Sophos XGS Series – novos firewalls com mais desempenho
Neste artigo analisamos todas as alterações e novidades da XGS Series que a tornam o melhor appliance de firewall que a Sophos já desenvolveu.
No fim, aconteceu mesmo…
Na Sophos Discover Conference 2017, em Lisboa, o novo hardware foi apresentado pela primeira vez. Na altura, foi anunciado que estaria disponível em 2018. No entanto, o lançamento nunca chegou a acontecer e o novo hardware deixou de estar em destaque. Agora, mais de três anos depois, está finalmente disponível. Tivemos o privilégio de participar, desde fevereiro de 2021, num EAP exclusivo para a XGS. Pudemos testar uma XGS 2300 com a versão 18.5 e partilhar as nossas conclusões com a Sophos. Pequeno resumo antecipado: é mesmo muito rápida! 🚀
As principais novidades da XGS Series
O Sophos XGS Firewall foi completamente redesenhado e transformado num produto totalmente novo e muito mais eficiente. Visto de fora, o hardware assemelha‑se à série XG, mas o que realmente importa é o que está no interior da nova XGS Series. Sob o “capô”, o novo firewall foi concebido para oferecer a máxima proteção e uma segurança de rede mais eficiente.
Arquitetura de duplo processador
Todos os appliances da XGS Series contam agora com dois processadores multicore distintos. Por um lado, existe a CPU multicore e, por outro, a unidade de processamento de rede multicore denominada Xstream Flow Processor. Até agora, a arquitetura Xstream, sobre a qual voltaremos a falar mais adiante, era inteiramente baseada em software. Na XGS Series, no entanto, passa a dispor de uma camada de hardware que aumenta significativamente a eficiência desta arquitetura.
Nas próximas versões de firmware SFOS 19.0 e 19.5, o software será ainda mais otimizado para que o hardware possa delegar ainda mais tarefas na NPU, como SD‑WAN, VPN e AV/TLS nos endpoints.
Mais portas e maior flexibilidade
A XGS Series oferece um maior número de interfaces integradas e opções mais variadas para ligar módulos externos, garantindo que a série consegue acompanhar as mudanças constantes numa infraestrutura de rede. A XGS Series não foi concebida para proteger a rede apenas durante o próximo ano, mas para responder às exigências dos próximos quatro a cinco anos. A situação causada pela Covid-19 afetou-nos a todos de formas diferentes, mas os últimos 18 meses mostraram que as necessidades de rede podem mudar drasticamente e que os teus appliances de firewall precisam de ser flexíveis o suficiente para se adaptarem a uma grande variedade de alterações na infraestrutura.
Nota: os módulos FleXi Port do firewall XG deixaram de ser compatíveis com a XGS Series.
Proteção e desempenho
Um processamento mais inteligente e mais focado dos fluxos de dados liberta recursos que podem ser usados em tarefas mais intensivas, como core firewall tasks, TLS inspection e deep packet inspection. Dependendo da estatística considerada, a XGS Series oferece até três vezes, ou até mais, o desempenho dos appliances anteriores.
A arquitetura Xstream
A nova XGS Series inclui um novo Xstream Flow Processor, que funciona como uma unidade de processamento de rede multicore, ou NPU. Antes de explicar como este novo processador melhora de forma clara o desempenho da XGS face à XG, vale a pena perceber primeiro o que é realmente a arquitetura Xstream.
Introduzida na versão 18, a arquitetura Xstream é uma forma eficiente de tratar o tráfego ao consolidar a segurança num single streaming deep packet inspection engine. Cria um fast path virtual para descarregar o tráfego previamente verificado e de confiança, algo particularmente útil para aplicações com dados em tempo real, como aplicações SaaS e cloud. Na série XG, a arquitetura Xstream era totalmente baseada em software, mas na XGS Series a Sophos acrescentou uma camada de hardware, o Xstream Flow Processor. Este fornece um fast path dedicado para a aceleração de aplicações. Tudo isto reduz a carga sobre a CPU, que pode concentrar todos os recursos nas tarefas centrais do firewall e na deep packet inspection, melhorando significativamente a latência e proporcionando uma proteção de rede muito mais eficiente.
Os appliances XGS
O novo hardware vem acompanhado de uma gama de novos dispositivos divididos em diferentes categorias. Dependendo da dimensão da infraestrutura de TI, escolhe‑se depois o tamanho de hardware adequado. Antes de analisar em detalhe cada categoria e dispositivo, vale a pena olhar para o portefólio para ver como os dispositivos se comparam aos da série XG.
- Sophos XG 86 → Sophos XGS 87
- Sophos XG 106 → Sophos XGS 107
- Sophos XG 115 → Sophos XGS 116
- Sophos XG 125 → Sophos XGS 126
- Sophos XG 135 → Sophos XGS 136
- Sophos XG 210 → Sophos XGS 2100
- Sophos XG 230 → Sophos XGS 2300
- Sophos XG 310 → Sophos XGS 3100
- Sophos XG 330 → Sophos XGS 3300
- Sophos XG 430 → Sophos XGS 4300
- Sophos XG 450 → Sophos XGS 4500
- Sophos XG 550 → Sophos XGS 5500
- Sophos XG 650 → Sophos XGS 6500
- Sophos XG 750 → Sophos XGS 6500
Todos os dispositivos da série XG contam agora com um equivalente XGS, com exceção do XG 750. No entanto, graças ao hardware melhorado, todos os dispositivos da XGS Series superam claramente os seus equivalentes XG, pelo que a XGS 6500 fica muito à frente do XG 750.
Se até a potência de uma XGS 6500 não for suficiente, vale a pena referir que para o próximo ano estão planeados os modelos XGS 7500 e XGS 8500 🤐.
Vejamos agora as três categorias em que se inserem os dispositivos da XGS Series:
Gama desktop
Todos os dispositivos, da XGS 87 à XGS 136, integram a “gama desktop”. Estes dispositivos são ideais para escritórios pequenos, filiais e lojas. Os principais destaques desta categoria são:
- Todos os dispositivos desta categoria contam com a arquitetura de duplo processador.
- Todos os dispositivos desta série incluem uma porta SFP, agora também presente na XGS 87 (não existia na XG 86).
- Todos os modelos da XGS 116(w) à 136(w) podem agora ser equipados com módulos opcionais (isso não estava disponível na XG 115(w)).
- Na XGS 116w, 126w e 136w é agora possível instalar opcionalmente um segundo módulo WiFi (isso não era possível na XG 115w nem na XG 125w).
- Os modelos da XGS 116(w) à 136(w) incluem agora uma porta Power over Ethernet (PoE) integrada.
- A XGS 136(w) passa agora a contar com portas 2,5 GE.
- Todos os modelos, exceto a XGS 87(w), contam com uma segunda fonte de alimentação opcional.
1U rackmount
Todos os dispositivos, da XGS 2100 à XGS 4500, integram a categoria “1U rackmount”. Estes dispositivos são ideais para localizações distribuídas e várias filiais. Os principais destaques desta categoria são:
- Todos os dispositivos desta gama contam com a arquitetura de duplo processador.
- As XGS 2100–3300 dispõem de uma baía Flexi‑Port, enquanto as XGS 4300 e XGS 4500 possuem duas baías Flexi‑Port.
- Os modelos a partir da XGS 3100 incluem uma porta SFP+ integrada.
- As XGS 2100–3300 contam com um par de portas LAN bypass, enquanto as XGS 4300 e XGS 4500 dispõem de dois pares de portas LAN bypass.
- As XGS 4300 e XGS 4500 incluem agora portas 2,5 GE integradas.
- A memória dos dispositivos a partir da XGS 3300 foi aumentada para melhorar a inspeção TLS.
- Todos os dispositivos da gama 1U rackmount suportam módulos PoE Flexi‑Port de alimentação central opcional.
- Todos os dispositivos da gama 1U rackmount suportam fonte de alimentação redundante externa opcional.
- A XGS 4500 vem equipada com uma dupla unidade SSD e uma fonte de alimentação redundante interna opcional.
2U rackmount
As XGS 5500 e XGS 6500 integram a categoria “2U rackmount”. Estes dispositivos são ideais para ambientes empresariais exigentes. Os principais destaques desta categoria são:
