Sophos Firewall Migration von XG zu XGS
Die Migration von der Sophos XG Firewall zur neuen XGS-Serie ist für viele Unternehmen eine dringliche Angelegenheit, da das End-of-Life-Datum der XG-Serie näherrückt. Dieser Blogpost bietet eine umfassende Anleitung für IT-Administratoren zur erfolgreichen Migration von XG zu XGS und beleuchtet die wichtigsten Vorteile und Unterschiede zwischen den beiden Firewall-Serien. Wer absolut keine Lust hat, sich darum zu kümmern, wir haben schon viele Migrationen hinter uns und kümmern uns gerne darum (Kontaktaufnahme).
Themen
Warum eine Migration von XG zu XGS?
Die Sophos XG-Serie wird am 31. März 2025 offiziell abgekündigt. Bedeutet, keine Updates mehr, keinen Support und keine Lizenzbestellungen nach Ende März 2025.
Es gibt mehrere Gründe, warum dieser Wechsel sinnvoll ist:
- Preiserhöhung: Ein Grund ist, dass Sophos die Preise für die XG Lizenzen um 30% erhöht hat und es sich nur noch bedingt lohnt, auf der alten Hardware zu verweilen. Ja, wir müssen dies immer wieder erwähnen, da dies einfach eine uncoole Aktion vom Hersteller war und einen sehr faden Beigeschmack hat 💩.
- Zukunftssicherheit: Zukünftige Software-Releases wie Sophos Firewall v21 werden nur noch für die XGS-Serie verfügbar sein.
- Höhere Performance: Die XGS-Serie ist mit einer Dual-Prozessor-Architektur ausgestattet, die speziell für hohe Lasten und verschlüsselten Datenverkehr optimiert ist. Durch den Einsatz von Multi-Core-CPUs können Verschlüsselungsoperationen wie TLS-Inspektion deutlich effizienter durchgeführt werden.
- Verbesserte Hardware-Qualität: Die XGS-Serie wurde in enger Zusammenarbeit mit führenden Hardware-Herstellern entwickelt, was zu einer höheren Zuverlässigkeit und längeren Lebensdauer der Geräte führt. Zudem wurden die Geräte umfassend getestet, um höchste Qualitätsstandards zu gewährleisten.
Migrationsprozess im Detail
Die Migration von XG zu XGS ist dank der nahtlosen Backup- und Wiederherstellungsfunktion relativ einfach durchzuführen. Hier sind die wichtigsten Schritte:
Vorbereitung
- Backup der XG-Konfiguration erstellen: Vor der Migration sollte man ein aktuelles Backup der XG-Firewall anfertigen. Wichtig ist dabei, dass das Backup-Verschlüsselungspasswort und der Secure Storage Master Key vorhanden ist.
- SFOS-Versionen prüfen: Auf dem XGS-Zielgerät muss mindestens die gleiche oder eine höhere Version von SFOS installiert sein wie auf der XG-Quelle.
Sophos Firewall v20 MR2 Upgrade
Wenn möglich, sollte man die Sophos XGS Firewall vor dem Restore der Config auf Sophos Firewall v20 MR2 oder höher aktualisieren, da der Migrationsablauf in dieser Version um einiges verbessert wurde.
Der Backup- und Wiederherstellungs-Assistent erleichtert die Migration von Firewall-Konfigurationen erheblich. Man kann Backups von Versionen ab v19.5 MR4 erstellen und auf v20 MR2 oder höher wiederherstellen. Dies vereinfacht das Upgrade von XG auf XGS sowie die Migration zwischen XGS-Modellen oder zu/von virtuellen und Cloud-Appliances. Schnittstellen können flexibel zugeordnet werden, was besonders bei der Netzwerkinfrastruktur-Optimierung hilfreich ist. Pseudo-Interfaces fungieren als Platzhalter für nicht verwendete Schnittstellen.
Backup-Wiederherstellung
Das Backup der XG kann direkt auf die XGS übertragen werden. Dabei bietet die Migrationsassistent-Funktion die Möglichkeit, die Port-Zuweisungen anzupassen, falls sich die Hardware-Konfigurationen der beiden Geräte unterscheiden.
- Sophos hat die Einschränkungen aufgehoben, sodass man jetzt Konfigurationen problemlos zwischen Geräten mit unterschiedlicher Anzahl an Ports migrieren kann. Es ist auch möglich, ein Backup eines Wireless-Geräts auf eine XGS-Appliance ohne integrierte WLAN-Funktionalität wiederherzustellen.
- Mit dem Port-Mapping-Assistenten (in v20 MR2) kann man flexibel bestimmen, wie die aktuellen Hardware-Ports auf das neue Gerät abgebildet werden sollen.
Auf der Webseite Sophos Backup-Kompatibilitätstool kann man überprüfen, ob ein Backup zwischen XG- und XGS-Hardware, Cloud- oder virtuellen Geräten kompatibel ist.
Nachbearbeitung und Tests
- Korrekturen vornehmen: Nach der Wiederherstellung sollte man alle Einstellungen überprüfen und gegebenenfalls anpassen, insbesondere die Netzwerkschnittstellen, VLANs und Firewall-Regeln.
- Tests durchführen: Zum Abschluss sollte man die Funktionalität der Firewall umfassend testen, um sicherzustellen, dass alle Dienste und Regeln korrekt migriert wurden.
Schritt-für-Schritt Videoanleitung
In diesem Video wird der Vorgang für den Wechsel von XG zu XGS nochmals erklärt:
Single Appliance
Das Video erklärt die Migration von Sophos XG zu XGS Firewalls mithilfe des neuen Backup Restore Assistant. Es behandelt die Voraussetzungen, darunter die Kompatibilität, das Backup-Verschlüsselungspasswort und den Secure Storage Master Key. Es zeigt Schritt für Schritt, wie man ein Backup erstellt, auf das Zielgerät überträgt und die Konfiguration abschliesst. Wichtig: Die Portzuordnung muss vorab überprüft werden, da sie nach der Wiederherstellung nicht mehr geändert werden kann. Weitere Details im verlinkten Video.
Für einen HA-Cluster ist der Prozess identisch, wobei der wichtigste Zusatz darin besteht, den HA-Link zu konfigurieren, der sowohl auf dem alten als auch auf dem neuen System einen geeigneten Porttyp verwenden muss.
XG to XGS Migration (High Availability)
Das Video zeigt die Migration von Sophos XG zu XGS Firewalls in einer High-Availability-Konfiguration mit dem neuen Backup Restore Assistant. Es erläutert Voraussetzungen wie die Kompatibilität, das Backup-Verschlüsselungspasswort und den Secure Storage Master Key. Der Migrationsprozess wird Schritt für Schritt gezeigt: Backup erstellen, auf das Zielgerät übertragen, Ports anpassen und die Konfiguration abschliessen. Wichtig: Die HA-Link-Portzuordnung muss vorab übereinstimmen. Pseudo-Ports sollten vermieden werden. Weitere Details im verlinkten Video.
FAQ
Wann endet der Support für die XG-Serie?
Am 31. März 2025.
Kann man von jeder XG-Firewall auf jede XGS-Firewall migrieren?
Fast jede Migration ist möglich, allerdings gibt es Einschränkungen bei der Port-Anzahl und speziellen Modellen.
Benötigt man eine neue Lizenz für die XGS-Firewall?
Ja, eine neue Lizenz ist erforderlich, allerdings gibt es attraktive Promo-Angebote für den Wechsel.
Welche Version von SFOS ist erforderlich für die Migration?
Mindestens SFOS 18.5 für eine reibungslose Migration.
Wie lange dauert die Migration durchschnittlich?
Je nach Komplexität der Konfiguration kann die Migration zwischen 30 Minuten und mehreren Stunden dauern.
Kann man von einer Wireless-XG zu einer Nicht-Wireless-XGS migrieren?
Ja, vorausgesetzt, die lokale Wi-Fi-Konfiguration wird vor der Migration entfernt.
Kann man Backups zwischen unterschiedlichen Modellen (1U, 2U, Desktop) austauschen?
In den meisten Fällen ja, aber es gibt Einschränkungen bei der Port-Konfiguration.
Kann man die Migration ohne Downtime durchführen?
Nein, eine kurze Downtime ist erforderlich, weil man nur schon die Verkabelung umhängen muss. Wenn jedoch alles gut geplant ist, ist die Downtime weniger als 5 Minuten.