Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 47 replies
  • Subscribers 2 subscribers
  • Views 24501 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Appliance sizing

RStokes
Hi All,

I am looking to size which 2 appliances I will need, and would like your input.

We have 2 offices, each with there own WAN links, and between the 2 offices a 10Mbps point to point link

Office 1:
2 WAN links, [up/down speed in Mbps] 100/4 and 35/5
60 active users at most at one time, browsing & occasional downloads.
average of 5 Guest users (always on WiFi) 
10-15 VPN users using RDC (planning on using the HTML5 portal)
Email server for 200 users (sees an average traffic of 1200 emails per day in total)
WSUS server
Web Server (hosting sensitive medical data, will use WAF).
planning on 9 Wireless Access Points (1x AP50, 5x AP30, 3x AP10)

Office 2:
1 WAN link, 30/4 
Email Server (same as above)
10 users, browsing & downloading.
Replica of 6 VM servers from office 1 (office 2 is also a DR site)
3 Wireless Access Points (1x AP50, 2xAP30, maybe 1xAP10 in the future to cover a dead spot)

Both UTMs will need full guard, I was thinking of the UTM 220 for Office 1 and UTM 110 or UTM 120 for Office 2.

At the moment we are running a Juniper SSG140 with Barracuda 220 at office 1 and a Juniper SSG5 at office 2

Thanks, any input on your real world performances would be very welcome.


This thread was automatically locked due to age.
  • 0
    possibly but you'll loose all support if you do that....I would not recommend anything below a 2xx in your situation.
  • 0 in reply to William Warren
    possibly but you'll loose all support if you do that....I would not recommend anything below a 2xx in your situation.


    Never under UTM 220!
    You wrote, that you want to use many features and the html5 portal (for this portal, you need ressources). And WAF (hosting medical data)... Also business applications?

    For the future and comming firmware versions (more features), you must buy the Sophos UTM 320. Do you have more powerfull users? (screenshot)

    Without knowing your business etc. my impression is.... I would almost recommend UTM 425 rev.5. 

    Nice greetings
  • 0 in reply to GuyFawkes
    I see.

    First: just to get it off my my mind. Why do not Sophos more accurately portray the scenario of users and devices. I guess there is no answer to this, or they are more interested in the first sale of repeat sales / loyalty. OK now thats off my mind.

    Perhaps in this scenario, a software appliance would be more fitting.
  • 0 in reply to RStokes
    I see.

    First: just to get it off my my mind. Why do not Sophos more accurately portray the scenario of users and devices. I guess there is no answer to this, or they are more interested in the first sale of repeat sales / loyalty. OK now thats off my mind.

    Perhaps in this scenario, a software appliance would be more fitting.


    In this case (software license), remember, that you must license EVERY IP.
    Every IP that is in the ARP cache of your UTM. Every mobile, every printer and many many many more. The hardware license is without this limitation, the only problem with the hardware is, if you sizing is bad (or planning the UTM, or your company grows) the UTM can be slow.

    Nice greetings
  • 0 in reply to GuyFawkes
    OK, its a new deployment, I just went to the office to check things out, along with the sizing guide (Im right next to the office so no speed limits broke).

    We are looking at 37 users sitting behind the UTM. They will have about 20 Wireless devices (including cell phones, ipads etc...) that will have light usage (the 20 devices belong to the 37 users, so its not 37+20 in one sense).

    Mail server, handling around: 250 - 1700 messages per 24hr period (thats lowest and highest per 24hr period in the last 8 weeks), average is 900 per 24h period. HOWEVER they have a seperate system for mail filtering / AV filtering. This site will be using WAF, IPS, HTML5 and the APs

    In the other office it will be 7 user behind the UTM, with 1 access point and around 7 wireless devices (android phones and ipads mainly).

    I explained the scenario, they are happy, the upgrade plan in the event of growth is move the 220 to the small office, and upgrade the 110 / 120 to a 320 and put that in the bigger office
  • 0
    I agree with your choices.  With the 220, you might well be tight on resources if you do everything in the way described.  If you expect that you will have 10+ active HTML5 VPN users at one time, then I wouldn't recommend it.  Instead, set up L2TP/IPsec for PCs and the Cisco server for Apple devices.  We can help you with that in a new thread if you go that direction.

    Cheers - Bob
  • 0 in reply to BAlfson
    A 220 would be too light so definitely go higher.
  • 0 in reply to BAlfson
    I agree with your choices.  With the 220, you might well be tight on resources if you do everything in the way described.  If you expect that you will have 10+ active HTML5 VPN users at one time, then I wouldn't recommend it.  Instead, set up L2TP/IPsec for PCs and the Cisco server for Apple devices.  We can help you with that in a new thread if you go that direction.

    Cheers - Bob


    Thanks, the HTML5 VPN users wont be at the same time, probably peaking at 5, usually they will be users from the office connecting at the weekend or out of hours, which means we will have a lot less activity on the inside. (IE 3-5 HTML5 users with 10 in the office at the weekends). We can probably do with out the HTML5 for the small office in all reality, or just use it for system / server administration at most, ie for me.

    Also, talking to the office managers, it appears we will have around 37 users in total, with usually around 30 of these being active during peak times.
  • 0
    There's no reason to not configure it  in the 120 for the folks there.  It's easier to configure individual RDP accesses with HTML5 than with "classic" VPNs and firewall rules.  You'll be fine!

    Many newbies run afoul of what I call The Zeroeth Rule:

    Start with a hostname that is an FQDN resolvable in public DNS to your public IP.
    If you didn't do that, start over with a factory reset; it will save you hours and frustration.


    Cheers - Bob
    PS In a PM, RStokes commented that he won't be using Web Filtering and that email will be filtered before it gets to the 220.  I think he could do both without stressing either the 120 or the 220 in the scenario described.  Some folks worry about spam clogging their inbound pipe, but that's not likely.  98% of spam is rejected before the mail is sent to the UTM's SMTP Proxy, so there's less than a thousand bytes through the pipe for each of those rejections.
  • 0 in reply to BAlfson
    Hi All,

    Ok, the devices are ordered.

    UTM 220 for less than 40 users, and the UTM 110/120 for less than 10 users, We will have full guard, but the modules we really be utilizing are:

      Essential Network Firewall (ofcourse)
      IPS
      Branch office VPN
      HTML5 portal
      WAF 
      AV
      Wireless Protection


    Small question, to use the Web Protection units like Application Control, URL Filtering, Anti-Virus/Anti-spyware do we need to use HTTP Proxy? I was thinkng that the proxy would only be required for Web and User Reporting along with HTTPS Scanning? or am I badly mistaken. In which case I will have some Questions about HTTP Proxy, which I figure will be for another area of the Forum