Zum Inhalt springen
Avanet

Sophos Firewall Bundles vergleichen

Vor dem Kauf oder Renewal einer Sophos Firewall sollte nicht nur das Hardwaremodell betrachtet werden. Entscheidend ist auch, welche Schutzmodule, welcher Support und welche Central-Funktionen im Betrieb wirklich benötigt werden. Genau dafür sind die Sophos Firewall Bundles relevant.

Ein Bundle kann wirtschaftlich sinnvoller sein als einzelne Lizenzen. Es kann aber auch dazu führen, dass Funktionen gekauft werden, die im Alltag kaum genutzt werden. Deshalb sollte man zuerst klären, welche Security-Funktionen, Reporting-Anforderungen und Support-Erwartungen zur Umgebung passen.

Welcher Lizenz-Artikel passt?

Lizenz- und Kaufentscheidungen hängen zusammen, beantworten aber unterschiedliche Fragen:

Diese Trennung ist wichtig: Das passende Bundle ersetzt kein Sizing, keine Lifecycle-Prüfung und keine saubere Account-Zuordnung. Umgekehrt hilft das beste Hardwaremodell wenig, wenn Support, Schutzmodule oder Reporting nicht zum Betrieb passen.

Sophos Firewall Bundles im Überblick

Für XGS Firewall Appliances mit Sophos Firewall OS stehen typischerweise drei Bundle-Varianten im Vordergrund:

  • Standard Protection: enthält typischerweise Base License, Network Protection, Web Protection und Enhanced Support. Das passt für klassische UTM-Funktionen, Webfilter, IPS, Support und Firmware-Updates.
  • Xstream Protection: erweitert Standard Protection typischerweise um Zero-Day Protection, Central Orchestration und weitere Xstream-/Central-Funktionen je Angebot. Das passt für Umgebungen mit stärkerem Cloud-, SD-WAN-, Reporting- oder Advanced-Malware-Fokus.
  • Epic Protection: erweitert Xstream Protection typischerweise um Email Protection und Webserver Protection. Das passt für Umgebungen, die Mail Security oder WAF-Funktionen direkt auf der Firewall betreiben wollen.
Sophos Firewall - New XGS Hardware Bundles
Übersicht über die Sophos Firewall Bundles (Lizenzbundles)

Die Tabelle ist bewusst nicht als vollständige Lizenzmatrix gemeint. Sophos kann Bundle-Namen, Aktionen, Laufzeiten und enthaltene Zusatzdienste ändern. Für Kauf oder Renewal sollte deshalb immer das konkrete Angebot und die sichtbare Lizenzansicht in Sophos Central beziehungsweise auf der Firewall gegen den technischen Bedarf geprüft werden.

Standard Protection einordnen

Standard Protection ist in vielen Umgebungen der pragmatische Einstieg, wenn eine Sophos Firewall vor allem klassische Gateway-Security übernehmen soll: IPS, Web Protection, Application Control, Support und Updateberechtigung.

Sinnvoll ist Standard Protection, wenn diese Punkte zutreffen:

  • Eine einzelne oder wenige Firewalls schützen Büro-, Server- oder Standortnetze.
  • Web Protection und IPS werden wirklich genutzt und geloggt.
  • Zero-Day Protection, Central Orchestration oder Firewall-basierte Mail/WAF-Funktionen sind nicht Teil des Betriebsmodells.
  • Reporting wird lokal, per Syslog, SIEM oder separat über Central Firewall Reporting gelöst.
  • Die Umgebung soll nicht wegen einer Hardware-Promo in ein höheres Bundle gedrückt werden.

Für viele kleinere und mittlere Umgebungen ist das der sauberste Startpunkt. Entscheidend ist aber nicht der Bundle-Name, sondern ob die Schutzfunktionen auch aktiviert, überwacht und gepflegt werden.

Xstream Protection einordnen

Xstream Protection ergänzt Standard Protection vor allem um Funktionen, die stärker in Richtung Advanced Threat Protection, Central-Funktionen, Reporting, DNS-/Cloud-Schutz und SD-WAN-Orchestrierung gehen. Das Bundle lohnt sich nicht automatisch, nur weil es in einer Promo attraktiv aussieht.

Xstream Protection sollte geprüft werden, wenn mindestens einer dieser Punkte fachlich relevant ist:

  • Zero-Day Protection soll für Downloads oder Webtraffic real genutzt werden.
  • TLS Inspection ist geplant oder bereits eingeführt, damit verschlüsselter Traffic sinnvoll analysiert werden kann.
  • Mehrere Firewalls sollen über Sophos Central und SD-WAN-Orchestrierung effizienter verwaltet werden.
  • Central-Funktionen wie Reporting, Orchestration, DNS Protection oder zusätzliche Cloud-Dienste sind Teil des Betriebskonzepts.
  • Es gibt eine Person oder ein Team, das Alerts, Ausnahmen und False Positives regelmässig prüft.

Bei Sophos Firewall Zero-Day Protection ist besonders wichtig: Die Lizenz allein schützt noch nicht automatisch jeden Download. Entscheidend sind passende Policies, TLS-Inspection-Planung, Benutzerakzeptanz, Ausnahmen und Monitoring. Ohne diese Betriebsarbeit bleibt der praktische Nutzen begrenzt.

Den grössten praktischen Mehrwert von Xstream Protection sehen wir häufig dort, wo Drittanbieter Threat Feeds aktiv genutzt werden. Damit lassen sich bekannte bösartige IPs, kompromittierte Systeme oder weitere externe Threat-Intelligence-Quellen direkt in der Firewall-Policy berücksichtigen.

Central Orchestration ist vor allem dann interessant, wenn mehrere Firewalls, mehrere VPN-Standorte oder komplexere SD-WAN-Designs betrieben werden. Bei einer einzelnen Firewall oder wenigen einfachen Site-to-Site-Tunneln kann manuelle Konfiguration weiterhin ausreichend sein. Für zentrale Firewall-Änderungen sollte zusätzlich die Sophos Central Firewall Management Task Queue in den Betriebsprozess aufgenommen werden.

Epic Protection einordnen

Epic Protection ist das umfassendere Bundle, sollte aber nicht als Standardantwort auf jede Umgebung verstanden werden. Der Mehrwert hängt stark davon ab, ob Email Protection und Webserver Protection wirklich auf der Sophos Firewall betrieben werden sollen.

Epic Protection ist eher sinnvoll, wenn diese Fragen mit Ja beantwortet werden:

  • Soll die Sophos Firewall als Mail-Schutzkomponente im eigenen Mailfluss arbeiten?
  • Werden veröffentlichte Webserver oder Applikationen über die Firewall geschützt?
  • Gibt es klare Zuständigkeiten für Mail-, WAF-, Zertifikats- und Ausnahmebetrieb?
  • Sind Logging, Quarantäne, Fehlersuche und Changes für diese Funktionen organisatorisch abgedeckt?

Wenn E-Mail-Security bereits über Sophos Central Email, Microsoft 365 Security, ein anderes Secure Email Gateway oder einen spezialisierten Dienst gelöst ist, muss Email Protection auf der Firewall nicht automatisch zusätzlich gekauft werden. Ähnlich gilt für Webserver Protection: Eine WAF auf der Firewall ist nur sinnvoll, wenn sie zur Applikationsarchitektur, zum TLS-Betrieb und zum Verantwortungsmodell passt.

Entscheidungsmatrix für Kauf und Renewal

Vor Kauf, Renewal oder Bundle-Wechsel sollte man nicht nur Preise vergleichen. Besser ist eine kurze fachliche Matrix:

  • Welche Schutzfunktionen werden heute aktiv genutzt? Gekaufte, aber nicht konfigurierte Module bringen keinen Sicherheitsgewinn.
  • Welche Funktionen sollen in den nächsten 12 bis 36 Monaten eingeführt werden? Ein Bundle kann sinnvoll sein, wenn die Einführung realistisch geplant ist.
  • Gibt es genügend Zeit für Pflege, Ausnahmen und Logprüfung? IPS, Web Protection, Zero-Day Protection und WAF erzeugen Betriebsaufwand.
  • Wo werden Logs langfristig gespeichert? Lokales Reporting reicht oft nicht für längere Nachweise oder Audits.
  • Wie viele Firewalls, Standorte und VPNs gibt es? Central Orchestration lohnt sich eher bei mehreren Firewalls und komplexeren Topologien.
  • Welche Security-Funktionen laufen bereits ausserhalb der Firewall? Endpoint, DNS, E-Mail, WAF und SIEM können Funktionen teilweise ersetzen oder ergänzen.
  • Ist das Angebot an eine feste Laufzeit gebunden? Mehrjahresangebote können finanziell gut sein, binden aber Budget und Architektur.

Diese Matrix hilft besonders bei Renewals. Eine Umgebung, die vor drei Jahren mit Xstream Protection gestartet ist, nutzt heute vielleicht nur Standard-Funktionen. Umgekehrt kann eine bisher einfache Firewall inzwischen mehr Reporting, SD-WAN oder Advanced Malware Protection benötigen.

Promo-Angebote richtig bewerten

Sophos Standard Protection vs. Xstream Protection
Standard Protection und Xstream Protection sollten nicht nur über den Hardware-Rabatt verglichen werden.

Sophos-Promos können auf den ersten Blick sehr attraktiv wirken, weil Hardware stark rabattiert wird, wenn ein bestimmtes Bundle oder eine bestimmte Laufzeit gewählt wird. Für die technische Entscheidung ist aber nicht der Rabatt allein entscheidend.

Vor einer Promo-Entscheidung sollte man diese Punkte getrennt betrachten:

  • Gesamtkosten über die gesamte Laufzeit, nicht nur Hardwarepreis.
  • Vorauszahlung und Budgetbindung bei mehrjährigen Laufzeiten.
  • Wirklich benötigte Module im Vergleich zu mitgekauften Modulen.
  • Aufwand für Einführung, Monitoring und Pflege der Zusatzfunktionen.
  • Renewal-Situation nach Ablauf der Promo.
  • Risiko, dass Funktionen nur wegen des Bundles gekauft, aber nie betrieben werden.

Eine Xstream-Promo kann sinnvoll sein, wenn Zero-Day Protection, Central Orchestration oder ergänzende Central-Funktionen wirklich genutzt werden. Wenn diese Funktionen nicht betrieben werden, ist Standard Protection trotz kleinerem Hardware-Rabatt häufig die ehrlichere Entscheidung.

Was ein Bundle nicht ersetzt

Ein Bundle löst keine Architektur- oder Betriebsprobleme. Es gibt Funktionen frei, aber es konfiguriert sie nicht sinnvoll.

Nicht aus einem Bundle ableiten:

  • dass das Firewall-Modell richtig dimensioniert ist,
  • dass alle Security-Features automatisch aktiviert sind,
  • dass TLS Inspection ohne Rollout-Plan funktioniert,
  • dass Logs lange genug aufbewahrt werden,
  • dass HA, Backup oder Restore sauber geplant sind,
  • dass ein Supportfall ohne Seriennummer, Lizenzstatus und Dokumentation schnell gelöst werden kann.

Für die technische Basis sollten deshalb Sophos Firewall nach dem Setup Wizard richtig konfigurieren, Sophos Firewall Backup erstellen oder wiederherstellen und Sophos Firewall Firmware Update: Vorbereitung und Best Practices parallel betrachtet werden.

Renewal-Checkliste

Vor einem Renewal sollte man die Lizenz nicht einfach unverändert verlängern. Besser ist eine kurze Betriebsprüfung:

  • Seriennummer und Modell der Firewall prüfen.
  • Aktuelle Base License, Support und Subscriptions dokumentieren.
  • Genutzte Module mit dem aktuellen Bundle abgleichen.
  • Unbenutzte Module identifizieren.
  • Fehlende Module anhand konkreter Anforderungen begründen.
  • Firmwarestand und Updateberechtigung prüfen.
  • XG-, SG- oder XGS-Lifecycle einordnen.
  • Reporting-Aufbewahrung und Syslog/SIEM-Anbindung prüfen.
  • HA-Cluster: beide Nodes, Rollen und Lizenzsynchronisation kontrollieren.
  • Virtuelle Firewalls: CPU-Cores, Instanz, Lizenz und Account-Zuordnung prüfen.

Für Seriennummer und Account-Zuordnung passen Seriennummer der Sophos Firewall finden und Sophos Firewall in anderes Sophos Central Konto übertragen. Für Plattform- und Lifecycle-Fragen hilft Sophos XG vs. XGS: Unterschiede, EOL und Migration.

Typische Fehler

  • Bundle nur wegen Hardware-Rabatt wählen: Funktionen werden bezahlt, aber nicht betrieben. Funktionsbedarf und Betriebskosten getrennt vom Rabatt prüfen.
  • Base License mit Support verwechseln: Update- und Supportfähigkeit wird falsch eingeschätzt. Base License, Support und Subscriptions separat prüfen.
  • Zero-Day Protection ohne TLS-Inspection-Plan kaufen: Schutzwirkung bleibt begrenzt oder führt zu Benutzerfrust. Rollout, Ausnahmen, Testgruppe und Monitoring planen.
  • Central Orchestration für eine sehr einfache Umgebung wählen: Zusatzlizenz bringt kaum praktischen Nutzen. Anzahl Firewalls, VPNs und SD-WAN-Komplexität bewerten.
  • Email Protection doppelt lizenzieren: Mail-Security wird unnötig komplex oder teuer. Bestehende E-Mail-Security-Architektur prüfen.
  • Reporting-Anforderungen vergessen: Logs fehlen später für Analyse, Audit oder Versicherung. Central Reporting, Syslog oder SIEM früh planen.

FAQ

Welches Sophos Firewall Bundle ist für die meisten Umgebungen sinnvoll?

Für viele kleinere und mittlere Umgebungen ist Standard Protection ein guter Startpunkt, wenn klassische Firewall-, IPS-, Web-Protection- und Support-Funktionen benötigt werden. Xstream oder Epic lohnen sich, wenn die Zusatzfunktionen wirklich eingeführt und betrieben werden.

Ist Xstream Protection automatisch besser als Standard Protection?

Nein. Xstream Protection enthält zusätzliche Funktionen, aber diese müssen technisch und organisatorisch genutzt werden. Wenn Zero-Day Protection, Central Orchestration oder passende Central-Funktionen nicht betrieben werden, kann Standard Protection die bessere Wahl sein.

Braucht man Epic Protection für jede Sophos Firewall?

Nein. Epic Protection ist vor allem interessant, wenn Email Protection oder Webserver Protection auf der Firewall gebraucht werden. Wenn diese Aufgaben bereits durch andere Dienste abgedeckt sind, sollte der Mehrwert genau geprüft werden.

Sind Firmware-Updates in den Bundles enthalten?

Die gängigen Bundles enthalten Enhanced Support. Trotzdem sollte man Supportstatus, Ablaufdaten und Updateberechtigung vor jedem grösseren Firmware-Update prüfen. Die Base License allein sollte nicht mit vollständigem Support verwechselt werden.

Sollte man ein Bundle beim Renewal unverändert verlängern?

Nicht automatisch. Vor dem Renewal sollte man prüfen, welche Module tatsächlich genutzt werden, ob neue Anforderungen entstanden sind, ob Reporting reicht und ob Hardware, Firmware und Lifecycle noch zur Umgebung passen.