Hoppa till innehållet
Avanet
Är det värt att köpa den nya XGS‑hårdvaran?

Är det värt att köpa den nya XGS‑hårdvaran?

10. JANUARI 2022

Jag vet inte hur det är för dig, men när det gäller produkter som jag använder varje dag och som är oumbärliga för mig håller jag alltid noga koll på hur de utvecklas. Det handlar mest om tekniska prylar, men jag är också lite av en geek. 😄

För alla dessa produkter följer jag en tydlig strategi för när det är dags att ersätta dem med en efterföljare. I det här blogginlägget tillämpar jag strategin på Sophos‑brandväggen för att ta reda på om det är värt att gå över till den nya XGS‑hårdvaran eller inte.

Spoiler: i de flesta fall är det faktiskt inte nödvändigt. 🤐

Fyra skäl att fundera på att köpa en ny XGS‑brandvägg

Den nya XGS‑hårdvaran har funnits på marknaden sedan april 2021. Det finns flera faktorer som avgör när ett köp av XGS‑hårdvara verkligen är motiverat. I nästa avsnitt tittar vi på fyra tecken som kan rättfärdiga ett köpbeslut:

1. Fel

När en enhet går sönder och garantin har gått ut måste det ofta gå snabbt och det finns ingen tid för djupare efterforskningar. I sådana fall är det viktigt att i förväg veta hur man får igång infrastrukturen igen och hur leveranstiderna för en ersättningsenhet kan se ut. Brandväggen är hjärtat i nätverket och det är få organisationer som har råd med ett längre avbrott. Företag med mer än 20 anställda har däremot ofta en HA‑lösning på plats, vilket kan mildra situationen något vid ett fel.

SG‑brandvägg med UTM OS 🤕

Tyvärr ser vi ofta att kunder som drabbas sitter på SG‑hårdvara som fortfarande kör UTM OS. I en sådan situation är det inte att rekommendera att köpa en XGS‑brandvägg. Målet är att få miljön att fungera igen så snabbt som möjligt och det finns ingen tid för en migrering till SFOS. Därför är det bäst att så snabbt som möjligt beställa samma SG‑brandväggsmodell för att enkelt kunna återställa konfigurationen från säkerhetskopian.

Vi rekommenderar generellt alla kunder som fortfarande använder en SG‑brandvägg med UTM‑operativsystemet att överväga en migrering till SFOS. Licensmigreringen är kostnadsfri och återstående löptid överförs 1:1. Följande guide kan hjälpa till vid migreringen: Installera Sophos XG Firewall OS på en SG‑appliance

Om du behöver stöd vid migrering från UTM till SFOS hjälper vi gärna till. De mest inbitna UTM‑fans som absolut inte vill gå över till SFOS kan också helt enkelt vänta tills UTM OS når slutet av sin livscykel. Det lär definitivt inte ske före slutet av 2025. Kanske kan följande två blogginlägg ändå få dig att tänka om:

2. Inga fler uppdateringar

Om ett program inte har fått några uppdateringar på över ett år börjar jag se det med andra ögon. Efter mer än två år (ofta tidigare) börjar jag leta efter alternativ för att ersätta det. Redan av det skälet vore det för mig otänkbart om det inte längre gick att installera uppdateringar på Sophos‑brandväggen.

För närvarande är ASG och UTM 120/220/320/425/525/625 inte längre kompatibla med den senaste brandväggsfirmwaren och får därför inga uppdateringar. Alla andra SG‑hårdvarumodeller med giltig licens får fortfarande uppdateringar och kan migreras till SFOS.

Frågan är därför om det över huvud taget finns alternativ när inga uppdateringar längre är tillgängliga. I dag återstår i praktiken bara alternativet att ersätta enheten med en ny brandvägg som uppfyller kraven. Därför klassas de ovan nämnda hårdvarumodellerna som end of life. Det är desto viktigare att våra kunder väljer brandväggar som tillhör mainstream och inte udda modeller som hamnar på denna lista:

Om du har en annan modell som för närvarande inte får uppdateringar, men som i princip skulle kunna få dem igen (t.ex. en SG‑ eller XG‑modell), kan det löna sig att vänta. Du bör då noga följa hur end‑of‑life‑statusen för de berörda enheterna utvecklas, så att du kan planera en eventuell migrering i god tid.

Vi rekommenderar generellt alla kunder som har installerat SFOS på sin SG‑brandvägg eller har en XG‑brandvägg att kontrollera om SFOS v18.5+ fortfarande kan installeras på deras appliance. I följande inlägg beskriver vi vilka enheter som inte längre kommer att få den senaste versionen: Sophos Firewall‑appliances: hårdvara som stöds för SFOS v18+

Observera: Sophos planerade ursprungligen att även sluta med uppdateringar för SG‑brandväggar med SFOS och XG‑brandväggar av äldre generation. I början av 2021 övergav Sophos dock dessa planer och alla aktuella SG‑ och XG‑modeller fortsätter att få de senaste SFOS‑versionerna.

Om du alltså inte har en äldre revision av en SG‑ eller XG‑brandvägg som inte längre får uppdateringar kan jag inte heller här ge någon entydig köprekommendation för en XGS‑brandvägg.

3. Ingen garanti längre

En annan viktig punkt i min personliga köpstrategi är produktens garanti. Så snart den går ut kontrollerar jag automatiskt om det finns möjlighet att förlänga den eller om det är dags att ersätta produkten.

XG‑brandväggar har fem års garanti med rätt licens. Om du hör till dem som köpte den första revisionen av en XG‑brandvägg redan 2016 omfattas din brandvägg senast nu inte längre av tillverkarens garanti. I det här fallet skulle jag överväga följande två scenarier:

  • En enda appliance används: här skulle risken vara för stor för mig och jag skulle ersätta hårdvaran med en ny XGS‑modell.
  • Det finns två appliances i ett HA‑kluster: även här skulle jag sikta på ett byte. Om budgeten inte räcker kan du vänta tills en av de två brandväggarna fallerar och först då köpa två nya XGS‑modeller.

4. Otillräcklig prestanda

Den sista punkten på min lista som kan bidra till ett köpbeslut är produktens prestanda. Det kan hända att firmwareuppdateringar gör en enhet långsammare med tiden, eftersom nya funktioner tillkommer. Eller så förändras helt enkelt dina krav, så att den ursprungliga prestandan inte längre räcker till.

Dessa överväganden kan också tillämpas på en Sophos‑brandvägg. Kontrollera därför hur belastad brandväggen är, eftersom antalet enheter i nätverket eller antalet medarbetare kan ha förändrats under de senaste åren. Då kan den prestanda som ursprungligen krävdes helt enkelt inte längre motsvara de aktuella behoven. I ett sådant läge är det definitivt ingen dålig idé att gå över till en XGS‑brandvägg, förutsatt att budgeten tillåter det. Ofta kan licensen överföras kostnadsfritt till den nya enheten.

Om du däremot har en aktuell SG‑ eller XG‑brandvägg som fortfarande får de senaste SFOS‑uppdateringarna (SFOS 18.5+), fortfarande omfattas av tillverkarens garanti och inte visar några prestandaproblem, lönar det sig inte att köpa en XGS‑brandvägg. Du behöver bara hålla ett öga på slutdatumet för XG‑brandväggarnas livscykel. Sophos har nyligen skjutit upp detta datum från 2024‑12‑31 till 2025‑03‑31.

Sammanfattning

Om jag tillämpar de fyra punkterna i min personliga köpstrategi på XGS‑brandväggen är det sannolikt att bara ett fåtal befintliga kunder verkligen behöver agera. För nya kunder är läget tydligt och här rekommenderar vi alltid XGS‑hårdvara. För att underlätta ditt köpbeslut har jag tagit fram ett flödesschema. Gå bara igenom det steg för steg så får du vår tydliga rekommendation i slutet.

Beslutsflöde för Sophos XGS‑brandvägg

Om du har en XG‑brandvägg och fortfarande är osäker rekommenderar jag följande bloggartikel, som beskriver skillnaden mellan en XG‑brandvägg och en XGS‑brandvägg:

Kort sammanfattat: de avgörande fördelarna med den nya XGS‑hårdvaran

XGS‑serien ger betydligt bättre prestanda genom att bland annat bearbeta trafiken smartare och effektivare och genom att avlasta vissa uppgifter, som TLS‑inspektion, till hårdvaran. Den nya dubbelprocessorarkitekturen med en flerkärnig CPU och en Xstream Flow Processor ger bättre hårdvaruacceleration. I kommande SFOS‑versioner kommer fler processer att optimeras för den nya hårdvaran.

Varje enhet har en 64‑bitars CPU och en separat Xstream‑processor, som också kallas Network Processing Unit (NPU). Den nya serien är utrustad med fler nätverksportar och gör det möjligt att lägga till valfria moduler, vilket ger större flexibilitet i valet av nätverksanslutningar. XGS‑serien erbjuder nu även PoE‑portar (Power over Ethernet) och fail‑to‑wire (bypass), så att trafiken kan fortsätta att flöda även om enheten drabbas av strömavbrott.

Network Flow FastPath

Till skillnad från den virtuella FastPath i XG‑serien, som bearbetas av CPU:n, hanteras FastPath i XGS‑serien av Xstream Flow Processor. Den sitter mellan CPU:n och de fysiska portarna via PCIe (PCI Express). På så sätt behandlas trafik som avlastats till FastPath av Xstream Flow Processor, och CPU:n får mer utrymme för andra uppgifter som ännu inte kan avlastas.

Sophos XGS - Network Flow FastPath

Fail‑to‑Wire

Fail‑to‑Wire är en feltoleransfunktion som skyddar företagets kommunikation vid strömavbrott. I ett sådant fall bryggas WAN och LAN, vilket på ett transparent sätt skyddar nätverksanslutningen. Reläet skapar en fysisk koppling mellan de två portarna i bypass‑paret och vidarebefordrar trafiken oavsett om ström finns tillgänglig eller inte.

Observera: Fail‑to‑Wire är inte aktiverat som standard och måste konfigureras via det avancerade skalet med hjälp av kommandot xgs-ftw.

Sophos XGS - Fail‑to‑Wire

Kampanjer

Har du fattat ett beslut och vill köpa en ny XGS‑brandvägg? Glöm då inte att först ta en titt på vår kampanjsida. Rabattaktören Sophos har nästan alltid en passande kampanj för varje scenario. 😅

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.