Migration Sophos Firewall de XG vers XGS

La migration de Sophos XG Firewall vers la nouvelle série XGS devient urgente pour de nombreuses entreprises, car la date de fin de vie de la série XG approche. Cet article fournit aux administrateurs IT un guide complet pour migrer correctement de XG vers XGS et présente les principaux avantages et différences entre les deux séries de pare-feu. Si vous n’avez vraiment pas envie de vous en occuper, nous avons déjà réalisé de nombreuses migrations et pouvons volontiers vous accompagner (contactez-nous).

Pourquoi migrer de XG vers XGS ?

La série Sophos XG sera officiellement en fin de vie le 31 mars 2025. Cela signifie : plus de mises à jour, plus de support et plus de commandes de licences après fin mars 2025.

Plusieurs raisons justifient ce changement :

Augmentation des prix : l’une des raisons est que Sophos a augmenté les prix des licences XG de 30 %, ce qui rend le maintien sur l’ancien matériel de moins en moins intéressant. Oui, nous devons le rappeler régulièrement, car cette décision du fabricant était tout sauf élégante et laisse un arrière-goût assez amer 💩.
Pérennité : Les futures versions logicielles telles que Sophos Firewall v21 ne seront disponibles que pour la série XGS.
Performances accrues : la série XGS utilise une architecture à double processeur, optimisée pour les charges élevées et le trafic chiffré. Grâce aux CPU multi-cœurs, les opérations de chiffrement comme l’inspection TLS peuvent être exécutées nettement plus efficacement.
Qualité matérielle améliorée : la série XGS a été développée en étroite collaboration avec des fabricants de matériel de premier plan, ce qui améliore la fiabilité et la durée de vie des appliances. Les appareils ont en outre été testés en profondeur afin de garantir des standards de qualité élevés.

Processus de migration en détail

Grâce à la fonction de sauvegarde et de restauration, la migration de XG vers XGS est relativement simple. Voici les principales étapes :

Préparation

Créer une sauvegarde de la configuration XG : avant la migration, il faut créer une sauvegarde à jour du pare-feu XG. Le mot de passe de chiffrement de la sauvegarde et la Secure Storage Master Key doivent impérativement être disponibles.
Vérifier les versions de SFOS : l’appareil cible XGS doit exécuter au moins la même version de SFOS que l’appareil source XG, ou une version plus récente.
- Mise à jour du micrologiciel sur Sophos Firewall

Mise à niveau Sophos Firewall v20 MR2

Si possible, il convient de mettre à jour Sophos XGS Firewall vers Sophos Firewall v20 MR2 ou une version supérieure avant de restaurer la configuration, car le processus de migration a été nettement amélioré dans cette version.

L’assistant de sauvegarde et de restauration simplifie fortement la migration des configurations de pare-feu. Il permet de créer des sauvegardes à partir de la version v19.5 MR4 et de les restaurer sur v20 MR2 ou une version ultérieure. Cela facilite aussi bien le passage de XG à XGS que les migrations entre modèles XGS ou vers/depuis des appliances virtuelles et cloud. Les interfaces peuvent être mappées de manière flexible, ce qui est particulièrement utile lors de l’optimisation de l’infrastructure réseau. Les pseudo-interfaces servent de réservations pour les interfaces non utilisées.

Sophos Firewall v20: Backup-Restore Enhancements — Sophos Firewall XG vers XGS - Sauvegarde et restauration pour un cluster HA

Restauration de la sauvegarde

La sauvegarde de la XG peut être transférée directement vers la XGS. L’assistant de migration permet d’ajuster l’affectation des ports lorsque les configurations matérielles des deux appareils diffèrent.

Sophos Firewall XG vers XGS - Mappage d'interface de sauvegarde / restauration (SFOS v20 MR2) — Sophos Firewall XG vers XGS - Mappage d’interface de sauvegarde / restauration (SFOS v20 MR2)

Sophos a levé certaines restrictions, de sorte qu’il est désormais possible de migrer des configurations entre appareils disposant d’un nombre de ports différent. Il est également possible de restaurer la sauvegarde d’un appareil Wireless sur une appliance XGS sans fonctionnalité Wi-Fi intégrée.
Avec l’assistant de mappage des ports (dans v20 MR2), vous pouvez définir de manière flexible comment les ports matériels actuels doivent être affectés sur le nouvel appareil.

Sur le site Sophos Backup Compatibility Tool, vous pouvez vérifier si une sauvegarde est compatible entre du matériel XG et XGS, des appliances cloud ou des appliances virtuelles.

Post-traitement et tests

Effectuer les corrections nécessaires : après la restauration, vérifiez tous les paramètres et ajustez-les si nécessaire, en particulier les interfaces réseau, les VLAN et les règles de pare-feu.
Tester la configuration : pour terminer, testez la fonctionnalité du pare-feu de manière complète afin de vous assurer que tous les services et toutes les règles ont été correctement migrés.

Guide vidéo étape par étape

Cette vidéo récapitule la procédure de migration de XG vers XGS :

Mise à niveau de votre Sophos Firewall de XG vers XGS

Appliance unique

La vidéo explique la migration de Sophos XG vers XGS Firewalls à l’aide du nouveau Backup Restore Assistant. Elle couvre les prérequis, notamment la compatibilité, le mot de passe de chiffrement de la sauvegarde et la Secure Storage Master Key. Elle montre étape par étape comment créer une sauvegarde, la transférer sur l’appareil cible et finaliser la configuration. Important : le mappage des ports doit être vérifié au préalable, car il ne peut plus être modifié après la restauration. Plus de détails dans la vidéo liée.

Sophos Firewall v20: XG to XGS Migration — Migration de Sophos Firewall XG vers XGS

Pour un cluster HA, le processus est identique. Le point supplémentaire le plus important consiste à configurer le lien HA, qui doit utiliser un type de port approprié sur l’ancien comme sur le nouveau système.

Migration de XG vers XGS (High Availability)

La vidéo montre la migration de Sophos XG vers XGS Firewalls dans une configuration High Availability à l’aide du nouveau Backup Restore Assistant, disponible dans SFOS v20 MR2. Elle explique les prérequis tels que la compatibilité, le mot de passe de chiffrement de la sauvegarde et la Secure Storage Master Key. Le processus de migration est présenté étape par étape : créer la sauvegarde, la transférer sur l’appareil cible, adapter les ports et finaliser la configuration. Important : le mappage du port du lien HA doit correspondre au préalable. Les pseudo-ports doivent être évités. Plus de détails dans la vidéo liée.

Sophos Firewall v20: XG to XGS Migration (High Availability) — Sophos Firewall XG vers XGS - Sauvegarde et restauration

FAQ

Quand le support pour la série XG se termine-t-il ?

Le 31 mars 2025.

Peut-on migrer de n'importe quel pare-feu XG vers n'importe quel pare-feu XGS ?

Presque toutes les migrations sont possibles, mais il existe des restrictions concernant le nombre de ports et certains modèles spécifiques.

Faut-il une nouvelle licence pour le pare-feu XGS ?

Oui, une nouvelle licence est nécessaire, mais il existe des offres promotionnelles attractives pour la migration.

Quelle version de SFOS est requise pour la migration ?

Au minimum SFOS 18.5 pour une migration fluide.

Combien de temps dure la migration en moyenne ?

Selon la complexité de la configuration, la migration peut durer entre 30 minutes et plusieurs heures.

Peut-on migrer d'une XG Wireless vers une XGS non-Wireless ?

Oui, à condition de supprimer la configuration Wi-Fi locale avant la migration.

Peut-on échanger des sauvegardes entre différents modèles (1U, 2U, Desktop) ?

Dans la plupart des cas, oui, mais certaines restrictions s’appliquent à la configuration des ports.

La migration peut-elle être effectuée sans interruption de service ?

Non, une courte interruption de service est nécessaire, ne serait-ce que pour reconnecter le câblage. Cependant, si tout est bien planifié, l’interruption de service est inférieure à 5 minutes.