Aller au contenu
Avanet

Quelle est la différence entre un pare-feu XG et XGS ?

Sophos Firewall

La série XGS est le successeur de la série XG depuis 2021. La comparaison initiale entre l’ancien et le nouveau matériel n’est toutefois plus seulement une question de performance aujourd’hui. Depuis le 31 mars 2025, le matériel XG Sophos est End of Life. De plus, SFOS 21.x et les versions 21 ultérieures ne prennent plus en charge le matériel XG et SG.

La vraie question n’est donc plus seulement XGS vaut-il la peine ?, mais plutôt Comment planifier proprement la migration depuis XG ?. C’est le sujet de cet article.

Ce que signifie concrètement End of Life

End of Life n’est pas seulement un statut formel de cycle de vie pour du matériel firewall. Pour le matériel XG, cela signifie : plus de mises à jour de sécurité ni de hotfixes, plus de nouveaux patches firmware, plus de nouvelle licence ou de renouvellement de support et donc plus de support constructeur fiable.

Une XG qui continue à fonctionner en production après l’EOL devient donc un risque de sécurité. C’est particulièrement critique pour les appareils placés à l’edge internet, avec VPN actif, Web Protection, TLS Inspection ou accès d’administration exposés.

Les trois principales différences

XG et XGS peuvent se ressembler de l’extérieur selon le modèle, mais elles diffèrent nettement sur les plans technique et opérationnel.

  • Cycle de vie et support : le matériel XG est End of Life. Les nouvelles lignes firmware, les mises à jour de sécurité, les patches et les licences ne s’y appliquent plus. XGS est la plateforme matérielle activement supportée.
  • Architecture et performance : XGS utilise la nouvelle architecture Xstream avec accélération matérielle et offre nettement plus de réserve sous charge pour les fonctions de sécurité actuelles.
  • Migration et exploitation : passer de XG à XGS ne consiste pas seulement à remplacer un appareil. La compatibilité des backups, le mapping des ports, l’état des licences et, le cas échéant, la HA doivent être vérifiés à nouveau.
Principales nouveautés de la série matérielle XGS

L’architecture Xstream

La série XGS dispose du Xstream Flow Processor, qui améliore nettement les performances par rapport à de nombreux modèles XG. Cela fait une vraie différence avec des fonctions de sécurité actives, TLS Inspection, plusieurs uplinks WAN ou des environnements site-to-site fortement sollicités.

L’architecture Xstream introduite avec SFOS v18 consolide les contrôles de sécurité dans un moteur DPI moderne. Le trafic de confiance peut être traité plus efficacement sans solliciter le CPU au même niveau que sur les anciennes plateformes.

Sur XG, cette architecture est purement logicielle. Sur XGS, une couche matérielle supplémentaire accélère certains chemins de données. Ce n’est pas un détail marketing, mais un point pertinent au quotidien lorsque plusieurs fonctions de sécurité sont actives en parallèle.

Chemins de migration

Lors d’une migration de XG vers XGS, il ne faut pas simplement choisir le modèle supposé le plus proche. Un bref inventaire est plus utile :

  • Quels ports WAN, LAN et DMZ sont réellement utilisés ?
  • Existe-t-il des cas particuliers HA, piles VLAN, RED, SD-WAN ou VPN ?
  • Quelles fonctions de sécurité sont actives aujourd’hui et lesquelles doivent être activées en plus à l’avenir ?
  • La plateforme cible doit-elle à nouveau être matérielle ou plutôt une appliance virtuelle ou cloud ?

Pour les migrations XG vers XGS, il vaut particulièrement la peine de comparer le calendrier Sophos Product Lifecycle et l’article Créer ou restaurer une sauvegarde Sophos Firewall, car ils décrivent plus précisément les questions de restore et de compatibilité.

Différences de performance entre appliances Sophos XG et XGS

Quand agir

Le remplacement d’une XG doit être planifié activement au plus tard lorsqu’un des points suivants s’applique :

  • SFOS 21.x ou une version 21 plus récente est nécessaire.
  • Les risques liés au support, au RMA ou au cycle de vie ne sont plus acceptables.
  • La XG existante atteint visiblement ses limites sous charge, avec TLS Inspection ou en fonctionnement VPN.
  • Un remplacement matériel est de toute façon prévu et il faut éviter une deuxième fenêtre de migration peu après.

Conclusion

La principale différence entre XG et XGS aujourd’hui n’est plus le positionnement marketing, mais le statut de support. XGS est la plateforme matérielle actuelle et supportée. XG est un projet de migration. Les environnements qui utilisent encore XG ne devraient pas attendre qu’une mise à jour soit bloquée ou qu’un défaut matériel crée déjà de la pression.