Sophos XGS Series – nowe firewalle o wiekszej wydajnosci
W tym artykule omawiamy wszystkie zmiany i nowości w XGS Series, które sprawiają, że jest to najlepszy appliance firewall, jaki Sophos kiedykolwiek opracował.
Ostatecznie jednak się udało…
Podczas Sophos Discover Conference 2017 w Lizbonie nowy sprzęt został zaprezentowany po raz pierwszy. W tamtym czasie zapowiadano, że będzie dostępny w 2018 roku. Do premiery jednak nie doszło i wokół nowego sprzętu zapanowała cisza. Teraz, nieco ponad trzy lata później, jest wreszcie dostępny. Mieliśmy przywilej uczestniczyć od lutego 2021 roku w ekskluzywnym programie EAP dla XGS. Mogliśmy przetestować XGS 2300 z wersją 18.5 i podzielić się naszymi wnioskami z Sophos. Krótkie podsumowanie na wstępie: jest naprawdę szybki! 🚀
Najważniejsze nowości w XGS Series
Firewall Sophos XGS został zaprojektowany od podstaw i stał się zupełnie nowym, znacznie bardziej wydajnym produktem. Z zewnątrz sprzęt przypomina serię XG, ale kluczowe jest to, co znajduje się wewnątrz nowej XGS Series. Pod obudową nowy firewall jest zaprojektowany tak, aby zapewnić maksymalną ochronę i bardziej wydajną ochronę sieci.
Architektura podwójnego procesora
Wszystkie appliance’y z XGS Series są teraz wyposażone w dwa różne procesory wielordzeniowe. Z jednej strony jest wielordzeniowy CPU, a z drugiej wielordzeniowa jednostka przetwarzania ruchu sieciowego, zwana Xstream Flow Processor. Dotychczas architektura Xstream, do której jeszcze wrócimy, była w pełni oparta na oprogramowaniu. W XGS Series posiada ona jednak warstwę sprzętową, która znacząco zwiększa efektywność tej architektury.
W nadchodzących wersjach oprogramowania układowego SFOS 19.0 i 19.5 oprogramowanie będzie dalej optymalizowane, aby sprzęt mógł przekazywać jeszcze więcej zadań do NPU, na przykład SD‑WAN, VPN i AV/TLS na endpointach.
Więcej portów i większa elastyczność
XGS Series oferuje większą liczbę zintegrowanych interfejsów oraz bardziej zróżnicowane możliwości podłączania modułów zewnętrznych, dzięki czemu może nadążać za stale rosnącymi zmianami w infrastrukturze sieciowej. XGS Series nie ma chronić Twojej sieci tylko przez najbliższy rok, ale spełniać wymagania kolejnych czterech do pięciu lat. Sytuacja związana z Covid-19 dotknęła nas wszystkich w różny sposób, ale ostatnie 18 miesięcy pokazało, że wymagania sieciowe mogą zmieniać się bardzo szybko, a Twoje appliance’y firewall muszą być na tyle elastyczne, aby dostosować się do wielu zmian w infrastrukturze.
Uwaga: moduły FleXi Port z firewalla XG nie są już kompatybilne z XGS Series.
Ochrona i wydajność
Bardziej inteligentne i precyzyjniej ukierunkowane przetwarzanie strumieni danych uwalnia zasoby, które można wykorzystać do bardziej wymagających zadań, takich jak core firewall tasks, TLS inspection i deep packet inspection. W zależności od tego, które statystyki bierzemy pod uwagę, XGS Series oferuje nawet trzykrotny, a czasem jeszcze większy wzrost wydajności w porównaniu z wcześniejszymi appliance’ami.
Architektura Xstream
Nowa XGS Series wykorzystuje nowy Xstream Flow Processor, który pełni rolę wielordzeniowej jednostki przetwarzania sieciowego, czyli NPU. Zanim pokażemy, jak ten nowy procesor wyraźnie poprawia wydajność XGS w porównaniu z XG, warto najpierw przyjrzeć się temu, czym właściwie jest architektura Xstream.
Wprowadzona w wersji 18 architektura Xstream jest wydajnym sposobem obsługi ruchu poprzez skonsolidowanie zabezpieczeń w ramach single streaming deep packet inspection engine. Tworzy ona wirtualny fast path, który odciąża wcześniej zweryfikowany i zaufany ruch, co jest szczególnie przydatne w przypadku aplikacji przetwarzających dane w czasie rzeczywistym, takich jak aplikacje SaaS i cloud. W serii XG architektura Xstream była w pełni oparta na oprogramowaniu, natomiast w XGS Series Sophos dodał warstwę sprzętową, czyli Xstream Flow Processor. Zapewnia on dedykowany fast path do przyspieszania aplikacji. Wszystko to zmniejsza obciążenie CPU, który może skoncentrować wszystkie zasoby na kluczowych zadaniach firewalla i deep packet inspection, wyraźnie obniżając opóźnienia i zapewniając znacznie wydajniejszą ochronę sieci.
Appliance’y XGS
Nowy sprzęt wprowadza szereg nowych urządzeń podzielonych na różne kategorie. W zależności od wielkości infrastruktury IT wybiera się odpowiedni rozmiar sprzętu. Zanim przejdziemy do szczegółów dotyczących poszczególnych kategorii i urządzeń, warto najpierw przyjrzeć się portfolio, aby zobaczyć, jak urządzenia różnią się od tych z serii XG.
- Sophos XG 86 → Sophos XGS 87
- Sophos XG 106 → Sophos XGS 107
- Sophos XG 115 → Sophos XGS 116
- Sophos XG 125 → Sophos XGS 126
- Sophos XG 135 → Sophos XGS 136
- Sophos XG 210 → Sophos XGS 2100
- Sophos XG 230 → Sophos XGS 2300
- Sophos XG 310 → Sophos XGS 3100
- Sophos XG 330 → Sophos XGS 3300
- Sophos XG 430 → Sophos XGS 4300
- Sophos XG 450 → Sophos XGS 4500
- Sophos XG 550 → Sophos XGS 5500
- Sophos XG 650 → Sophos XGS 6500
- Sophos XG 750 → Sophos XGS 6500
Wszystkie urządzenia z serii XG mają odpowiednik w XGS, z wyjątkiem XG 750. Dzięki ulepszonemu sprzętowi wszystkie urządzenia z XGS Series zdecydowanie przewyższają swoje odpowiedniki z serii XG, dlatego XGS 6500 zdecydowanie wyprzedza XG 750.
Jeśli komuś mocy XGS 6500 nadal byłoby mało, warto wspomnieć, że w przyszłym roku planowane jest wprowadzenie modeli XGS 7500 i XGS 8500 🤐.
Przyjrzyjmy się teraz trzem kategoriom, w które można podzielić urządzenia z XGS Series:
Seria desktopowa
Wszystkie urządzenia od XGS 87 do XGS 136 zaliczane są do kategorii „seria desktopowa”. Urządzenia te najlepiej sprawdzają się w małych biurach, oddziałach i punktach sprzedaży detalicznej. Najważniejsze cechy tej kategorii to:
- Wszystkie urządzenia w tej kategorii wyposażone są w architekturę podwójnego procesora.
- Wszystkie urządzenia z tej serii mają port SFP, który jest teraz dostępny także w XGS 87 (nie było go w XG 86).
- Wszystkie modele od XGS 116(w) do 136(w) mogą być teraz wyposażone w opcjonalne moduły (nie było to dostępne w XG 115(w)).
- W modelach XGS 116w, 126w i 136w można teraz opcjonalnie zamontować drugi moduł WiFi (nie było to możliwe w XG 115w i XG 125w).
- Modele od XGS 116(w) do 136(w) mają teraz wbudowany port Power over Ethernet (PoE).
- XGS 136(w) ma teraz porty 2,5 GE.
- Wszystkie modele poza XGS 87(w) mają opcjonalne drugie zasilanie.
1U rackmount
Wszystkie urządzenia od XGS 2100 do XGS 4500 zaliczane są do kategorii „1U rackmount”. Urządzenia te są idealne dla rozproszonych lokalizacji i organizacji z wieloma oddziałami. Najważniejsze cechy tej kategorii to:
- Wszystkie urządzenia w tej serii posiadają architekturę podwójnego procesora.
- XGS 2100–3300 dysponują jedną kieszenią Flexi‑Port, natomiast XGS 4300 i XGS 4500 mają dwie kieszenie Flexi‑Port.
- Modele od XGS 3100 wzwyż posiadają zintegrowany port SFP+.
- XGS 2100–3300 posiadają jedną parę portów LAN bypass, a XGS 4300 i XGS 4500 – dwie pary portów LAN bypass.
- XGS 4300 i XGS 4500 mają teraz wbudowane porty 2,5 GE.
- Pamięć w urządzeniach od XGS 3300 wzwyż została zwiększona, aby ulepszyć inspekcje TLS.
- Wszystkie urządzenia w serii 1U rackmount obsługują opcjonalne, centralnie zasilane moduły PoE Flexi‑Port.
- Wszystkie urządzenia w serii 1U rackmount obsługują opcjonalne zewnętrzne, redundantne zasilanie.
- XGS 4500 jest wyposażony w podwójny dysk SSD i opcjonalne wewnętrzne, redundantne zasilanie.
2U rackmount
XGS 5500 i XGS 6500 zaliczane są do kategorii „2U rackmount”. Urządzenia te są idealne dla środowisk klasy enterprise. Najważniejsze cechy tej kategorii to:
