Compreender corretamente os dados de desempenho da Sophos Firewall
Na nossa página de produto, na tabela comparativa de firewalls ou no datasheet da Sophos Firewall, pode encontrar dados de desempenho da firewall. Para escolher o modelo certo, é importante compreender corretamente os dados de desempenho da Sophos Firewall.
O nosso Sophos Firewall Sizing Guide explica a que deve prestar atenção ao escolher uma firewall. Para selecionar o modelo certo, também é importante compreender os dados de desempenho da Sophos Firewall.
O desempenho da sua Sophos Firewall é um fator decisivo para a segurança e eficiência da sua rede. Neste artigo abordamos os diferentes aspetos da análise de performance de Sophos Firewalls e explicamos como interpretar corretamente os dados de desempenho.
Metodologia de teste de performance
Como são obtidos os dados de performance da Sophos?
O desempenho de uma firewall é normalmente medido em condições de teste ideais. Para isso, a Sophos usa a ferramenta de teste de performance líder no setor, Keysight-Ixia Breaking Point.
O Keysight Ixia BreakingPoint é uma ferramenta reconhecida de teste de performance, usada para avaliar a segurança, fiabilidade e performance de redes e equipamentos de rede. É frequentemente utilizada para testar a capacidade máxima, o desempenho e a segurança de equipamentos de rede, como firewalls, Intrusion Prevention Systems (IPS) e routers.
O BreakingPoint simula tráfego de dados realista e diferentes tipos de ameaças, incluindo malware, ataques DDoS e outros riscos de segurança. Consegue gerar uma grande quantidade de tráfego para testar como os equipamentos de rede reagem sob carga elevada e em situações de stress. Também permite testar como os equipamentos reagem a diferentes riscos de segurança e avaliar a eficácia dos mecanismos de proteção.
Numa firewall como a Sophos Firewall, o BreakingPoint pode ser usado para determinar como a firewall se comporta em diferentes condições. Por exemplo, pode testar a rapidez com que a firewall processa dados (throughput), como reage a determinados tipos de ameaças (testes de segurança) e como se comporta sob carga elevada (testes de desempenho).
É importante notar que os resultados dos testes BreakingPoint são obtidos em condições de teste ideais e que o desempenho real pode variar num ambiente de rede real devido a vários fatores.
Também é importante ter presente que o desempenho real da sua firewall pode ser influenciado por muitos fatores. Estes incluem o número de utilizadores ligados em simultâneo, o tipo de tráfego e os serviços de segurança ativados na firewall. Para garantir um desempenho ideal, é por isso importante verificar regularmente a performance da firewall e ajustá-la quando necessário.
Firewall
O desempenho da firewall é medido com base no throughput do tráfego HTTP. Este throughput indica a quantidade de dados que a firewall consegue processar num determinado período de tempo e é normalmente apresentado em megabits por segundo (Mbps) ou gigabits por segundo (Gbps). As medições baseiam-se num tamanho de resposta de 512 KB.
Para colocar isto num contexto empresarial, imagine que tem na sua empresa um servidor de ficheiros ao qual muitos colaboradores precisam de aceder. Cada acesso a ficheiros, descarregamento ou upload de documentos gera tráfego que passa pela sua firewall.
Suponhamos que a sua firewall tem um throughput de 1 Gbps. Isto significa que consegue processar até 1 gigabit de dados por segundo. Se um colaborador aceder a um ficheiro no servidor com 512 KB, a firewall consegue processar esse pacote muito rapidamente, porque 512 KB fica muito abaixo da capacidade máxima de 1 Gbps. Assim, o colaborador consegue aceder aos ficheiros necessários de forma rápida e eficiente, sem atrasos relevantes.
Outro cenário poderia ser o backup noturno dos dados da empresa. Quando grandes volumes de dados passam pela firewall, a capacidade da firewall para lidar com um throughput elevado torna-se extremamente importante para garantir que o backup é realizado de forma eficiente e num tempo adequado.
Firewall-IMIX
IMIX significa “Internet Mix” e refere-se a um tipo de tráfego composto por uma mistura de diferentes tamanhos de pacote. No contexto de firewalls e redes, é um conceito útil para avaliar o desempenho de um sistema, porque oferece uma representação mais realista do tráfego típico da Internet do que testes que usam apenas um tamanho de pacote.
Na medição de desempenho da Sophos Firewall com IMIX, o throughput UDP é medido com uma combinação de pacotes de 66, 570 e 1518 bytes. Isto significa que a firewall processa pacotes destes três tamanhos diferentes, que em conjunto representam um tráfego de Internet mais realista.
Para ilustrar isto, imagine que os seus colaboradores usam vários serviços através da rede. Alguns enviam ou recebem emails (pacotes mais pequenos), outros acedem a ficheiros no servidor da empresa (pacotes médios) e outros ainda fazem upload ou descarregam ficheiros ou documentos maiores (pacotes maiores). Estas diferentes ações geram pacotes de diferentes tamanhos, que têm todos de ser processados pela firewall.
Ao usar um perfil de tráfego IMIX, a Sophos Firewall consegue simular estes tamanhos de pacote mistos e medir a performance da firewall em condições mais realistas. Este tipo de medição dá-lhe uma imagem mais clara de como a sua firewall lida com o tráfego real e misto que terá de processar num ambiente empresarial.
IPS (Intrusion Prevention System)
Um Intrusion Prevention System (IPS) é um componente importante da segurança de rede, usado para identificar e bloquear ameaças conhecidas. Monitoriza o tráfego de rede em busca de anomalias ou assinaturas que possam indicar atividade maliciosa e toma medidas para a travar antes de causar danos.
O desempenho do IPS é medido com base no tráfego HTTP, usando um conjunto padrão de regras IPS e um tamanho de objeto de 512 KB. O conjunto de regras consiste, essencialmente, numa lista de critérios com que o IPS verifica o tráfego. Se o tráfego cumprir esses critérios, é classificado como potencialmente perigoso e tratado em conformidade.
Para colocar isto num contexto empresarial: um colaborador abre um email que contém um link malicioso. Quando clica no link, é enviado para o seu servidor um pacote de dados que pode conter código perigoso. Se corresponder aos critérios do conjunto de regras, é classificado como ameaça e bloqueado antes de poder danificar a sua rede.
A medição do desempenho IPS é, por isso, decisiva para perceber até que ponto a firewall consegue reconhecer e bloquear ameaças em tempo real. Uma performance IPS mais elevada significa que mais tráfego pode ser analisado em menos tempo, o que aumenta a segurança da rede.
IPsec-VPN
O desempenho de IPsec-VPN é medido com base no throughput HTTP, usando vários túneis e um tamanho de resposta HTTP de 512 KB. Um throughput mais elevado significa que mais dados podem ser transmitidos em menos tempo, resultando numa ligação VPN mais rápida e eficiente.
TLS Inspection
A função TLS Inspection na Sophos Firewall permite monitorizar e controlar tráfego encriptado. Permite à firewall inspecionar o tráfego cifrado para detetar e bloquear conteúdos potencialmente perigosos que, de outra forma, ficariam ocultos pela encriptação.
Como exemplo, imagine que um colaborador acede a um site encriptado. Embora a encriptação impeça normalmente que o conteúdo do site seja visto por terceiros, a TLS Inspection da Sophos Firewall permite verificar esse conteúdo para garantir que não existe malware ou outro conteúdo malicioso. Se a firewall detetar conteúdo perigoso, pode bloquear o acesso ao site para proteger a rede da empresa.
O desempenho da TLS Inspection é determinado medindo a performance com IPS em sessões HTTPS e com diferentes Cipher Suites.
Proteção contra ameaças
A proteção contra ameaças na Sophos Firewall é uma solução de segurança abrangente que combina várias tecnologias e funções para proteger a sua rede contra uma grande variedade de ameaças. Inclui funções como a própria firewall, o Intrusion Prevention System (IPS), o controlo de aplicações e a proteção contra malware.
Imagine que um colaborador tenta descarregar um ficheiro de um site classificado como potencialmente perigoso. A Sophos Firewall verificaria primeiro o acesso ao site (função de firewall), depois analisaria o conteúdo do ficheiro à procura de código malicioso conhecido (IPS e proteção contra malware) e, por fim, verificaria o tipo de ficheiro e a aplicação usada para o download (controlo de aplicações). Se uma ameaça fosse detetada em qualquer um destes passos, a Sophos Firewall bloquearia o download, protegendo assim a rede da empresa.
O desempenho da proteção contra ameaças é medido com a ativação de Firewall, IPS, Application Control e proteção contra malware. As medições são realizadas com um tamanho de resposta HTTP de 200 KB.
NGFW (Next-Generation Firewall)
Uma Next-Generation Firewall (NGFW) na Sophos Firewall é mais do que uma firewall tradicional. Inclui funções avançadas, como Intrusion Prevention Systems (IPS) e Application Control, para garantir um nível mais elevado de segurança de rede. Oferece controlo mais profundo e detalhado do tráfego de rede, permitindo uma defesa mais eficaz contra ameaças.
Exemplo: um colaborador tenta aceder a uma aplicação cloud que não está autorizada para uso na empresa, como um serviço pessoal de armazenamento na cloud. A NGFW na Sophos Firewall reconheceria esta tentativa de acesso (através do controlo de aplicações), verificaria o conteúdo do pedido (através do IPS) e bloquearia o acesso ao serviço. Estas funções adicionais permitem à Sophos Firewall ir além da simples monitorização de portas e protocolos, oferecendo uma compreensão e controlo mais profundos do tráfego de rede.
A performance da Next-Generation Firewall é medida com IPS e Application Control ativados em tráfego HTTP. Para isso, é usado um conjunto padrão de regras IPS e um tamanho de objeto de 512 KB.