Sophos XGS Series – nieuwe firewalls met meer vermogen
In dit artikel lopen we door alle wijzigingen en vernieuwingen in de XGS Series heen die deze serie tot de beste firewall‑appliance maken die Sophos tot nu toe heeft ontwikkeld.
Uiteindelijk is het toch gebeurd…
Op de Sophos Discover Conference 2017 in Lissabon werd de nieuwe hardware voor het eerst gepresenteerd. Toen werd aangekondigd dat deze in 2018 beschikbaar zou komen. De release bleef echter uit en het werd stil rond de nieuwe hardware. Nu, ruim drie jaar later, is hij er dan eindelijk. Wij hadden het voorrecht om sinds februari 2021 deel te nemen aan een exclusief EAP voor de XGS. Daarbij hebben we een XGS 2300 met versie 18.5 getest en onze bevindingen met Sophos gedeeld. Korte conclusie alvast: hij is echt snel! 🚀
De belangrijkste vernieuwingen in de XGS Series
De Sophos XGS Firewall is volledig opnieuw ontworpen en uitgegroeid tot een totaal nieuw en veel efficiënter product. Aan de buitenkant lijkt de hardware op de XG‑serie, maar het belangrijkste is wat zich aan de binnenkant van de nieuwe XGS Series bevindt. Onder de motorkap is de nieuwe firewall ontworpen voor maximale bescherming en efficiëntere netwerkbeveiliging.
Dual‑processorarchitectuur
Alle appliances in de XGS Series zijn nu uitgerust met twee verschillende multicore‑processors. Enerzijds is er de multicore‑CPU, anderzijds de multicore‑netwerkverwerkingseenheid, de Xstream Flow Processor. Tot nu toe was de Xstream‑architectuur, waar we later op terugkomen, volledig software‑gebaseerd. In de XGS Series beschikt deze architectuur nu over een hardwarelaag die de efficiëntie aanzienlijk verhoogt.
In de komende firmware‑releases SFOS 19.0 en 19.5 wordt de software verder geoptimaliseerd, zodat de hardware nog meer taken kan uitbesteden aan de NPU, bijvoorbeeld SD‑WAN, VPN en endpoint‑AV/TLS.
Meer poorten en meer flexibiliteit
De XGS Series biedt een groter aantal geïntegreerde interfaces en meer uiteenlopende mogelijkheden om externe modules aan te sluiten, zodat deze serie gelijke tred kan houden met de voortdurend veranderende eisen binnen een netwerkinfrastructuur. De XGS Series is er niet op gericht om je netwerk alleen voor het komende jaar te beschermen, maar om aan de eisen van de komende vier tot vijf jaar te voldoen. Covid-19 heeft ons allemaal op verschillende manieren geraakt, maar de afgelopen 18 maanden hebben laten zien dat netwerkvereisten drastisch kunnen veranderen en dat je firewall-appliances flexibel genoeg moeten zijn om zich aan een breed scala aan infrastructuurveranderingen aan te passen.
Opmerking: de FleXi Port-modules van de XG Firewall zijn niet langer compatibel met de XGS Series.
Bescherming en prestaties
Een slimmere en gerichter verwerking van datastromen maakt resources vrij, zodat die gebruikt kunnen worden voor zwaardere taken zoals core firewall tasks, TLS inspection en deep packet inspection. Afhankelijk van welke statistieken je bekijkt, levert de XGS Series tot drie keer, of zelfs meer, prestatiewinst op ten opzichte van eerdere appliances.
De Xstream-architectuur
De nieuwe XGS Series beschikt over een nieuwe Xstream Flow Processor, die dienstdoet als een multicore networking processing unit, oftewel NPU. Voordat we kunnen uitleggen hoe deze nieuwe processor de prestaties van de XGS ten opzichte van de XG duidelijk verbetert, moeten we eerst kijken naar wat de Xstream-architectuur precies is.
De in versie 18 geïntroduceerde Xstream-architectuur is een efficiënte manier om verkeer af te handelen door beveiliging te consolideren in één single streaming deep packet inspection engine. Ze creëert een virtuele fast path om eerder geverifieerd en vertrouwd verkeer uit te besteden, wat vooral nuttig is voor toepassingen met realtimegegevens, zoals SaaS- en cloudapplicaties. In de XG-serie was de Xstream-architectuur volledig softwaregebaseerd, maar in de XGS Series heeft Sophos een hardwarelaag toegevoegd: de Xstream Flow Processor. Deze biedt een dedicated fast path voor applicatieversnelling. Dit alles vermindert de belasting van de CPU, zodat alle resources kunnen worden ingezet voor kernfirewalltaken en deep packet inspection, wat de latentie aanzienlijk verlaagt en veel efficiëntere netwerkbeveiliging oplevert.
De XGS‑appliances
De nieuwe hardware komt met een reeks nieuwe apparaten die in verschillende categorieën zijn onderverdeeld. Afhankelijk van de grootte van de IT‑infrastructuur kies je vervolgens de juiste hardwareschaal. Voordat we de categorieën en apparaten afzonderlijk bekijken, is het nuttig om eerst het portfolio te bekijken om te zien hoe de apparaten zich verhouden tot de XG‑serie.
- Sophos XG 86 → Sophos XGS 87
- Sophos XG 106 → Sophos XGS 107
- Sophos XG 115 → Sophos XGS 116
- Sophos XG 125 → Sophos XGS 126
- Sophos XG 135 → Sophos XGS 136
- Sophos XG 210 → Sophos XGS 2100
- Sophos XG 230 → Sophos XGS 2300
- Sophos XG 310 → Sophos XGS 3100
- Sophos XG 330 → Sophos XGS 3300
- Sophos XG 430 → Sophos XGS 4300
- Sophos XG 450 → Sophos XGS 4500
- Sophos XG 550 → Sophos XGS 5500
- Sophos XG 650 → Sophos XGS 6500
- Sophos XG 750 → Sophos XGS 6500
Alle apparaten in de XG‑serie hebben een XGS‑equivalent, met uitzondering van de XG 750. Door de verbeterde hardware zijn alle apparaten in de XGS Series echter duidelijk krachtiger dan hun XG‑tegenhanger, waardoor de XGS 6500 de XG 750 ruimschoots overtreft.
Mocht het vermogen van een XGS 6500 nog steeds niet voldoende zijn, dan is het goed om te weten dat de modellen XGS 7500 en XGS 8500 voor volgend jaar op de planning staan 🤐.
Laten we nu kijken naar de drie categorieën waarin de XGS Series‑apparaten zijn onderverdeeld:
Desktop‑range
Alle apparaten van de XGS 87 tot en met de XGS 136 vallen in de categorie “desktop‑range”. Deze apparaten zijn ideaal voor kleine kantoren, filialen en retailomgevingen. De belangrijkste kenmerken van deze categorie zijn:
- Alle apparaten in deze categorie zijn uitgerust met de dual‑processorarchitectuur.
- Alle apparaten in deze serie beschikken over een SFP-poort, die nu ook in de XGS 87 is ingebouwd (die was niet aanwezig op de XG 86).
- De XGS 116(w) tot en met 136(w) kunnen nu allemaal met optionele modules worden uitgerust (dit was niet beschikbaar op de XG 115(w)).
- In de XGS 116w, 126w en 136w kan nu optioneel een tweede WiFi-module worden ingebouwd (dit was niet mogelijk op de XG 115w en XG 125w).
- De XGS 116(w) tot en met 136(w) beschikken nu over een ingebouwde Power over Ethernet (PoE)-poort.
- De XGS 136(w) heeft nu 2,5 GE-poorten.
- Alle modellen, behalve de XGS 87(w), hebben een optionele tweede stroomaansluiting.
1U‑rackmount
Alle apparaten van de XGS 2100 tot en met de XGS 4500 vallen in de categorie “1U‑rackmount”. Deze apparaten zijn ideaal voor verspreide locaties en organisaties met meerdere vestigingen. De belangrijkste kenmerken van deze categorie zijn:
- Alle apparaten in deze range beschikken over de dual‑processorarchitectuur.
- De XGS 2100–3300 heeft één Flexi‑Port‑bay, terwijl de XGS 4300 en XGS 4500 twee Flexi‑Port‑bays bieden.
- Modellen vanaf de XGS 3100 beschikken over een geïntegreerde SFP+‑poort.
- De XGS 2100–3300 worden geleverd met één LAN‑bypasspoortpaar, en de XGS 4300 en XGS 4500 met twee LAN‑bypasspoortparen.
- De XGS 4300 en XGS 4500 hebben nu geïntegreerde 2,5‑GE‑poorten.
- Het geheugen in apparaten vanaf de XGS 3300 is vergroot voor betere TLS‑inspectie.
- Alle apparaten in de 1U‑rackmount‑range ondersteunen optionele centraal gevoede PoE‑Flexi‑Port‑modules.
- Alle apparaten in de 1U‑rackmount‑range ondersteunen optionele externe redundante voeding.
- De XGS 4500 wordt geleverd met een dubbele SSD en een optionele interne redundante voeding.
2U‑rackmount
De XGS 5500 en XGS 6500 vallen in de categorie “2U‑rackmount”. Deze apparaten zijn ideaal voor veeleisende enterprise‑omgevingen. De belangrijkste kenmerken van deze categorie zijn:
