Sizing Guide Sophos XG Firewall – XG Series Appliances

Sophos XG Firewall – XG Series Appliances

xg-sizing

In drei Schritten zum richtigen Appliance-Modell

Mit diesem Leitfaden können Sie bestimmen, welches Appliance-Modell der Sophos XG Serie das richtige für Ihren Kunden ist. Um entscheiden zu können, welches Appliance-Modell am besten geeignet ist, müssen verschiedene Faktoren bedacht werden. Daher sollten Sie ein Nutzungsprofil der Benutzer und der Netzwerkumgebung erstellen. Für optimale Ergebnisse empfehlen wir Ihnen, nach den folgenden Schritten vorzugehen:

  1.  Ermitteln Sie die „gewichtete Gesamtzahl der Benutzer“
    Hierbei handelt es sich nicht um die tatsächliche Anzahl der Benutzer, sondern um einen speziell errechneten Wert, der die gewichtete Benutzerzahl sowie die Systembelastung berücksichtigt.
  2.  Bestimmen Sie, welche Appliance voraussichtlich die richtige ist
    Hierbei handelt es sich um eine vorläufige Entscheidung, die auf der errechneten „gewichteten Gesamtzahl der Benutzer“ basiert.
  3.  Prüfen Sie, ob es besondere Durchsatzanforderungen gibt
    Ermitteln Sie, ob bestimmte Vorort-Faktoren (z. B. maximal verfügbare Internet-Uplink-Kapazität) die Performance beeinflussen werden. Vergleichen Sie das Ergebnis mit den Durchsatzwerten unserer Appliances und passen Sie Ihre Entscheidung ggf. entsprechend an.

Um festzustellen, ob eine Appliance die Bedürfnisse des jeweiligen Kunden erfüllt, ist es natürlich immer am besten, direkt in der Kundenumgebung zu testen. Mit der Sophos XG Firewall können Sie einen solchen Vorort-Test für das ausgewählte Modell kostenlos anbieten.

1. „Gewichtete Gesamtzahl der Benutzer“ ermitteln

Errechnen Sie in Tabelle 1.1 die von der Appliance zu verarbeitende „gewichtete Gesamtzahl der Benutzer“.

  1. Errechnen Sie die gewichtete Benutzerzahl: Ermitteln Sie die Benutzerkategorie (durchschnittlich/stärker/intensiv), die dem üblichen Verhalten der Benutzer am ehesten entspricht, oder schätzen Sie, wie viele Benutzer den einzelnen Kategorien jeweils zuzuordnen sind. Nutzen Sie für die Zuordnung die Kriterien in Tabelle 1.2.
    • Tragen Sie die ermittelten Benutzerzahlen der einzelnen Kategorien in Tabelle 1.1 ein. Multiplizieren Sie die Benutzerzahlen mit dem jeweils angeführten Faktor und tragen Sie die Ergebnisse in die Felder der Spalte „Gewichtete Benutzerzahl“ ein. Anschließend addieren Sie alle Werte und notieren das Ergebnis hinter dem Feld „Summe gewichtete Benutzerzahl“
  2. Ermitteln Sie die Systembelastung: Verwenden Sie dazu die Kriterien in Tabelle 1.3.
    • Tragen Sie den Faktor der Systembelastung (durchschnittlich *1, stärker *1,2, intensiv *1,5) in Tabelle 1.1 in das Feld hinter „multipliziert mit Systembelastung“ ein. Multiplizieren Sie diesen Faktor mit der „Summe gewichtete Benutzerzahl“ und tragen Sie das Ergebnis in das Feld „Gewichtete Gesamtzahl der Benutzer“ ein.

Tabelle 1.1 - Berechnung: "Gesamtzahl der UTM-Benutzer"

 BenutzerzahlMultipliziert mitGewichtete Benutzerzahl
Durchschnittliche Nutzung 1  
Stärkere Nutzung 1,5  
Intensive Nutzung 2  
Benutzerzahl gesamt   Gewichtete Benutzerzahl gesamt  
  multipliziert mit Systembelastung
  Gesamtzahl der UTM-Benutzer  

Tabelle 1.2 - Kriterien Benutzerkategorie

Verwenden Sie zur Klassifizierung der Benutzertypen die unten aufgeführten Kriterien.

 Durchschnittliche NutzungStärkere Nutzung (*1,2)Intensive Nutzung (*1,5)
E-Mail-Nutzung (an einem 10-Stunden-Arbeitstag)
Anzahl der E-Mails im Posteingang Weniger als 50 50 bis 100 Mehr als 100
Datenvolumen Wenige Megabytes Mehrere Megabytes Viele Megabytes
Internetnutzung (an einem 10-Stunden-Arbeitstag)
Datenvolumen Wenige Megabytes Mehrere Megabytes Viele Megabytes
Verwendungsmuster Gleichmäßig über den Tag verteilt Mehrere Spitzen Viele Spitzen
Verwendete Webanwendungen Hauptsächlich webbasierte E-Mails/Google/News Hohes Surfaufkommen, moderate Medienübertragungen, Geschäftsanwendungen Intensives Surfen und intensive Medienübertragungen (Schulen, Universitäten)
VPN-Nutzung
Nutzung von VPN-Remotezugriff Selten - sporadisch verbunden Mehrmals wöchentlich - regelmäßig verbunden Täglich – meistens verbunden

Tabelle 1.3 - Kriterien Systembelastung

Ermitteln Sie, ob bestimmte Faktoren die Systembelastung möglicherweise erhöhen und demzufolge auch die Leistungsanforderungen an das System beeinflussen können

 Durchschnittliche SystemnutzungStärkere Systemnutzung (*1,2)Intensive Systemnutzung (*1,5)
Authentifizierung
Active Directory-Nutzung nein ja ja
FW-/IPS-/VPN-Nutzung
Diverse Systeme über IPS zu schützen Kein IPS-Schutz erforderlich Größtenteils Windows-PCs, 1–2 Server Diverse Client-Betriebssysteme, Browser und Multimedia-Apps, mehr als 2 Server
E-Mails
Spamanteil weniger als 50% 50% - 90% mehr als 90%
Reporting
Vorhaltezeit und Detailliertheit der Reports Bis zu 1 Monat nur Webreports (pro Domäne) Bis zu 3 Monate bis zu 5 Reports (pro Domäne) Mehr als 3 Monate (je URL)
Vorhaltezeit der Nutzungsdaten Nein Bis zu 1 Monat Mehr als 1 Monat

2. Die richtige Appliance bestimmen – basierend auf der errechneten „gewichteten Gesamtzahl der Benutzer“

Mit Hilfe des unten stehenden Diagramms können Sie bestimmen, welche Hardware Appliance für Ihren Kunden voraussichtlich die richtige ist:

  • Die einzelnen Zeilen zeigen die empfohlene Appliance für die jeweilige Subscription.
  • Wichtig: Achten Sie darauf, dass Sie bei allen Werten auch die Benutzer berücksichtigen, die sich über VPN, RED und Wireless Access Points verbinden.
sub-profil-min
Subscription-Profil

Faustregel:

  • Durch das Hinzufügen von Webserver Protection oder Email Protection zu den oben genannten Subscription-Profilen verringert sich die empfohlene „gewichtete Gesamtzahl der Benutzer“ um jeweils 5–10 %.

Prüfen, ob es besondere Durchsatzanforderungen gibt

Je nach Kundenumgebung können sich besondere Durchsatzanforderungen ergeben, aufgrund derer Sie Ihre in Schritt 2 getroffene Entscheidung anpassen müssen. Je nach den Anforderungen kann ein Modell mit höherer (oder geringerer) Leistung benötigt werden als anfänglich gedacht.

Diese Durchsatzanforderungen ergeben sich meist aus den folgenden zwei Faktoren:

Maximal verfügbare Internet-Uplink-Kapazität

Die Kapazität der kundenseitigen Internetverbindung (Up- und Downlink) sollte der durchschnittlichen Durchsatzrate entsprechen, die das gewählte Modell weiterleiten kann (abhängig von den verwendeten Subscriptions).

Beträgt beispielsweise das Download- oder Uploadlimit nur 20 MBit/s, bietet der Einsatz einer XG 230 anstelle einer XG 210 nur wenige Vorteile – obwohl die errechnete Gesamtzahl der Benutzer bei etwa 100 liegt. In diesem Fall ist möglicherweise sogar eine XG 210 ausreichend, da sie selbst bei Aktivierung aller UTM-Funktionen die gesamte Internetverbindung optimal ausfüllen kann.

Allerdings werden Daten unter Umständen nicht nur auf ihrem Weg ins Internet gefiltert, sondern auch zwischen internen Netzwerksegmenten. Berücksichtigen Sie daher auch internen Datenverkehr, der die Firewall durchläuft.

Besondere Leistungsanforderungen basierend auf Erfahrungen oder Kenntnissen des Kunden

Kennt der Kunde seine gesamten Durchsatzanforderungen für alle verbundenen internen und externen Schnittstellen (z. B. durch in der Vergangenheit gesammelte Erfahrungswerte), sollten Sie prüfen, ob das von Ihnen gewählte Modell über die entsprechende Leistung verfügt.

So betreibt der Kunde vielleicht mehrere Server innerhalb einer DMZ und möchte den gesamten Datenverkehr von allen Segmenten zu diesen Servern von der IPS prüfen lassen. Oder der Kunde besitzt viele unterschiedliche Netzwerksegmente, die voreinander geschützt werden sollten (durch die Verwendung der FW-Paketfilter und/oder der Application Control- Funktion). In diesem Fall müssen Sie sicherstellen, dass die gewählte Appliance den gesamten internen Datenverkehr zwischen allen Segmenten scannen kann.

Weitere Fragen, mit denen Sie herauszufinden können, ob es noch mehr besondere Leistungsanforderungen gibt:

  • Wie viele Site-to-Site-VPN-Tunnel sind erforderlich?
  • Wie viele E-Mails werden pro Stunde übertragen – im Durchschnitt/zu Spitzenzeiten?
  • Wie viel Internet-Datenverkehr (MBit/s und Anfragen/s) wird generiert – im Durchschnitt/zu Spitzenzeiten?
  • Wie viele Webserver sollen geschützt werden und mit wie viel Datenverkehr ist zu rechnen – im Durchschnitt/zu Spitzenzeiten?

Im nächsten Abschnitt finden Sie genaue Leistungskennzahlen, mit denen Sie prüfen können, ob die gewählte Appliance alle individuellen Anforderungen erfüllt.

Sophos XG Serie – Leistungskennzahlen Hardware

Die folgende Tabelle enthält Leistungskennzahlen nach Datenverkehrstyp, die auf Messungen der Sophos Testlabs basieren. Die Realwerte zeigen den Durchsatz, der bei einem gewöhnlichen Datenverkehr- und Protokoll-Mix (definiert von den NSS Labs) erzielt werden kann. Die Höchstwerte zeigen den besten Durchsatz, der unter optimalen Bedingungen (z. B. mit großen Paketgrößen mit reinem UDP-Verkehr) bei voller CPU-Last erzielt werden kann.

Keiner dieser Werte lässt sich garantieren, da die Leistung in einer realen Kundenumgebung variieren kann, je nach Benutzereigenschaften, Anwendungsnutzung, Sicherheitskonfigurationen und sonstigen Faktoren. Diese Werte sollten daher lediglich als grobe Richtwerte verstanden werden.

Kleine Modelle – Desktop

ModellXG 85/w Rev. 3XG 105/w Rev. 3XG 115/w Rev. 3XG 125/w Rev. 3XG 135/w Rev. 3
Leistungskennzahlen
Firewall, Höchstwert 1 (MBit/s) 3.000 3.500 4.000 6.500 8.000
Firewall-IMIX (MBit/s) 800 1.800 2.000 2.500 5.000
Firewall, Höchstwert 1 (Pakete pro Sekunde) 162.500 (Rev. 1) 243.800 (Rev. 2) 284.500 (Rev. 2) 406.000 (Rev. 2) 569.000 (Rev. 2)
IPS, Höchstwert 3 (MBit/s) 580 970 1.220 1.530 2.480
Webproxy – AV 5 (MBit/s) 360 450 600 700 1.580
NGFW (IPS + App Ctrl + WebFilter), Höchstwert 3 (MBit/s) 310 480 1.000 1.100 1.200
VPN AES, Höchstwert 3 (MBit/s), mehrere Tunnel/ Cores 225 360 490 700 1.180
Maximal empfohlene Anzahl an Verbindungen
Neue TCP-Verbindungen (pro Sek.) 15.000 28.000 35.000 35.000 85.000
Gleichzeitige TCP-Verbindungen 3.200.000 3.200.000 6.000.000 6.000.000 6.000.000
  1. Paketgröße 1518 Byte (UDP)
  2. Durchschnittswert verschiedener Protokolle (Rechenzentrum, Unternehmensperimeter, Hochschulen/Universitäten, europäische Mobil-Services, Finanznetzwerke) bei einer CPU-Auslastung von 50 %
  3. HTTP-Verkehr
  4. UTM = vollständige Inhalts-Scans von RED-Datenverkehr auf XG Appliance, FW = nur Paketfilterung
  5. 512 KB-Dateien
  6. Antivirus + Filter für alle gängigen Bedrohungen aktiv (kein Antivirus auf XG 85)
  7. Hardcodiertes Limit

Mittlere Modelle – 1U

ModellXG 210 Rev. 3XG 230 Rev. 2XG 310 Rev. 2XG 330 Rev. 2XG 430 Rev. 2XG 450 Rev. 2
Leistungskennzahlen
Firewall, Höchstwert 1 (MBit/s) 16.000 20.000 28.000 33.000 41.000 50.000
Firewall-IMIX (MBit/s) 5.500 6.800 9.500 12.500 14.500 17.500
IPS, Höchstwert 3 (MBit/s) 2.700 4.200 5.500 8.500 9.000 10.000
Webproxy – AV5 (MBit/s) 2.300 2.800 3.300 6.000 6.500 7.000
NGFW (IPS + App Ctrl + WebFilter), Höchstwert 3 (MBit/s) 2.200 3.000 4.000 5.500 6.000 7.500
VPN AES, Höchstwert 3 (MBit/s), mehrere Tunnel/ Cores 1.450 1.700 2.750 3.200 4.800 5.500
Maximal empfohlene Anzahl an Verbindungen
Neue TCP-Verbindungen (pro Sek.) 135.000 140.000 200.000 200.000 200.000 200.000
Gleichzeitige TCP-Verbindungen 8.200.000 8.200.000 17.500.000 17.500.000 20.000.000 20.000.000
Gleichzeitige IPsec-VPN-Tunnel 1.300 1.600 1.800 2.500 3.000 3.500
Gleichzeitige SSL-VPN-Tunnel 300 300 300 300 350 350
Gleichzeitige betriebene Access Points 75 100 125 150 230 250
Gleichzeitig betriebene REDs (UTM/FW) 30/125 40/150 50/200 60/230 70/250 80/300
WAF, gleichzeitig betriebene virtuelle Server 60 7 60 7 60 7 60 7 60 7 60 7
WAF, Verbindungen pro Sekunde, Höchstwert 3.700 4.200 5.000 9.000 14.000 15.500
  1. Paketgröße 1518 Byte (UDP)
  2. Durchschnittswert verschiedener Protokolle (Rechenzentrum, Unternehmensperimeter, Hochschulen/Universitäten, europäische Mobil-Services, Finanznetzwerke) bei einer CPU-Auslastung von 50 %
  3. HTTP-Verkehr
  4. UTM = vollständige Inhalts-Scans von RED-Datenverkehr auf XG Appliance, FW = nur Paketfilterung
  5. 512 KB-Dateien
  6. Antivirus + Filter für alle gängigen Bedrohungen aktiv (kein Antivirus auf XG 85)
  7. Hardcodiertes Limit

Große Modelle – 2U

ModellXG 550 Rev. 2XG 650 Rev. 1XG 750 Rev. 1
Leistungskennzahlen
Firewall, Höchstwert 1 (MBit/s) 65.000 85.000 100.000
Firewall-IMIX2 (MBit/s) 23.000 28.000 33.500
IPS, Höchstwert 1 (MBit/s) 17.000 20.000 22.000
Webproxy – AV 5 (MBit/s) 10.000 13.000 17.000
NGFW (IPS + App Ctrl + WebFilter), Höchstwert 3 (MBit/s) 9.000 10.000 11.800
VPN AES, Höchstwert 3 (MBit/s) mehrere Tunnel/Cores 8.400 9.000 11.000
Maximal empfohlene Anzahl an Verbindungen
Neue TCP-Verbindungen (pro Sek.) 220.000 240.000 300.000
Gleichzeitige TCP-Verbindungen 30.000.000 30.000.000 30.000.000
Gleichzeitige betriebene Access Points 300 400 500
Gleichzeitig betriebene REDs (UTM/FW) 4 100/400 150/600 200/600*
Gleichzeitig betriebene REDs (UTM/FW) 4 100/400 150/600 200/600*
WAF, gleichzeitig betriebene virtuelle Server 60 7 60 7 60 7
WAF, Verbindungen pro Sekunde, Höchstwert 18.000 21.000 24.000  

*Technisches Limit

  1. Paketgröße 1518 Byte (UDP)
  2. Durchschnittswert verschiedener Protokolle (Rechenzentrum, Unternehmensperimeter, Hochschulen/Universitäten, europäische Mobil-Services, Finanznetzwerke) bei einer CPU-Auslastung von 50 %
  3. HTTP-Verkehr
  4. UTM = vollständige Inhalts-Scans von RED-Datenverkehr auf XG Appliance, FW = nur Paketfilterung
  5. 512 KB-Dateien
  6. Antivirus + Filter für alle gängigen Bedrohungen aktiv (kein Antivirus auf XG 85)
  7. Hardcodiertes Limit

Sophos XG Firewall Software-/virtuelle Appliances

Sophos XG Firewall Software-/virtuelle Appliances werden nach Anzahl der (virtuellen) Cores und (virtueller) RAM-Größe lizenziert. Lizenzen müssen nicht exakt mit der Anzahl der verfügbaren Cores/RAM-Größe übereinstimmen, aktivieren jedoch nur die lizenzierten Cores/lizenzierte RAM-Größe zur Verwendung in der Software.

Software-/virtuelle Appliances können auf verschiedenen CPU-Typen mit unterschiedlichen Geschwindigkeiten eingesetzt werden. Die Performance kann jedoch stark variieren – selbst wenn die gleiche Core-Anzahl/RAM-Größe genutzt wird.

Die folgende Abbildung gibt Ihnen einen groben Überblick über die für jedes Software-Modell empfohlenen gewichteten Benutzergesamtzahlen (gemäß der Berechnung in Kapitel 1).

Die Zahlen basieren auf den folgenden Annahmen:

  • CPU-Geschwindigkeit = 2,5 GHz (höhere Geschwindigkeit kann den Durchsatz für die meisten Anwendungen deutlich erhöhen)
  • CPU-Typ = Core I (bis zu 6C8), Xeon (8C16 und höher)

 

xg-sub-2-min

Subscription-Profil

Faustregel:

  • Beim Einsatz der Sophos XG Firewall in virtuellen Umgebungen ist mit einem Leistungsverlust/einer Verringerung der Benutzerzahl von schätzungsweise 10 % zu rechnen. Dies wird durch das Hypervisor-Framework verursacht.

Vorort-Tests

Die oben beschriebene Vorgehensweise dient als Grundlage zur Wahl eines geeigneten Modells, basiert jedoch ausschließlich auf Kundenangaben. Tatsächlich werden das Verhalten und die Performance einer Appliance von vielen Faktoren beeinflusst, die sich nur unter realen Bedingungen beurteilen lassen. Daher ist ein Vorort-Test immer die beste Methode, um zu ermitteln, ob die gewählte Appliance die Leistungsanforderungen des Kunden erfüllt. Das Sophos Pre- Sales-Team hilft Ihnen gerne bei der Bestimmung des geeigneten Modells.

 

Zuletzt angesehen