Sophos Firewall Sizing Guide: Dimensionera XGS korrekt
När det gäller Sophos Firewall Sizing handlar det inte bara om antalet användare. En brandvägg kan belastas mycket olika trots samma antal användare: genom internetbandbredd, TLS Inspection, IPS, VPN, Web Protection, WAF, rapportering, HA, många VLAN eller många samtidiga anslutningar.
En bra dimensionering säkerställer att Sophos Firewall inte bara fungerar den första dagen, utan också har reservkapacitet med aktiverade skyddsfunktioner, realistisk tillväxt och stabil drift. För beslutet mellan hårdvara och virtuell appliance kan du läsa Sophos Firewall - Hårdvara eller virtuell appliance?.
Målet med dimensioneringen
Målet är inte att hitta den minsta modellen som fortfarande räcker under ideala laboratorieförhållanden. I praktiken bör brandväggen förbli stabil även när flera saker händer samtidigt:
- många användare arbetar parallellt,
- TLS Inspection eller IPS är aktivt,
- Site-to-Site- eller Remote-Access-VPNs körs,
- rapportering och loggning skapar extra belastning,
- säkerhetskopior, uppdateringar eller supportdiagnoser körs i bakgrunden,
- en plats växer eller får mer bandbredd.
Därför bör man alltid planera med reserver. En snålt dimensionerad brandvägg skapar senare supportbehov: långsamma internetanslutningar, hög CPU-belastning, paketförluster, trög WebAdmin, instabila VPN-anslutningar eller brist på reserver för nya säkerhetsfunktioner.
De viktigaste dimensioneringsfaktorerna
Internetbandbredd och trafikprofil
Den bokade internetanslutningen är en bra startpunkt, men inte hela sanningen. Viktigt är hur mycket av den som faktiskt används samtidigt och vilken trafik som går genom brandväggen.
Kontrollera:
- symmetrisk eller asymmetrisk anslutning,
- peak-trafik under arbetstid,
- många små webbsessioner eller få stora nedladdningar,
- molnsäkerhetskopior, Microsoft 365, VoIP, onlinemöten,
- platsnätverk via VPN eller SD-WAN,
- intern trafik mellan VLAN som också går genom brandväggen.
Om brandväggen också fungerar som en intern routing- och segmenteringsenhet måste man planera för både WAN-genomströmning och öst-väst-trafik. Grunderna för zoner, VLAN och gränssnittsdesign finns i Konfigurera Sophos Firewall zoner och gränssnitt.
Skyddsfunktioner
Ju fler säkerhetsmoduler som är aktiva, desto starkare måste apparaten dimensioneras. Särskilt relevanta är:
- IPS,
- Web Protection,
- Application Control,
- SSL/TLS Inspection,
- Zero-Day Protection,
- WAF,
- Mail Protection,
- Threat Feeds,
- rapportering och Log Viewer.
Databladsvärden är bara jämförbara om det är klart vilken funktion som mättes. Brandväggsgenomströmning utan säkerhetsinspektion är inte samma sak som Threat-Protection- eller TLS-Inspection-genomströmning. För produktiva miljöer bör man därför inte bara titta på det högsta marknadsföringsvärdet, utan på den siffra som passar den egna användningen.
Vid TLS Inspection är det också viktigt om organisationen kan genomföra utrullningen tekniskt och organisatoriskt korrekt. Den praktiska processen beskrivs i Rulla ut Sophos Firewall TLS Inspection korrekt.
Användare, enheter och sessioner
Antalet användare är fortfarande viktigt, men räcker inte. Ett kontor med 50 användare, få molntjänster och utan TLS Inspection belastar brandväggen annorlunda än en plats med 50 användare, terminalservrar, många SaaS-applikationer, VoIP, gästnät, IoT, fjärråtkomst och flera serverzoner.
Dessutom räknas:
- Antal enheter per användare,
- Gäst- och IoT-nätverk,
- Servrar, skrivare, kameror och specialenheter,
- Samtidiga sessioner,
- Många små DNS- eller webbförfrågningar,
- Fjärråtkomstanvändare,
- Automatiserade system som säkerhetskopiering, övervakning eller EDR.
I blandade miljöer med många VLAN bör man planera efter trafikflöden snarare än bara efter antal användare.
VPN, SD-WAN och platsnätverk
VPN kan belasta en brandvägg kraftigt, särskilt när många tunnlar, hög bandbredd eller många fjärråtkomstanvändare kombineras.
Planera för:
- Site-to-Site IPsec,
- route-baserad VPN med XFRM-gränssnitt,
- Fjärråtkomst via Sophos Connect eller SSL VPN,
- SD-WAN Policy Routes,
- Flera WAN-linjer,
- Failover-scenarier,
- MTU/MSS-frågor vid VPN-sträckor.
Vid VPN-prestanda bör man inte bara betrakta tunnelstatus. Avgörande är om den produktiva trafiken med aktiverade regler, NAT, routing och säkerhetsinspektion körs stabilt. För routing- och VPN-vägar är IPsec Route på Sophos Firewall och SD-WAN Routing för svarspaket och systemtrafik lämpliga fördjupningar.
Loggning, rapportering och lagring
Loggning hjälper i drift, men skapar också belastning och lagringsbehov. Den som använder många brandväggsregler med loggning, webbfilter, IPS, Application Control och Central Firewall Reporting bör klargöra rapporteringskraven tidigt.
Kontrollera:
- Vilka regler ska ha loggning aktiv?
- Hur länge måste loggar vara tillgängliga?
- Används Sophos Central Firewall Reporting?
- Finns det Syslog eller SIEM?
- Måste rapporter skapas regelbundet?
- Behövs loggdata för felsökning eller efterlevnad?
För längre utvärdering är brandväggen ofta inte rätt plats. Då bör man planera för Sophos Central Firewall Reporting eller en Syslog-/SIEM-export.
Hårdvara, virtuell eller moln?
XGS Hårdvaruappliance
En XGS Hårdvaruappliance är oftast det mest planbara alternativet för klassiska platser. Hårdvara, portar, support, livscykel och prestanda är definierade som ett paket.
Fördelar:
- Dedikerad brandväggshårdvara,
- Klara port- och expansionsalternativ,
- Enkel support- och RMA-hantering,
- Planbar prestanda,
- Mindre beroende av en hypervisor.
Hårdvara är särskilt meningsfull när brandväggen är den centrala säkerhets- och routingpunkten på platsen.
Virtuell Sophos Firewall
En virtuell brandvägg passar bra i datacenter, molnmiljöer eller virtualiserade nätverkssegment. Prestandan beror då starkt på CPU, RAM, lagring, hypervisor, virtuella nätverkskort och värdlast.
Viktigt:
- CPU-resurser får inte vara överbelastade permanent.
- Virtuella NICs och portgrupper måste vara tydligt separerade.
- Lagringslatens kan påverka loggning och rapportering.
- Säkerhetskopiering och återställning måste passa virtualiseringsplattformen.
- HA- och failover-design måste planeras i förväg.
Licensiering och beslut mellan hårdvara och virtuell appliance bör granskas separat. För detta passar Sophos Firewall - Hårdvara eller virtuell appliance?.
Klassificera appliance-klasser
Följande områden hjälper till med en grov orientering. Det konkreta valet måste sedan granskas med bandbredd, funktioner, reserv och driftsmodell.
Sophos Desktop Appliances - Småföretag
Desktop-appliances passar för små platser, filialer, kontor och miljöer med begränsat platsbehov. Viktigt här är särskilt om apparaten bara hanterar internetåtkomst och grundläggande säkerhet eller om den också måste hantera många VLAN, VPN, TLS Inspection och rapportering.
Sophos 1U Rack Appliances - Medelstora företag
1U-appliances är vanligtvis relevanta för större små och medelstora företag, centrala platser och miljöer med större portbehov, mer genomströmning eller högre säkerhetsbelastning. Dessa modeller är ofta det bättre valet när flera WAN-linjer, många VLAN, flera VPN-tunnlar eller höga loggningskrav kombineras.
Sophos 2U Rack Appliances - Storföretag
2U-appliances hör hemma i miljöer med mycket hög bandbredd, många samtidiga sessioner, flera säkerhetsmoduler och höga tillgänglighetskrav. Här bör dimensioneringen alltid ske med konkreta trafikdata, tillväxtantaganden och HA-design.
Reserv, HA och tillväxt
En brandvägg bör inte ständigt köras nära gränsen. Reserver är viktiga för:
- Tillväxt av internetanslutningen,
- Nya platser eller VLAN,
- Senare aktivering av TLS Inspection eller IPS,
- Fler fjärråtkomstanvändare,
- Ytterligare loggnings- och rapporteringskrav,
- Firmware-uppdateringar med nya funktioner,
- Störningssituationer och failover.
Vid HA måste man planera mycket noggrant. I en Active-Passive-design måste en enskild nod kunna hantera den produktiva lasten ensam. Active-Active är ingen fribiljett för snål dimensionering, eftersom inte all last fördelas linjärt. De viktigaste arkitekturpunkterna finns i Förstå Sophos Firewall HA Cluster-varianter.
Som tumregel bör man vid nya projekt inte planera för en brandvägg som redan i normal drift visar mycket hög CPU-, RAM- eller sessionbelastning. Artikeln Rätt bedömning av Sophos Firewall prestandamått hjälper vid senare driftkontroll.
Praktisk dimensioneringsprocess
1. Kartlägg utgångsläget
Först beskrivs miljön:
- Platser och WAN-linjer,
- Användare och enheter,
- VLAN och interna zoner,
- Server- och DMZ-tjänster,
- VPN- och fjärråtkomstkrav,
- Aktivt planerade säkerhetsmoduler,
- Rapportering- och loggkrav,
- HA- eller molnkrav.
2. Markera kritiska belastningsdrivare
Därefter markeras de punkter som kan driva modellen uppåt:
- Bred användning av TLS Inspection,
- Många IPS-skyddade anslutningar,
- Hög VPN-genomströmning,
- Många samtidiga sessioner,
- Många brandväggsregler med loggning,
- WAF eller Mail Protection,
- Stark segmentering med intern trafik genom brandväggen,
- Tillväxt under de kommande tre till fem åren.
3. Läs databladsvärden korrekt
Databladsvärden bör förstås som jämförelsevärden, inte som garantier för varje miljö. Avgörande är vilken mätning som passar den planerade användningen:
Viktiga nyckeltal:
- Firewall Throughput: grov vägledning för enkel paketgenomströmning.
- IPS Throughput: relevant för miljöer med aktiv Intrusion Prevention.
- Threat Protection: ofta mer realistiskt när flera skyddsfunktioner är aktiva samtidigt.
- TLS Inspection: viktigt för miljöer med dekrypterad HTTPS-trafik.
- IPsec VPN Throughput: relevant för platsanslutningar och VPN-belastning.
- Concurrent Connections: viktigt vid många klienter, webbsessioner och tjänster.
Om flera av dessa punkter är relevanta samtidigt bör man inte bara betrakta en enskild nyckeltal.
4. Fastställ reserv
Innan det slutliga modellvalet bör man medvetet bestämma hur mycket reserv som ska planeras. En liten reserv kan räcka för mycket enkla platser. Vid centrala brandväggar, HA-kluster, stark tillväxt eller bred säkerhetsanvändning bör reserven vara betydligt större.
5. Validera efter driftsättning
Dimensioneringen slutar inte med beställningen. Efter driftsättning bör man kontrollera om antagandena stämmer:
- CPU- och RAM-belastning vid peak-tider,
- Antal sessioner,
- VPN-genomströmning,
- WebAdmin-responstid,
- Log Viewer och rapportering,
- Paketförluster eller retransmissioner,
- WAN-belastning,
- Prestanda efter aktivering av ytterligare skyddsfunktioner.
För reproducerbara mätningar kan Använda Sophos Firewall iPerf Speedtest för felsökning hjälpa. För enkla WAN-hastighetstester är Rätt bedömning av Sophos Firewall Internet Speedtest den lämpliga starten.
Vanliga dimensioneringsfel
- Dimensionera endast efter antal användare.
- Förväxla databladsvärden för brandväggsgenomströmning med Threat-Protection-belastning.
- Aktivera TLS Inspection senare utan att ha planerat för reserv.
- Planera för HA men inte kontrollera om en nod ensam har tillräcklig prestanda.
- Ignorera inter-VLAN-trafik.
- Underskatta rapportering och loggning.
- Driva virtuella brandväggar på överbelastade värdar.
- Inte ta hänsyn till tillväxt av internetanslutningen.
- Planera fjärråtkomst och Site-to-Site VPN endast efter antal tunnlar istället för genomströmning.
Checklista
- Internetbandbredd och verklig peak-användning känd.
- Användare, enheter, VLAN och serverzoner kartlagda.
- Planerade säkerhetsmoduler dokumenterade.
- TLS Inspection, IPS, VPN, WAF, Mail Protection och rapportering utvärderade separat.
- Intern trafik genom brandväggen beaktad.
- HA-design och failover-belastning kontrollerad.
- Medvetet beslutat om hårdvara eller virtuell appliance.
- Tillväxtreserv för flera år planerad.
- Efter driftsättning kontrollerat prestandamått.