Sophos XGS Series: nuevos firewalls con más rendimiento

En este artículo repasamos todos los cambios y novedades de la XGS Series que la convierten en el mejor appliance de firewall que Sophos ha desarrollado hasta ahora.

Al final se ha hecho realidad…

En la Sophos Discover Conference 2017, en Lisboa, se presentó por primera vez el nuevo hardware. En aquel momento se anunció que estaría disponible en 2018. Sin embargo, el lanzamiento no llegó a producirse y el nuevo hardware desapareció del radar. Ahora, algo más de tres años después, por fin está aquí. Hemos tenido el privilegio de participar desde febrero de 2021 en un EAP exclusivo de la XGS. Hemos podido probar un XGS 2300 con v18.5 y compartir nuestras conclusiones con Sophos. Resumen rápido de antemano: ¡es realmente rápida! 🚀

Las principales novedades de la XGS Series

Sophos XGS Firewall se ha rediseñado por completo y se ha convertido en un producto totalmente nuevo y mucho más eficiente. Desde fuera, el hardware se parece a la serie XG, pero lo importante es lo que hay en el interior de la nueva XGS Series. Bajo el capó, el nuevo firewall está diseñado para ofrecer la máxima protección y una seguridad de red más eficiente.

Arquitectura de doble procesador

Todos los appliances de la XGS Series cuentan ahora con dos procesadores multinúcleo diferentes. Por un lado está la CPU multinúcleo y, por otro, la unidad de procesamiento de red multinúcleo denominada Xstream Flow Processor. Hasta ahora, la arquitectura Xstream, sobre la que volveremos más adelante, era exclusivamente de software. En la XGS Series, sin embargo, ahora dispone de una capa de hardware que incrementa enormemente la eficiencia de esta arquitectura.

En las próximas versiones de firmware SFOS 19.0 y 19.5, el software se seguirá optimizando para que el hardware pueda descargar aún más tareas a la NPU, como SD‑WAN, VPN y AV/TLS en los endpoints.

Más puertos y mayor flexibilidad

La XGS Series ofrece un mayor número de interfaces integradas y opciones más diversas para conectar módulos externos, lo que garantiza que esta serie pueda seguir el ritmo de los cambios constantes en una infraestructura de red. La XGS Series no está pensada para proteger su red solo durante el próximo año, sino para responder a las exigencias de los próximos cuatro o cinco años. La situación provocada por la Covid-19 nos ha afectado a todos de forma distinta, pero los últimos 18 meses han demostrado que las necesidades de red pueden cambiar drásticamente y que sus appliances de firewall deben ser lo bastante flexibles como para adaptarse a una amplia variedad de cambios en la infraestructura.

Nota: los módulos FleXi Port del firewall XG ya no son compatibles con la XGS Series.

Protección y rendimiento

Una gestión más inteligente y más enfocada de los flujos de datos libera recursos para tareas más intensivas, como las core firewall tasks, la TLS inspection y la deep packet inspection. Según la estadística que se tome como referencia, la XGS Series ofrece un aumento de rendimiento de hasta tres veces, o incluso más, frente a los appliances anteriores.

La arquitectura Xstream

La nueva XGS Series incorpora un nuevo Xstream Flow Processor, que actúa como una unidad de procesamiento de red multinúcleo, o NPU. Antes de explicar cómo este nuevo procesador mejora significativamente el rendimiento de la XGS frente a la XG, conviene detenerse en lo que es realmente la arquitectura Xstream.

Introducida en la versión 18, la arquitectura Xstream es una forma eficiente de gestionar el tráfico al consolidar la seguridad en un single streaming deep packet inspection engine. Crea una vía rápida virtual para descargar el tráfico previamente verificado y de confianza, algo especialmente útil para aplicaciones con datos en tiempo real, como las aplicaciones SaaS y en la nube. En la serie XG, la arquitectura Xstream era totalmente de software, pero en la XGS Series Sophos ha añadido una capa de hardware, el Xstream Flow Processor. Este proporciona una vía rápida dedicada para la aceleración de aplicaciones. Todo ello reduce la carga de la CPU, que puede concentrar todos sus recursos en las tareas centrales del firewall y la deep packet inspection, mejorando considerablemente la latencia y proporcionando una protección de red mucho más eficiente.

Los appliances XGS

El nuevo hardware llega con una gama de nuevos dispositivos clasificados en diferentes categorías. En función del tamaño de la infraestructura de TI, se elige el tamaño de hardware adecuado. Antes de entrar en detalle en cada categoría y dispositivo, conviene echar un vistazo al porfolio para ver cómo se diferencian los dispositivos de la serie XG.

• Sophos XG 86 → Sophos XGS 87
• Sophos XG 106 → Sophos XGS 107
• Sophos XG 115 → Sophos XGS 116
• Sophos XG 125 → Sophos XGS 126
• Sophos XG 135 → Sophos XGS 136
• Sophos XG 210 → Sophos XGS 2100
• Sophos XG 230 → Sophos XGS 2300
• Sophos XG 310 → Sophos XGS 3100
• Sophos XG 330 → Sophos XGS 3300
• Sophos XG 430 → Sophos XGS 4300
• Sophos XG 450 → Sophos XGS 4500
• Sophos XG 550 → Sophos XGS 5500
• Sophos XG 650 → Sophos XGS 6500
• Sophos XG 750 → Sophos XGS 6500

Todos los dispositivos de la serie XG tienen un equivalente XGS, salvo el XG 750. Sin embargo, gracias al hardware mejorado, todos los dispositivos de la XGS Series superan claramente a su equivalente XG, de modo que la XGS 6500 se sitúa muy por delante de la XG 750.

Si incluso la potencia de una XGS 6500 se queda corta, vale la pena mencionar que están previstos para el próximo año los modelos XGS 7500 y XGS 8500 🤐.

Veamos ahora las tres categorías en las que se agrupan los dispositivos de la XGS Series:

Gama de escritorio

Todos los dispositivos desde la XGS 87 hasta la XGS 136 se clasifican como “gama de escritorio”. Estos dispositivos son ideales para oficinas pequeñas, sucursales y comercios. Los aspectos más destacados de esta categoría son:

• Todos los dispositivos de esta categoría cuentan con la arquitectura de doble procesador.
• Todos los dispositivos de esta serie incluyen un puerto SFP, que ahora también está presente en la XGS 87 (no existía en la XG 86).
• Las XGS 116(w) a 136(w) pueden equiparse ahora con módulos opcionales en todos los modelos (esto no estaba disponible en la XG 115(w)).
• En la XGS 116w, 126w y 136w ahora puede instalarse opcionalmente un segundo módulo WiFi (no era posible en la XG 115w ni en la XG 125w).
• Las XGS 116(w) a 136(w) incorporan ahora un puerto Power over Ethernet (PoE).
• La XGS 136(w) cuenta ahora con puertos 2,5 GE.
• Todos los modelos, excepto la XGS 87(w), disponen de una segunda fuente de alimentación opcional.

1U rackmount

Todos los dispositivos desde la XGS 2100 hasta la XGS 4500 se clasifican como “1U rackmount”. Estos dispositivos son perfectos para ubicaciones distribuidas y varias sucursales. Los aspectos más destacados de esta categoría son:

• Todos los dispositivos de esta gama cuentan con la arquitectura de doble procesador.
• Las XGS 2100 a XGS 3300 incorporan una bahía Flexi‑Port, y las XGS 4300 y XGS 4500 disponen de dos bahías Flexi‑Port.
• Los modelos a partir de la XGS 3100 incluyen un puerto SFP+ integrado.
• Las XGS 2100 a XGS 3300 disponen de un par de puertos LAN bypass, y las XGS 4300 y XGS 4500 cuentan con dos pares de puertos LAN bypass.
• Las XGS 4300 y XGS 4500 ahora incorporan puertos 2,5 GE integrados.
• La memoria de los dispositivos a partir de la XGS 3300 se ha incrementado para mejorar la inspección TLS.
• Todos los dispositivos de la gama 1U rackmount son compatibles con módulos PoE Flexi‑Port de alimentación centralizada opcionales.
• Todos los dispositivos de la gama 1U rackmount admiten alimentación redundante externa opcional.
• La XGS 4500 incluye una doble unidad SSD y una fuente de alimentación redundante interna opcional.

2U rackmount

Las XGS 5500 y XGS 6500 se clasifican como “2U rackmount”. Estos dispositivos son ideales para entornos empresariales exigentes. Los aspectos más destacados de esta categoría son: