Realizar um Teste de Velocidade da Internet no Sophos Firewall via SSH
Um teste de velocidade da internet no navegador nem sempre mostra o que a conexão realmente pode oferecer. Navegadores, clientes, WLAN, proxy, IPS, filtro web, Inspeção TLS, VPN, NAT e regras de firewall podem influenciar o resultado. Às vezes, um teste direto no Sophos Firewall é útil para distinguir a conexão WAN da firewall de problemas de cliente ou regras.
O artigo descreve um simples teste de download via SSH no Sophos Firewall, a correta interpretação do resultado e as limitações em relação ao iPerf, Log Viewer ou Packet Capture. É especialmente importante distinguir em casos de múltiplas conexões WAN: o teste mede o tráfego de download próprio da firewall, não necessariamente o mesmo caminho que um cliente atrás da firewall.
Qual teste de desempenho é adequado?
Um download direto na firewall é apenas uma ferramenta. Dependendo da questão, outro teste pode ser mais relevante:
- Verificar download WAN direto na firewall: Este artigo
- Medir throughput entre duas redes definidas: Usar iPerf corretamente atrás do Sophos Firewall
- Interpretar valores de especificação e desempenho real de segurança: Compreender corretamente os dados de desempenho do Sophos Firewall
- Verificar qual regra ou política de firewall está em vigor: Testar regra de firewall com Log Viewer, Policy Test e Packet Capture
- Analisar pacotes individuais, NAT ou caminho de retorno: Usar Packet Capture no Sophos Firewall de forma direcionada
- VPN está lenta ou instável: Verificar MTU e MSS em problemas de VPN no Sophos Firewall
- Ver padrões de tráfego e picos de volume através de interfaces: Configurar Monitoramento sFlow no Sophos Firewall
Essa separação evita interpretações errôneas. Um download rápido na firewall não prova que um caminho de cliente, um túnel VPN ou uma regra de inspeção TLS também sejam rápidos.
O que um teste de velocidade na firewall prova
Um teste de velocidade direto na firewall responde a uma pergunta concreta: A firewall consegue, por seu caminho de roteamento atual, baixar um arquivo da internet com a velocidade esperada?
Isso é útil quando se quer saber:
- se a conexão WAN é, em princípio, rápida o suficiente
- se a conexão do provedor oferece aproximadamente a taxa de download esperada
- se um problema está mais à frente ou atrás da firewall
- se cliente, WLAN, switch, filtro web, Inspeção TLS ou VPN precisam ser incluídos na análise
O teste, no entanto, não prova automaticamente que clientes atrás da firewall devem alcançar a mesma velocidade. O tráfego do cliente passa por regras de firewall, NAT, políticas de segurança e, dependendo da configuração, por IPS, Proteção Web, Controle de Aplicações ou Inspeção TLS. O download local na firewall evita partes desse processamento e é, portanto, adequado como uma distinção, não como um teste completo de ponta a ponta.
Para interpretar valores de especificação, recursos de segurança e desempenho real, consulte Compreender corretamente os dados de desempenho do Sophos Firewall.
Considerar múltiplas conexões WAN e SD-WAN
Em firewalls com múltiplos links WAN, deve-se esclarecer antes do teste por qual caminho a firewall se conecta à internet. O download é gerado pelo Sophos Firewall. Portanto, é tráfego próprio do sistema e não segue necessariamente a mesma decisão que um fluxo de cliente processado por uma regra de firewall, regra NAT ou rota SD-WAN.
Suposições típicas erradas:
- Múltiplos gateways WAN: O download da firewall pode passar por um gateway diferente do tráfego do cliente afetado
- Roteamento SD-WAN para clientes: Regras SD-WAN de cliente não provam automaticamente o caminho para o tráfego próprio da firewall
- Failover ou WAN de backup ativo: O teste pode estar medindo o caminho alternativo
- Roteamento baseado em políticas ou NAT especial: Um caminho de cliente pode ser tratado de forma diferente do download local da firewall
Em tais configurações, o resultado deve sempre ser documentado com horário, link WAN ativo e gateway observado. Se o tráfego próprio do sistema, pacotes de resposta ou decisões SD-WAN forem incertos, consulte Compreender o Roteamento SD-WAN, Pacote de Resposta e Tráfego do Sistema no Sophos Firewall.
Pré-requisitos
Antes do teste, os seguintes pontos devem ser atendidos:
- O acesso SSH ou Advanced Shell está conscientemente permitido, de preferência apenas a partir de uma rede administrativa confiável.
- A firewall tem acesso à internet e o DNS está funcionando.
- Existe uma janela de manutenção ou pelo menos um momento não crítico.
- Está claro por qual interface WAN a firewall executará o download.
- Há espaço de armazenamento suficiente para o arquivo de teste.
- O arquivo de teste será excluído após o teste.
Para acesso SSH seguro, consulte Conectar ao Sophos Firewall via SSH. No SFOS, o SSH é permitido em Administration > Device access por meio de Local service ACL ou, de forma mais precisa, por uma Local service ACL exception rule. O SSH não deve ser permitido de forma ampla a partir de zonas WAN ou Wi-Fi e, após tarefas de solução de problemas, deve ser novamente limitado ao mínimo necessário. O Sophos Firewall encerra sessões SSH inativas após 15 minutos.
⚠️ Um teste de download gera tráfego real e pode saturar a conexão temporariamente. Em firewalls produtivas, esses testes não devem ser realizados durante horários críticos de trabalho ou em paralelo a janelas de backup, VoIP ou manutenção.
Verificar DNS e routing antes do download
Antes de baixar um arquivo de teste grande, convém verificar rapidamente se a resolução de nomes e a acessibilidade funcionam em princípio. Caso contrário, problemas de DNS, routing ou provedor podem ser facilmente confundidos com um resultado de speedtest.
No menu principal da CLI, primeiro abra 4 Device Console e execute verificações simples:
dnslookup www.avanet.io
ping www.avanet.io
traceroute www.avanet.io
dnslookup verifica a resolução de nomes, ping fornece um teste rápido de acessibilidade e traceroute mostra o caminho aproximado até o destino. No Device Console, a Sophos suporta parâmetros adicionais para ping, como interface ou sourceip. Isso é útil com vários links WAN quando se deseja verificar uma fonte ou interface específica.
Se o DNS já falhar, o teste curl seguinte não é significativo. Primeiro verifique DNS, default route, gateway WAN, decisão SD-WAN ou disponibilidade do provedor.
Realizar o teste de velocidade via SSH
Faça login no Sophos Firewall via SSH como admin. No menu principal da CLI, selecione 5 Device Management e depois abra 3 Advanced Shell. Advanced Shell é um shell Linux com acesso profundo a componentes do sistema. Neste artigo, ele é usado apenas para baixar um arquivo para /tmp e excluí-lo novamente depois.
Em seguida, baixe o arquivo de teste em um diretório temporário para que ele não fique acidentalmente em um diretório de trabalho inadequado.
cd /tmp
curl -L -o 1GB.bin https://www.avanet.io/1GB.bin
O servidor de teste está localizado na Suíça e é destinado a uma medição grosseira da conexão. Para testes menores, pode-se usar 100MB.bin em vez de 1GB.bin:
cd /tmp
curl -L -o 100MB.bin https://www.avanet.io/100MB.bin
Se o DNS não estiver funcionando, o teste falhará já na resolução de nomes. Nesse caso, não se deve analisar a velocidade da conexão, mas primeiro verificar DNS, roteamento e disponibilidade WAN.
Em firewalls com múltiplos links WAN, o teste não deve ser considerado isoladamente. Paralelamente, deve-se verificar no WebAdmin qual link WAN está ativo e se há um failover, uma alteração SD-WAN ou uma interrupção do provedor.
Excluir o arquivo de teste
Após o teste, o arquivo deve ser removido:
rm /tmp/1GB.bin
Em um teste com o arquivo menor:
rm /tmp/100MB.bin
Se o teste foi interrompido, ainda assim verifique se há um arquivo parcialmente baixado:
ls -lh /tmp/*GB.bin
Arquivos de teste grandes não devem permanecer na firewall. Especialmente em appliances pequenas ou partições já cheias, o consumo desnecessário de espaço pode levar a problemas difíceis de diagnosticar mais tarde.
Avaliar o teste de velocidade
Durante e após o download, curl mostra, entre outras coisas, a taxa de download média. No exemplo, o valor é de cerca de 107 MB/s.

Importante é a unidade:
MB/ssignifica Megabytes por segundo.Mbit/souMbpssignifica Megabits por segundo.- 1 Byte equivale a 8 Bits.
Como conversão aproximada, temos:
MB/s x 8 = Mbit/s
107 MB/s correspondem, portanto, a aproximadamente 856 Mbit/s. Overhead, comportamento TCP, contraparte, roteamento e carga podem influenciar o valor. Portanto, não se deve usar uma única medição como prova definitiva.

É sensato realizar vários testes em diferentes horários do dia. Se os valores variarem muito, deve-se verificar o provedor, link WAN, roteamento SD-WAN, erros de interface e carga.
Para suporte ou documentação interna, não se deve apenas anotar o número. Um conjunto de dados de medição curto ajuda significativamente mais tarde:
- Horário:
2026-06-21 10:15 - Firewall e Firmware:
XGS 2100, SFOS 22.0 MR1 - Arquivo de teste:
1GB.bin - Taxa medida:
107 MB/s, aproximadamente856 Mbit/s - Link WAN ativo:
WAN1 Fiber - Observações: backup paralelo, failover, alta CPU, Packet Capture ativo
Ao comparar várias medições, o arquivo de teste, destino, horário e caminho WAN devem permanecer o mais constantes possível. Caso contrário, compara-se rapidamente o horário do dia, caminho do provedor ou contraparte em vez do desempenho real da firewall.
Comparar com testes de cliente
O próximo passo é a comparação com um cliente atrás da firewall. Isso ajuda a delimitar onde a performance está sendo perdida.
- Download direto na firewall é rápido: A conexão WAN da firewall provavelmente não é o principal gargalo
- Download direto na firewall é lento: Verificar provedor, link WAN, roteamento, DNS ou uplink da firewall
- Firewall rápida, cliente lento: Verificar cliente, WLAN, switch, regra de firewall, NAT, política de segurança ou Inspeção TLS
- Apenas aplicações específicas são lentas: Verificar filtro web, Controle de Aplicações, DNS, proxy ou servidor de destino
- Apenas VPN é lenta: Verificar protocolo VPN, MTU/MSS, roteamento, regras de firewall e rede do cliente
Para testes de percurso direcionados, iPerf é frequentemente melhor do que um download público. Com iPerf, pode-se definir onde o servidor e o cliente estão, se TCP ou UDP será testado e qual largura de banda é esperada.
Interpretações errôneas típicas
Teste de velocidade da firewall é rápido, mas usuários relatam internet lenta
Nesse caso, a conexão WAN não é automaticamente inocente, mas o foco muda. Deve-se verificar a rede do cliente, WLAN, porta do switch, DNS, regra de firewall, NAT, IPS, Proteção Web, Controle de Aplicações e Inspeção TLS. Especialmente a Inspeção TLS ou perfis de segurança agressivos podem tratar o tráfego do cliente de forma significativamente diferente de um download direto na firewall.
Teste de velocidade no navegador é lento, mas na firewall é rápido
Isso geralmente indica um problema atrás da firewall ou no caminho do cliente. No entanto, deve-se testar vários navegadores, um cliente com fio e um segundo destino antes de assumir uma causa fixa.
Teste de velocidade da firewall é lento
Nesse caso, primeiro verifique o status WAN, velocidade do link, duplex, roteamento SD-WAN, DNS, interrupção do provedor e carga. Em múltiplas conexões WAN, deve-se saber por qual gateway o download está passando.
Apenas o upload é lento
O download curl descrito aqui testa principalmente a direção de download. Para testes de upload ou bidirecionais, iPerf ou outra configuração de teste definida é mais adequada.
Solução de problemas após o teste
Se após o teste de velocidade ainda não estiver claro onde está o problema, deve-se continuar de forma estruturada:
- Verificar Device Console: usar
dnslookup,pingetracerouteantes de interpretar valores de download. - Verificar Log Viewer: Qual regra de firewall o tráfego do cliente está atingindo?
- Usar Policy Test: Verificar origem, destino, serviço e usuário esperados.
- Iniciar Packet Capture: Os pacotes, pacotes de resposta e NAT são visíveis?
- Verificar Status da Interface: Avaliar velocidade do link, erros, perdas e carga.
- Verificar Recursos de Segurança: IPS, filtro web, Inspeção TLS, Controle de Aplicações.
- Realizar contraprova com iPerf: Testar percurso, TCP/UDP e direção de forma direcionada.
Para análises de regras e fluxo de pacotes, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture. Para logs mais profundos, consulte Solução de Problemas no Sophos Firewall: Serviços e Logs.
Lista de verificação
Antes do teste
- Acesso SSH ou Advanced Shell conscientemente permitido.
- Device Access ou Local Service ACL exception rule para SSH claramente limitado.
- DNS e acessibilidade verificados pelo Device Console.
- Momento do teste escolhido.
- Caminho WAN conhecido.
- Espaço de armazenamento suficiente disponível.
- Objetivo da medição definido: teste WAN, comparação de cliente ou distinção de VPN.
Durante o teste
- Baixar arquivo de teste para
/tmp. - Anotar taxa de download e unidade.
- Em caso de erros, não confundir DNS, roteamento ou acessibilidade com velocidade.
- Não realizar grandes alterações paralelas em regras de firewall ou SD-WAN.
Após o teste
- Excluir arquivo de teste.
- Converter resultado para Mbit/s.
- Comparar com teste de cliente ou iPerf.
- Em caso de discrepâncias, usar Log Viewer, Policy Test e Packet Capture.
- Documentar resultado com horário, link WAN e objetivo do teste.
FAQ
Este teste pode medir a verdadeira velocidade da internet?
Deve-se testar 100 MB ou 1 GB?
iPerf é melhor que curl?
curl é rápido e fácil para um teste de download WAN. iPerf é melhor quando se deseja controlar direção, destino, TCP/UDP, duração e largura de banda.O teste curl é um speedtest oficial da Sophos?
curl. O teste é um método prático da Avanet para delimitar a conexão WAN e deve ser complementado com testes de cliente, logs ou iPerf.