Licensing

Hi Zach,

Comments Inline. One general comment first tho:

Appliance vs Software: I've found that appliances are best suited to environments with high IP count but low demand per IP (or low User count). There's no IP limit so you're limited only by the hardware. Software (IP based) licenses are best suited for environments where the appliances can't keep up and you'd need to be running several levels higher appliance for the IP count. What I mean is if forexample you have a client (50 IP's) who should be okay with a UTM220 but because of loading, they need a 320 or even a 425, then the software becomes a serious option.

We look after all sorts of clients - we have a six strong developer with in the region of 150 development servers spread over 6 physical boxes spanning some  230 IP's once everything is taken into play. Aint no way they are gonna pay upwards of 2.5k per year for mostly natting.

I'm making several assumptions: 1) The servers are internal use only because they are dev boxes. and 2) With that many to manage, the SysAdmin uses some sort of centralized patch/update system for the boxes (Microsoft System Center or a local Linux package repo), and 3) By six strong you mean like maybe half a dozen devs in a small firm.

This sort of environment is somewhere I'd look at putting in a 120 or 220 (probably 220 to be safe). High IP count but most of those IP's are servers that access the internet for updates primarily, all other access is internal. That means the heavier users are the small IP block of devs which I'm going to assume is more like 25 IP's tops.

Similarly I have larger clients with perhaps 30 people who have no internal systems but do need web protection and a single VPN which is also very expensive per user.

This would most likely be a place for a UTM 120. Depending on the client, if this were a branch office you could also look at a RED10/50 if most access is across a S2S VPN back to HQ.

Even for a 'normal' client with internal systems, once you count everything (Workstation, laptop, phone, tablet, VOIP handset , printer , Smart TV's, Sky Boxes, Music systems, visitors, demo systems, development servers the costs escalate into the ridiculous.

Again, once you look at loading, unless these are power users an appliance is most likely cheaper then buying software.

This introduces another thing you can do if you need to use software based licenses. Isolate any equipment that doesn't need to run through the UTM. If your VoIP phones are tied to an internal PBX system, place them on a separate (physical or virtual) LAN. If printers don't need access beyond their local LAN, you can configure them without a gateway and they won't contact the UTM, so won't get counted.

That sort of tweaking is debatable as to whether it's against the spirit of the licensing but my argument has always been that the UTM is intended to protect devices crossing subnets (or the Internet) and not devices restricted to a local LAN. So that VoIP phone or networked laser printer that will never need to access the internet need not be counted. These techniques just ensure that devices that need protection are counted, those that don't aren't.[;)]

I live with my partner and a 3 year old - yet it is reported that my firewall is protecting ~19 IP's.  (2 PC's, 2 Laptops, 2 Phones, 3 tablets, 5 Sonos units, 2 Smart TVs, 1 Sky Box + 2 remote power units - I bitwise stuff to change yet!)
That would cost over a hundred pound a month if I had to pay for it!!  For two home users and a baby!

That's what a 50 IP home license is for. [:)]

So, my questions: Was it always like this or is this a Sophos thing ? Is it worth it (It's triple the price of many competitors) - ? How 'lax' are they with over stepping the User/Ip/Device grey zones ?  It just seems like a mess - what do you guys do ?

One just has to look at the pricing for a similar feature set from Cisco or Microsoft (back when they had a firewall system), or any major enterprise vendor and you'll see a different picture. That said, if you compare this against the Untangle's and Barracuda's of the world, yes it's expensive. Personal experience testing untangle & barracuda however explains why they're cheap.

Hi Zach,

Comments Inline. One general comment first tho:

Appliance vs Software: I've found that appliances are best suited to environments with high IP count but low demand per IP (or low User count). There's no IP limit so you're limited only by the hardware. Software (IP based) licenses are best suited for environments where the appliances can't keep up and you'd need to be running several levels higher appliance for the IP count. What I mean is if forexample you have a client (50 IP's) who should be okay with a UTM220 but because of loading, they need a 320 or even a 425, then the software becomes a serious option.

We look after all sorts of clients - we have a six strong developer with in the region of 150 development servers spread over 6 physical boxes spanning some  230 IP's once everything is taken into play. Aint no way they are gonna pay upwards of 2.5k per year for mostly natting.

I'm making several assumptions: 1) The servers are internal use only because they are dev boxes. and 2) With that many to manage, the SysAdmin uses some sort of centralized patch/update system for the boxes (Microsoft System Center or a local Linux package repo), and 3) By six strong you mean like maybe half a dozen devs in a small firm.

This sort of environment is somewhere I'd look at putting in a 120 or 220 (probably 220 to be safe). High IP count but most of those IP's are servers that access the internet for updates primarily, all other access is internal. That means the heavier users are the small IP block of devs which I'm going to assume is more like 25 IP's tops.

Similarly I have larger clients with perhaps 30 people who have no internal systems but do need web protection and a single VPN which is also very expensive per user.

This would most likely be a place for a UTM 120. Depending on the client, if this were a branch office you could also look at a RED10/50 if most access is across a S2S VPN back to HQ.

Even for a 'normal' client with internal systems, once you count everything (Workstation, laptop, phone, tablet, VOIP handset , printer , Smart TV's, Sky Boxes, Music systems, visitors, demo systems, development servers the costs escalate into the ridiculous.

Again, once you look at loading, unless these are power users an appliance is most likely cheaper then buying software.

This introduces another thing you can do if you need to use software based licenses. Isolate any equipment that doesn't need to run through the UTM. If your VoIP phones are tied to an internal PBX system, place them on a separate (physical or virtual) LAN. If printers don't need access beyond their local LAN, you can configure them without a gateway and they won't contact the UTM, so won't get counted.

That sort of tweaking is debatable as to whether it's against the spirit of the licensing but my argument has always been that the UTM is intended to protect devices crossing subnets (or the Internet) and not devices restricted to a local LAN. So that VoIP phone or networked laser printer that will never need to access the internet need not be counted. These techniques just ensure that devices that need protection are counted, those that don't aren't.[;)]

I live with my partner and a 3 year old - yet it is reported that my firewall is protecting ~19 IP's.  (2 PC's, 2 Laptops, 2 Phones, 3 tablets, 5 Sonos units, 2 Smart TVs, 1 Sky Box + 2 remote power units - I bitwise stuff to change yet!)
That would cost over a hundred pound a month if I had to pay for it!!  For two home users and a baby!

That's what a 50 IP home license is for. [:)]

So, my questions: Was it always like this or is this a Sophos thing ? Is it worth it (It's triple the price of many competitors) - ? How 'lax' are they with over stepping the User/Ip/Device grey zones ?  It just seems like a mess - what do you guys do ?

One just has to look at the pricing for a similar feature set from Cisco or Microsoft (back when they had a firewall system), or any major enterprise vendor and you'll see a different picture. That said, if you compare this against the Untangle's and Barracuda's of the world, yes it's expensive. Personal experience testing untangle & barracuda however explains why they're cheap.