Saltar para o conteudo
Avanet

Guia de Dimensionamento do Sophos Firewall: Dimensionar corretamente o XGS

O dimensionamento do Sophos Firewall não se resume apenas ao número de usuários. Uma firewall pode ser carregada de forma muito diferente com o mesmo número de usuários: pela largura de banda da Internet, Inspeção TLS, IPS, VPN, Proteção Web, WAF, relatórios, HA, muitos VLANs ou muitas conexões simultâneas.

Um bom dimensionamento garante que o Sophos Firewall não funcione apenas no primeiro dia, mas também com funções de proteção ativadas, crescimento realista e operação limpa, ainda com reserva. Para decidir entre hardware e appliance virtual, consulte Sophos Firewall - Hardware ou appliance virtual?.

Objetivo do Dimensionamento

O objetivo não é encontrar o menor modelo que ainda seja suficiente em condições ideais de laboratório. Na prática, a firewall deve permanecer estável mesmo quando várias coisas acontecem ao mesmo tempo:

  • muitos usuários trabalham em paralelo,
  • Inspeção TLS ou IPS está ativa,
  • VPNs de Site-to-Site ou Acesso Remoto estão em execução,
  • relatórios e registros geram carga adicional,
  • backups, atualizações ou diagnósticos de suporte estão em execução em segundo plano,
  • um local está crescendo ou obtendo mais largura de banda.

Portanto, deve-se sempre planejar com reservas. Uma firewall dimensionada de forma apertada gera posteriormente esforço de suporte: conexões lentas à Internet, alta carga de CPU, perda de pacotes, WebAdmin lento, conexões VPN instáveis ou falta de reservas para novas funções de segurança.

Os Fatores de Dimensionamento Mais Importantes

Largura de Banda da Internet e Perfil de Tráfego

A linha de Internet contratada é um bom ponto de partida, mas não é toda a verdade. É importante saber quanto dela é realmente utilizada simultaneamente e qual tráfego passa pela firewall.

Verifique:

  • linha simétrica ou assimétrica,
  • pico de tráfego durante o horário comercial,
  • muitas pequenas sessões web ou poucos downloads grandes,
  • backups na nuvem, Microsoft 365, VoIP, reuniões online,
  • interconexão de locais via VPN ou SD-WAN,
  • tráfego interno entre VLANs, que também passa pela firewall.

Se a firewall também funcionar como dispositivo de roteamento e segmentação interna, deve-se planejar não apenas o throughput WAN, mas também o tráfego Leste-Oeste. As bases sobre zonas, VLANs e design de interfaces estão em Configurar Zonas e Interfaces do Sophos Firewall.

Funções de Proteção

Quanto mais módulos de segurança estiverem ativos, mais forte a appliance deve ser dimensionada. Particularmente relevantes são:

  • IPS,
  • Proteção Web,
  • Controle de Aplicações,
  • Inspeção SSL/TLS,
  • Proteção contra Ameaças de Dia Zero,
  • WAF,
  • Proteção de Email,
  • Feeds de Ameaças,
  • Relatórios e Visualizador de Logs.

Os valores das fichas técnicas só são comparáveis quando está claro qual função foi medida. O throughput da firewall sem inspeção de segurança não é o mesmo que o throughput de proteção contra ameaças ou inspeção TLS. Para ambientes produtivos, não se deve apenas olhar para o maior valor de marketing, mas para a métrica que se adapta ao próprio uso.

Na Inspeção TLS, é importante saber se a organização pode realizar a implementação de forma técnica e organizacionalmente limpa. O procedimento prático está descrito em Implementar Inspeção TLS do Sophos Firewall.

Usuários, Dispositivos e Sessões

O número de usuários continua importante, mas não é suficiente. Um escritório com 50 usuários, poucos serviços na nuvem e sem Inspeção TLS carrega a firewall de forma diferente de um local com 50 usuários, servidores de terminal, muitas aplicações SaaS, VoIP, rede de convidados, IoT, acesso remoto e várias zonas de servidores.

Além disso, contam:

  • Número de dispositivos por usuário,
  • Redes de convidados e IoT,
  • Servidores, impressoras, câmeras e dispositivos especiais,
  • Sessões simultâneas,
  • Muitas pequenas consultas DNS ou web,
  • Usuários de acesso remoto,
  • Sistemas automatizados como backup, monitoramento ou EDR.

Em ambientes mistos com muitos VLANs, deve-se planejar mais com base nos fluxos de tráfego do que apenas no número de cabeças.

VPN, SD-WAN e Interconexão de Locais

VPN pode sobrecarregar uma firewall, especialmente quando muitos túneis, alta largura de banda ou muitos usuários de acesso remoto se juntam.

Planeje:

  • IPsec Site-to-Site,
  • VPN baseado em rota com interfaces XFRM,
  • Acesso remoto via Sophos Connect ou SSL VPN,
  • Rotas de Política SD-WAN,
  • Várias linhas WAN,
  • Cenários de failover,
  • Questões de MTU/MSS em rotas VPN.

Na performance de VPN, não se deve apenas considerar o status do túnel. O decisivo é se o tráfego produtivo com regras ativas, NAT, roteamento e inspeção de segurança estável. Para rotas de roteamento e VPN, Rota IPsec no Sophos Firewall e Roteamento SD-WAN para Pacotes de Resposta e Tráfego do Sistema são aprofundamentos adequados.

Registro, Relatórios e Armazenamento

O registro ajuda na operação, mas também gera carga e necessidade de armazenamento. Quem utiliza muitas regras de firewall com registro, filtro web, IPS, Controle de Aplicações e Central Firewall Reporting deve esclarecer os requisitos de relatórios cedo.

Verifique:

  • Quais regras devem ter registro ativo?
  • Por quanto tempo os logs devem estar disponíveis?
  • O Sophos Central Firewall Reporting é utilizado?
  • Existe Syslog ou SIEM?
  • Relatórios precisam ser gerados regularmente?
  • Os dados de log são necessários para solução de problemas ou conformidade?

Para análise mais longa, a firewall sozinha muitas vezes não é o local certo. Então, deve-se planejar Sophos Central Firewall Reporting ou uma exportação Syslog/SIEM.

Hardware, Virtual ou Nuvem?

Appliance de Hardware XGS

Um appliance de hardware XGS é geralmente a variante mais planejável para locais clássicos. Hardware, portas, suporte, ciclo de vida e desempenho são definidos como um pacote completo.

Vantagens:

  • Hardware de firewall dedicado,
  • Opções claras de portas e expansão,
  • Fácil processamento de suporte e RMA,
  • Desempenho planejável,
  • Menos dependência de um hipervisor.

Hardware é particularmente útil quando a firewall é o ponto central de segurança e roteamento no local.

Firewall Virtual Sophos

Um firewall virtual se adapta bem a data centers, ambientes de nuvem ou segmentos de rede virtualizados. O desempenho depende fortemente de CPU, RAM, armazenamento, hipervisor, placas de rede virtuais e carga do host.

Importante:

  • Recursos de CPU não devem estar permanentemente sobrecarregados.
  • NICs virtuais e grupos de portas devem estar claramente separados.
  • A latência de armazenamento pode influenciar o registro e relatórios.
  • Backup e restauração devem se adequar à plataforma de virtualização.
  • O design de HA e failover deve ser planejado antecipadamente.

A licença e a decisão entre hardware e appliance virtual devem ser verificadas separadamente. Para isso, consulte Sophos Firewall - Hardware ou appliance virtual?.

Classificação das Appliances

As seguintes áreas ajudam na orientação geral. A seleção concreta deve ser verificada com largura de banda, funções, reserva e modelo operacional.

Appliances de Mesa Sophos - Pequenas Empresas

Appliances de mesa são adequadas para pequenos locais, filiais, escritórios e ambientes com espaço limitado. Aqui é particularmente importante saber se a appliance apenas fornece acesso à Internet e segurança básica ou se também deve suportar muitos VLANs, VPNs, Inspeção TLS e relatórios.

XGS 88
XGS 108
XGS 118
XGS 128
XGS 138

Appliances de Rack 1U Sophos - Empresas de Médio Porte

Appliances 1U são tipicamente relevantes para PMEs maiores, locais centrais e ambientes com maior necessidade de portas, mais throughput ou maior carga de segurança. Esses modelos são frequentemente a melhor escolha quando várias linhas WAN, muitos VLANs, vários túneis VPN ou altas demandas de registro se juntam.

XGS 2100
XGS 2300
XGS 3100
XGS 3300
XGS 4300
XGS 4500

Appliances de Rack 2U Sophos - Grandes Empresas

Appliances 2U pertencem a ambientes com largura de banda muito alta, muitas sessões simultâneas, vários módulos de segurança e altas exigências de disponibilidade. Aqui, o dimensionamento deve sempre ser feito com dados de tráfego concretos, suposições de crescimento e design de HA.

XGS 5500
XGS 6500
XGS 7500
XGS 8500

Reserva, HA e Crescimento

Uma firewall não deve operar permanentemente próxima ao limite. Reservas são importantes para:

  • Crescimento da linha de Internet,
  • Novos locais ou VLANs,
  • Ativação posterior de Inspeção TLS ou IPS,
  • Mais usuários de acesso remoto,
  • Requisitos adicionais de registro e relatórios,
  • Atualizações de firmware com novas funções,
  • Situações de falha e failover.

Em HA, deve-se planejar de forma particularmente cuidadosa. Em um design Active-Passive, um único nó deve ser capaz de suportar a carga produtiva sozinho. Active-Active não é um passe livre para dimensionamento apertado, pois nem toda carga é distribuída linearmente. Os pontos de arquitetura mais importantes estão em Entender as Variantes de Cluster HA do Sophos Firewall.

Como regra geral, em novos projetos, não se deve planejar uma firewall que já mostre uso muito alto de CPU, RAM ou sessões em operação normal. O artigo Interpretar corretamente as Métricas de Desempenho do Sophos Firewall ajuda na verificação operacional posterior.

Processo Prático de Dimensionamento

1. Capturar a Situação Inicial

Primeiro, descreve-se o ambiente:

  • Locais e linhas WAN,
  • Usuários e dispositivos,
  • VLANs e zonas internas,
  • Serviços de servidor e DMZ,
  • Requisitos de VPN e Acesso Remoto,
  • Módulos de segurança planejados ativamente,
  • Requisitos de registro e relatórios,
  • Requisitos de HA ou nuvem.

2. Marcar os Principais Fatores de Carga

Em seguida, marcam-se os pontos que podem elevar o modelo:

  • Inspeção TLS amplamente em uso,
  • Muitas conexões protegidas por IPS,
  • Alto throughput de VPN,
  • Muitas sessões simultâneas,
  • Muitas regras de firewall com registro,
  • WAF ou Proteção de Email,
  • Forte segmentação com tráfego interno pela firewall,
  • Crescimento nos próximos três a cinco anos.

3. Ler Corretamente os Valores da Ficha Técnica

Os valores da ficha técnica devem ser entendidos como valores de comparação, não como garantia para cada ambiente. O decisivo é qual medição se adapta ao uso planejado:

Métricas importantes:

  • Firewall Throughput: orientação geral para o débito simples de pacotes.
  • IPS Throughput: relevante para ambientes com Intrusion Prevention ativa.
  • Threat Protection: normalmente mais realista quando várias funções de proteção estão ativas em simultâneo.
  • TLS Inspection: importante para ambientes com tráfego HTTPS desencriptado.
  • IPsec VPN Throughput: relevante para interligação de locais e carga VPN.
  • Concurrent Connections: importante com muitos clientes, sessões web e serviços.

Se vários desses pontos forem relevantes ao mesmo tempo, não se deve considerar apenas uma única métrica.

4. Definir Reserva

Antes da escolha final do modelo, deve-se decidir conscientemente quanta reserva será planejada. Uma pequena reserva pode ser suficiente em locais muito simples. Em firewalls centrais, clusters HA, crescimento forte ou uso amplo de segurança, a reserva deve ser significativamente maior.

5. Validar Após a Implementação

O dimensionamento não termina com o pedido. Após a implementação, deve-se verificar se as suposições estão corretas:

  • Uso de CPU e RAM em horários de pico,
  • Números de sessões,
  • Throughput de VPN,
  • Tempo de resposta do WebAdmin,
  • Visualizador de Logs e relatórios,
  • Perda de pacotes ou retransmissões,
  • Uso de WAN,
  • Desempenho após ativação de funções de proteção adicionais.

Para medições reproduzíveis, Usar o Teste de Velocidade iPerf do Sophos Firewall para Solução de Problemas pode ajudar. Para testes simples de velocidade WAN, Interpretar corretamente o Teste de Velocidade da Internet do Sophos Firewall é a introdução adequada.

Erros Comuns de Dimensionamento

  • Dimensionar apenas pelo número de usuários.
  • Confundir valores de ficha técnica para throughput de firewall com carga de proteção contra ameaças.
  • Ativar Inspeção TLS posteriormente sem ter planejado reserva.
  • Planejar HA, mas não verificar se um nó sozinho tem desempenho suficiente.
  • Ignorar tráfego entre VLANs.
  • Subestimar registro e relatórios.
  • Operar firewalls virtuais em hosts sobrecarregados.
  • Não considerar o crescimento da linha de Internet.
  • Planejar Acesso Remoto e VPN Site-to-Site apenas pelo número de túneis em vez de throughput.

Lista de Verificação

  • Largura de banda da Internet e uso real de pico conhecidos.
  • Usuários, dispositivos, VLANs e zonas de servidores capturados.
  • Módulos de segurança planejados documentados.
  • Inspeção TLS, IPS, VPN, WAF, Proteção de Email e relatórios avaliados separadamente.
  • Tráfego interno pela firewall considerado.
  • Design de HA e carga de failover verificados.
  • Decisão consciente entre hardware ou appliance virtual.
  • Reserva de crescimento planejada para vários anos.
  • Após a implementação, métricas de desempenho verificadas.

FAQ

O número de usuários é suficiente para o dimensionamento do Sophos Firewall?

Não. O número de usuários é apenas um ponto de partida. Largura de banda, inspeção de segurança, VPN, sessões, VLANs, registro e crescimento são frequentemente mais importantes.

Qual Sophos Firewall é adequado para uma linha de Internet de 1 Gbit/s?

Depende se a linha será apenas roteada ou se IPS, Proteção Web, Inspeção TLS, VPN e relatórios estarão ativos. Para uma seleção séria, é necessário conhecer as funções de proteção planejadas e o tráfego simultâneo.

Por que se deve planejar reserva?

Porque firewalls crescem em operação: mais largura de banda, mais tráfego na nuvem, mais VPN, novas funções de proteção e mais registro. Sem reserva, a firewall se tornará um gargalo mais tarde.

Uma firewall virtual Sophos é tão rápida quanto uma appliance de hardware?

Não automaticamente. Uma firewall virtual pode funcionar muito bem, mas depende fortemente de CPU, RAM, armazenamento, hipervisor, placas de rede virtuais e carga do host. Appliances de hardware são mais planejáveis como um pacote completo.

Deve-se verificar novamente o dimensionamento após a implementação?

Sim. Após o go-live, deve-se verificar CPU, RAM, sessões, throughput de VPN, Visualizador de Logs, relatórios e uso de WAN em horários de pico. Assim, reconhece-se cedo se as suposições eram realistas.