Hoppa till innehållet
Avanet

Förstå prestandadata för Sophos Firewall korrekt

Sophos Firewall

På vår produktsida, i jämförelsetabellen för firewalls eller i Sophos Firewall-databladet hittar du prestandadata för firewallen. För att välja rätt modell är det viktigt att förstå prestandadata för Sophos Firewall korrekt.

Vår Sophos Firewall Sizing Guide förklarar vad du bör tänka på när du väljer firewall. För att välja rätt modell är det också viktigt att förstå prestandadata för Sophos Firewall.

Prestandan hos din Sophos Firewall är en avgörande faktor för säkerheten och effektiviteten i ditt nätverk. I den här artikeln går vi igenom olika aspekter av prestandaanalys för Sophos Firewalls och förklarar hur prestandadata ska tolkas korrekt.

Metodik för prestandatestning

Hur tas Sophos prestandadata fram?

Sophos Firewall XGS-serie tabell med prestandadata

Prestandan hos en firewall mäts normalt under ideala testförhållanden. Sophos använder det branschledande prestandatestverktyget Keysight-Ixia Breaking Point.

Keysights Ixia BreakingPoint är ett etablerat prestandatestverktyg som används för att bedöma säkerhet, tillförlitlighet och prestanda i nätverk och nätverksenheter. Det används ofta för att testa maximal kapacitet, prestanda och säkerhet hos nätverksenheter som firewalls, Intrusion Prevention Systems (IPS) och routrar.

BreakingPoint simulerar realistisk datatrafik och olika typer av hot, inklusive malware, DDoS-attacker och andra säkerhetsrisker. Det kan generera stora mängder trafik för att testa hur nätverksenheter reagerar under hög belastning och i stressituationer. Det gör det också möjligt att testa hur enheter reagerar på olika säkerhetsrisker och hur effektiva säkerhetsmekanismerna är.

För en firewall som Sophos Firewall kan BreakingPoint användas för att ta reda på hur firewallen fungerar under olika förhållanden. Det kan till exempel användas för att testa hur snabbt firewallen kan bearbeta data (throughput), hur den reagerar på vissa typer av hot (säkerhetstester) och hur den beter sig under hög belastning (prestandatester).

Det är viktigt att komma ihåg att resultaten från BreakingPoint-tester tas fram under ideala testförhållanden och att den faktiska prestandan i en verklig nätverksmiljö kan variera på grund av flera faktorer.

Det är också viktigt att komma ihåg att den faktiska prestandan hos din firewall kan påverkas av många faktorer. Hit hör antalet samtidiga användare, typen av datatrafik och de säkerhetstjänster som är aktiverade på din firewall. För att säkerställa optimal prestanda är det därför viktigt att regelbundet kontrollera och vid behov justera firewallens prestanda.

Firewall

Firewallens prestanda mäts utifrån throughput för HTTP-trafik. Denna throughput beskriver datamängden som firewallen kan bearbeta under en viss tid och anges vanligtvis i megabit per sekund (Mbps) eller gigabit per sekund (Gbps). Mätningarna baseras på en svarsstorlek på 512 KB.

För att sätta detta i ett affärssammanhang kan du föreställa dig att företaget har en filserver som många medarbetare behöver komma åt. Varje filåtkomst, nedladdning eller uppladdning av dokument genererar datatrafik som passerar genom din firewall.

Anta att din firewall har en throughput på 1 Gbps. Det betyder att den kan bearbeta upp till 1 gigabit data per sekund. När en medarbetare öppnar en fil på servern som är 512 KB stor kan firewallen bearbeta datapaketet mycket snabbt, eftersom 512 KB ligger långt under den maximala kapaciteten på 1 Gbps. Det säkerställer att medarbetaren snabbt och effektivt kan komma åt de filer som behövs utan märkbara fördröjningar.

Ett annat scenario kan vara nattlig backup av företagets data. När stora datamängder passerar genom din firewall blir firewallens förmåga att hantera hög throughput mycket viktig för att säkerställa att backupen genomförs effektivt och inom rimlig tid.

Firewall-IMIX

IMIX står för “Internet Mix” och avser en typ av datatrafik som innehåller en blandning av olika paketstorlekar. I samband med firewalls och nätverk är detta ett användbart koncept för att bedöma ett systems prestanda, eftersom det ger en mer realistisk bild av typisk internettrafik än tester som bara använder en enda paketstorlek.

Vid prestandamätning av Sophos Firewall med IMIX mäts UDP-throughput med en kombination av paketstorlekarna 66, 570 och 1518 byte. Det betyder att firewallen bearbetar datapaket av dessa tre olika storlekar, som tillsammans motsvarar en mer realistisk internettrafik.

För att illustrera detta kan du föreställa dig att medarbetarna använder olika tjänster via nätverket. Vissa skickar eller tar emot e-post (mindre datapaket), andra öppnar filer på företagets server (medelstora datapaket) och ytterligare andra laddar upp eller ned större filer eller dokument (större datapaket). Dessa olika aktiviteter skapar datapaket i olika storlek som alla måste bearbetas av firewallen.

Genom att använda en IMIX-trafikprofil kan Sophos Firewall simulera dessa blandade paketstorlekar och därmed mäta firewallens prestanda under mer realistiska förhållanden. Den här typen av mätning ger en tydligare bild av hur väl din firewall hanterar den faktiska, blandade datatrafik som den måste bearbeta i en verklig företagsmiljö.

IPS (Intrusion Prevention System)

Ett Intrusion Prevention System (IPS) är en viktig komponent i nätverkssäkerheten och används för att identifiera och blockera kända hot. Det övervakar nätverkstrafiken efter anomalier eller signaturer som kan tyda på skadlig aktivitet och vidtar åtgärder för att stoppa dem innan de kan orsaka skada.

IPS-prestandan mäts utifrån HTTP-trafik med ett standard-IPS-regelverk och en objektstorlek på 512 KB. Regelverket består i grunden av en lista med kriterier som IPS använder för att kontrollera datatrafiken. Om trafiken uppfyller dessa kriterier klassas den som potentiellt skadlig och hanteras därefter.

För att sätta detta i ett företagskontext: En medarbetare öppnar ett e-postmeddelande som innehåller en skadlig länk. När medarbetaren klickar på länken skickas ett datapaket till din server som kan innehålla skadlig kod. Om paketet matchar kriterierna i regelverket klassas det som ett hot och blockeras innan det kan skada nätverket.

Mätningen av IPS-prestanda är därför avgörande för att förstå hur väl din firewall kan upptäcka och blockera hot i realtid. Högre IPS-prestanda innebär att mer datatrafik kan skannas på kortare tid, vilket leder till högre nätverkssäkerhet.

IPsec-VPN

Prestandan för IPsec-VPN mäts utifrån HTTP-throughput, med flera tunnlar och en HTTP-svarsstorlek på 512 KB. Högre throughput innebär att mer data kan överföras på kortare tid, vilket ger en snabbare och effektivare VPN-anslutning.

TLS Inspection

TLS Inspection-funktionen på Sophos Firewall gör det möjligt att övervaka och kontrollera krypterad trafik. Den gör att firewallen kan titta in i den krypterade datatrafiken för att upptäcka och blockera potentiellt skadligt innehåll som annars skulle vara dolt av krypteringen.

Som exempel kan du tänka dig att en medarbetare öppnar en krypterad webbplats. Även om krypteringen normalt förhindrar att webbplatsens innehåll läses av utomstående gör TLS Inspection det möjligt för Sophos Firewall att kontrollera innehållet och säkerställa att ingen malware eller annat skadligt innehåll finns där. Om firewallen upptäcker skadligt innehåll kan den blockera åtkomsten till webbplatsen för att skydda företagets nätverk.

Prestandan för TLS Inspection fastställs genom mätning av prestanda med IPS vid HTTPS-sessioner och olika Cipher Suites.

Threat Protection

Threat Protection på Sophos Firewall är en omfattande säkerhetslösning som kombinerar olika tekniker och funktioner för att skydda nätverket mot en mängd hot. Den omfattar funktioner som firewallen själv, Intrusion Prevention System (IPS), Application Control och malware-skydd.

Föreställ dig att en medarbetare försöker ladda ned en fil från en webbplats som klassas som potentiellt farlig. Sophos Firewall skulle först kontrollera åtkomsten till webbplatsen (firewall-funktion), sedan kontrollera filens innehåll efter känd skadlig kod (IPS och malware-skydd) och till sist kontrollera filtypen och den applikation som används för nedladdningen (Application Control). Om ett hot upptäcks i något av dessa steg skulle Sophos Firewall blockera nedladdningen och därmed skydda företagets nätverk.

Prestandan för Threat Protection mäts genom att Firewall, IPS, Application Control och Malware-skydd aktiveras. Mätningarna görs med en HTTP-svarsstorlek på 200 KB.

NGFW (Next-Generation Firewall)

En Next-Generation Firewall (NGFW) på Sophos Firewall är mer än en traditionell firewall. Den innehåller avancerade funktioner som Intrusion Prevention Systems (IPS) och Application Control för att ge en högre nivå av nätverkssäkerhet. Den ger djupare och mer detaljerad kontroll av nätverkstrafiken, vilket möjliggör ett effektivare skydd mot hot.

Exempel: En medarbetare försöker komma åt en molnapplikation som inte är godkänd för användning i företaget, till exempel en personlig molnlagringstjänst. NGFW på Sophos Firewall skulle upptäcka åtkomstförsöket (genom Application Control), kontrollera innehållet i förfrågan (genom IPS) och sedan blockera åtkomsten till tjänsten. Dessa extra funktioner gör att Sophos Firewall kan gå längre än ren övervakning av portar och protokoll och i stället ge en djupare förståelse och kontroll av nätverkstrafiken.

Prestandan för Next-Generation Firewall mäts genom att IPS och Application Control aktiveras med HTTP-datatrafik. Ett standard-IPS-regelverk och en objektstorlek på 512 KB används.