Saltar para o conteudo
Avanet

Sophos Firewall - hardware ou appliance virtual?

Sophos Firewall

Atualização: As informações neste artigo do blog já não estão totalmente atualizadas. O hardware UTM já não existe e, em qualquer caso, recomendaríamos a nova XG Firewall.

Toda a gente deve ter uma firewall em uso. Seja a versão Home gratuita para proteger a rede doméstica, seja a versão Business para a empresa: existem várias formas de a operar. Por um lado, há as caixas UTM e SG, appliances virtuais, cloud images e a variante de software para hardware próprio. Neste artigo abordo brevemente três possibilidades. Depois deverá saber que variante de disponibilização é a correta para si.

Designações de produto

A Sophos, ou anteriormente a Astaro, tem alguma dificuldade com as designações de produto, e parece que nem ela própria está ainda totalmente segura sobre o caminho.

Antigamente, os equipamentos chamavam-se “Astaro Security Gateway” (ASG), depois da aquisição pela Sophos passaram a “Sophos UTM” e atualmente “Sophos Security Gateway” (SG).

Também nos módulos, como “Web Security” ou “Web Protection”, a diferença é apenas o nome. Quer a caixa diga Astaro, Sophos, UTM ou SG, o sistema é sempre o mesmo.

Appliance de hardware

A variante hardware da Sophos está disponível como pequena caixa ou como solução rack 19". Os equipamentos diferem em desempenho e são adequados desde pequenas empresas com um colaborador até grandes empresas com 5000 colaboradores.

Atualmente (estado janeiro de 2015) existem 19 caixas diferentes da Sophos. Destas, 7 são UTMs e 14 pertencem à série SG. Na minha opinião, comprar uma UTM nova já não faz sentido. As SG têm o mesmo preço, mas oferecem mais performance. As UTMs permanecem por enquanto na nossa loja para que clientes possam adquirir licenças ou substituir uma UTM defeituosa num cluster.

Restam, portanto, 14 modelos Sophos SG diferentes. Para escolher um modelo, é necessário responder a duas perguntas:

  1. Quantos utilizadores ou dispositivos estão atrás da firewall?
  2. Que módulos pretendo licenciar?

Incluir também as seguintes possibilidades:

  • Sophos RED, que liga localizações adicionais via VPN.
  • Sophos Wireless Access Points, que trazem ainda mais utilizadores para a rede.

Com base nestas informações, a escala seguinte ajuda relativamente bem a escolher hardware.

Tabela Sophos Sizing Guide

Em caso de dúvida, prefira um número acima. Todos os anos surgem novas funções que precisam de mais recursos. As SG105 a SG135 ainda existem como modelo (w), com módulo WLAN integrado. Na maioria dos casos, porém, a firewall não fica suficientemente central para que a receção seja depois boa.

Appliance virtual

A Sophos também existe como variante virtual. Se já tiver um ambiente virtual em funcionamento, não precisa de investir mais em hardware. O sistema pode ser instalado num VMware vSphere Hypervisor, Microsoft Hyper-V, Citrix XEN ou num ambiente KVM. Uma ISO pode ser descarregada gratuitamente dos servidores FTP da Sophos e oferece um período de teste de 30 dias. A Amazon Web Services também disponibiliza uma EC2 image com a qual pode começar diretamente.

Ao contrário da caixa hardware, numa solução virtual pode regular você mesmo o desempenho. Por esse motivo, a Sophos também tem aqui outro modelo de licenciamento.

Cada endereço IP tem de ser licenciado. Isto inclui também cada cliente WLAN ou impressora de rede. Em alguns casos, a variante hardware acaba por ser bastante mais barata. Um escritório com 3 colaboradores chega rapidamente a mais de 10 dispositivos com smartphones e tablets. O pacote imediatamente superior é de 25 endereços IP, seguido de 50.

Hardware próprio

A Sophos Firewall também pode ser instalada em hardware próprio. No entanto, é necessário garantir que o hardware cumpre os requisitos mínimos do sistema Sophos.

A Sophos UTM reúne todas as aplicações de segurança num único sistema operativo. Todos os componentes estão reunidos numa única software image e podem ser instalados facilmente no hardware à sua escolha. O pacote de software self-booting pode ser instalado em poucos minutos num computador dedicado compatível com Intel. Uma mudança posterior para hardware Sophos é possível através de backup/restore da configuração. Os valores de desempenho dependem do hardware selecionado. Informações sobre sistemas de servidor e componentes recomendados e testados encontram-se na lista de compatibilidade de hardware. O modelo de licenciamento é então, tal como na appliance virtual, baseado em IP.

Teremos todo o gosto em ajudar e partilhar a nossa experiência.