Sophos XGS Series : de nouveaux pare-feux plus puissants

Sophos XGS Series : de nouveaux pare-feux plus puissants

22. AVRIL 2021

Dans cet article, nous passons en revue tous les changements et nouveautés de la XGS Series qui en font le meilleur appliance de pare‑feu que Sophos ait conçu à ce jour.

A quick overview of the Sophos XGS Series

Finalement, c’est bien arrivé…

Lors de la Sophos Discover Conference 2017, à Lisbonne, le nouveau hardware a été présenté pour la première fois. À l’époque, il devait être disponible en 2018. La sortie n’a toutefois jamais eu lieu et le nouveau hardware a disparu des radars. Aujourd’hui, un peu plus de trois ans plus tard, il est enfin là. Nous avons eu le privilège de participer, depuis février 2021, à un EAP exclusif pour la XGS. Nous avons pu tester une XGS 2300 avec la version 18.5 et partager nos conclusions avec Sophos. Bilan rapide en avant‑première : elle est vraiment rapide ! 🚀

Les principales innovations de la XGS Series

Le Sophos XGS Firewall a été entièrement repensé et est devenu un produit totalement nouveau, nettement plus efficace. De l’extérieur, le hardware ressemble à la série XG, mais l’essentiel se situe à l’intérieur de la nouvelle XGS Series. Sous le capot, le nouveau pare‑feu est conçu pour offrir une protection maximale et une sécurité réseau plus efficace.

Principales innovations de la série de hardware XGS

Architecture à double processeur

Tous les appliances de la XGS Series sont désormais équipés de deux processeurs multicœurs distincts. D’un côté, on trouve la CPU multicœur et, de l’autre, l’unité de traitement réseau multicœur appelée Xstream Flow Processor. Jusqu’à présent, l’architecture Xstream, sur laquelle nous reviendrons plus loin, était entièrement logicielle. Dans la XGS Series, elle dispose toutefois d’une couche hardware qui augmente considérablement l’efficacité de cette architecture.

Dans les prochaines versions de firmware SFOS 19.0 et 19.5, le logiciel sera encore optimisé afin que le hardware puisse décharger davantage de tâches vers la NPU, comme par exemple SD‑WAN, VPN et AV/TLS sur les endpoints.

Plus de ports et davantage de flexibilité

La XGS Series dispose d’un plus grand nombre d’interfaces intégrées et offre des possibilités de connexion plus variées pour les modules externes, afin de suivre les évolutions constantes d’une infrastructure réseau. La XGS Series n’a pas pour objectif de protéger votre réseau pour l’année à venir, mais de répondre aux exigences des quatre à cinq prochaines années. La situation liée au Covid-19 nous a tous touchés différemment, mais les 18 derniers mois ont montré que les besoins réseau peuvent changer radicalement et que vos appliances de pare-feu doivent être suffisamment flexibles pour s’adapter à une grande variété d’évolutions de l’infrastructure.

Remarque : les modules FleXi Port du firewall XG ne sont plus compatibles avec la XGS Series.

Protection et performances

Un traitement plus intelligent et plus ciblé des flux de données libère des ressources, qui peuvent alors être consacrées à des tâches plus intensives telles que les core firewall tasks, les TLS inspections et la deep packet inspection. Selon les statistiques retenues, la XGS Series offre jusqu’à trois fois plus de performances, voire davantage, par rapport aux appliances précédentes.

L’architecture Xstream

La nouvelle XGS Series intègre un nouveau Xstream Flow Processor, qui joue le rôle d’unité de traitement réseau multicœur, ou NPU. Avant de voir comment ce nouveau processeur améliore nettement les performances de la XGS par rapport à la XG, il faut d’abord comprendre ce qu’est l’architecture Xstream.

Architecture Xstream de Sophos

Introduite avec la version 18, l’architecture Xstream constitue une manière efficace de traiter le trafic en consolidant la sécurité dans un single streaming deep packet inspection engine. Elle crée une voie rapide virtuelle pour décharger le trafic déjà vérifié et approuvé, ce qui est particulièrement utile pour les applications qui manipulent des données en temps réel, comme les applications SaaS et cloud. Dans la série XG, l’architecture Xstream était entièrement logicielle, mais dans la XGS Series Sophos a ajouté une couche matérielle, le Xstream Flow Processor. Celui-ci fournit une voie rapide dédiée à l’accélération applicative. Tout cela réduit la charge sur la CPU, qui peut alors concentrer toutes ses ressources sur les tâches essentielles du pare-feu et la deep packet inspection, ce qui améliore nettement la latence et fournit une protection réseau bien plus efficace.

Les appliances XGS

Le nouveau hardware s’accompagne d’une série de nouveaux appareils répartis en différentes catégories. En fonction de la taille de l’infrastructure informatique, on choisit ensuite la taille de hardware adaptée. Avant d’examiner en détail chaque catégorie et chaque appareil, il est utile de jeter un coup d’œil au portefeuille pour voir en quoi les appareils diffèrent de ceux de la série XG.

Sophos XG 86 → Sophos XGS 87
Sophos XG 106 → Sophos XGS 107
Sophos XG 115 → Sophos XGS 116
Sophos XG 125 → Sophos XGS 126
Sophos XG 135 → Sophos XGS 136
Sophos XG 210 → Sophos XGS 2100
Sophos XG 230 → Sophos XGS 2300
Sophos XG 310 → Sophos XGS 3100
Sophos XG 330 → Sophos XGS 3300
Sophos XG 430 → Sophos XGS 4300
Sophos XG 450 → Sophos XGS 4500
Sophos XG 550 → Sophos XGS 5500
Sophos XG 650 → Sophos XGS 6500
Sophos XG 750 → Sophos XGS 6500

Tous les appareils de la série XG disposent d’un équivalent XGS, à l’exception du XG 750. Grâce au hardware amélioré, tous les appareils de la XGS Series surpassent toutefois nettement leur équivalent XG, de sorte que la XGS 6500 est largement en tête du XG 750.

Différences de performance entre les appliances Sophos XG et XGS

Si la puissance de la XGS 6500 ne suffit toujours pas, il convient de mentionner que les modèles XGS 7500 et XGS 8500 sont prévus pour l’année prochaine 🤐.

Voyons à présent les trois catégories dans lesquelles sont répartis les appareils de la XGS Series :

Gamme de bureau

Tous les appareils de la XGS 87 à la XGS 136 sont classés dans la « gamme de bureau ». Ces appareils conviennent particulièrement aux petits bureaux, aux succursales et aux commerces de détail. Les principaux points forts de cette catégorie sont les suivants :

Sophos XGS Firewall hardware : points forts des appliances de bureau

Tous les appareils de cette catégorie bénéficient de l’architecture à double processeur.
Tous les appareils de cette série disposent d’un port SFP, désormais présent aussi sur la XGS 87 (il n’était pas disponible sur la XG 86).
Les XGS 116(w) à 136(w) sont maintenant toutes compatibles avec des modules optionnels (ce n’était pas possible sur la XG 115(w)).
Un second module Wi-Fi peut désormais être installé en option dans les XGS 116w, 126w et 136w (ce n’était pas possible sur les XG 115w et XG 125w).
Les XGS 116(w) à 136(w) intègrent désormais un port Power over Ethernet (PoE).
La XGS 136(w) dispose maintenant de ports 2,5 GE.
Tous les modèles, à l’exception de la XGS 87(w), ont une deuxième alimentation électrique en option.

1U rackmount

Tous les appareils de la XGS 2100 à la XGS 4500 sont classés dans la catégorie « 1U rackmount ». Ces appareils sont parfaits pour les sites distribués et les entreprises disposant de plusieurs succursales. Les principaux points forts de cette catégorie sont les suivants :

Sophos XGS Firewall hardware : points forts des modèles 1U

Tous les appareils de cette gamme bénéficient de l’architecture à double processeur.
Les XGS 2100 à XGS 3300 disposent d’un emplacement Flexi‑Port, tandis que les XGS 4300 et XGS 4500 disposent deux emplacements Flexi‑Port.
Les modèles à partir de la XGS 3100 intègrent un port SFP+.
Les XGS 2100 à XGS 3300 sont livrées avec une paire de ports LAN bypass, tandis que les XGS 4300 et XGS 4500 disposent deux paires de ports LAN bypass.
Les XGS 4300 et XGS 4500 intègrent désormais des ports 2,5 GE.
La mémoire des appareils à partir de la XGS 3300 a été augmentée afin d’améliorer l’inspection TLS.
Tous les appareils 1U rackmount prennent en charge des modules PoE Flexi‑Port à alimentation centralisée en option.
Tous les appareils 1U rackmount prennent en charge une alimentation électrique redondante externe en option.
La XGS 4500 est équipée d’un SSD double et d’une alimentation électrique interne redondante en option.

2U rackmount

Les XGS 5500 et XGS 6500 sont classées dans la catégorie « 2U rackmount ». Ces appareils sont parfaits pour répondre aux exigences des environnements d’entreprise. Les principaux points forts de cette catégorie sont les suivants :

Sophos XGS Firewall hardware : points forts des modèles 2U

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.