkty architektury znajdują się w Zrozumienie wariantów klastra HA Sophos Firewall.

Jako zasada kciuka, przy nowych projektach nie należy planować zapory, która w normalnej eksploatacji już wykazuje bardzo wysokie obciążenie CPU, RAM lub sesji. Artykuł Prawidłowe interpretowanie metryk wydajności Sophos Firewall pomaga w późniejszej ocenie eksploatacji.

Praktyczny przebieg wymiarowania

1. Zbieranie danych wyjściowych

Najpierw opisuje się środowisko:

  • lokalizacje i linie WAN,
  • użytkownicy i urządzenia,
  • VLAN-y i strefy wewnętrzne,
  • usługi serwerowe i DMZ,
  • wymagania dotyczące VPN i zdalnego dostępu,
  • aktywnie planowane moduły bezpieczeństwa,
  • wymagania dotyczące raportowania i logowania,
  • wymagania dotyczące HA lub chmury.

2. Oznaczanie krytycznych czynników obciążenia

Następnie oznacza się punkty, które mogą podnieść model:

  • szerokie zastosowanie inspekcji TLS,
  • wiele połączeń chronionych przez IPS,
  • wysoka przepustowość VPN,
  • wiele jednoczesnych sesji,
  • wiele reguł zapory z logowaniem,
  • WAF lub ochrona poczty,
  • silna segmentacja z wewnętrznym ruchem przez zaporę,
  • wzrost w ciągu najbliższych trzech do pięciu lat.

3. Prawidłowe odczytywanie wartości z arkusza danych

Wartości z arkusza danych powinny być rozumiane jako wartości porównawcze, a nie jako gwarancja dla każdego środowiska. Kluczowe jest, które pomiary pasują do planowanego zastosowania:

Ważne wskaźniki:

  • Firewall Throughput: ogólna orientacja dla prostego przepływu pakietów.
  • IPS Throughput: istotne dla środowisk z aktywnym Intrusion Prevention.
  • Threat Protection: często bardziej realistyczne, gdy jednocześnie aktywnych jest kilka funkcji ochrony.
  • TLS Inspection: ważne dla środowisk z odszyfrowanym ruchem HTTPS.
  • IPsec VPN Throughput: istotne dla połączeń między lokalizacjami i obciążenia VPN.
  • Concurrent Connections: ważne przy wielu klientach, sesjach webowych i usługach.

Jeśli kilka z tych punktów jest jednocześnie istotnych, nie należy patrzeć tylko na jeden wskaźnik.

4. Ustalanie rezerwy

Przed ostatecznym wyborem modelu należy świadomie zdecydować, ile rezerwy zostanie zaplanowane. Mała rezerwa może wystarczyć w bardzo prostych lokalizacjach. Przy centralnych zaporach, klastrach HA, silnym wzroście lub szerokim zastosowaniu bezpieczeństwa rezerwa powinna być znacznie większa.

5. Walidacja po uruchomieniu

Wymiarowanie nie kończy się na zamówieniu. Po uruchomieniu należy sprawdzić, czy założenia się zgadzają:

  • obciążenie CPU i RAM w czasie szczytu,
  • liczby sesji,
  • przepustowość VPN,
  • czas reakcji WebAdmin,
  • Log Viewer i raportowanie,
  • utraty pakietów lub retransmisje,
  • obciążenie WAN,
  • wydajność po aktywacji dodatkowych funkcji ochrony.

Dla powtarzalnych pomiarów może pomóc Używanie testu prędkości iPerf Sophos Firewall do rozwiązywania problemów. Dla prostych testów prędkości WAN odpowiednim wprowadzeniem jest Prawidłowe interpretowanie testu prędkości internetu Sophos Firewall.

Częste błędy wymiarowania

  • Wymiarowanie tylko według liczby użytkowników.
  • Mylenie wartości z arkusza danych dla przepustowości zapory z obciążeniem ochrony przed zagrożeniami.
  • Późniejsze włączanie inspekcji TLS bez zaplanowanej rezerwy.
  • Planowanie HA, ale nie sprawdzanie, czy jeden węzeł ma wystarczającą wydajność.
  • Ignorowanie ruchu między VLAN-ami.
  • Niedocenianie raportowania i logowania.
  • Uruchamianie wirtualnych zapór na nadmiernie przydzielonych hostach.
  • Nie uwzględnianie wzrostu przepustowości internetu.
  • Planowanie zdalnego dostępu i VPN Site-to-Site tylko według liczby tuneli zamiast przepustowości.

Lista kontrolna

  • Znana przepustowość internetu i rzeczywiste szczytowe wykorzystanie.
  • Zebrani użytkownicy, urządzenia, VLAN-y i strefy serwerowe.
  • Udokumentowane planowane moduły bezpieczeństwa.
  • Osobno ocenione inspekcja TLS, IPS, VPN, WAF, ochrona poczty i raportowanie.
  • Uwzględniony wewnętrzny ruch przez zaporę.
  • Sprawdzone projekt HA i obciążenie failover.
  • Świadomie wybrana sprzętowa lub wirtualna aplikacja.
  • Zaplanowana rezerwa wzrostu na kilka lat.
  • Po uruchomieniu sprawdzone metryki wydajności.

FAQ

Czy liczba użytkowników wystarczy do wymiarowania Sophos Firewall?

Nie. Liczba użytkowników to tylko punkt wyjścia. Przepustowość, inspekcja bezpieczeństwa, VPN, sesje, VLAN-y, logowanie i wzrost są często ważniejsze.

Która Sophos Firewall pasuje do łącza internetowego 1 Gbit/s?

To zależy od tego, czy łącze jest tylko prosto routowane, czy też aktywne są IPS, ochrona sieci Web, inspekcja TLS, VPN i raportowanie. Dla poważnego wyboru trzeba znać planowane funkcje ochrony i jednoczesny ruch.

Dlaczego warto planować rezerwę?

Ponieważ zapory rosną w eksploatacji: większa przepustowość, więcej ruchu w chmurze, więcej VPN, nowe funkcje ochrony i więcej logowania. Bez rezerwy zapora stanie się później wąskim gardłem.

Czy wirtualna zapora Sophos jest tak samo szybka jak sprzętowa aplikacja?

Nie automatycznie. Wirtualna zapora może działać bardzo dobrze, ale mocno zależy od CPU, RAM, pamięci, hypervisora, wirtualnych kart sieciowych i obciążenia hosta. Sprzętowe aplikacje są bardziej przewidywalne jako pakiet całościowy.

Czy po uruchomieniu trzeba ponownie sprawdzić wymiarowanie?

Tak. Po uruchomieniu należy sprawdzić obciążenie CPU, RAM, sesje, przepustowość VPN, Log Viewer, raportowanie i obciążenie WAN w czasie szczytu. Dzięki temu można wcześnie rozpoznać, czy założenia były realistyczne.