Sophos XGS-Serie – Neue Firewalls mit mehr Leistung

In diesem Artikel gehen wir alle Änderungen und Neuerungen der XGS-Serie durch, die sie zur besten Firewall Appliance machen, die Sophos je entwickelt hat.

Es ist doch noch wahr geworden…

An der Sophos Discover Conference 2017 in Lissabon wurde die neue Hardware das erste Mal vorgestellt. Damals hiess es, diese werde im Jahr 2018 verfügbar sein. Die Veröffentlichung blieb allerdings aus und es wurde sehr still um die neue Hardware. Jetzt, etwas mehr als drei Jahre später, ist sie also da. Uns kam die grosse Ehre zuteil, seit Februar 2021 an einem exklusiven EAP für die XGS teilzunehmen. Wir konnten eine XGS 2300 mit v18.5 testen und unsere Erkenntnisse daraus mit Sophos teilen. Kleines Fazit vorweg: Sie ist wirklich schnell! 🚀

Die Haupterneuerungen der XGS-Serie

Die XGS Firewall von Sophos wurde von Grund auf überarbeitet und zu einem völlig neuen und wesentlich effizienteren Produkt gemacht. Die Hardware ähnelt der XG-Serie von aussen, aber entscheidend ist, was sich im Inneren der neuen XGS-Serie befindet. Unter der Haube wurde die neue Firewall auf maximalen Schutz und effizientere Netzwerksicherheit ausgelegt.

Dual-Prozessor-Architektur

Alle Appliances der XGS-Serie sind jetzt mit zwei verschiedenen Multi-Core-Prozessoren ausgestattet. Einerseits gibt es die Multi-Core CPU, andererseits die Multi-Core Netzwerkverarbeitungseinheit, Xstream Flow Processor genannt. Bislang war die Xstream-Architektur, auf die später eingegangen wird, nur softwarebasiert. Doch nun verfügt sie in der XGS-Serie über eine Hardwareschicht, welche die Effizienzmetriken dieser Architektur ins Unermessliche steigert.

In den kommenden Firmware Releases SFOS 19.0 und 19.5 wird die Software weiter optimiert, damit die Hardware noch mehr Aufgaben auf die NPU auslagern kann z.B. SD-WAN, VPN und Endpoint AV/TLS.

Mehr Ports und erhöhte Flexibilität

Die XGS-Serie verfügt über eine grössere Anzahl integrierter Schnittstellen und bietet vielfältigere Anschlussmöglichkeiten für externe Module, um sicherzustellen, dass diese Serie mit den stetig wachsenden Veränderungen in einer Netzwerkinfrastruktur Schritt halten kann. Die XGS-Serie zielt nicht darauf ab, euer Netzwerk für das nächste Jahr zu schützen, sondern die Anforderungen für die nächsten 4-5 Jahre zu erfüllen. Uns alle hat die Situation mit Covid-19 unterschiedlich hart getroffen, aber basierend auf den letzten 18 Monaten können sich die Netzwerkanforderungen drastisch ändern und eure Firewall-Appliances müssen flexibel genug sein, um sich an eine Vielzahl von Veränderungen an der Infrastruktur anzupassen.

Anmerkung: Die FleXi Port Module der XG Firewall sind nicht mehr kompatibel für die XGS-Serie.

Schutz & Leistung

Eine intelligentere und fokussiertere Verarbeitung der Datenströme setzt Ressourcen frei, sodass diese für intensivere Aufgaben wie Core Firewall Tasks, TLS Inspections und Deep Packet Inspection verwendet werden können. Je nachdem, welche Statistiken Sie betrachten, bietet die XGS-Serie eine bis zu 3-Fache oder sogar noch höhere Leistungssteigerung gegenüber den bisherigen Appliances.

Die Xstream-Architektur

Die neue XGS-Serie verfügt über einen neuen Xstream Flow Processor, der als eine Multi-Core Networking Processing Unit oder kurz NPU dient. Bevor wir darauf eingehen können, wie der neue Prozessor die Leistung des XGS gegenüber der XG deutlich verbessert, müssen wir einen Blick darauf werfen, was die Xstream-Architektur ist.

Die in v18 eingeführte Xstream-Architektur ist ein effizienter Weg für die Abwicklung des Datenverkehrs durch Konsolidierung der Sicherheit in einer single streaming deep packet inspection engine. Sie schafft einen virtuellen Fast-Path, um zuvor verifizierten und vertrauenswürdigen Datenverkehr auszulagern, und ist für Anwendungen mit Echtzeitdaten wie SaaS- und Cloud-Anwendungen von grossem Nutzen. In der XG-Serie war die Xstream-Architektur vollständig softwarebasiert, aber in der XGS-Serie hat Sophos eine Hardware-Schicht hinzugefügt, den Xstream Flow Processor. Dieser bietet einen dedizierten Fast-Path für die App-Beschleunigung. All dies bedeutet eine geringere Belastung der CPU, die alle Ressourcen auf Kernaufgaben der Firewall und deep packet inspection konzentrieren kann, wodurch die Latenzzeit erheblich verbessert und ein wesentlich effizienterer Netzwerkschutz bereitgestellt wird.

Die XGS Appliances

Die neue Hardware kommt mit einer Reihe von neuen Geräten, die in verschiedene Kategorien eingeteilt sind. Je nachdem, wie gross die IT-Infrastruktur ist, kommt dann die entsprechende Hardwaregrösse zum Zug. Doch bevor wir auf alle Kategorien und Geräte im Detail eingehen, müssen wir einen Blick auf das Portfolio werfen, um zu sehen, wie sich die Geräte gegenüber der XG-Serie verändert haben.

• Sophos XG 86 → Sophos XGS 87
• Sophos XG 106 → Sophos XGS 107
• Sophos XG 115 → Sophos XGS 116
• Sophos XG 125 → Sophos XGS 126
• Sophos XG 135 → Sophos XGS 136
• Sophos XG 210 → Sophos XGS 2100
• Sophos XG 230 → Sophos XGS 2300
• Sophos XG 310 → Sophos XGS 3100
• Sophos XG 330 → Sophos XGS 3300
• Sophos XG 430 → Sophos XGS 4300
• Sophos XG 450 → Sophos XGS 4500
• Sophos XG 550 → Sophos XGS 5500
• Sophos XG 650 → Sophos XGS 6500
• Sophos XG 750 → Sophos XGS 6500

Alle Geräte der XG-Serie haben ein XGS-Äquivalent mit Ausnahme der XG 750. Durch die verbesserte Hardware sind jedoch alle Geräte der XGS-Serie dem Pendant der XG-Serie deutlich überlegen, sodass die XGS 6500 der XG 750 meilenweit voraus ist.

Sollte jemandem die Power einer XGS 6500 noch nicht ausreichen, möchte ich an dieser Stelle noch erwähnen, dass im kommenden Jahr noch die Modelle XGS 7500 und XGS 8500 nachgereicht werden 🤐.

Werfen wir einen Blick auf die drei Kategorien, die die Geräte der XGS-Serie bieten:

Desktop-Reihe

Alle Geräte, angefangen bei der XGS 87 bis hin zur XGS 136 werden als „Desktop Range“ kategorisiert. Diese Geräte sind am besten für kleine Büros, Filialen und Einzelhandelsgeschäfte geeignet. Die Highlights dieser Kategorie sind:

• Alle Geräte in dieser Reihe verfügen über die Dual-Prozessor-Architektur.
• Alle Geräte dieser Serie verfügen über einen SFP-Port, der neu auch in der XGS 87 verbaut ist (war bei der XG 86 nicht vorhanden).
• Die XGS 116(w) bis 136(w) sind jetzt alle mit optionalen Modulen ausgestattet (war bei der XG 115(w) nicht verfügbar)
• In der XGS 116w, 126w und 136w, kann nun optional ein zweites WiFi-Modul verbaut werden (war bei der XG 115w & XG 125w nicht möglich)
• Die XGS 116(w) bis 136(w) haben jetzt einen Power over Ethernet (POE) Anschluss eingebaut.
• Die XGS 136(w) hat jetzt 2,5 GE-Ports.
• Alle Modelle, ausser die XGS 87(w) haben einen optionalen, zweiten Stromanschluss.

1U Rackmount

Alle Geräte von XGS 2100 bis XGS 4500 sind als „1U Rackmount“ kategorisiert. Diese Geräte sind perfekt geeignet für verteilte Standorte und mehrere Filialen. Die Highlights dieser Kategorie sind:

• Alle Geräte dieser Reihe verfügen über die Dual-Prozessor-Architektur.
• Die XGS 2100 bis XGS 3300 verfügen über einen Flexi-Port-Schacht und die XGS 4300 & XGS 4500 über zwei Flexi-Port-Schächte.
• Die Modelle ab XGS 3100 und höher haben einen SFP+ Port eingebaut.
• Die XGS 2100 bis XGS 3300 kommen mit einem LAN-Bypass-Portpaar und die XGS 4300 & XGS 4500 kommen mit zwei LAN-Bypass-Portpaaren.
• Die XGS 4300 und XGS 4500 haben jetzt 2,5 GE-Ports eingebaut.
• Der Arbeitsspeicher in den Geräten ab der XGS 3300 wurde für eine bessere TLS-Prüfung erhöht.
• Alle Geräte im 1U-Rackmount kommen mit optionalen, zentral versorgten PoE-Flexi-Port-Modulen.
• Alle Geräte im 1U-Rackmount kommen mit optionaler externer redundanter Stromversorgung.
• Die XGS 4500 kommt mit einer Dual-SSD und einer optionalen internen redundanten Stromversorgung

2U Rackmount

Die XGS 5500 und XGS 6500 sind als „2U Rackmount“ kategorisiert. Diese Geräte sind perfekt für Enterprise-Anforderungen geeignet. Die Highlights dieser Kategorie sind: