サイジングガイド Sophos UTM 9.2 - SG シリーズアプライアンス Sophos UTM 9.2 SG シリーズ アプライアンス サイジングガイド 最適なアプライアンスを選定するための 3つのステップ このドキュメントは、最適なSophos SG シリーズ アプライアンスを選定するための ガイドです。最適なアプライアンスを選択する上で重要なポイントは、さまざまな要 因を検討し、ユーザーやネットワーク環境のプロファイル (利用状況の特性) を決定 することです。最適な製品を選定するには、以下のステップを推奨します。 1. UTM 利用ユーザーの総数を把握する お客様のウェブ閲覧状況、アプリケーションの利用状況、ネットワーク / サーバーな ど、システム環境を理解し、ピーク時の UTM の利用状況を正確に把握します。 2. 機種を選定する UTM 利用ユーザーの総数から必要な機種を選定します。 3. 特定のスループット要件をチェックする インターネットで利用可能な最大アップリンク容量など、ローカル要素が パフォーマンスに影響を与えるかどうかを把握します。Sophos UTM の スループット値と照らし合わせ、推奨機種を選定します。 アプライアンスがお客様の要件を満たしているかどうかを確認するには、お客様の 実環境でアプライアンスをテストすることが最善の方法であるため、選択したアプ ライアンスをオンサイトでの無償評価版として提供することもできます。 1. UTM 利用ユーザーの総数を把握する 以下の表を使用して UTM アプライアンスで処理が必要な UTM 利用ユーザーの総数を算定します。 a.実効ユーザー数を算定する。ユーザーグループごとに平均的な利用状況にもとづいて相当する カテゴリ (スタンダードユーザー / アドバンスユーザー / パワーユーザー) を判断するか、 カテゴリごとに該当するユーザー数を推定します。表 1.2 の基準にもとづいてユーザーを カテゴリ別に分類します。 • 表 1.1 に「ユーザー数」を記入します。対応する係数を掛けて数値を「実効ユーザー数」欄に 記入し、各値の合計を「実効ユーザー総数」欄に記入します。 数式:実効ユーザー総数 = スタンダードユーザー数 X 1 + アドバンスユーザー数 X 1.5 + パワーユーザー数 X 2 b. システム負荷値を算定する。表 1.3 の基準にもとづいてシステム負荷を算定します。 • システム負荷の値を「システム負荷値」欄に記入し、「実効ユーザー総数」に「システム負荷 値」を掛けた値を「UTM ユーザー総数」欄に記入します。 数式: UTM ユーザー総数 = 実効ユーザー総数 X システム負荷値 表 1.1 ユーザー数 係数 スタンダードユーザー 1 アドバンスユーザー 1.5 パワーユーザー ユーザー総数 2 実効ユーザー総数 システム負荷値 UTM ユーザー総数 Sophos UTM 9.2 SG シリーズ アプライアンス サイジングガイド 実効ユーザー数 1.2 ユーザーカテゴリ基準 以下の基準を使用してユーザーの種別を決定します。 スタンダードユーザー アドバンスユーザー (*1.5) パワーユーザー (*2) メールの利用状況 (1日 10時間あたり) 受信メール数 50通未満 50通~100通 100通以上 データ量 数 MB 数十 MB 数百 MB Web 利用状況 (1日 10時間あたり) データ量 数 MB 数十 MB 数百 MB 使用ピーク発生状況 特になし 数回程度 多い 利用内容 主に Web メール / Google / ニュースサイト 高頻度のネットサーフィン、 メディアの転送、業務アプリ ケーションの利用 きわめて高頻度のネットサー フィン、メディアの転送 (教育機関などにおける) ほとんど利用しない – 不 定期に接続 週に数回程度 – 定期的に 接続 毎日 – ほぼ常時接続 VPN 利用状況 VPN リモートアクセス 利用状況 1.3 システム負荷基準 全般的なシステム負荷を増やす可能性のある要件 (性能要件) をすべて割り出します。 平均レベル 高レベル (*1.2) 最高レベル (*1.5) なし ○ ○ なし 主に Windows PC、 1~2台のサーバー さまざまなクライアント OS、 ブラウザ、マルチメディアア プリケーション、3台以上の サーバー 50% 未満 50~90% 90% 以上 レポートの保存期間 と必要なレポート 形式 最大 1カ月 Web 形式のレポートのみ (ドメインごと) 最大 3カ月 最大 5件のレポート (ドメインごと) 3カ月以上 (URL ごと) アプライアンス上のア カウンティングデータ の保存期間 × 最大 1カ月 1カ月以上 認証 Active Directory の 利用 FW / IPS / VPN の利用 IPS (Intrusion Prevention System) で保護するシステム メール スパムの割合 レポート Sophos UTM 9.2 SG シリーズ アプライアンス サイジングガイド 2.UTM 利用ユーザーの総数から機種を選定する 以下の表を使用して「UTM 利用ユーザーの総数」に該当する SG シリーズ ハードウェア アプライアンス を確認します。 ÌÌ 「UTM 利用ユーザーの総数」の目盛りは、各サブスクリプションのみで使用した場合の推奨ユーザー 数を表します。 ÌÌ 利用ユーザーの総数には、必ず VPN、RED、ワイヤレス AP を介して接続するユーザーも 含めてください。 サブスクリプションのプロファイル FW/Email Protection SG 105 Network Protection SG 105 Web Protection SG 105 FW/Email + Network + Web SG 105 All UTM Modules SG 105 Total UTM Users SG 125 SG 115 SG 115 SG 115 SG 115 SG 115 10 SG 125 SG 125 SG 125 SG 125 25 SG 135 SG 135 SG 210 SG 135 SG 135 SG 135 SG 210 SG 210 SG 210 35 SG 230 SG 310 SG 230 50 100 SG 330 SG 310 SG 330 250 SG 430 SG 450 SG 450 SG 450 SG 450 SG 550 SG 550 SG 550 1,000 2,500 スクリプション プロファイルのいずれかに追加する場合は、おおよその目安として UTM 利用ユーザ ーの総数を 5%~10% 多く見積もります。※多くの場合、上位機種を選定することをお勧めします。 3.特定のスループット要件をチェックする お客様の環境によっては、特定のスループット要件があり、初期の見積もりから、より処理能力の高い (または低い) 機器へ見積もりの調整が必要になる場合があります。 インターネットで利用可能な最大アップリンク容量 お客様のインターネット接続 (アップリンンクおよびダウンリンク) の容量は、選択した機器が転送 できる平均的なスループットレートと一致する必要があります (使用しているサブスクリプション によって変わります)。 たとえば、ダウンロードまたはアップロードの上限が 20Mbps のみの場合には、算定したユーザー 数が 100 人前後であっても SG 210 の代わりに SG 230 を使用する効果はほとんどありません。 この場合には、すべての UTM 機能が有効に設定されていたとしても、インターネット接続に SG 210 で十分に対応できる可能性があります。 ただし、データのフィルタリングはインターネット向けにのみ実行されているとは限らず、社内 ネットワークのセグメント間でもフィルタリングが行われる可能性があります。この場合の評 価では、ファイアウォールを通過する社内トラフィックも考慮に入れる必要があります。 お客様の使用条件などに基づく特定のパフォーマンス要件 お客様が、接続しているすべての社内および外部のインターフェース全体のスループット要件を (お客様の過去の経験などから) 把握している場合、選択した機器がその数値に対応できるかどうか を確認してください。 たとえば、お客様が DMZ 内にいくつかのサーバーを持ち、すべてのセグメントからの、それらのサ ーバーへの全トラフィックが IPS によって検査されることが必要である場合があります。または、 お客様が多くの異なるネットワークセグメントを持ち、 (ファイアウォール パケットフィルタやア プリケーションコントロール機能を使用して) それらを相互に保護する必要がある場合があります。 この場合は、社内のすべてのセグメント間の全トラフィックをスキャンできる機器が必要です。 SG 650 SG 650 SG 650 ÌÌ Wireless Protection、Webserver Protection、または Endpoint Protection モジュールを上記のサブ 特定の要件は、通常次の 2つの要因が原因で発生します。 SG 650 SG 650 注: Sophos UTM 9.2 SG シリーズ アプライアンス サイジングガイド SG 550 SG 550 SG 450 SG 430 SG 430 500 SG 430 SG 430 SG 330 SG 310 SG 230 SG 330 SG 330 SG 310 SG 230 SG 210 SG 310 SG 230 5,000 その他のパフォーマンス上の要件があるかどうかを確認するには、以下の内容を確認します。 ÌÌ ÌÌ ÌÌ ÌÌ 必要なサイト間 VPN トンネルの数は? 1時間あたりのメール転送数 (平均またピーク時) は? 生成される Web トラフィック量 (Mbps またはリクエスト/秒、平均またピーク時) は? 保護が必要な Web サーバー数および予想されるトラフィック量 (平均またピーク時) は? 以下のセクションに一覧されているパフォーマンスに関する詳細な数値を参考にして、選択 したアプライアンスが個別のすべての要件に対応できるかどうかを判断します。 Sophos SG シリーズ ハードウェアのパフォーマンス値 以下の表の値はソフォスのテストラボで計測されたもので、トラフィックタイプ別のパフォーマンス値を一覧にして います。「実環境」の値は、一般的または現実的なトラフィックで達成可能なスループットの値を示し、「最大」 の値は非常に大きなパケットサイズを使用するなどの理想的な条件で達成可能なスループットを示しています。 お客様が機器を使用する環境は、ユーザーに特殊な条件、使用しているアプリケーション、セキュリティ 設定などの要因によって変わってくるため、下記の数字が必ず実現されるわけではありません。 小規模企業向け - デスクトップ ※SG 105(w) / 115(w) / 125(w) / 135(w) は、2014年 12月販売を予定しております。 SG 105(w) rev.1 SG 115(w) rev.1 SG 125(w) rev.1 SG 135(w) rev.1 ファイアウォール最大 1 (Mbps) 1,500 2,300 3,100 6,000 ファイアウォール実環境 (Mbps) 1,420 1,630 2,100 3,650 ATP 実環境 (Mbps) 機種 パフォーマンスを示す数値 2 1,260 1,470 1,490 3,200 IPS 最大 1 (Mbps) 350 500 750 1,500 IPS 全ルール (Mbps) 165 200 320 540 FW + ATP + IPS 最大 1 (Mbps) 810 950 1,140 1,750 2 FW + ATP + IPS 実環境 2 (Mbps) アプリケーションコントロール実環境 2 (Mbps) VPN AES 最大 3 (Mbps) VPN AES 実環境 4 (Mbps) Web プロキシプレーン (Mbps) 120 135 165 370 1,320 1,430 1,790 3,120 325 425 500 1,000 95 130 155 280 215 380 475 850 Web プロキシ – AV 5 (Mbps) 90 120 200 350 HTTP リクエスト数/秒 – AV 360 500 900 1,650 15,000 20,000 24,000 36,000 5 5 最大推奨接続数 新規 TCP 接続/秒 同時 TCP 接続数 1,000,000 1,000,000 2,000,000 2,000,000 同時接続 IPsec VPN トンネル数 80 145 175 250 同時接続 SSL VPN トンネル数 35 55 75 120 同時接続エンドポイント台数 10 20 30 40 同時接続アクセスポイント 同時接続 RED 台数 (UTM/FW) 1. 1518 バイト パケットサイズ (UDP)、 デフォルトのルールセット 2. NSS Perimeter Mix (TCP/UCP) 3. AES-NI (利用可能な場合 AES GCM を併用) (UDP) 10 20 30 40 10/30 15/60 20/80 25/100 5. スループット: 100kバイト ファイル、リクエス ト / 秒: 1Kバイト ファイル (記載されている数字 はシングルスキャンによるもので、デュアルスキャ ンが有効な場合にスループットは 15-20% 減少) 6. 技術的限界 4. NSS Core Mix (TCP/UCP) Sophos UTM 9.2 SG シリーズ アプライアンス サイジングガイド 中規模企業向け- 1U 機種 SG 210 rev.1 SG 230 rev.1 SG 310 rev.1 SG 330 rev.1 SG 430 rev.1 SG 450 rev.1 パフォーマンスを示す数値 ファイアウォール最大 1 (Mbps) 11,000 13,000 17,000 20,000 25,000 27,000 ファイアウォール実環境 2 (Mbps) 6,270 6,350 6,560 8,850 11,450 12,750 ATP 実環境 2 (Mbps) 3,724 3,748 5,230 8,550 11,310 12,180 IPS 最大 1 (Mbps) 2,000 3,000 5,000 6,000 7,000 8,000 608 714 1,390 1,420 1,650 1,970 1,910 2,850 4,790 5,890 6,650 7,570 432 572 875 880 950 1,690 アプリケーションコントロール実環境 2 (Mbps) 3,658 3,801 5,150 8,570 11,350 12,230 VPN AES 最大 3 (Mbps) 1,000 2,000 3,000 4,000 4,000 5,000 300 400 850 1,200 1,550 1,800 1,350 1,650 2,100 2,950 3,510 4,100 Web プロキシ – AV 5 (Mbps) 500 800 1,200 1,500 2,000 2,500 HTTP リクエスト数/秒 5 – AV 2,100 2,300 3,100 4,200 5,400 6,500 IPS 全ルール (Mbps) FW + ATP + IPS 最大 1 (Mbps) FW + ATP + IPS 実環境 2 (Mbps) VPN AES 実環境 4 (Mbps) Web プロキシプレーン 5 (Mbps) 最大推奨接続数 新規 TCP 接続/秒 60,000 70,000 100,000 120,000 130,000 140,000 4,000,000 4,000,000 6,000,000 6,000,000 8,000,000 8,000,000 同時接続 IPsec VPN トンネル数 350 500 800 1,200 1,600 2,000 同時接続 SSL VPN トンネル数 180 200 230 250 280 300 同時接続エンドポイント台数 75 150 300 500 750 1,000 同時接続アクセスポイント 75 100 125 150 222 6 222 6 30/125 40/150 50/200 60/230 70/250 80/300 同時 TCP 接続数 同時接続 RED 台数 (UTM/FW) 大規模企業向け - 2U SG 550 rev.1 SG 650 rev.1 ファイアウォール最大 1 (Mbps) 40,000 60,000 ファイアウォール実環境 2 (Mbps) 14,070 18,950 ATP 実環境 2 (Mbps) 13,230 17,845 IPS 最大 1 (Mbps) 12,000 16,000 機種 パフォーマンスを示す数値 IPS 全ルール (Mbps) FW + ATP + IPS 最大 1 (Mbps) FW + ATP + IPS 実環境 2 (Mbps) 3,895 5,710 15,980 25,600 3,280 6,130 13,350 13,990 VPN AES 最大 3 (Mbps) 8,000 10,000 VPN AES 実環境 4 (Mbps) 2,110 2,380 Web プロキシプレーン 5 (Mbps) 4,700 6,800 Web プロキシ – AV 5 (Mbps) 3,500 5,000 HTTP リクエスト数/秒 5 – AV 15,000 23,500 アプリケーションコントロール実環境 2 (Mbps) 最大推奨接続数 新規 TCP 接続/秒 同時 TCP 接続数 200,000 220,000 12,000,000 20,000,000 2,200 2,800 同時接続 IPsec VPN トンネル数 同時接続 SSL VPN トンネル数 同時接続エンドポイント台数 同時接続アクセスポイント 同時接続 RED 台数 (UTM/FW) 1. 1518 バイト パケットサイズ (UDP)、 デフォルトのルールセット 2. NSS Perimeter Mix (TCP/UCP) 3. AES-NI (利用可能な場合 AES GCM を併用) (UDP) 340 420 1,000 6 1,000 6 222 6 222 6 100/400 150/600 5. スループット: 100kバイト ファイル、リクエス ト / 秒: 1Kバイト ファイル (記載されている数字 はシングルスキャンによるもので、デュアルスキャ ンが有効な場合にスループットは 15-20% 減少) 6. 技術的限界 4. NSS Core Mix (TCP/UCP) Sophos UTM 9.2 SG シリーズ アプライアンス サイジングガイド Sophos UTM 9.2 SG シリーズ アプライアンス サイジングガイド Sophos UTM ソフトウェアアプライアンス / 仮想アプライアンス Intel 互換の PC / サーバー上に Sophos UTM のソフトウェアをインストールするのに一般的なシステム 設定を選択するには、(上記のガイダンスに従って) 必要に合致した Sophos SG シリーズ ハードウェアア プライアンスを最初に選択した後、以下の表から適切なハードウェア設定を選択することをお勧めします。 ※ SG 105(w) / 115(w) / 125(w) / 135(w) は、2014年 12月販売を予定しております。 機種 CPU SG 105(w) SG 115(w) SG 125(w) SG 135(w) rev.1 rev.1 rev.1 rev.1 Atom Baytrail DualCore (1.46GHz) Atom Baytrail Dual Core (1.75GHz) 2 4 メモリ (GB) Atom Atom Rangeley Rangeley Dual Core Quad Core (1.7GHz) (2.4GHz) 4 6 SG 210 rev.1 SG 230 rev.1 SG 310 rev.1 Celeron Dual Core (2.70GHz) Pentium Dual Core (3.20GHz) Dual Core i3 (3.50GHz) 8 8 12 SG 330 rev.1 SG 430 rev.1 SG 450 rev.1 Quad Quad Core Quad Core Core i5 Xeon E3Xeon E3(2.9GHz) (3.20GHz) (3.50GHz) 12 16 仮想環境で Sophos UTM を使用した場合、ハイパーバイザーフレームワーク によって最大 10% までのパフォーマンスの低下が予想されます。 ソフトウェア / 仮想インストールのライセンスで「ユーザー」は何を指すか? ソフォスのソフトウェアライセンスでいう「ユーザー」は、IP アドレスがあり、ソフォス ゲートウェイで保護されている、またはサービスを受信するクライアントマシン、サーバー、 およびその他のデバイスを指します。 「ユーザー」がゲートウェイと通信、またはゲートウェイ経由で通信を行うと、そのユーザー の IP アドレスが、ゲートウェイのローカルデータベースのライセンス済みデバイスの一覧に追加 されます。「ユーザー」がインターネットに接続する行為と、LAN 上の他のデバイスに接続する 行為は区別されません。ゲートウェイへの DNS クエリや DHCP クエリも対象になります。複数の ユーザーが、単一の IP アドレスのある 1台のデバイスを使用して通信する場合 (例: メールサーバー や Web プロキシサーバーなど)、すべてのユーザーは別々のユーザーとして処理されます。 ライセンスの換算では、過去 7日間のデータのみが使用されます。したがって、特定の IP ア ドレスが過去 7日間のうちに使用されなかった場合、データベースから削除されます。 実環境での検証 上記のステップは最適なアプライアンスを選定する基本的な手法です。この方法では、お客様 から入手する情報のみがベースになります。アプライアンスの動作やパフォーマンスは多くの 要因から影響を受けるため、それらを評価するには実環境と同じシナリオで検証を行う必要が あります。このため、実環境での評価は、選定したアプライアンスが実際のパフォーマンス要 件を満たしているかどうかを見極める最適な方法です。詳細についてはソフォス株式会社営 業部までお問い合わせください。サイジングやプラットフォームの選定を支援します。 ソフォス株式会社営業部 Tel:03-3568-7550 Email: [email protected] 英国、オックスフォード | 米国、ボストン © Copyright 2014.Sophos Ltd. All rights reserved. Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK Sophos は、Sophos Ltd. の登録商標です。その他すべての製品および会社名は、それぞれの所有者に帰属する商標または 登録商標です。 09.14RP.sgjp.simple 16 SG 550 rev.1 SG 650 rev.1 2* 6 Core 2* 10 Core Xeon E5Xeon E5(2.6 GHz) (2.8 GHz) 24 48
© Copyright 2024