Interpretar corretamente os dados de desempenho do Sophos Firewall
Os dados de desempenho de um Sophos Firewall são importantes para o dimensionamento, mas muitas vezes são mal interpretados. O maior throughput do firewall na ficha técnica não é automaticamente o desempenho que um local alcança com IPS, Web Protection, TLS Inspection, VPN, NAT, relatórios e muitos usuários simultâneos.
Para escolher um modelo, não se deve olhar apenas para um único número em Gbit/s. O que importa é quais funções de proteção estão ativas, que tipo de tráfego passa pelo firewall e quais reservas o ambiente precisa no dia a dia. O Guia de Dimensionamento do Sophos Firewall explica a escolha do modelo; este artigo explica como interpretar as métricas de desempenho subjacentes.

Regra rápida para dimensionamento
Na prática, geralmente o throughput puro do firewall não é o melhor ponto de partida.
- Apenas roteamento e regras de firewall simples: Considere o throughput do firewall e IMIX.
- Rede empresarial normal com IPS e Application Control: Dê mais peso aos valores de NGFW ou Threat Protection.
- Muitas conexões HTTPS com descriptografia: Planeje o desempenho de TLS Inspection e a reserva de CPU.
- Muitas conexões VPN: Considere separadamente os requisitos de IPsec ou Remote Access.
- Firewall virtual: Leve a sério o hypervisor, CPU, RAM, armazenamento e placas de rede virtuais, assim como a licença Sophos.
Se não estiver claro se o hardware ou a appliance virtual é mais adequado, o Sophos Firewall - Hardware ou Appliance Virtual? pode ajudar na decisão.
Por que os valores da ficha técnica não são suficientes
Os valores de desempenho são determinados sob condições de laboratório definidas. Isso é útil porque torna os modelos comparáveis. No entanto, um ambiente produtivo se comporta de maneira diferente:
- Os tamanhos dos pacotes são mistos.
- Os usuários geram sessões paralelas.
- Os perfis de segurança verificam o tráfego em diferentes profundidades.
- O tráfego HTTPS requer significativamente mais recursos com TLS Inspection.
- VPN, SD-WAN, NAT, logging e relatórios funcionam em paralelo.
- WLAN, switches, clientes, servidores e provedores influenciam o desempenho percebido.
Portanto, um valor da ficha técnica é um valor de comparação, não uma promessa para cada fluxo individual. Para um dimensionamento sólido, deve-se planejar com reservas e considerar as funções operacionais futuras antes da compra.
As métricas mais importantes
- Throughput do Firewall: Comparação em tráfego simples de Layer-3/Layer-4 Muitas vezes lido como throughput real da Internet com todas as funções de segurança
- Firewall IMIX: mistura mais realista de diferentes tamanhos de pacotes Ignorado, embora redes reais raramente tenham apenas pacotes grandes
- Throughput IPS: Tráfego com Intrusion Prevention Subestimado quando o IPS está ativo para muitas regras
- Throughput NGFW: Firewall com funções adicionais de próxima geração, como IPS e Application Control Confundido com throughput puro do firewall
- Threat Protection: valor de aproximação mais forte para funções de proteção ativadas Entendido como valor mínimo fixo em vez de métrica de comparação
- TLS Inspection: Descriptografia e verificação de HTTPS Esquecido no dimensionamento, embora possa ser muito intensivo em recursos
- IPsec VPN: Conexão de sites e túneis criptografados Planejado apenas com base na conexão de Internet, sem considerar o ponto remoto, tamanhos de pacotes e CPU
- Sessões e Conexões por segundo: Muitos usuários, tráfego web, publicação de servidores, conexões curtas Raramente verificado, mas pode ser relevante para muitos clientes ou serviços publicados
Throughput do Firewall e IMIX
O throughput puro do firewall descreve um processamento relativamente simples de tráfego. Este valor é útil quando um firewall principalmente roteia, faz NAT e processa regras clássicas de firewall.
IMIX está mais próximo da carga real da rede, pois mistura diferentes tamanhos de pacotes. Isso é importante porque pacotes pequenos sobrecarregam um firewall de maneira diferente de grandes downloads. Em redes empresariais, raramente há apenas um fluxo de dados grande e limpo. Acessos à web, DNS, VoIP, aplicações em nuvem, atualizações e transferências de arquivos geram padrões diferentes.
Para locais com tráfego normal de usuários, o IMIX é muitas vezes mais significativo do que o valor máximo mais bonito.
IPS, NGFW e Threat Protection
Assim que o IPS, Application Control, Web Protection ou verificação de malware estão ativos, o firewall precisa fazer mais do que apenas encaminhar pacotes. O firewall deve classificar o tráfego, reconhecer padrões, aplicar regras e, dependendo da política, verificar conteúdos.
Os termos são frequentemente confundidos:
- IPS avalia o tráfego com base em assinaturas e regras para padrões de ataque conhecidos.
- NGFW descreve o desempenho do firewall com funções adicionais, como IPS e Application Control.
- Threat Protection é um valor de aproximação mais forte para ambientes onde várias funções de proteção estão ativas simultaneamente.
Para uma empresa que realmente opera o Sophos Firewall como um Security Gateway, os valores de NGFW e Threat Protection são geralmente mais relevantes do que o throughput puro do firewall.
Planejar realisticamente a TLS Inspection
A TLS Inspection é um dos maiores fatores de desempenho. O firewall descriptografa conexões HTTPS, verifica o conteúdo e criptografa novamente a conexão. Isso gera carga na CPU e pode ser perceptível dependendo da Cipher Suite, servidor de destino, cliente, exceções e política.
Portanto, a TLS Inspection não deve ser ativada casualmente. É sensato um rollout gradual com grupo piloto, exceções, monitoramento e uma busca de falhas clara. O artigo Implementar corretamente a TLS Inspection no Sophos Firewall descreve o processo operacional.
O certificado CA também deve ser distribuído corretamente. Para clientes, Instalar o certificado CA do Sophos Firewall para escaneamento HTTPS é o ponto de partida adequado.
Considerar separadamente o desempenho do VPN
O desempenho do VPN não depende apenas do modelo de firewall. Também são relevantes o ponto remoto, conexão de Internet, latência, tamanhos de pacotes, MTU/MSS, parâmetros de criptografia, roteamento e túneis paralelos.
Para conexões site-to-site, deve-se estimar realisticamente os fluxos de dados planejados: transferências de arquivos, backups, ERP, VoIP, RDP, monitoramento e replicação se comportam de maneira diferente. Para acesso remoto, também entram em jogo o dispositivo cliente, WLAN, provedor e cliente VPN.
Se uma conexão VPN parecer lenta, não se deve apenas verificar o valor da ficha técnica. Um teste de rota definido com iPerf geralmente é mais significativo do que um teste de velocidade no navegador.
O que influencia o desempenho real
Na prática, vários fatores atuam simultaneamente:
- perfis de segurança ativos por regra de firewall
- TLS Inspection e exceções
- Política de IPS e escopo de assinaturas
- Web Protection, Application Control e verificação de malware
- NAT, DNAT, publicação de servidores e WAF
- IPsec, SSL VPN, Sophos Connect e túneis site-to-site
- Logging, relatórios, Central Reporting e Syslog
- Muitas sessões pequenas em vez de poucos downloads grandes
- Aceleração do firewall, FastPath, aceleração IPsec e tráfego que não pode ser offloaded
- Operação HA, versão do firmware e hotfixes
- Recursos virtuais em appliances de software ou em nuvem
Portanto, o desempenho deve sempre ser verificado no contexto da política específica. Uma regra de firewall sem perfis de segurança se comporta de maneira diferente de uma regra com IPS, filtro web, Application Control e TLS Inspection.
Entender corretamente FastPath e Offloading
Os firewalls modernos da Sophos não processam todos os fluxos de dados da mesma forma. Dependendo da appliance, firmware, regra, perfil de segurança e tipo de tráfego, o tráfego pode ser parcialmente acelerado ou verificado em um caminho de processamento mais lento. Termos importantes para isso são FastPath, aceleração do firewall, aceleração PKI e aceleração IPsec.
Para o dimensionamento, isto é importante porque um teste rápido não prova que cada fluxo produtivo use o mesmo caminho. Muitos appliances XGS usam um Xstream Flow Processor dedicado para FastPath. Alguns modelos desktop mais recentes, como XGS 88/88w, 108/108w, 118/118w e 128/128w, usam Virtual FastPath no kernel x86. Esses modelos podem acelerar o processamento de firewall e IPsec, mas não oferecem PKI Acceleration dedicada para processamento de certificados TLS. Appliances virtuais e de software dependem ainda mais do ambiente x86 fornecido. Portanto, offloading nunca deve ser entendido como garantia geral para todo modelo e todo desenho.
- SSL VPN
- WAF e tráfego de proxy
- QoS e DoS
- Wireless, RED, LAG e PPPoE
- Tráfego IP fragmentado
- Certos cenários de bridge, HA ou virtualização
Em HA é preciso observar com atenção especial. Active-Active HA não suporta Firewall Acceleration. Em Active-Passive HA, Firewall e IPsec Acceleration são usadas apenas pelo nó primário. O dimensionamento para HA não deve simplesmente extrapolar valores de laboratório standalone para ambos os nós.
A busca de falhas também pode influenciar os valores de medição. Quando o Packet Capture ou iftop está em execução, o tráfego pode ser processado de maneira diferente do que em operação normal, dependendo da situação. Portanto, as medições de desempenho e os resultados do Packet Capture devem sempre ser documentados com o momento, método de teste, versão do firmware, tipo de interface e política ativa.
A aceleração IPsec é um caso especial. Alterações nela podem reiniciar túneis e requerem uma janela de manutenção. Em um ambiente produtivo, essas configurações não devem ser alteradas como um teste rápido, mas primeiro verificadas com Log Viewer, Packet Capture, IPsec Troubleshooting e um caso de teste claro para ver se a suspeita realmente se aplica.
Verificar o desempenho em operação
Os valores da ficha técnica ajudam antes da compra. Em operação, são necessárias outras ferramentas. É importante separar os conceitos: o Control Center não mostra desempenho de ficha técnica, mas indicadores operacionais atuais. O bloco Performance baseia-se no load average sobre os núcleos de CPU. Valores acima do número de núcleos disponíveis significam que há mais trabalho pendente do que o sistema consegue processar nesse momento.
Também são relevantes CPU, memória, largura de banda, sessões, Decryption Capacity e Decrypt Sessions. Especialmente com TLS Inspection, Decryption Capacity é útil porque mostra o quanto a descriptografia SSL/TLS atual usa a capacidade de descriptografia disponível. Os detalhes de decryption não são atualizados como medição ao vivo a cada segundo, mas normalmente a cada cinco minutos. Esses valores devem sempre ser lidos junto com política, regra, perfil de segurança, horário e tipo de tráfego.
Procedimento prático:
- Verificar o Control Center: Observar CPU, RAM, utilização da interface e alertas.
- Abrir o Log Viewer: A regra de firewall esperada está sendo aplicada e o logging está ativado?
- Controlar a política e os perfis de segurança: Quais funções afetam o tráfego em questão?
- Usar o Packet Capture: É possível ver pacotes, pacotes de resposta, NAT e drops?
- Realizar um teste de rota: Com iPerf ou um download definido, verificar qual caminho realmente está lento.
- Anotar o contexto de offloading: Tipo de interface, modo HA, tipo de VPN, PPPoE, WAF, SSL VPN ou Packet Capture podem influenciar a medição.
- Anotar o momento: Picos de carga, backups, atualizações ou relatórios podem distorcer os resultados.
Para uma rápida delimitação da conexão WAN, o Teste de velocidade da Internet do Sophos Firewall via SSH é útil. Para testes de ponta a ponta entre dois sistemas, Testar o desempenho do Sophos Firewall com iPerf é mais adequado. Se uma regra não estiver sendo aplicada como esperado, Testar regras do Sophos Firewall de forma direcionada é apropriado.
Erros típicos de dimensionamento
- Apenas o maior throughput do firewall é comparado.
- A TLS Inspection é planejada, mas não incluída na reserva de desempenho.
- VPN e Remote Access são avaliados com base no número de usuários em vez do uso real.
- A conexão de Internet é considerada, mas o tráfego interno Leste-Oeste não.
- Firewalls virtuais são operados em hosts sobrecarregados.
- Relatórios, logging e conexão Central são considerados apenas posteriormente.
- Crescimento, novos locais, VLANs adicionais ou publicação de servidores não são incluídos no planejamento.
- Não é feita distinção entre valor de laboratório, valor real e experiência do usuário.
Lista de verificação prática para dimensionamento
Antes de escolher um modelo, estes pontos devem ser esclarecidos:
- Largura de banda da Internet hoje e planejada para os próximos anos.
- Número de usuários, dispositivos, servidores e locais.
- Proporção de tráfego web, aplicações em nuvem, VoIP, backups e transferências de arquivos.
- Funções de segurança planejadas por grupo de tráfego.
- Escopo da TLS Inspection e exceções necessárias.
- Número e uso de conexões IPsec, SSL VPN e Sophos Connect.
- Necessidade de WAF, Mail Protection, RED, WLAN ou Central Reporting.
- Reservas esperadas para atualizações, crescimento e picos de carga.
- Modelo operacional: Hardware XGS, appliance virtual, nuvem ou cluster HA.