Rätt tolkning av Sophos Firewall prestandadata
Prestandadata för en Sophos Firewall är viktiga för dimensionering, men läses ofta felaktigt. Den högsta brandväggsgenomströmningen i databladet är inte automatiskt den prestanda som en plats uppnår med IPS, Web Protection, TLS Inspection, VPN, NAT, rapportering och många samtidiga användare.
För att välja en modell bör man därför inte bara titta på en enda Gbit/s-siffra. Det som är avgörande är vilka skyddsfunktioner som är aktiva, vilken trafik som passerar genom brandväggen och vilka reserver miljön behöver i vardagen. Sophos Firewall Sizing Guide förklarar modellvalet; denna artikel förklarar hur man bedömer de underliggande prestandametrikerna.

Kort regel för dimensionering
I praktiken är oftast inte den rena brandväggsgenomströmningen den bästa startpunkten.
- Endast routing och enkla brandväggsregler: Beakta brandväggsgenomströmning och IMIX.
- Normalt företagsnätverk med IPS och Application Control: Ge större vikt åt NGFW- eller Threat-Protection-värden.
- Många HTTPS-anslutningar med avkodning: Planera för TLS-Inspection-prestanda och CPU-reserv.
- Många VPN-anslutningar: Betrakta IPsec- eller fjärråtkomstkrav separat.
- Virtuell brandvägg: Ta hypervisor, CPU, RAM, lagring och virtuella nätverkskort lika seriöst som Sophos-licensen.
Om det är oklart om hårdvara eller virtuell appliance passar bättre, hjälper Sophos Firewall - Hårdvara eller virtuell appliance? som beslutsstöd.
Varför databladvärden inte räcker rakt av
Prestandavärden bestäms under definierade laboratorieförhållanden. Detta är meningsfullt eftersom modeller därmed blir jämförbara. En produktiv miljö beter sig dock annorlunda:
- Paketstorlekar är blandade.
- Användare skapar parallella sessioner.
- Säkerhetsprofiler granskar trafik på olika djup.
- HTTPS-trafik kräver betydligt mer resurser vid TLS Inspection.
- VPN, SD-WAN, NAT, loggning och rapportering körs parallellt.
- WLAN, switchar, klienter, servrar och leverantörer påverkar den upplevda prestandan.
Ett databladvärde är därför ett jämförelsevärde, inte ett löfte för varje enskild flöde. För en solid dimensionering bör man planera med reserver och inte först efter köpet ta hänsyn till de senare driftfunktionerna.
De viktigaste metrikerna
- Brandväggsgenomströmning: Jämförelse vid enkel Layer-3/Layer-4-trafik Läser ofta som verklig internetgenomströmning med alla säkerhetsfunktioner
- Brandvägg IMIX: mer realistisk blandning av olika paketstorlekar Ignoreras, trots att riktiga nätverk sällan bara har stora paket
- IPS-genomströmning: Trafik med Intrusion Prevention Underskattas när IPS senare är aktiv för många regler
- NGFW-genomströmning: Brandvägg med ytterligare Next-Generation-funktioner som IPS och Application Control Förväxlas med ren brandväggsgenomströmning
- Threat Protection: starkare approximationsvärde för aktiverade skyddsfunktioner Förstås som ett fast minimivärde istället för en jämförelsemätning
- TLS Inspection: HTTPS-avkodning och granskning Glöms bort i dimensioneringen, trots att den kan vara mycket resurskrävande
- IPsec VPN: Platsnätverk och krypterade tunnlar Planeras endast utifrån internetanslutningen, utan att beakta motpart, paketstorlekar och CPU
- Sessioner och anslutningar per sekund: många användare, webbtrafik, serverpublicering, korta anslutningar Kontrolleras sällan, men kan vara relevant vid många klienter eller publicerade tjänster
Brandväggsgenomströmning och IMIX
Den rena brandväggsgenomströmningen beskriver en relativt enkel bearbetning av trafik. Detta värde är användbart när en brandvägg främst routar, gör NAT och bearbetar klassiska brandväggsregler.
IMIX ligger närmare verklig nätverksbelastning eftersom olika paketstorlekar blandas. Detta är viktigt eftersom små paket belastar en brandvägg annorlunda än stora nedladdningar. I företagsnätverk finns det sällan bara en ren stor dataström. Webbåtkomst, DNS, VoIP, molnapplikationer, uppdateringar och filöverföringar skapar olika mönster.
För platser med normal användartrafik är IMIX därför ofta mer talande än det vackraste maxvärdet.
IPS, NGFW och Threat Protection
Så snart IPS, Application Control, Web Protection eller malware-granskning är aktiva måste brandväggen göra mer än att bara vidarebefordra paket. Brandväggen måste klassificera trafik, känna igen mönster, tillämpa regler och beroende på policy granska innehåll.
Begreppen blandas ofta:
- IPS bedömer trafik baserat på signaturer och regler för kända angreppsmönster.
- NGFW beskriver brandväggsprestanda med ytterligare funktioner som IPS och Application Control.
- Threat Protection är ett starkare approximationsvärde för miljöer där flera skyddsfunktioner är aktiva samtidigt.
För ett företag som faktiskt använder Sophos Firewall som ett säkerhetsgateway är NGFW- och Threat-Protection-värden oftast mer relevanta än den rena brandväggsgenomströmningen.
Planera TLS Inspection realistiskt
TLS Inspection är en av de största prestandafaktorerna. Brandväggen dekrypterar HTTPS-anslutningar, granskar innehållet och krypterar anslutningen igen. Detta skapar CPU-belastning och kan beroende på chifferuppsättning, målserver, klient, undantag och policy vara märkbart.
TLS Inspection bör därför inte aktiveras i förbifarten. En stegvis utrullning med pilotgrupp, undantag, övervakning och tydlig felsökning är meningsfull. Artikeln Införa Sophos Firewall TLS Inspection korrekt beskriver den operativa processen.
Även CA-certifikatet måste distribueras korrekt. För klienter är Installera Sophos Firewall CA-certifikat för HTTPS-skanning den lämpliga starten.
Betrakta VPN-prestanda separat
VPN-prestanda beror inte bara på brandväggsmodellen. Relevanta faktorer är också motpart, internetanslutning, latens, paketstorlekar, MTU/MSS, krypteringsparametrar, routing och parallella tunnlar.
För plats-till-plats-anslutningar bör man realistiskt uppskatta de planerade dataströmmarna: filöverföringar, säkerhetskopior, ERP, VoIP, RDP, övervakning och replikering beter sig olika. För fjärråtkomst tillkommer dessutom klientenhet, WLAN, leverantör och VPN-klient.
Om en VPN-sträcka verkar långsam bör man inte bara kontrollera databladvärdet. Ett definierat sträcktest med iPerf är oftast mer talande än ett webbläsarhastighetstest.
Vad som påverkar den verkliga prestandan
I praktiken verkar flera faktorer samtidigt:
- aktiva säkerhetsprofiler per brandväggsregel
- TLS Inspection och undantag
- IPS-policy och signaturomfång
- Web Protection, Application Control och malware-granskning
- NAT, DNAT, serverpublicering och WAF
- IPsec, SSL VPN, Sophos Connect och plats-till-plats-tunnlar
- Loggning, rapportering, Central Reporting och Syslog
- många små sessioner istället för färre stora nedladdningar
- Brandväggsacceleration, FastPath, IPsec-acceleration och trafik som inte kan offloadas
- HA-drift, firmwareversion och hotfixar
- virtuella resurser vid mjukvaru- eller molnappliances
Därför bör man alltid granska prestanda i kontexten av den specifika policyn. En brandväggsregel utan säkerhetsprofiler beter sig annorlunda än en regel med IPS, webbfilter, Application Control och TLS Inspection.
Förstå FastPath och Offloading korrekt
Moderna Sophos-brandväggar bearbetar inte varje dataström lika. Beroende på appliance, firmware, regel, säkerhetsprofil och trafiktyp kan trafik delvis accelereras eller granskas i en långsammare bearbetningsväg. Viktiga begrepp för detta är FastPath, brandväggsacceleration, PKI-acceleration och IPsec-acceleration.
För dimensionering är detta viktigt, eftersom ett snabbt test inte bevisar att varje produktivt dataflöde använder samma väg. Många XGS-appliances använder en dedikerad Xstream Flow Processor för FastPath. Vissa nyare desktopmodeller, som XGS 88/88w, 108/108w, 118/118w och 128/128w, använder i stället Virtual FastPath i x86-kärnan. Dessa modeller kan accelerera brandväggs- och IPsec-bearbetning, men erbjuder ingen dedikerad PKI Acceleration för TLS-certifikatbearbetning. Virtuella och software-appliances är ännu mer beroende av den tilldelade x86-miljön. Offloading ska därför aldrig läsas som en generell garanti för varje modell och varje design.
- SSL VPN
- WAF och proxy-trafik
- QoS och DoS
- Trådlöst, RED, LAG och PPPoE
- Fragmenterad IP-trafik
- Vissa brygg-, HA- eller virtualiseringsscenarier
Vid HA måste man titta extra noga. Active-Active HA stöder inte Firewall Acceleration. I Active-Passive HA används Firewall och IPsec Acceleration endast av den primära noden. Dimensionering för HA bör därför inte bara räkna upp standalone-labbvärden till båda noderna.
Även felsökning kan påverka mätvärden. När Packet Capture eller iftop körs kan trafik beroende på situation bearbetas annorlunda än i normal drift. Därför bör man alltid dokumentera prestandamätningar och Packet-Capture-resultat med tidpunkt, testmetod, firmwareversion, gränssnittstyp och aktiv policy.
IPsec-acceleration är ett eget specialfall. Ändringar där kan starta om tunnlar och kräver ett underhållsfönster. I en produktionsmiljö bör man inte ändra sådana inställningar som ett snabbt försök, utan först med Log Viewer, Packet Capture, IPsec Troubleshooting och ett tydligt testfall kontrollera om misstanken verkligen stämmer.
Kontrollera prestanda i drift
Databladvärden hjälper före köpet. I drift behöver man andra verktyg. Det är viktigt att skilja på begreppen: Control Center visar inte databladsprestanda, utan aktuella driftindikatorer. Performance-rutan baseras på load average över CPU-kärnor. Värden över antalet tillgängliga kärnor betyder att mer arbete väntar än systemet kan bearbeta vid just den tidpunkten.
CPU, minne, bandwidth, sessions, Decryption Capacity och Decrypt Sessions är också relevanta. Särskilt vid TLS Inspection är Decryption Capacity användbart eftersom det visar hur starkt aktuell SSL/TLS-dekryptering använder den tillgängliga dekrypteringskapaciteten. Decryption details uppdateras inte som sekundexakt live-mätning, utan normalt var femte minut. Dessa värden bör alltid läsas tillsammans med policy, regel, säkerhetsprofil, tidpunkt och trafiktyp.
Praktiskt förlopp:
- Kontrollera Control Center: Observera CPU, RAM, gränssnittsbelastning och varningar.
- Öppna Log Viewer: Träffar den förväntade brandväggsregeln och är loggning aktiverad?
- Kontrollera policy och säkerhetsprofiler: Vilka funktioner påverkar den berörda trafiken?
- Använd Packet Capture: Ser man paket, svarspaket, NAT och droppar?
- Utför sträcktest: Kontrollera med iPerf eller en definierad nedladdning vilken väg som verkligen är långsam.
- Notera offloading-kontekst: Gränssnittstyp, HA-läge, VPN-typ, PPPoE, WAF, SSL VPN eller Packet Capture kan påverka mätningen.
- Notera tidpunkt: Belastningstoppar, säkerhetskopior, uppdateringar eller rapporter kan förvränga resultaten.
För en snabb avgränsning av WAN-linjen hjälper Utföra Sophos Firewall Internet-hastighetstest via SSH. För end-to-end-tester mellan två system är Testa Sophos Firewall prestanda med iPerf bättre lämpad. Om en regel inte träffar som förväntat, passar Testa Sophos Firewall-regler specifikt.
Vanliga dimensioneringsfel
- Endast den högsta brandväggsgenomströmningen jämförs.
- TLS Inspection planeras men räknas inte in i prestandareserven.
- VPN och fjärråtkomst bedöms utifrån antalet användare istället för verklig användning.
- Internetanslutningen beaktas, men inte intern öst-väst-trafik.
- Virtuella brandväggar körs på överbelastade värdar.
- Rapportering, loggning och Central-anslutning beaktas först i efterhand.
- Tillväxt, nya platser, ytterligare VLAN eller serverpublicering saknas i planeringen.
- Ingen skillnad görs mellan laboratorievärde, verkligt värde och användarupplevelse.
Praktisk dimensioneringschecklista
Innan modellvalet bör dessa punkter klargöras:
- Internetbandbredd idag och planerad de kommande åren.
- Antal användare, enheter, servrar och platser.
- Andel av webbtrafik, molnapplikationer, VoIP, säkerhetskopior och filöverföringar.
- Planerade säkerhetsfunktioner per trafikgrupp.
- Omfattning av TLS-Inspection och nödvändiga undantag.
- Antal och användning av IPsec-, SSL-VPN- och Sophos-Connect-anslutningar.
- Behov av WAF, Mail Protection, RED, WLAN eller Central Reporting.
- Förväntade reserver för uppdateringar, tillväxt och belastningstoppar.
- Driftsmodell: XGS-hårdvara, virtuell appliance, moln eller HA-kluster.