Aller au contenu
Avanet
L’achat du nouveau matériel XGS en vaut-il la peine ?

L’achat du nouveau matériel XGS en vaut-il la peine ?

Je ne sais pas pour vous, mais pour les produits que j’utilise au quotidien et qui me sont indispensables, je suis toujours de près leur évolution. Il s’agit principalement d’appareils techniques, mais je suis aussi un peu geek. 😄

Pour tous ces appareils, je suis une stratégie claire pour déterminer le moment où il est temps de remplacer le produit par son successeur. Dans cet article de blog, j’applique cette stratégie à Sophos Firewall afin de déterminer s’il vaut la peine de passer au nouveau matériel XGS ou non.

Spoiler : dans la plupart des cas, ce n’est en réalité pas nécessaire. 🤐

4 raisons d’envisager l’achat d’une nouvelle XGS Firewall

Le nouveau matériel XGS est sur le marché depuis avril 2021. Plusieurs facteurs déterminent le moment où l’achat de matériel XGS est vraiment pertinent. Dans la section suivante, nous examinons quatre signes qui peuvent justifier une décision d’achat :

1. Panne

Lorsque qu’un appareil tombe en panne et que la garantie a expiré, il faut souvent agir rapidement et il n’y a pas de temps pour faire des recherches approfondies. Dans ce cas, il est important de savoir à l’avance comment remettre l’infrastructure en service et quels sont les délais de livraison d’un appareil de remplacement. Le pare-feu est le cœur du réseau, et rares sont ceux qui peuvent se permettre une interruption prolongée. Toutefois, les entreprises de plus de 20 collaborateurs disposent souvent d’une solution HA, ce qui peut quelque peu atténuer la situation en cas de panne.

SG Firewall avec UTM OS 🤕

Nous constatons malheureusement souvent que des clients équipés de matériel SG utilisent encore UTM OS. Dans une telle situation, l’achat d’une XGS Firewall n’est pas recommandé. L’objectif est de rétablir le fonctionnement le plus rapidement possible, et il n’y a pas de temps pour une migration vers SFOS. Il est donc préférable de commander au plus vite le même modèle de SG Firewall afin de restaurer la configuration à partir de la sauvegarde sans complications.

Nous recommandons en général à tous les clients qui utilisent encore une SG Firewall avec le système d’exploitation UTM d’envisager une migration vers SFOS. La migration de licence est gratuite et la durée restante est transférée à l’identique. Le guide suivant peut vous aider à effectuer cette migration : Installer Sophos XG Firewall OS sur un boîtier SG

Si vous avez besoin d’aide pour migrer d’UTM vers SFOS, nous sommes à votre disposition. Les fans inconditionnels d’UTM parmi vous, qui ne souhaitent absolument pas passer à SFOS, peuvent aussi simplement attendre qu’UTM OS atteigne sa fin de vie. Cela n’arrivera certainement pas avant la fin de l’année 2025. Les deux articles de blog suivants pourraient néanmoins vous inciter à revoir votre position :

2. Plus de mises à jour

Si un logiciel n’a pas reçu de mises à jour depuis plus d’un an, ma perception change. Après plus de deux ans (souvent même avant), je commence à chercher des alternatives pour le remplacer. Rien que pour cette raison, il serait pour moi impensable qu’aucune mise à jour ne puisse plus être installée sur le pare-feu Sophos.

Actuellement, ASG et UTM 120/220/320/425/525/625 ne sont plus compatibles avec le firmware de pare-feu actuel et ne reçoivent donc plus de mises à jour. Tous les autres modèles matériels SG disposant encore d’une licence valide continuent de recevoir des mises à jour et peuvent être migrés vers SFOS.

La question est donc de savoir s’il existe réellement des alternatives lorsque aucune mise à jour n’est plus disponible. Aujourd’hui, la seule option consiste pratiquement à remplacer l’appareil par un nouveau pare-feu répondant aux exigences correspondantes. C’est pourquoi les modèles matériels mentionnés ci-dessus sont déclarés en fin de vie. Il est d’autant plus important que nos clients misent sur des pare-feu qui appartiennent au courant dominant et non sur des modèles exotiques qui se retrouvent sur cette liste :

Si vous disposez d’un autre modèle qui ne reçoit actuellement plus de mises à jour, mais qui pourrait potentiellement en recevoir à nouveau (par exemple un modèle SG ou XG), il peut être judicieux d’attendre. Il est toutefois important de suivre de près l’évolution du statut de fin de vie des appareils concernés afin de planifier une éventuelle migration en temps utile.

Nous recommandons en général à tous les clients qui ont installé SFOS sur leur pare-feu SG ou qui disposent d’un pare-feu XG de vérifier s’il est encore possible d’installer SFOS v18.5+ sur leur appliance. Dans l’article suivant, nous expliquons quels appareils ne recevront plus la dernière version : Appareils Sophos Firewall : matériel pris en charge pour SFOS v18+

Remarque : Sophos prévoyait initialement de cesser également les mises à jour pour les pare-feux SG avec SFOS et les pare-feux XG des anciennes générations. Toutefois, début 2021, Sophos est revenu sur ce plan et tous les modèles SG et XG actuels continuent de recevoir les dernières versions de SFOS.

Si vous ne disposez pas d’une ancienne révision d’un pare-feu SG ou XG qui ne reçoit plus de mises à jour, je ne peux pas vraiment recommander l’achat d’un pare-feu XGS dans ce cas non plus.

3. Plus de garantie

Un autre élément important de ma stratégie d’achat personnelle est la garantie d’un produit. Dès que celle‑ci arrive à expiration, j’examine automatiquement s’il existe des possibilités de prolongation ou s’il est temps de remplacer le produit.

Les pare-feux XG bénéficient d’une garantie de cinq ans avec la licence adéquate. Si vous faites partie de ceux qui ont acheté la première révision d’un pare-feu XG en 2016, votre pare-feu n’est donc plus couvert par la garantie du fabricant au plus tard aujourd’hui. Dans ce cas, j’envisagerais les deux scénarios suivants :

  • Une seule appliance est en service : le risque serait trop élevé pour moi et je remplacerais le matériel par un nouveau modèle XGS.
  • Deux appliances sont regroupées dans un cluster HA : ici aussi, je viserais un remplacement. Si le budget n’est pas disponible, il est possible d’attendre que l’un des deux pare-feux tombe en panne et d’acheter ensuite deux nouveaux modèles XGS.

4. Performances insuffisantes

Le dernier point de ma liste qui peut influencer la décision d’achat est la performance d’un produit. Il arrive que les mises à jour du firmware ralentissent un appareil au fil du temps, car de nouvelles fonctions sont ajoutées. Ou bien vos propres besoins changent simplement, de sorte que les performances initiales ne suffisent plus.

Ces considérations peuvent également s’appliquer à un pare-feu Sophos. Vérifiez donc simplement le taux d’utilisation de votre pare-feu, car le nombre d’appareils de votre réseau ou le nombre de collaborateurs peut avoir évolué au cours des dernières années, de sorte que les performances initialement requises ne correspondent plus aux besoins actuels. Dans un tel cas, passer à un pare-feu XGS est certainement une bonne idée, à condition que le budget le permette. La licence peut souvent être transférée gratuitement sur la nouvelle appliance.

Si, en revanche, vous disposez d’une SG ou XG Firewall actuelle qui reçoit toujours les dernières mises à jour SFOS (SFOS 18.5+), est toujours couverte par la garantie du fabricant et ne présente aucun problème de performance, l’achat d’une XGS Firewall ne vaut pas la peine. Il suffit de garder un œil sur la date de fin de vie des XG Firewalls. Sophos a récemment repoussé cette date du 31/12/2024 au 31/03/2025.

Résumé

Si j’applique les quatre points de ma stratégie d’achat personnelle au pare-feu XGS, il est probable que très peu de clients existants aient réellement besoin d’agir. Pour les nouveaux clients, la situation est claire, et nous recommandons systématiquement le matériel XGS. Pour faciliter votre décision d’achat, j’ai également préparé un organigramme. Parcourez‑le simplement et vous obtiendrez au final notre recommandation claire.

Schéma de décision du pare-feu Sophos XGS

Si vous possédez déjà une XG Firewall et hésitez encore, je vous recommande l’article de blog suivant, qui explique la différence entre une XG Firewall et une XGS Firewall :

En bref : les avantages décisifs du nouveau matériel XGS

La série XGS offre des performances nettement supérieures, notamment en traitant le trafic de manière plus intelligente et plus efficace et en déchargeant certaines tâches, comme l’inspection TLS, sur le matériel lui-même. La nouvelle architecture à double processeur, composée d’un CPU multicœur et d’un processeur Xstream Flow, permet une meilleure accélération matérielle. D’autres processus seront encore optimisés pour ce nouveau matériel dans les prochaines versions de SFOS.

Chaque appliance dispose d’un CPU 64 bits et d’un processeur Xstream séparé, également appelé Network Processing Unit (NPU). La nouvelle série est équipée de ports réseau supplémentaires et permet d’ajouter des modules optionnels, tout en offrant davantage de flexibilité dans le choix des interfaces. La série XGS propose désormais aussi des ports PoE (Power over Ethernet) et le fail-to-wire (bypass), afin que le trafic puisse continuer à circuler même en cas de coupure de courant.

Network Flow FastPath

Contrairement au FastPath virtuel de la série XG, qui est traité par le CPU, le FastPath de la série XGS est pris en charge par le processeur Xstream Flow. Celui-ci se situe entre le CPU et les ports physiques via le PCIe (PCI Express). Ainsi, le trafic déchargé sur FastPath est traité par le processeur Xstream Flow, ce qui libère le CPU pour d’autres tâches qui ne peuvent pas encore être déportées.

Sophos XGS - Network Flow FastPath

Fail‑to‑Wire

Fail‑to‑Wire est une fonction de tolérance aux pannes qui protège les communications de l’entreprise en cas de panne de courant. Dans ce scénario, le WAN et le LAN sont pontés, ce qui protège de manière transparente la connectivité réseau. Ce relais établit une connexion physique entre les deux ports de la paire de contournement et achemine le trafic, que l’alimentation électrique soit disponible ou non.

Remarque : Fail‑to‑Wire n’est pas activé par défaut et doit être configuré via le shell avancé à l’aide de la commande xgs-ftw.

Sophos XGS - Fail-to-Wire

Promos

Vous avez pris une décision et souhaitez acheter un nouveau pare-feu XGS ? N’oubliez pas de jeter un coup d’œil à notre page Promo au préalable. Le « discounter » Sophos a presque toujours une promotion adaptée à chaque scénario. 😅

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.