Saltar para o conteudo
Avanet

Realizar um Teste de Velocidade da Internet no Sophos Firewall via SSH

Um teste de velocidade da internet no navegador nem sempre mostra o que a conexão realmente pode oferecer. Navegadores, clientes, WLAN, proxy, IPS, filtro web, Inspeção TLS, VPN, NAT e regras de firewall podem influenciar o resultado. Às vezes, um teste direto no Sophos Firewall é útil para distinguir a conexão WAN da firewall de problemas de cliente ou regras.

O artigo descreve um simples teste de download via SSH no Sophos Firewall, a correta interpretação do resultado e as limitações em relação ao iPerf, Log Viewer ou Packet Capture. É especialmente importante distinguir em casos de múltiplas conexões WAN: o teste mede o tráfego de download próprio da firewall, não necessariamente o mesmo caminho que um cliente atrás da firewall.

Qual teste de desempenho é adequado?

Um download direto na firewall é apenas uma ferramenta. Dependendo da questão, outro teste pode ser mais relevante:

Essa separação evita interpretações errôneas. Um download rápido na firewall não prova que um caminho de cliente, um túnel VPN ou uma regra de inspeção TLS também sejam rápidos.

O que um teste de velocidade na firewall prova

Um teste de velocidade direto na firewall responde a uma pergunta concreta: A firewall consegue, por seu caminho de roteamento atual, baixar um arquivo da internet com a velocidade esperada?

Isso é útil quando se quer saber:

  • se a conexão WAN é, em princípio, rápida o suficiente
  • se a conexão do provedor oferece aproximadamente a taxa de download esperada
  • se um problema está mais à frente ou atrás da firewall
  • se cliente, WLAN, switch, filtro web, Inspeção TLS ou VPN precisam ser incluídos na análise

O teste, no entanto, não prova automaticamente que clientes atrás da firewall devem alcançar a mesma velocidade. O tráfego do cliente passa por regras de firewall, NAT, políticas de segurança e, dependendo da configuração, por IPS, Proteção Web, Controle de Aplicações ou Inspeção TLS. O download local na firewall evita partes desse processamento e é, portanto, adequado como uma distinção, não como um teste completo de ponta a ponta.

Para interpretar valores de especificação, recursos de segurança e desempenho real, consulte Compreender corretamente os dados de desempenho do Sophos Firewall.

Considerar múltiplas conexões WAN e SD-WAN

Em firewalls com múltiplos links WAN, deve-se esclarecer antes do teste por qual caminho a firewall se conecta à internet. O download é gerado pelo Sophos Firewall. Portanto, é tráfego próprio do sistema e não segue necessariamente a mesma decisão que um fluxo de cliente processado por uma regra de firewall, regra NAT ou rota SD-WAN.

Suposições típicas erradas:

  • Múltiplos gateways WAN: O download da firewall pode passar por um gateway diferente do tráfego do cliente afetado
  • Roteamento SD-WAN para clientes: Regras SD-WAN de cliente não provam automaticamente o caminho para o tráfego próprio da firewall
  • Failover ou WAN de backup ativo: O teste pode estar medindo o caminho alternativo
  • Roteamento baseado em políticas ou NAT especial: Um caminho de cliente pode ser tratado de forma diferente do download local da firewall

Em tais configurações, o resultado deve sempre ser documentado com horário, link WAN ativo e gateway observado. Se o tráfego próprio do sistema, pacotes de resposta ou decisões SD-WAN forem incertos, consulte Compreender o Roteamento SD-WAN, Pacote de Resposta e Tráfego do Sistema no Sophos Firewall.

Pré-requisitos

Antes do teste, os seguintes pontos devem ser atendidos:

  • O acesso SSH ou Advanced Shell está conscientemente permitido, de preferência apenas a partir de uma rede administrativa confiável.
  • A firewall tem acesso à internet e o DNS está funcionando.
  • Existe uma janela de manutenção ou pelo menos um momento não crítico.
  • Está claro por qual interface WAN a firewall executará o download.
  • Há espaço de armazenamento suficiente para o arquivo de teste.
  • O arquivo de teste será excluído após o teste.

Para acesso SSH seguro, consulte Conectar ao Sophos Firewall via SSH. No SFOS, o SSH é permitido em Administration > Device access por meio de Local service ACL ou, de forma mais precisa, por uma Local service ACL exception rule. O SSH não deve ser permitido de forma ampla a partir de zonas WAN ou Wi-Fi e, após tarefas de solução de problemas, deve ser novamente limitado ao mínimo necessário. O Sophos Firewall encerra sessões SSH inativas após 15 minutos.

⚠️ Um teste de download gera tráfego real e pode saturar a conexão temporariamente. Em firewalls produtivas, esses testes não devem ser realizados durante horários críticos de trabalho ou em paralelo a janelas de backup, VoIP ou manutenção.

Verificar DNS e routing antes do download

Antes de baixar um arquivo de teste grande, convém verificar rapidamente se a resolução de nomes e a acessibilidade funcionam em princípio. Caso contrário, problemas de DNS, routing ou provedor podem ser facilmente confundidos com um resultado de speedtest.

No menu principal da CLI, primeiro abra 4 Device Console e execute verificações simples:

dnslookup www.avanet.io
ping www.avanet.io
traceroute www.avanet.io

dnslookup verifica a resolução de nomes, ping fornece um teste rápido de acessibilidade e traceroute mostra o caminho aproximado até o destino. No Device Console, a Sophos suporta parâmetros adicionais para ping, como interface ou sourceip. Isso é útil com vários links WAN quando se deseja verificar uma fonte ou interface específica.

Se o DNS já falhar, o teste curl seguinte não é significativo. Primeiro verifique DNS, default route, gateway WAN, decisão SD-WAN ou disponibilidade do provedor.

Realizar o teste de velocidade via SSH

Faça login no Sophos Firewall via SSH como admin. No menu principal da CLI, selecione 5 Device Management e depois abra 3 Advanced Shell. Advanced Shell é um shell Linux com acesso profundo a componentes do sistema. Neste artigo, ele é usado apenas para baixar um arquivo para /tmp e excluí-lo novamente depois.

Em seguida, baixe o arquivo de teste em um diretório temporário para que ele não fique acidentalmente em um diretório de trabalho inadequado.

cd /tmp
curl -L -o 1GB.bin https://www.avanet.io/1GB.bin

O servidor de teste está localizado na Suíça e é destinado a uma medição grosseira da conexão. Para testes menores, pode-se usar 100MB.bin em vez de 1GB.bin:

cd /tmp
curl -L -o 100MB.bin https://www.avanet.io/100MB.bin

Se o DNS não estiver funcionando, o teste falhará já na resolução de nomes. Nesse caso, não se deve analisar a velocidade da conexão, mas primeiro verificar DNS, roteamento e disponibilidade WAN.

Em firewalls com múltiplos links WAN, o teste não deve ser considerado isoladamente. Paralelamente, deve-se verificar no WebAdmin qual link WAN está ativo e se há um failover, uma alteração SD-WAN ou uma interrupção do provedor.

Excluir o arquivo de teste

Após o teste, o arquivo deve ser removido:

rm /tmp/1GB.bin

Em um teste com o arquivo menor:

rm /tmp/100MB.bin

Se o teste foi interrompido, ainda assim verifique se há um arquivo parcialmente baixado:

ls -lh /tmp/*GB.bin

Arquivos de teste grandes não devem permanecer na firewall. Especialmente em appliances pequenas ou partições já cheias, o consumo desnecessário de espaço pode levar a problemas difíceis de diagnosticar mais tarde.

Avaliar o teste de velocidade

Durante e após o download, curl mostra, entre outras coisas, a taxa de download média. No exemplo, o valor é de cerca de 107 MB/s.

Teste de Velocidade da Internet no Sophos Firewall
Teste de Velocidade da Internet no Sophos Firewall

Importante é a unidade:

  • MB/s significa Megabytes por segundo.
  • Mbit/s ou Mbps significa Megabits por segundo.
  • 1 Byte equivale a 8 Bits.

Como conversão aproximada, temos:

MB/s x 8 = Mbit/s

107 MB/s correspondem, portanto, a aproximadamente 856 Mbit/s. Overhead, comportamento TCP, contraparte, roteamento e carga podem influenciar o valor. Portanto, não se deve usar uma única medição como prova definitiva.

Converter velocidade de download
Converter velocidade de download

É sensato realizar vários testes em diferentes horários do dia. Se os valores variarem muito, deve-se verificar o provedor, link WAN, roteamento SD-WAN, erros de interface e carga.

Para suporte ou documentação interna, não se deve apenas anotar o número. Um conjunto de dados de medição curto ajuda significativamente mais tarde:

  • Horário: 2026-06-21 10:15
  • Firewall e Firmware: XGS 2100, SFOS 22.0 MR1
  • Arquivo de teste: 1GB.bin
  • Taxa medida: 107 MB/s, aproximadamente 856 Mbit/s
  • Link WAN ativo: WAN1 Fiber
  • Observações: backup paralelo, failover, alta CPU, Packet Capture ativo

Ao comparar várias medições, o arquivo de teste, destino, horário e caminho WAN devem permanecer o mais constantes possível. Caso contrário, compara-se rapidamente o horário do dia, caminho do provedor ou contraparte em vez do desempenho real da firewall.

Comparar com testes de cliente

O próximo passo é a comparação com um cliente atrás da firewall. Isso ajuda a delimitar onde a performance está sendo perdida.

  • Download direto na firewall é rápido: A conexão WAN da firewall provavelmente não é o principal gargalo
  • Download direto na firewall é lento: Verificar provedor, link WAN, roteamento, DNS ou uplink da firewall
  • Firewall rápida, cliente lento: Verificar cliente, WLAN, switch, regra de firewall, NAT, política de segurança ou Inspeção TLS
  • Apenas aplicações específicas são lentas: Verificar filtro web, Controle de Aplicações, DNS, proxy ou servidor de destino
  • Apenas VPN é lenta: Verificar protocolo VPN, MTU/MSS, roteamento, regras de firewall e rede do cliente

Para testes de percurso direcionados, iPerf é frequentemente melhor do que um download público. Com iPerf, pode-se definir onde o servidor e o cliente estão, se TCP ou UDP será testado e qual largura de banda é esperada.

Interpretações errôneas típicas

Teste de velocidade da firewall é rápido, mas usuários relatam internet lenta

Nesse caso, a conexão WAN não é automaticamente inocente, mas o foco muda. Deve-se verificar a rede do cliente, WLAN, porta do switch, DNS, regra de firewall, NAT, IPS, Proteção Web, Controle de Aplicações e Inspeção TLS. Especialmente a Inspeção TLS ou perfis de segurança agressivos podem tratar o tráfego do cliente de forma significativamente diferente de um download direto na firewall.

Teste de velocidade no navegador é lento, mas na firewall é rápido

Isso geralmente indica um problema atrás da firewall ou no caminho do cliente. No entanto, deve-se testar vários navegadores, um cliente com fio e um segundo destino antes de assumir uma causa fixa.

Teste de velocidade da firewall é lento

Nesse caso, primeiro verifique o status WAN, velocidade do link, duplex, roteamento SD-WAN, DNS, interrupção do provedor e carga. Em múltiplas conexões WAN, deve-se saber por qual gateway o download está passando.

Apenas o upload é lento

O download curl descrito aqui testa principalmente a direção de download. Para testes de upload ou bidirecionais, iPerf ou outra configuração de teste definida é mais adequada.

Solução de problemas após o teste

Se após o teste de velocidade ainda não estiver claro onde está o problema, deve-se continuar de forma estruturada:

  1. Verificar Device Console: usar dnslookup, ping e traceroute antes de interpretar valores de download.
  2. Verificar Log Viewer: Qual regra de firewall o tráfego do cliente está atingindo?
  3. Usar Policy Test: Verificar origem, destino, serviço e usuário esperados.
  4. Iniciar Packet Capture: Os pacotes, pacotes de resposta e NAT são visíveis?
  5. Verificar Status da Interface: Avaliar velocidade do link, erros, perdas e carga.
  6. Verificar Recursos de Segurança: IPS, filtro web, Inspeção TLS, Controle de Aplicações.
  7. Realizar contraprova com iPerf: Testar percurso, TCP/UDP e direção de forma direcionada.

Para análises de regras e fluxo de pacotes, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture. Para logs mais profundos, consulte Solução de Problemas no Sophos Firewall: Serviços e Logs.

Lista de verificação

Antes do teste

  • Acesso SSH ou Advanced Shell conscientemente permitido.
  • Device Access ou Local Service ACL exception rule para SSH claramente limitado.
  • DNS e acessibilidade verificados pelo Device Console.
  • Momento do teste escolhido.
  • Caminho WAN conhecido.
  • Espaço de armazenamento suficiente disponível.
  • Objetivo da medição definido: teste WAN, comparação de cliente ou distinção de VPN.

Durante o teste

  • Baixar arquivo de teste para /tmp.
  • Anotar taxa de download e unidade.
  • Em caso de erros, não confundir DNS, roteamento ou acessibilidade com velocidade.
  • Não realizar grandes alterações paralelas em regras de firewall ou SD-WAN.

Após o teste

  • Excluir arquivo de teste.
  • Converter resultado para Mbit/s.
  • Comparar com teste de cliente ou iPerf.
  • Em caso de discrepâncias, usar Log Viewer, Policy Test e Packet Capture.
  • Documentar resultado com horário, link WAN e objetivo do teste.

FAQ

Este teste pode medir a verdadeira velocidade da internet?

Mede-se a taxa de download da firewall para um destino de teste específico. É um bom indicador da conexão WAN, mas não um teste completo de ponta a ponta para clientes atrás da firewall.

Por que um teste de velocidade no navegador atrás da firewall é diferente?

O tráfego do cliente pode ser influenciado por WLAN, switches, regras de firewall, NAT, IPS, Proteção Web, Inspeção TLS ou Controle de Aplicações. Um download direto na firewall não utiliza o mesmo caminho de processamento.

Deve-se testar 100 MB ou 1 GB?

Para conexões rápidas, 1 GB é mais significativo, pois o teste dura mais. Para verificações rápidas ou conexões menores, 100 MB geralmente são suficientes. Em firewalls pequenas ou com pouco espaço, deve-se testar com cautela e excluir depois.

iPerf é melhor que curl?

Para análises de desempenho direcionadas, geralmente sim. curl é rápido e fácil para um teste de download WAN. iPerf é melhor quando se deseja controlar direção, destino, TCP/UDP, duração e largura de banda.

O teste curl é um speedtest oficial da Sophos?

Não. A Sophos documenta acesso CLI, Device Console e Advanced Shell, mas não um speedtest oficial próprio de internet via curl. O teste é um método prático da Avanet para delimitar a conexão WAN e deve ser complementado com testes de cliente, logs ou iPerf.

Por que o arquivo de teste deve ser excluído?

A firewall não é um servidor de arquivos. Arquivos de teste grandes consomem espaço de armazenamento e podem causar problemas em appliances pequenas ou partições cheias mais tarde.

Por que o teste de velocidade da firewall pode ser diferente de um teste de cliente em múltiplos WANs?

O teste é gerado pela própria firewall. Ele pode, portanto, usar um caminho de roteamento diferente do tráfego do cliente, que passa por regras de firewall, NAT ou rotas SD-WAN. Em múltiplos links WAN, o caminho ativo deve sempre ser documentado.