Nouveaux modèles Sophos Firewall de la série XGS Desktop disponibles
Avec l’introduction des nouvelles Sophos XGS Desktop Firewalls, Sophos améliore les modèles Desktop actuels et semble avoir écouté les critiques des utilisateurs. Ces pare-feu offrent non seulement des gains de performances significatifs, mais aussi une meilleure efficacité énergétique et une protection renforcée contre les menaces grâce à l’utilisation de la version 21.
Fin de vie de l’“ancienne” série Desktop
Pour lever dès le début les inquiétudes des clients existants, car Sophos n’a pas toujours très bien géré ses annonces de fin de vie par le passé : les modèles concernés, que Sophos appelle “modèles XGS Desktop de première génération”, sont les XGS 87(w), XGS 107(w), XGS 116(w), XGS 126(w) et XGS 136(w). Ces modèles seront encore pris en charge pendant cinq ans après l’annonce End-of-Sale, qui n’a pas encore eu lieu.
Maintenant que Sophos a écoulé ses stocks, l’annonce End-of-Sale de cette série XGS est attendue probablement pour fin mars 2025. Cela signifie que les modèles mentionnés pourront encore être utilisés au moins jusqu’à fin mars 2030. C’est une excellente nouvelle pour tous les utilisateurs de ces appareils !
Nouveaux modèles 1U et 2U
Ce sont surtout les clients des modèles plus grands qui se demandent ce qui va suivre, car par le passé, une mise à jour matérielle était souvent suivie assez rapidement d’un refresh des anciens modèles.
Actuellement, il semble qu’aucun nouveau matériel ne soit prévu pour les modèles 1U et 2U, c’est-à-dire à partir du XGS 2100, jusqu’à fin 2025. Nous ne nous attendons pas à une nouvelle génération avant mi-2026 au plus tôt.
Quoi de neuf avec les Sophos XGS Desktop Firewalls ?
Points forts en bref
- 50 % de consommation d’énergie en moins sur tous les modèles jusqu’à la XGS 128(w) : les nouveaux modèles reposent sur une architecture particulièrement efficace sur le plan énergétique, qui réduit fortement la consommation tout en améliorant les performances.
- Modèles sans ventilateur XGS 88 et XGS 108 : les XGS 88 et XGS 108 sont sans ventilateur et conviennent donc parfaitement aux environnements sensibles au bruit, comme les bureaux ou les postes de travail qui exigent un fonctionnement silencieux.
- Interfaces 2.5G sur chaque modèle : toutes les nouvelles Sophos XGS Firewalls sont équipées de ports Ethernet 2.5 Gigabit pour des connexions filaires rapides.
- Prise en charge du Wi-Fi 6 sur les modèles w : les modèles Wi-Fi (XGS 88w, XGS 108w, XGS 118w, XGS 128w) prennent en charge le Wi-Fi 6 (802.11ax), utilisable simultanément sur les bandes 2,4 GHz et 5 GHz. Cela améliore les performances et la stabilité des réseaux sans fil.
- Deux interfaces 10G SFP+ sur le modèle XGS 138 : la XGS 138 est équipée de deux ports 10G SFP+, permettant une connexion directe par fibre optique, idéale pour les réseaux ayant des besoins élevés en bande passante.
- Architecture monoprocesseur efficace jusqu’à la XGS 128(w) : les modèles jusqu’à la XGS 128(w) disposent d’une nouvelle architecture monoprocesseur efficace, qui augmente les performances tout en réduisant la consommation d’énergie.
- Architecture double processeur sur la XGS 138 : la XGS 138 bénéficie d’une architecture double processeur mise à jour afin d’améliorer les performances et la capacité de traitement. Il n’existe pas de variante Wi-Fi de ce modèle.
- Nouveau module 5G économique : un nouveau module 5G plus abordable sera disponible pour les modèles XGS 118(w), XGS 128(w) et XGS 138. Il apporte une redondance et une flexibilité supplémentaires pour les solutions SD-WAN.
Gains de performances et efficacité
Les nouvelles Sophos XGS Desktop Firewalls offrent jusqu’au double des performances globales par rapport aux modèles précédents (exception : la XGS 138, qui offre plus de performances, mais pas un doublement). Grâce aux fonctions d’accélération améliorées de la technologie FastPath dans SFOS v21, combinées à une architecture optimisée sur huit des neuf nouveaux modèles, le débit VPN IPsec peut être jusqu’à trois fois supérieur. Ces performances accrues aident les réseaux à mieux résister aux menaces modernes, comme les attaques zero-day.
En plus des performances améliorées, les nouveaux systèmes de refroidissement et les modèles sans ventilateur (XGS 88 et XGS 108) assurent un fonctionnement particulièrement silencieux, idéal pour les environnements sensibles au bruit.
La consommation d’énergie a pu être réduite jusqu’à 50 % à pleine charge ; au repos, les appliances ne consomment que légèrement moins. Le contexte est le suivant : Sophos ne met plus en avant une combinaison CPU et NPU, comme lors du lancement de la série XGS, pour améliorer les performances. Les nouveaux modèles reviennent à une architecture uniquement CPU, économisent ainsi un processeur et parviennent tout de même à augmenter les performances.
Voici un tableau comparatif des différentes appliances entre la génération 1 et la nouvelle génération de modèles Desktop.
XGS 87 / 88
| Métrique | XGS 88(w) | XGS 87(w) | Amélioration (%) |
|---|---|---|---|
| Débit du pare-feu | 9 900 Mbps | 3 850 Mbps | 157,14 % |
| Pare-feu IMIX | 6 500 Mbps | 3 000 Mbps | 116,67 % |
| Débit IPS | 2 000 Mbps | 1 200 Mbps | 66,67 % |
| Débit de protection contre les menaces | 2 000 Mbps | 850 Mbps | 135,29 % |
| NGFW | 2 000 Mbps | 700 Mbps | 185,71 % |
| Connexions simultanées | 1 600 000 | 1 600 000 | 0,00 % |
| Nouvelles connexions par seconde | 40 500 | 35 700 | 13,45 % |
| Débit VPN IPsec | 6 000 Mbps | 3 000 Mbps | 100,00 % |
| Tunnels VPN SSL simultanés | 500 | 500 | 0,00 % |
| Tunnels VPN IPsec simultanés | 500 | 500 | 0,00 % |
| Inspection Xstream SSL/TLS | 600 Mbps | 375 Mbps | 60,00 % |
| Connexions Xstream SSL/TLS simultanées | 8 192 | 8 192 | 0,00 % |
XGS 107 / 108
| Métrique | XGS 108(w) | XGS 107(w) | Amélioration (%) |
|---|---|---|---|
| Débit du pare-feu | 12 500 Mbps | 7 000 Mbps | 78,57 % |
| Pare-feu IMIX | 8 100 Mbps | 3 750 Mbps | 116,00 % |
| Débit IPS | 2 500 Mbps | 1 500 Mbps | 66,67 % |
| Débit de protection contre les menaces | 2 500 Mbps | 1 110 Mbps | 125,23 % |
| NGFW | 2 600 Mbps | 1 050 Mbps | 147,62 % |
| Connexions simultanées | 4 190 000 | 1 600 000 | 161,88 % |
| Nouvelles connexions par seconde | 53 000 | 44 400 | 19,37 % |
| Débit VPN IPsec | 8 250 Mbps | 4 000 Mbps | 106,25 % |
| Tunnels VPN SSL simultanés | 1 000 | 1 000 | 0,00 % |
| Tunnels VPN IPsec simultanés | 1 000 | 1 000 | 0,00 % |
| Inspection Xstream SSL/TLS | 800 Mbps | 420 Mbps | 90,48 % |
| Connexions Xstream SSL/TLS simultanées | 12 288 | 8 192 | 50,00 % |
XGS 116 / 118
| Métrique | XGS 118(w) | XGS 116(w) | Amélioration (%) |
|---|---|---|---|
| Débit du pare-feu | 15 500 Mbps | 7 700 Mbps | 101,30 % |
| Pare-feu IMIX | 11 000 Mbps | 4 500 Mbps | 144,44 % |
| Débit IPS | 3 500 Mbps | 2 500 Mbps | 40,00 % |
| Débit de protection contre les menaces | 3 250 Mbps | 2 160 Mbps | 50,46 % |
| NGFW | 3 950 Mbps | 2 000 Mbps | 97,50 % |
| Connexions simultanées | 5 500 000 | 1 600 000 | 243,75 % |
| Nouvelles connexions par seconde | 62 650 | 61 500 | 1,87 % |
| Débit VPN IPsec | 13 000 Mbps | 4 800 Mbps | 170,83 % |
| Tunnels VPN IPsec simultanés | 1 500 | 1 500 | 0,00 % |
| Tunnels VPN SSL simultanés | 1 250 | 1 250 | 0,00 % |
| Inspection Xstream SSL/TLS | 1 100 Mbps | 650 Mbps | 69,23 % |
| Connexions Xstream SSL/TLS simultanées | 18 432 | 8 192 | 125,00 % |
XGS 126 / 128
| Métrique | XGS 128(w) | XGS 126(w) | Amélioration (%) |
|---|---|---|---|
| Débit du pare-feu | 19 100 Mbps | 10 500 Mbps | 81,90 % |
| Pare-feu IMIX | 14 500 Mbps | 5 250 Mbps | 176,19 % |
| Débit IPS | 4 650 Mbps | 3 250 Mbps | 43,08 % |
| Débit de protection contre les menaces | 4 000 Mbps | 2 700 Mbps | 48,15 % |
| NGFW | 4 350 Mbps | 2 500 Mbps | 74,00 % |
| Connexions simultanées | 6 000 000 | 5 000 000 | 20,00 % |
| Nouvelles connexions par seconde | 72 250 | 69 900 | 3,36 % |
| Débit VPN IPsec | 15 050 Mbps | 5 500 Mbps | 173,64 % |
| Tunnels VPN IPsec simultanés | 2 500 | 2 500 | 0,00 % |
| Tunnels VPN SSL simultanés | 1 500 | 1 500 | 0,00 % |
| Inspection Xstream SSL/TLS | 1 450 Mbps | 800 Mbps | 81,25 % |
| Connexions Xstream SSL/TLS simultanées | 18 432 | 12 288 | 50,00 % |
XGS 136 / 138
| Métrique | XGS 138 | XGS 136(w) | Amélioration (%) |
|---|---|---|---|
| Débit du pare-feu | 19 100 Mbps | 11 500 Mbps | 66,09 % |
| Pare-feu IMIX | 10 500 Mbps | 6 500 Mbps | 61,54 % |
| Débit IPS | 5 850 Mbps | 4 000 Mbps | 46,25 % |
| Débit de protection contre les menaces | 4 750 Mbps | 3 000 Mbps | 58,33 % |
| NGFW | 5 100 Mbps | 3 000 Mbps | 70,00 % |
| Connexions simultanées | 6 550 000 | 6 400 000 | 2,34 % |
| Nouvelles connexions par seconde | 105 000 | 74 500 | 40,94 % |
| Débit VPN IPsec | 6 600 Mbps | 6 350 Mbps | 3,94 % |
| Tunnels VPN IPsec simultanés | 2 500 | 2 500 | 0,00 % |
| Tunnels VPN SSL simultanés | 1 500 | 1 500 | 0,00 % |
| Inspection Xstream SSL/TLS | 1 700 Mbps | 950 Mbps | 78,95 % |
| Connexions Xstream SSL/TLS simultanées | 18 432 | 18 432 | 0,00 % |
Données de performance issues de la brochure Firewall
Comparaisons à armes égales : dans les coulisses des tests de performance
Les comparaisons de performances matérielles sont essentielles pour aider les clients à choisir une solution adaptée à leurs besoins. Sophos a récemment ajusté sa méthodologie de test afin de permettre des comparaisons plus équitables avec des concurrents comme Fortinet. Auparavant, les différences de taille de paquets conduisaient à des résultats moins favorables, alors que les performances réelles étaient bonnes. Désormais, Sophos utilise les mêmes conditions de test que la concurrence pour garantir une comparaison équitable.
La nouvelle méthodologie de test en détail
Sophos utilise désormais une méthodologie standardisée avec les paramètres suivants :
- General : débit maximal dans des conditions de test idéales, mesuré avec les outils Keysight-Ixia BreakingPoint standard du secteur. Les performances réelles peuvent varier selon les conditions réseau.
- Pare-feu : Mesure avec trafic HTTP et une taille de réponse de 512 Ko.
- Pare-feu IMIX : Débit UDP basé sur des tailles de paquets de 66, 570 et 1518 octets.
- IPS : Mesure avec trafic HTTP, jeu de règles IPS standard et une taille d’objet de 512 Ko.
- IPSec VPN : débit HTTP via plusieurs tunnels et taille de réponse de 512 Ko.
- TLS Inspection : mesure des performances avec IPS, sessions HTTPS et plusieurs suites de chiffrement.
- Threat Protection : mesure avec pare-feu, IPS, contrôle applicatif et prévention des malwares activés, avec Enterprise Traffic Mix.
- NGFW : mesure avec IPS et contrôle applicatif activés, sur trafic HTTP et taille d’objet de 512 Ko.
Cette méthodologie standardisée garantit que les données de performance sont directement comparables à celles de la concurrence.
Grâce aux tests ajustés, les clients Sophos disposent d’une base plus transparente pour argumenter. Les modèles XGS offrent jusqu’à trois fois plus de performances en Threat Protection et des améliorations notables du débit IPSec VPN. Ces améliorations sont le résultat de la nouvelle architecture et d’une méthodologie de test adaptée, qui rendent le bénéfice réel plus visible.
Interfaces plus rapides
Tous les nouveaux modèles proposent des interfaces avancées prenant en charge les débits multi-gigabit, pour une transmission fluide des données et de bonnes performances réseau. Cette combinaison permet de maintenir une connexion stable et fiable même avec un volume de données élevé, un avantage décisif pour les environnements professionnels exigeants.
Ports Ethernet 2.5 Gigabit
Tous les nouveaux modèles sont équipés en standard de ports Ethernet 2.5 Gigabit, offrant une connectivité filaire rapide et fiable. Ces ports fournissent une connexion stable et performante, particulièrement importante pour les applications critiques. Grâce à la prise en charge du 2.5 Gigabit, les nouveaux pare-feu conviennent très bien aux entreprises en croissance qui anticipent une charge réseau plus élevée tout en exigeant de bonnes performances.
Prise en charge Wi-Fi 6
Les modèles Wi-Fi (XGS 88w, XGS 108w, XGS 118w, XGS 128w) prennent en charge la norme Wi-Fi 6. Cette technologie apporte des débits plus élevés et améliore les performances réseau lorsqu’un grand nombre d’appareils sont connectés simultanément. Dans les environnements de bureau, où de nombreux appareils accèdent au réseau en même temps, le Wi-Fi 6 assure une connexion plus stable et plus efficace. La bande passante peut ainsi être mieux répartie, afin que tous les appareils soient servis de manière plus régulière et avec moins de latence.
10G SFP+ pour le XGS 138
La XGS 138 est en outre équipée de deux ports 10G SFP+, permettant une connexion directe par fibre optique. Ces interfaces haut débit offrent une bande passante particulièrement élevée et conviennent aux scénarios qui exigent des transferts de données rapides et sûrs, par exemple dans des environnements réseau distribués ou pour la connexion de centres de données. La prise en charge de SFP+ apporte aussi une solution pérenne face à la croissance des besoins en bande passante, tout en offrant une option efficace pour les solutions SD-WAN nécessitant une connectivité flexible et évolutive.
Modèles et variantes
Les nouveaux modèles comprennent :
Les modèles se distinguent notamment par le nombre de ports réseau, la prise en charge du Wi-Fi et leurs différentes caractéristiques de performance.
Prix et disponibilité
Les nouveaux modèles de deuxième génération sont disponibles dès maintenant et sont vendus en parallèle des modèles existants de première génération. Ils sont proposés au même prix que les modèles Gen.1. Vu ainsi, il n’est donc plus très logique d’acheter les anciens appareils, sauf si leurs performances suffisent et que vous disposez d’une meilleure offre.
Les modèles de première génération resteront pris en charge pendant cinq ans après une future annonce End-of-Sale, ce qui permet de continuer à bénéficier d’un cycle de vie complet du pare-feu.
Conclusion
Mes points forts personnels sont les deux ports SFP+ de la XGS 138 ainsi que les modèles sans ventilateur XGS 88 et XGS 108, même si nous n’avons jamais utilisé la XGS 88 en raison de ses limitations. Le bruit des ventilateurs était justement l’un des grands points critiques des anciens modèles.
En revanche, je trouve dommage qu’il existe encore des modèles W, car Sophos a déplacé sa stratégie WLAN du pare-feu vers Central, alors que les modèles W et les RED avec adaptateur Wireless ne peuvent toujours être gérés que via le pare-feu. Cela conduit à une gestion et à un ensemble de fonctionnalités qui ne sont pas homogènes.
À mon avis, l’emballage aurait aussi pu être plus écologique, car il contient encore beaucoup de polystyrène et de plastique, tout en prenant inutilement beaucoup de place.
Quoi qu’il en soit, le matériel et les performances étaient bons et sont maintenant encore meilleurs. Depuis aujourd’hui, le 17 octobre 2024, la version 21 est disponible en version GA pour tous les modèles XGS.
