Licensing

The majority of my customers purchase appliances, which have no limits on IPs... they buy an appliance sized to handle their traffic needs.  We (my company) also sell the UTM as a managed solution, and that is priced per user, not IP.  Take a look at the UTM 100 or 110 basic guard packages with your reseller, it's very competitive with the "other guys" on the low end.

I live with my partner and a 3 year old - yet it is reported that my firewall is protecting ~19 IP's.  (2 PC's, 2 Laptops, 2 Phones, 3 tablets, 5 Sonos units, 2 Smart TVs, 1 Sky Box + 2 remote power units - I bitwise stuff to change yet!)
That would cost over a hundred pound a month if I had to pay for it!!  For two home users and a baby!

Hi Zach,

The Home User License is free, and allows 50 internal IPs.
(It wasn't clear if you have a home license already, or are using a trial license.)

Barry

You definitely should get Sophos pre-sales involved.

Cheers - Bob

Hi Zach,

Comments Inline. One general comment first tho:

Appliance vs Software: I've found that appliances are best suited to environments with high IP count but low demand per IP (or low User count). There's no IP limit so you're limited only by the hardware. Software (IP based) licenses are best suited for environments where the appliances can't keep up and you'd need to be running several levels higher appliance for the IP count. What I mean is if forexample you have a client (50 IP's) who should be okay with a UTM220 but because of loading, they need a 320 or even a 425, then the software becomes a serious option.

We look after all sorts of clients - we have a six strong developer with in the region of 150 development servers spread over 6 physical boxes spanning some  230 IP's once everything is taken into play. Aint no way they are gonna pay upwards of 2.5k per year for mostly natting.

I'm making several assumptions: 1) The servers are internal use only because they are dev boxes. and 2) With that many to manage, the SysAdmin uses some sort of centralized patch/update system for the boxes (Microsoft System Center or a local Linux package repo), and 3) By six strong you mean like maybe half a dozen devs in a small firm.

This sort of environment is somewhere I'd look at putting in a 120 or 220 (probably 220 to be safe). High IP count but most of those IP's are servers that access the internet for updates primarily, all other access is internal. That means the heavier users are the small IP block of devs which I'm going to assume is more like 25 IP's tops.

Similarly I have larger clients with perhaps 30 people who have no internal systems but do need web protection and a single VPN which is also very expensive per user.

This would most likely be a place for a UTM 120. Depending on the client, if this were a branch office you could also look at a RED10/50 if most access is across a S2S VPN back to HQ.

Even for a 'normal' client with internal systems, once you count everything (Workstation, laptop, phone, tablet, VOIP handset , printer , Smart TV's, Sky Boxes, Music systems, visitors, demo systems, development servers the costs escalate into the ridiculous.

Again, once you look at loading, unless these are power users an appliance is most likely cheaper then buying software.

This introduces another thing you can do if you need to use software based licenses. Isolate any equipment that doesn't need to run through the UTM. If your VoIP phones are tied to an internal PBX system, place them on a separate (physical or virtual) LAN. If printers don't need access beyond their local LAN, you can configure them without a gateway and they won't contact the UTM, so won't get counted.

That sort of tweaking is debatable as to whether it's against the spirit of the licensing but my argument has always been that the UTM is intended to protect devices crossing subnets (or the Internet) and not devices restricted to a local LAN. So that VoIP phone or networked laser printer that will never need to access the internet need not be counted. These techniques just ensure that devices that need protection are counted, those that don't aren't.[;)]

I live with my partner and a 3 year old - yet it is reported that my firewall is protecting ~19 IP's.  (2 PC's, 2 Laptops, 2 Phones, 3 tablets, 5 Sonos units, 2 Smart TVs, 1 Sky Box + 2 remote power units - I bitwise stuff to change yet!)
That would cost over a hundred pound a month if I had to pay for it!!  For two home users and a baby!

That's what a 50 IP home license is for. [:)]

So, my questions: Was it always like this or is this a Sophos thing ? Is it worth it (It's triple the price of many competitors) - ? How 'lax' are they with over stepping the User/Ip/Device grey zones ?  It just seems like a mess - what do you guys do ?

One just has to look at the pricing for a similar feature set from Cisco or Microsoft (back when they had a firewall system), or any major enterprise vendor and you'll see a different picture. That said, if you compare this against the Untangle's and Barracuda's of the world, yes it's expensive. Personal experience testing untangle & barracuda however explains why they're cheap.

Thanks for the replies guys,

I have chatted to Sophos and I have a pretty good deal with a couple 220's so i'll see how they perform on 100meg lines with multiple VPN's ...

I'll take on board the point about segmenting off things like Sonos, Sky, TV's, printers etc and running them through a separate atom box with the basic firewall bit of a pita.  Some sites, of course,  have an externally hosted PBX...

I agree with Drew, Zach.  

He mentioned RED for branch offices - that will begin to convince you that the UTM is a bargain.  When you realize that you can configure that to have a single subnet for several branches, and have DHCP done by a central server, you'll congratulate yourself for having taken the plunge. [;)]

If you then also use Wireless Security with Sophos Access Points, you'll find that you pay half of what HP and Cisco charge for an enterprise wireless solution.

Welcome to the User BB!

Cheers - Bob

Hi Bob, I'm looking forward to trying red box, neat idea: but I can't help thinking about congestion and points of failure.  Most all of of my clients remote offices are remote because they are semi-autonomous units, rather than a slave off the HQ.  Indeed, I host a PBX at one of our datacenters for a client with three offices, 30, 15 and 5 users - although data is stored at the primary location (read only DC's and synced files at other two) since for this company voice com is the most important thing we took that out to a resilient location so a transient point of failure at the primary location wouldn't upset other offices voice com.  I havn't looked and a bit OT but is the RED multi-link capable?

We have openvpn solutions and similar all over the place for inter-branch and voice traffic - paying thousands of pounds a year for the ability to use (for example) a couple dozen SNOM phone with their own in-built VPN to connect to a remote PBX is utterly unsaleable. 

Regarding wireless, I have found Ruckus to be pretty darned epic as far as penetration and scalability - so we have settled on this as our multi access point solution, with many successful installs.  I haven't even looked at the UTM's ability to force-roam, channel hop and vary signal strength on AP's - but I would be surprised if it is nearly as good as ruckus - but my main fear would be forced lock in.  Should we want (or have to) change our perimeter solution, then we are stuck with Sophos UTM's and their AP's which is not a cost effective solution as a wireless provisioning service on it's own.  In fact, as I understand it wireless will stop working if the subs aren't paid.

The wireless licensing is another massive anomaly I don't have to deal with.  The scaling is silly on the hardware UTM's. Why is the wireless service twice the price on the 220 as the 120 ?  

In regards to wireless transitory licencing / software licencing, how long does concurrency last as a 'licence' - we have a client who runs conferencing facilities, perhaps 800 wireless devices throughout the day, everyday: unique devices.

According to sophos that's not a problem, I wouldn't need an unlimited licence it's just CURRENT users.  So of 800 registered devices that could be 100. Fine.

So If I have an office of 100 people, 100 workstations working 12 hour shifts I only need a 50 user licence?  According to Sophos: No, I would need 100.   In fact I would need a 350 user licence because they have all the ancillaries mentioned above. (PC, Phone, Smartphone, printers, music etc etc)



Like I mentioned my primary reason for trying out the UTM was because we could be in charge of hardware and scale accordingly.    If I have a client with a 120 and they upgrade their internet link and we need to buy a 220 fair enough... but that client will not accept over doubling the annual fee just because their pipe is fatter.  This is the situation I am in now with 'appliances' those suited to the organisation size simply do not scale with modern internet speeds, especially when you start multiple subnets and VPN's.

Thing is, I don't want to start down a road of favours and Sophos sales deals to have the carpet ripped from under me in 1,2,3 years time.  I want to know how it works, what happens if the worst happens and a client can't pay (A few years ago we had a couple clients shrink from 300/400 users down to a score or two - imagine that with a large UTM to pay for!)

Gosh, that turned out to be a big one again. Sorry - I don't mean to rant, just trying to explain my position .. It's tough when you have to make the decision, support & maintain the decision and be the go to if it all goes wrong.  For 60+ companies of varying types sizes - It's mad me even going for a single platform, but it makes life much easier for us!

The cost of these utm devices is ridiculous for what your paying for and the liscencing cost on top is even still mote expensive...

Once you go past a utm320 it jumps up in price dramatically  for subscription

What I don't understand is the utm  subscription is still the exact same software across all the utm's but because you have faster more capable device (that we bought from sophos) it doubles the subscription cost.

I reckon you should indeed check other options, the utm's are pretty underspeced when you start running alot of the full guard modules (that you pay for), for example they recommend 75-150 for a utm 220 - we have 60 users and we had to upgrade the ram because the performance was becoming poor when we start running more than a few modules.

So inconclusion only purchase a utm for up to 200 users with a 320 and any more u either fork out big bucks for their high speced models with massive increase in subscriprion or look at other vendors [:(]

Edit: also on a side note a 120 is so bad we had to upgrade to a 220 we had 30 users which it sayd the 120 should be more than capable but it was slow and download speeds attrocious it just didnt have the grunt. I recommend a 220 for any more than 20.

I have clients using UTM 120 Full Guard in offices from 10 to 60 active users, and am not seeing the problems you describe, Matt.  Clients with 220s have 50 to 120 active users and no problems.  I also have several clients where the most cost-effective solution was a 100-IP license running on IBM/HP server.  I have several clients with 320s that I have counseled replacement of their aging 320 with a new 220 when current licensing expires.

If you have only 200 users and they are maxing out a 320, then the better solution is a 250-IP software license.  Your reseller can get a one-month trial of an appliance from Sophos to confirm that it's powerful enough.

I wouldn't need an unlimited license it's just CURRENT users. So of 800 registered devices that could be 100.

In fact, you would need a 1000-IP or unlimited license, so a UTM 120 or 220 would be the best choice depending on the numbers of APs and SSIDs required.

Cheers - Bob

I have also few sites running on 220 appliances with Full Guard - some of them are hotels with large Aironet WLAN behind the UTM. The most simultan user count was 940 devices (same time). 
But never seen those Performance problems...and you can beleave, that many clients use the free wlan for Bittorrent also. ;-)