Naar de inhoud
Avanet
Is de aankoop van de nieuwe XGS‑hardware de moeite waard?

Is de aankoop van de nieuwe XGS‑hardware de moeite waard?

10. JANUARI 2022

Ik weet niet hoe het bij jou zit, maar voor producten die ik dagelijks gebruik en die voor mij onmisbaar zijn, volg ik de verdere ontwikkeling altijd nauwlettend. Het gaat daarbij vooral om technische toestellen, maar ik ben ook een beetje een geek. 😄

Voor al deze toestellen volg ik een duidelijke strategie om te bepalen wanneer het tijd is om het product door de opvolger te vervangen. In deze blogpost pas ik deze strategie toe op de Sophos‑firewall om uit te zoeken of het de moeite waard is om over te stappen op de nieuwe XGS‑hardware of niet.

Spoiler: in de meeste gevallen is dat eigenlijk niet zo. 🤐

4 redenen om de aankoop van een nieuwe XGS‑firewall te overwegen

De nieuwe XGS‑hardware is sinds april 2021 op de markt. Er zijn verschillende factoren die bepalen wanneer de aankoop van XGS‑hardware echt zinvol is. In de volgende paragraaf bekijken we vier signalen die een aankoopbeslissing kunnen rechtvaardigen:

1. Defect

Als een apparaat kapotgaat en de garantie is verlopen, moet het vaak snel gaan en is er geen tijd om uitgebreid onderzoek te doen. In zo’n situatie is het belangrijk dat je vooraf weet hoe je de infrastructuur weer aan de praat krijgt en hoe de levertijden van een vervangend apparaat eruitzien. De firewall vormt het hart van het netwerk. Slechts weinig organisaties kunnen zich een langdurige onderbreking veroorloven. Bedrijven met meer dan 20 medewerkers beschikken echter vaak over een HA‑oplossing, waardoor de situatie bij een uitval enigszins wordt verzacht.

SG‑firewall met UTM‑OS 🤕

We zien helaas vaak dat het net klanten met SG‑hardware treft die nog steeds UTM‑OS gebruiken. In zo’n situatie is de aankoop van een XGS‑firewall niet aan te raden. De omgeving moet zo snel mogelijk weer werken en er is geen tijd voor een migratie naar SFOS. Je bestelt daarom het beste zo snel mogelijk hetzelfde SG‑firewallmodel om de configuratie uit de back‑up eenvoudig te herstellen.

In het algemeen raden we alle klanten die nog een SG‑firewall met het UTM‑besturingssysteem gebruiken aan om een migratie naar SFOS te overwegen. De licentiemigratie is kosteloos en de resterende looptijd wordt 1:1 overgenomen. De volgende handleiding kan je bij de migratie helpen: Sophos XG Firewall OS installeren op een SG‑appliance

Heb je ondersteuning nodig bij de migratie van UTM naar SFOS, dan helpen we graag. De hardcore UTM‑fans onder jullie die absoluut niet naar SFOS willen overschakelen, kunnen ook gewoon wachten tot UTM‑OS end of life is. Dat zal zeker niet vóór eind 2025 het geval zijn. Misschien kunnen de volgende twee blogposts je toch aan het denken zetten:

2. Geen updates meer

Als software langer dan een jaar geen updates meer heeft ontvangen, verandert mijn gevoel daarbij. Na meer dan twee jaar (vaak al eerder) ga ik op zoek naar alternatieven om die te vervangen. Alleen al daarom zou het voor mij een no‑go zijn als op de Sophos‑firewall geen updates meer kunnen worden geïnstalleerd.

Momenteel zijn ASG en UTM 120/220/320/425/525/625 niet langer compatibel met de meest recente firewall‑firmware en ontvangen ze daarom geen updates meer. Alle andere SG‑hardwaremodellen met een geldige licentie blijven updates ontvangen en kunnen naar SFOS worden gemigreerd.

Dan rijst de vraag of er überhaupt alternatieven zijn als er geen updates meer beschikbaar zijn. Vandaag de dag bestaat er in feite nog maar één optie: de aanschaf van een nieuwe firewall die aan de eisen voldoet. Om die reden worden de hierboven genoemde hardwaremodellen end of life verklaard. Het is des te belangrijker dat onze klanten voor firewalls kiezen die tot de mainstream behoren en niet tot de exotische modellen die op deze lijst belanden:

Heb je een ander model dat momenteel geen updates ontvangt, maar in principe weer updates zou kunnen krijgen (bijvoorbeeld een SG‑ of XG‑model), dan kan het wachten de moeite waard zijn. Je moet dan wel goed in de gaten houden hoe de end‑of‑life‑status van de betreffende apparaten zich ontwikkelt, zodat je een eventuele migratie tijdig kunt plannen.

In het algemeen raden we alle klanten die SFOS op hun SG‑firewall hebben geïnstalleerd of over een XG‑firewall beschikken aan te controleren of SFOS v18.5+ nog steeds op hun appliance kan worden geïnstalleerd. In de volgende post beschrijven we welke apparaten de nieuwste versie niet meer zullen ontvangen: Sophos Firewall‑appliances: ondersteunde hardware voor SFOS v18+

Opmerking: Sophos was aanvankelijk van plan ook de SG‑firewalls met SFOS en XG‑firewalls van oudere generaties geen updates meer te geven. Begin 2021 is Sophos echter van dit voornemen afgestapt en alle actuele SG‑ en XG‑modellen blijven de nieuwste SFOS‑versies ontvangen.

Als je dus niet beschikt over een oudere revisie van een SG‑ of XG‑firewall die geen updates meer ontvangt, kan ik ook hier geen echte koopaanbeveling voor een XGS‑firewall uitspreken.

3. Geen garantie meer

Een ander punt dat in mijn persoonlijke koopstrategie een belangrijke rol speelt, is de garantie op een product. Zodra die verlopen is, controleer ik automatisch of er mogelijkheden zijn om die te verlengen of dat het tijd is om het product te vervangen.

XG‑firewalls hebben met de juiste licentie vijf jaar garantie. Als je tot de mensen behoort die in 2016 de eerste revisie van een XG‑firewall hebben gekocht, valt je firewall inmiddels niet meer onder de fabrieksgarantie. In dat geval zou ik de volgende twee scenario’s overwegen:

  • Er wordt één appliance gebruikt: hier zou het risico mij te groot zijn en zou ik de hardware vervangen door een nieuw XGS‑model.
  • Er zijn twee appliances in een HA‑cluster: ook hier zou ik een vervanging nastreven. Als er geen budget beschikbaar is, kun je wachten tot een van de twee firewalls uitvalt en dan twee nieuwe XGS‑modellen aanschaffen.

4. Onvoldoende prestaties

Het laatste punt op mijn lijst dat tot een aankoopbeslissing kan bijdragen, is de prestatie van een product. Het kan gebeuren dat firmware‑updates een toestel na verloop van tijd trager maken, omdat er nieuwe functies bijkomen. Of je eigen eisen veranderen gewoon, waardoor de oorspronkelijke prestaties niet meer toereikend zijn.

Deze overwegingen zijn ook van toepassing op een Sophos‑firewall. Controleer daarom gewoon eens de belasting van je firewall, want ook hier kan het aantal apparaten in je netwerk of het aantal medewerkers in de afgelopen jaren veranderd zijn, waardoor de prestaties die je oorspronkelijk nodig had niet meer overeenkomen met de huidige behoeften. In zo’n geval is een overstap naar een XGS‑firewall zeker geen slecht idee, mits het budget dat toelaat. De licentie kan vaak kosteloos naar de nieuwe appliance worden overgezet.

Heb je daarentegen een actuele SG‑ of XG‑firewall die nog steeds de nieuwste SFOS‑updates krijgt (SFOS 18.5+), nog onder de fabrieksgarantie valt en geen prestatieproblemen vertoont, dan loont de aankoop van een XGS‑firewall niet. Je moet alleen de end‑of‑life‑datum van de XG‑firewalls in de gaten houden. Sophos heeft deze datum onlangs verschoven van 31‑12‑2024 naar 31‑03‑2025.

Samenvatting

Als ik de vier punten van mijn persoonlijke koopstrategie toepas op de XGS‑firewall, zullen waarschijnlijk maar weinig bestaande klanten echt in actie moeten komen. Voor nieuwe klanten is de zaak duidelijk en raden we altijd XGS‑hardware aan. Om je bij de aankoopbeslissing te ondersteunen, heb ik tot slot nog een stroomdiagram samengesteld. Doorloop het gewoon zelf en je krijgt aan het eind onze duidelijke aanbeveling.

Beslissingsdiagram Sophos XGS Firewall

Wie een XG‑firewall heeft en op dit moment nog twijfelt, raad ik het volgende blogartikel aan, waarin wordt uitgelegd wat het verschil is tussen een XG‑ en een XGS‑firewall:

Kort samengevat: de doorslaggevende voordelen van de nieuwe XGS‑hardware

De XGS‑serie levert een veel betere prestatie doordat het netwerkverkeer slimmer en efficiënter wordt verwerkt en bepaalde taken, zoals TLS‑inspection, naar de hardware zelf worden verplaatst. De nieuwe dual‑processorarchitectuur met een multi-core‑CPU en een Xstream Flow Processor zorgt voor sterkere hardwareversnelling. In komende SFOS‑versies zullen nog meer processen voor deze nieuwe hardware worden geoptimaliseerd.

Elke appliance beschikt over een 64‑bit CPU en een aparte Xstream‑processor, ook wel een Network Processing Unit (NPU) genoemd. De nieuwe serie is uitgerust met extra netwerkaansluitingen en maakt het mogelijk om optionele modules toe te voegen en flexibeler om te gaan met de keuze van netwerkpoorten. De XGS‑serie biedt nu ook PoE‑poorten (Power over Ethernet) en fail‑to‑wire (bypass), zodat het verkeer zelfs bij een stroomuitval van het apparaat kan blijven doorlopen.

Network Flow FastPath

In tegenstelling tot de virtuele FastPath van de XG‑serie, die door de CPU wordt verwerkt, wordt de FastPath bij de XGS‑serie afgehandeld door de Xstream Flow Processor. Die bevindt zich tussen de CPU en de fysieke poorten via PCIe (PCI Express). Daardoor wordt het verkeer dat naar FastPath is uitbesteed door de Xstream Flow Processor verwerkt en blijft de CPU meer beschikbaar voor andere taken die nog niet kunnen worden uitbesteed.

Sophos XGS - Network Flow FastPath

Fail‑to‑Wire

Fail‑to‑Wire is een fouttolerantiefunctie die de bedrijfscommunicatie beschermt bij een stroomuitval. In dat geval worden WAN en LAN met elkaar overbrugd, waardoor de netwerkconnectiviteit transparant behouden blijft. Dit relais creëert een fysieke verbinding tussen de twee poorten van het bypass‑paar en leidt het verkeer door, ongeacht of er stroom aanwezig is of niet.

Opmerking: Fail‑to‑Wire is niet standaard geactiveerd en moet via de advanced shell worden geconfigureerd met de opdracht xgs-ftw.

Sophos XGS - Fail‑to‑Wire

Promoties

Ben je tot een beslissing gekomen en wil je een nieuwe XGS‑firewall aanschaffen? Vergeet dan niet eerst een kijkje te nemen op onze promotiepagina. Discountspecialist Sophos heeft bijna voor elk scenario een passende promo klaarstaan. 😅

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.