Hoppa till innehållet
Avanet
7 skäl till varför XG Firewall (SFOS) är bättre än UTM

7 skäl till varför XG Firewall (SFOS) är bättre än UTM

I över två år har vi bara driftsatt XG Firewalls med SFOS eller installerat SFOS på SG Appliances. Visserligen var XG Firewall en absolut skräck i de första versionerna och kunde bara användas på ett meningsfullt sätt i ett fåtal miljöer. Med version 16 blev det långsamt bättre och vi vågade åtminstone genomföra mindre projekt med den. Från v16.5 satsade vi sedan helt på XG i nya projekt och har sedan dess aldrig mer tittat tillbaka på UTM.

För att klargöra det direkt: När jag talar om XG Firewall menar jag XG Appliance-serien med Sophos Firewall OS (SFOS). Vi hanterar dock även SG Appliances där vi helt enkelt har installerat SFOS. Detta fungerar felfritt. 🙂

Efter att redan ha genomfört ett flertal projekt med XG Firewall ville jag dela med mig av 7 skäl till varför XG Firewall, i mina ögon, är ett bättre val än SG-serien med UTM-operativsystemet. Med denna artikel vill jag alltså bidra till debatten UTM vs. XG. 🥊

01 - Utveckling

När jag idag letar efter en ny app till min smartphone eller dator, lägger jag särskild vikt vid när appen senast uppdaterades. Om jag inte hittar en ändringslogg, tittar jag på sociala medier, t.ex. Twitter. All aktivitet som är äldre än ett år är för mig död, och appen kommer definitivt inte att hamna på min smartphone eller dator.

Visserligen är det inte så illa med UTM Firewall. Men uppdateringscyklerna har förlängts extremt. Tidigare kom uppdateringar till UTM nästan varje månad. Idag är det ungefär var fjärde månad och nya funktioner är praktiskt taget obefintliga.

Anledningen till detta är följande: Sophos har cirka 300 utvecklare som arbetar med SFOS- och UTM-operativsystemen. Men endast cirka 5 % av dessa utvecklare arbetar fortfarande med UTM-operativsystemet. Resten arbetar med XG Firewall. Här ser man alltså även från tillverkarens sida var prioriteringarna ligger.

Då och då ger man UTM-användarna lite hopp med en ny funktion. Men egentligen har man länge letat efter ett sätt att göra XG attraktivt för de trogna anhängarna, utan att förlora dem till en annan tillverkare. Som före detta UTM-användare vet jag dock att man inte byter system så snabbt om det inte verkligen behövs. Så länge UTM inte slutligen avvecklas finns det helt enkelt ingen anledning för majoriteten att byta.

Om man tittar på färdplanen för de två operativsystemen är listan för SFOS extremt lång och planerna sträcker sig långt över 18 månader. För UTM har funktioner tidigare tagits bort från färdplanen eller ständigt skjutits upp. Ett tydligt exempel är IKEv2. Funktionen fanns länge på färdplanen, sköts upp upprepade gånger och togs till slut till och med bort helt. Efter ett ramaskri i communityn lades den till igen och ska nu komma i version 9.8 nästa år.

Med Sophos Firewall OS ser saker och ting helt annorlunda ut och därför är detta också den första anledningen till varför vi älskar systemet. Ungefär var sjunde vecka får vi glädjas åt nya MR - Maintenance Releases och 1 till 2 gånger om året kommer en MINOR Release med riktigt många nya funktioner. Sophos Firewall OS har därför utvecklats från “bra” till “mycket bra” under de senaste månaderna. Systemet är ännu inte helt där det borde vara och har fortfarande några brister. Men för ett så ungt OS är framstegen ändå mycket stora!

02 - Hårdvara

Hårdvaran i Sophos XG Firewall och SG-serien är identisk vad gäller CPU, RAM, lagring och anslutningar. Ett litet undantag är Sophos XG 86 och XG 106, som inte finns i SG-serien. De två minsta modellerna där är SG 85 och SG 105, som dock har mindre RAM och lagring än XG 86 och XG 106. I grunden är det alltså problemfritt att installera SFOS från XG Firewall på SG-hårdvara. Licensen kan sedan migreras 1:1.

Hur man installerar SFOS på en Sophos SG Appliance har vi förklarat i ett KB-inlägg: Installera Sophos XG Firewall OS på en SG Appliance

Nästa år förväntas en ny hårdvaruserie, som för närvarande kallas “XGS”. Vi kan vid denna tidpunkt ännu inte säga om denna kommer att ersätta XG-serien direkt. Som kompatibelt operativsystem nämns i vilket fall endast SFOS. För SG-serien är ingen ny version planerad.

Vad som åtminstone just nu också tydligt talar för en XG Firewall med SFOS är stödet för de nya APX Access Points! Access Points, som lanserades redan i juli 2018 och har den nya Wave-2-standarden, är även idag endast kompatibla med XG Firewalls och Central. Från Sophos sida har det alltid sagts att man aldrig skulle göra APX Access Points kompatibla med UTM. För oss var detta steg också alltid helt logiskt! Det handlar här om NextGen-hårdvara, som helt enkelt bara utvecklades för NextGen Firewalls.

Men nu kan vi med skakande huvud ändå meddela er att Sophos har backat från denna plan. Stödet för APX Access Points kommer att komma för UTM! Stödet är planerat för UTM 9.7, som ska släppas i slutet av året.

03 - Licensiering

Licensieringen av XG Firewall är inte helt annorlunda än för UTM. Trots det finns det några viktiga fördelar.

Base License

Base License för en XG Firewall Appliance ingår kostnadsfritt. Vilka funktioner som ingår kan ni läsa om i en separat artikel om Base License. Här är dock de viktigaste funktionerna som ni får kostnadsfritt:

  • Wireless Protection
  • SSL VPN eller Sophos Connect Client
  • IPsec VPN-anslutningar

EnterpriseGuard-paket

Ni känner säkert till FullGuard Bundle, som låser upp alla moduler utom Sandstorm på brandväggen. Med FullGuard Plus Bundle får ni även Sandstorm.

För XG-serien finns dessutom det populära EnterpriseGuard Bundle. Detta paket är ett verkligt alternativ till FullGuard Bundle, eftersom det redan täcker de flesta kunders behov. Med EnterpriseGuard Bundle får ni Network Protection och Web Protection inklusive Sophos Premium Support. Wireless Protection ingår redan kostnadsfritt i Base License. Därför behöver endast ett fåtal kunder ta till det dyrare FullGuard Bundle, om det faktiskt finns ett behov av skydd för e-post och webbservrar.

04 - Brandväggsregler

Låt oss nu komma till den mer tekniska delen, varför SFOS i mina ögon har övertaget jämfört med UTM-operativsystemet.

Brandväggens regelverk har blivit mycket tydligare med SFOS. Om man har fler än 10 brandväggsregler, vilket sannolikt är fallet i de flesta miljöer, kan dessa grupperas utmärkt i SFOS. Följande skärmdump från min XG Firewall hemma ska också tydliggöra detta ytterligare. Här har alla IoT-enheter sitt eget nätverk och brandväggsreglerna för dessa sammanfattas alla i en grupp.

Sophos Firewall - Regelöversikt

Om man sedan tittar närmare på en grupp, upptäcker man snabbt vilka enskilda brandväggsregler som fortfarande släpper igenom trafik och vilka regler som kanske inte längre används. Denna presentation hjälper till att identifiera och ta bort överflödiga regler.

Sophos Firewall - Brandväggsregler

I motsats till UTM kan jag i SFOS ge en brandväggsregel ett eget namn. Inom en regel är dessutom längre kommentarer möjliga, för att exempelvis dokumentera vem som skapade regeln och i vilket syfte den en gång skapades.

  • Varje regel får ett ID, med vilket jag kan se i loggen vilken trafik som passerar genom denna regel.
  • Man ser direkt om till exempel IPS eller webbfiltret är aktivt för en regel.

Angående brandväggsregler skulle jag teoretiskt kunna nämna många fler fördelar som understryker varför jag aldrig skulle gå tillbaka till en UTM. Jag nöjer mig dock med de ovanstående huvudargumenten, som redan borde övertyga varje brandväggsadministratör. 🙂

Även om många saker har förbättrats i SFOS när det gäller brandväggsregler, har SFOS en mycket irriterande nackdel jämfört med UTM. Att spara en brandväggsregel tar på XG 86 till XG 135 brandväggar hela 4-10 sekunder! Detta förhållande ska först förbättras i v18 och sedan helt åtgärdas i v19.

05 - Loggvisning

Även efter flera år på XG Firewall är Log Viewer fortfarande en absolut höjdpunkt! Med den är det snabbt och enkelt att kontrollera loggar direkt via GUI. Men innan jag förlorar för många ord om det, titta bara på följande video:

06 - Sophos Central

Nej, ingen fara! Jag tänker inte också börja med Sophos Synchronized Security, som Sophos marknadsavdelning har gjort till århundradets slagord. Men om det hjälper er att byta ut er UTM mot en XG, då hoppar vi naturligtvis gärna på tåget. Visste ni att ni med Synchronized Security på XG Firewall kan se vilka applikationer som körs på endpoints? 😂 Så ja, Synchronized Security kommer i framtiden också att öppna för fler riktigt bra möjligheter!

Men låt oss nu, när det gäller Central, komma till en funktion som fortfarande är i sin linda, men som har en enorm potential. Jag talar om Central Firewall Management. Det gör det möjligt att koppla brandväggen till Central och hantera den därifrån. En sådan koppling kan redan göras nu, men de verkligt intressanta funktionerna kommer först senare! Jag kan tyvärr inte avslöja för mycket här ännu, men om Sophos gör det rätt kan det sluta i en hantering för SDN. Nya funktioner kan vi redan förvänta oss i slutet av detta år.

07 - Firmwareuppdateringar

Som redan nämnts tycker vi alltid om uppdateringar. Uttrycket never change a running system är absolut nonsens när det gäller brandväggar. Detta har vi redan tagit upp i ett tidigare inlägg om nödvändigheten av brandväggsuppdateringar.

Ni har säkert förstått att uppdateringar är viktiga. Men uppdateringar är också mycket farliga, eftersom det mycket väl kan hända att allt inte fungerar lika smidigt efteråt som tidigare. Från administratörer som är rädda för detta hör man då alltid det ovan nämnda uttrycket. 😅

För att motverka faran med uppdateringar en aning, finns det några förbättringar på XG Firewall:

  1. Uppdateringarna av Access Points och REDs är fristående och inte längre integrerade i brandväggsuppdateringen. Därmed kan REDs uppdateras även utan omstart av brandväggen.
  2. Om en brandväggsuppdatering inte har fungerat och man vill återgå till den tidigare versionen, är detta möjligt med några få klick.

Slutsats

Den här artikeln har nu blivit lite längre än vad jag ursprungligen hade tänkt mig. Jag har listat sju skäl här som, enligt min mening, borde uppmuntra varje UTM-vän att byta. Även jag avgudade en gång UTM, men just när det gäller framtidssäkerhet, uppdateringar och en tydlig vision, har vårt förnuft tidigt föreslagit bytet för oss och vi har hittills aldrig ångrat det! När det gäller jämförelsen UTM vs. XG, har XG för oss helt klart den mer imponerande matchvikten på vågen. Så var modiga eller snarare förnuftiga (😅) och satsa på en XG Firewall i nästa projekt. När detta steg har tagits kan ni börja migrera era UTM till SFOS.

Nackdelar

Även om SFOS verkligen erbjuder många utmärkta funktioner, kan man kanske få en känsla av att denna artikel skrevs genom rosafärgade glasögon. Därför bifogar jag här ett kort kapitel med nackdelarna, för som sagt är SFOS fortfarande ett mycket ungt operativsystem och det finns verkligen fortfarande vissa saker som inte fungerar optimalt.

GUI-hastighet

  • Att ladda eller spara brandväggsregler tar fortfarande för lång tid och inte så som man önskar.
  • Att generera rapporter eller systemresurser behöver absolut en hastighetsökning.

* Som redan nämnts i artikeln kommer dessa saker att förbättras med v18 och lösas med v18.5.

Byta namn på objekt

  • Det är tyvärr inte överallt möjligt att byta namn på skapade poster i efterhand. Detta gäller till exempel zoner, Wireless-nätverk, aktiva Firewall-NAT-portar, IPS Protection Policies, Webserver Protection Policies, IPsec Policies och några fler.

* Anledningen till detta är att utvecklarna av Cyberoam Firewall, som fortfarande är grunden för SFOS, har använt namnet på dessa objekt som primärnyckel i databasen. Det gör naturligtvis en namnändring i efterhand ganska svår. Men även detta arbetas det med och de första förbättringarna förväntas med v18.

NAT-regler

  • Skapade NAT-regler kan inte längre redigeras om de är aktiva. Man måste först inaktivera dem, redigera dem och sedan återaktivera dem.

* Ska åtgärdas med v18.

Meddelanden

  • Aviseringarna är fortfarande betydligt bättre i UTM-systemet. Där kan man i praktiken få e-postmeddelanden om nästan allt. SFOS erbjuder knappt några alternativ på det området. Med SFOS 17.5 MR4 förbättrades detta något, men det erbjuder fortfarande långt ifrån de möjligheter som vi såg som självklara i UTM.

* Ska förbättras ytterligare med v18.

Mer information

I den här artikeln hänvisar jag ofta till v18, som förväntas ge många förbättringar. Enligt Sophos ska v18 släppas redan i slutet av 2019. Vi bedömer dock den tidsplanen som mycket optimistisk och ser första kvartalet 2020 som en mer realistisk lanseringsperiod. 😅

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.