Startseite » Blog » Sophos Firewall » Lohnt sich der Kauf der neuen XGS Hardware?
Lohnt sich der Kauf der neuen XGS Hardware

Lohnt sich der Kauf der neuen XGS Hardware?

Ich weiss nicht, wie es euch geht, aber bei Produkten, die ich täglich im Einsatz habe und für mich unverzichtbar sind, bin ich stets auf dem Laufenden, was die Weiterentwicklung angeht. Das betrifft zwar überwiegend technische Geräte, aber ich bin auch ein Geek. 😄

Bei all diesen Geräten verfolge ich eine klare Strategie, wann es Zeit ist, das Produkt durch den Nachfolger zu ersetzen. Diese Strategie wende ich in diesem Blogpost auf die Sophos Firewall an, um herauszufinden, ob es sich lohnt, auf die neue XGS Hardware zu wechseln oder nicht.

Spoiler: In den meisten Fällen tut es das tatsächlich nicht. 🤐

4 Gründe, um über den Kauf einer neuen XGS-Firewall nachzudenken

Seit April 2021 ist die neue XGS Hardware nun auf dem Markt. Es gibt verschiedene Faktoren, wann sich der Kauf einer XGS Hardware wirklich lohnt. Im folgenden Abschnitt schauen wir uns 4 Vorzeichen an, die eine Kaufentscheidung rechtfertigen können:

1. Defekt

Wenn ein Gerät kaputtgeht und die Garantie ausgelaufen ist, muss es oft schnell gehen und es fehlt die Zeit für eine tiefergehende Recherche. Hier sollte man bereits im Vorfeld wissen, wie man die Infrastruktur wieder zum Laufen bekommt und wie allenfalls die Lieferzeiten eines Ersatzgerätes aussehen. Die Firewall ist das Herzstück des Netzwerks. Die wenigsten können sich einen längeren Unterbruch leisten. Unternehmen mit mehr als 20 Mitarbeitern haben aber oft eine HA Lösung, was die Situation bei einem Ausfall etwas entschärfen kann.

SG Firewall mit UTM OS 🤕

Leider sehen wir oft, dass es Kunden mit einer SG Hardware trifft, welche noch das UTM OS verwenden. In so einer Situation ist der Kauf einer XGS Firewall nicht zu empfehlen. Der Betrieb soll ja möglichst schnell wieder funktionieren und da ist keine Zeit für eine Migration auf das SFOS. Man sollte also schnellstmöglich das gleiche Modell der SG Firewall nachbestellen, um die Konfiguration aus der Sicherungskopie unkompliziert wieder herzustellen.

Wir empfehlen grundsätzlich allen Kunden, die noch eine SG Firewall mit dem UTM-Betriebssystem einsetzen, über eine Migration auf das SFOS nachzudenken. Die Migration der Lizenz ist kostenlos und die Laufzeit wird 1:1 übernommen. Für die Migration kann euch folgende Anleitung weiterhelfen: Sophos XG Firewall OS auf einer SG Appliance installieren

Solltet ihr Unterstützung bei der Migration von UTM auf SFOS benötigen, helfen wir gerne weiter. Die UTM Hardcore-Fans unter euch, die auf keinen Fall auf das SFOS wechseln möchten, können auch einfach warten, bis das UTM OS End-of-Life geht. Das wird sicher nicht vor Ende 2025 der Fall sein. Eventuell können euch aber auch die folgenden beiden Blogposts zum Umdenken bewegen:

2. Keine Updates mehr

Wenn eine Software über ein Jahr keine Updates mehr erhalten hat, ändert sich bei mir die Gefühlslage. Bei über zwei Jahren (oft schon vorher), wird nach alternativen gesucht, um diese zu ersetzen. Nur schon deswegen wäre es für mich unvorstellbar, heute noch eine Sophos Firewall mit dem UTM-Betriebssystem zu betreiben. 😜

Alle anderen, die auf ihrer SG Firewall das SFOS installiert haben oder über eine XG Firewall verfügen, sollten überprüfen, ob auf ihrer Appliance das SFOS v18.5+ noch installiert werden kann. Im folgenden Post haben wir beschrieben, welche Geräte nicht mehr die aktuellste Version erhalten werden: Sophos Firewall Appliances: Unterstützte Hardware für SFOS v18+

Hinweis: Sophos wollte zuerst auch die SG Firewalls mit SFOS und XG Firewalls der älteren Generation von den Updates abschneiden. Doch Anfang des Jahres 2021 ist Sophos von diesem Vorhaben abgewichen und alle aktuellen SG- und XG-Modelle erhalten nach wie vor die neuesten SFOS Versionen.

Solltet ihr also nicht über eine ältere Revision einer SG oder XG Firewall verfügen, die keine Updates mehr erhält, kann ich auch hier keine wirkliche Kaufempfehlung für die XGS Firewall aussprechen.

3. Keine Garantie mehr

Ein weiterer Punkt, der bei meiner persönlichen Kaufstrategie eine wichtige Rolle spielt, ist die Garantie eines Produkts. Sobald diese nämlich ausgelaufen ist, prüfe ich automatisch, ob es Möglichkeiten für eine Verlängerung gibt, oder es an der Zeit ist, das Produkt zu ersetzen.

Die XG Firewalls haben mit der entsprechenden Lizenz 5 Jahre Garantie. Solltet ihr zu den Leuten gehören, die sich 2016 die erste Revision einer XG Firewall gekauft haben, ist eure Firewall also spätestens jetzt nicht mehr von der Herstellergarantie abgedeckt. In diesem Fall würde ich die folgenden zwei Überlegungen machen:

  • Es wird eine einzelne Appliance betrieben: Hier wäre mir das Risiko zu gross und ich würde die Hardware gegen ein neues XGS Modell ersetzen.
  • Es gibt zwei Appliances in einem HA-Cluster: Auch hier würde ich einen Wechsel anstreben. Sollte das Budget nicht vorhanden sein, kann man auch warten, bis eine der beiden Firewalls ausfällt und sich dann zwei neue XGS Modelle kaufen.

4. Nicht genügend Leistung

Der letzte Punkt auf meiner Liste, der zur Entscheidung eines Neukaufs beitragen kann, ist die Leistungsfähigkeit eines Produkts. Es kommt vor, dass Firmwareupdates ein Gerät über die Zeit langsamer machen, da neue Funktionen reingepackt werden. Oder es verändern sich ganz einfach die eigenen Anforderungen, sodass die ursprüngliche Leistung nicht mehr passt.

Diese Punkte können auch auf eine Sophos Firewall angewendet werden. Überprüft doch einfach mal die Auslastung eurer Firewall, denn auch hier könnte sich die Anzahl Geräte in eurem Netzwerk oder die Anzahl Mitarbeiter über die letzten Jahre verändert haben, wobei die ursprünglich benötigte Leistung nicht mehr den aktuellen Anforderungen entspricht. In so einem Fall wäre ein Wechsel auf die XGS Firewall sicher keine schlechte Idee, sofern das Budget dies zulässt. Die Lizenz kann oft kostenlos auf die neue Appliance übernommen werden.

Hast du hingegen eine aktuelle SG oder XG Firewall, welche noch die neusten Updates vom SFOS bekommt (SFOS 18.5+), weiterhin von der Herstellergarantie abgedeckt wird und keine Performanzprobleme aufweist? Dann lohnt sich der Kauf einer XGS Firewall nicht. Ihr solltet einzig das End-of-Life Datum der XG Firewalls im Auge behalten. Dieses Datum wurde kürzlich noch von Sophos vom 31.12.2024 auf den 31.03.2025 hinausgeschoben.


Zusammenfassung

Wenn ich die 4 Punkte meiner persönlichen Kaufstrategie auf die XGS Firewall anwende, besteht wohl für die wenigsten Bestandskunden Handlungsbedarf. Bei Neukunden ist der Fall natürlich klar und hier würden wir immer zur XGS Hardware raten! Für den Prozess der Kaufentscheidung habe ich für euch abschliessend noch ein Flowchart zusammengestellt. Spielt es einfach selber durch und ihr erfahrt am Ende unsere klare Empfehlung.

Wer eine XG Firewall besitzt und im Moment noch unschlüssig ist, empfehle ich folgenden Blogartikel, der beschreibt, was der Unterschied zwischen einer XG und einer XGS Firewall ist:

Kurz zusammengefasst: Die entscheidenden Vorteile der neuen XGS-Hardware

Die XGS-Serie bietet eine massiv bessere Leistung, indem sie unter anderem den Datenverkehr intelligent und effizient verarbeitet und gewisse Aufgaben wie die TLS-Inspection auf die Hardware auslagert. Die neue Dual-Prozessor-Architektur mit einer Multi-Core-CPU und einem Xstream-Flow-Prozessor ermöglicht eine bessere Hardware-Beschleunigung. In den kommenden SFOS Versionen werden hier weitere Prozesse für die neue Hardware optimiert.

Jede Einheit verfügt über eine 64-Bit-CPU und einen separaten Xtream-Prozessor, der auch als Network Processing Unit (NPU) bezeichnet wird. Die neue Serie ist mit zusätzlichen Netzwerkanschlüssen ausgestattet und erlaubt, optionale Module hinzuzufügen und flexible Optionen für die Auswahl der Netzwerkanschlüsse zu nutzen. Die XGS-Serie bietet nun PoE-Ports (Power over Ethernet) und Fail-to-Wire (Bypass), sodass der Datenverkehr auch bei einem Stromausfall des Geräts weiterlaufen kann.

Network Flow FastPath

Im Gegensatz zum virtuellen FastPath, der bei der XG-Serie von der CPU verarbeitet wird, wird der FastPath bei der XGS-Serie vom Xstream-Flow-Prozessor verarbeitet. Dieser befindet sich zwischen der CPU und den physischen Ports mit dem PCIe (PCI Express). So wird der auf den FastPath ausgelagerte Datenverkehr vom Xstream-Flow-Prozessor abgewickelt, und die CPU ist weniger belastet, um sich mit anderen Aufgaben zu befassen, die (noch) nicht ausgelagert werden können.

Fail-to-Wire

Fail-to-Wire ist eine Fehlertoleranzfunktion, die die Unternehmenskommunikation im Falle eines Stromausfalls schützt. In diesem Fall werden WAN und LAN überbrückt, wodurch die Netzwerkkonnektivität transparent geschützt wird. Dieses Relais stellt eine physische Verbindung zwischen den beiden Ports im Bypass-Paar her und leitet den Datenverkehr weiter, unabhängig davon, ob Strom vorhanden ist oder nicht.

Hinweis: Fail-to-Wire ist nicht standardmässig aktiviert und muss über die erweiterte Shell mit dem Befehl xgs-ftw konfiguriert werden.

Promos

Ihr seid zu einer Entscheidung gekommen und möchtet eine neue XGS Firewall erwerben? Dann vergesst nicht, vorher auf unserer Promo-Seite vorbeizuschauen. Der Discounter Sophos hat fast für jedes Szenario eine passende Promo am Start. 😅

Warenkorb
Nach oben blättern