Panier d’achat

Aucun produit dans le panier.

Cela vaut-il la peine d’acheter le nouveau hardware XGS?

Je ne sais pas pour vous, mais pour les produits que j’utilise quotidiennement et qui me sont indispensables, je suis toujours au courant de leur évolution. Certes, cela concerne surtout les appareils techniques, mais je suis aussi un geek. 😄

Pour tous ces équipements, j’applique une stratégie claire pour savoir quand il est temps de remplacer le produit par son successeur. J’applique cette stratégie à Sophos Firewall dans ce billet de blog pour savoir s’il vaut la peine ou non de passer au nouveau matériel XGS.

Spoilers : Dans la plupart des cas, ce n’est effectivement pas le cas. 🤐

4 raisons d’envisager l’achat d’un nouveau pare-feu XGS

Le nouveau matériel XGS est désormais disponible sur le marché depuis avril 2021. Il y a différents facteurs qui déterminent quand l’achat d’un matériel XGS vaut vraiment la peine. Dans la section suivante, nous allons examiner 4 signes avant-coureurs qui peuvent justifier une décision d’achat :

1. Défaut

Lorsqu’un appareil tombe en panne et que la garantie a expiré, il faut souvent faire vite et on n’a pas le temps de faire des recherches approfondies. Dans ce cas, il faut savoir à l’avance comment remettre l’infrastructure en état de marche et, le cas échéant, quels sont les délais de livraison d’un appareil de remplacement. Le pare-feu est le cœur du réseau. Rares sont ceux qui peuvent se permettre une interruption prolongée. Mais les entreprises de plus de 20 collaborateurs ont souvent une solution HA, ce qui peut atténuer quelque peu la situation en cas de panne.

Pare-feu SG avec UTM OS 🤕

Malheureusement, nous voyons souvent des clients avec un matériel SG qui utilisent encore l’OS UTM. Dans une telle situation, l’achat d’un pare-feu XGS n’est pas recommandé. Le fonctionnement doit être rétabli le plus rapidement possible et il n’y a pas de temps pour une migration vers le SFOS. Il faut donc commander le plus rapidement possible le même modèle de pare-feu SG afin de pouvoir restaurer facilement la configuration de la copie de sauvegarde.

Nous recommandons en principe à tous les clients qui utilisent encore un pare-feu SG avec le système d’exploitation UTM de réfléchir à une migration vers le SFOS. La migration de la licence est gratuite et la durée de validité est reprise 1:1. Pour la migration, les instructions suivantes peuvent vous aider : InstallerSophos XG Firewall OS sur une SG Appliance

Si vous avez besoin d’aide pour migrer d’UTM vers SFOS, nous serons ravis de vous aider. Les fans d’UTM hardcore parmi vous qui ne veulent en aucun cas passer au SFOS peuvent tout simplement attendre que le système d’exploitation UTM soit en fin de vie. Cela ne sera certainement pas le cas avant fin 2025. Mais les deux blog posts suivants peuvent éventuellement vous faire changer d’avis :

2. Plus de mises à jour

Lorsqu’un logiciel n’a pas été mis à jour depuis plus d’un an, mon sentiment change. Au-delà de deux ans (souvent même avant), on cherche des alternatives pour le remplacer. Ne serait-ce que pour cette raison, il serait pour moi inimaginable d’utiliser encore aujourd’hui un Sophos Firewall avec le système d’exploitation UTM. 😜

Tous les autres qui ont installé le SFOS sur leur pare-feu SG ou qui disposent d’un pare-feu XG devraient vérifier si le SFOS v18.5+ peut encore être installé sur leur appliance. Dans le post suivant, nous avons décrit quels appareils ne recevront plus la version la plus récente : AppliancesSophos Firewall: matériel pris en charge pour SFOS v18+

Remarque: Sophos voulait d’abord exclure de ces mises à jour les pare-feu SG avec SFOS et les pare-feu XG d’ancienne génération. Mais au début de l’année 2021, Sophos a renoncé à ce projet et tous les modèles SG et XG actuels continueront à recevoir les dernières versions de SFOS.

Donc, si vous ne disposez pas d’une ancienne révision d’un pare-feu SG ou XG qui ne reçoit plus de mises à jour, je ne peux pas vraiment recommander l’achat du pare-feu XGS non plus.

3. Plus de garantie

Un autre point qui joue un rôle important dans ma stratégie d’achat personnelle est la garantie d’un produit. En effet, dès que celle-ci arrive à échéance, je vérifie automatiquement s’il existe des possibilités de prolongation ou si le moment est venu de remplacer le produit.

Les pare-feux XG sont garantis 5 ans avec la licence correspondante. Si tu fais partie des personnes qui ont acheté la première révision d’un pare-feu XG en 2016, ton pare-feu n’est donc plus couvert par la garantie du fabricant au plus tard maintenant. Dans ce cas, je ferais les deux réflexions suivantes :

  • Une seule appliance est exploitée : Ici, le risque serait trop grand pour moi et je remplacerais le matériel par un nouveau modèle XGS.
  • Il y a deux appliances dans un cluster HA : là aussi, j’envisagerais un changement. Si le budget n’est pas disponible, on peut aussi attendre qu’un des deux pare-feux tombe en panne et acheter alors deux nouveaux modèles XGS.

4. Puissance insuffisante

Le dernier point de ma liste qui peut contribuer à la décision d’un nouvel achat est la performance d’un produit. Il arrive que les mises à jour du micrologiciel ralentissent un appareil au fil du temps, car de nouvelles fonctions y sont intégrées. Ou alors, les exigences personnelles changent et les performances initiales ne sont plus adaptées.

Ces points peuvent également être appliqués à un Sophos Firewall. Il suffit de vérifier l’utilisation de votre pare-feu, car il se peut que le nombre d’appareils dans votre réseau ou le nombre d’employés ait changé au cours des dernières années et que les performances requises à l’origine ne correspondent plus aux exigences actuelles. Dans un tel cas, un changement vers le pare-feu XGS ne serait certainement pas une mauvaise idée, si le budget le permet. La licence peut souvent être transférée gratuitement sur la nouvelle appliance.

Par contre, as-tu un pare-feu SG ou XG actuel qui reçoit encore les dernières mises à jour du SFOS (SFOS 18.5+), qui est toujours couvert par la garantie du fabricant et qui ne présente pas de problèmes de performance ? Dans ce cas, l’achat d’un pare-feu XGS ne vaut pas la peine. La seule chose que vous devriez garder à l’esprit est la date de fin de vie des pare-feu XG. Cette date a encore été récemment repoussée par Sophos du 31 décembre 2024 au 31 mars 2025.


Résumé

Si j’applique les 4 points de ma stratégie d’achat personnelle au pare-feu XGS, je pense que très peu de clients existants ont besoin d’agir. Pour les nouveaux clients, le cas est bien sûr clair et nous conseillerions toujours le matériel XGS ! Pour le processus de décision d’achat, je vous ai préparé un organigramme. Jouez-le vous-même et vous découvrirez à la fin notre recommandation claire.

Pour ceux qui possèdent un pare-feu XG et qui hésitent encore, je recommande l’article de blog suivant, qui décrit la différence entre un pare-feu XG et un pare-feu XGS :

En bref, le résumé : Les avantages décisifs du nouveau matériel XGS

La série XGS offre des performances massivement améliorées, notamment en traitant le trafic de données de manière intelligente et efficace et en transférant certaines tâches comme l’inspection TLS sur le matériel. La nouvelle architecture à deux processeurs, avec une unité centrale multicœur et un processeur de flux Xstream, permet une meilleure accélération du matériel. Dans les prochaines versions de SFOS, d’autres processus seront optimisés ici pour le nouveau matériel.

Chaque unité dispose d’une unité centrale 64 bits et d’un processeur Xtream séparé, également appelé unité de traitement réseau (NPU). La nouvelle série est dotée de ports réseau supplémentaires et permet d’ajouter des modules optionnels et d’utiliser des options flexibles pour la sélection des ports réseau. La série XGS offre désormais des ports PoE (Power over Ethernet) et fail-to-wire (contournement), ce qui permet au trafic de données de continuer même en cas de panne de courant de l’appareil.

Flux réseau FastPath

Contrairement au FastPath virtuel, qui est traité par le CPU dans la série XG, le FastPath de la série XGS est traité par le processeur Xstream-Flow. Celui-ci se trouve entre le CPU et les ports physiques avec le PCIe (PCI Express). Ainsi, le trafic de données déporté sur le FastPath est traité par le processeur Xstream Flow et le CPU est moins sollicité pour s’occuper d’autres tâches qui ne peuvent pas (encore) être déportées.

Fail-to-Wire

Fail-to-Wire est une fonction de tolérance aux pannes qui protège la communication de l’entreprise en cas de panne de courant. Dans ce cas, le WAN et le LAN sont contournés, ce qui protège la connectivité du réseau de manière transparente. Ce relais établit une connexion physique entre les deux ports de la paire de dérivation et transmet le trafic de données, qu’il y ait ou non du courant.

Remarque: Fail-to-Wire n’est pas activé par défaut et doit être configuré via le shell étendu avec la commande xgs-ftw.

Promos

Vous avez pris une décision et vous voulez acheter un nouveau pare-feu XGS ? Alors n’oubliez pas de consulter notre page de promo. Le discounter Sophos a une promo adaptée à presque tous les scénarios. 😅

Patrizio
Patrizio

Patrizio est un spécialiste réseau expérimenté, spécialisé dans les pare-feux, les commutateurs et les points d'accès Sophos. Il aide les clients ou leur service informatique à configurer et à migrer les pare-feux Sophos et assure une sécurité optimale du réseau grâce à une segmentation propre et à la gestion des règles de pare-feu.

S'abonner à la newsletter

Nous envoyons chaque mois une newsletter contenant tous les articles de blog du mois en question.