Sophos XGS Series – nya brandväggar med mer prestanda

Sophos XGS Series – nya brandväggar med mer prestanda

22. APRIL 2021

I den här artikeln går vi igenom alla ändringar och nyheter i XGS Series som gör den till den bästa brandväggsappliance Sophos har utvecklat hittills.

A quick overview of the Sophos XGS Series

Till slut blev det verklighet…

På Sophos Discover Conference 2017 i Lissabon presenterades den nya hårdvaran för första gången. Då var budskapet att den skulle bli tillgänglig 2018. Lanseringen uteblev dock och den nya hårdvaran försvann från radarn. Nu, drygt tre år senare, är den äntligen här. Vi hade förmånen att sedan februari 2021 delta i ett exklusivt EAP‑program för XGS. Vi har kunnat testa en XGS 2300 med version 18.5 och dela våra erfarenheter med Sophos. Kort slutsats i förväg: den är riktigt snabb! 🚀

De viktigaste nyheterna i XGS Series

Sophos XGS Firewall har designats om från grunden och blivit en helt ny och betydligt effektivare produkt. Utifrån liknar hårdvaran XG‑serien, men det viktiga är vad som finns inuti den nya XGS Series. Under huven är den nya brandväggen byggd för maximalt skydd och mer effektiv nätverkssäkerhet.

Viktigaste nyheterna i XGS‑hårdvaruserien

Dubbelprocessorkitektur

Alla appliances i XGS Series är nu utrustade med två olika flerkärniga processorer. Dels finns den flerkärniga CPU:n, dels den flerkärniga nätverksprocessorn, Xstream Flow Processor. Hittills har Xstream‑arkitekturen, som vi återkommer till senare, varit helt mjukvarubaserad. I XGS Series får den nu ett hårdvarulager som ökar effektiviteten dramatiskt.

I kommande firmwareversioner, SFOS 19.0 och 19.5, optimeras mjukvaran ytterligare så att hårdvaran kan lägga över ännu fler uppgifter på NPU:n, till exempel SD‑WAN, VPN och AV/TLS på endpoints.

Fler portar och ökad flexibilitet

XGS Series erbjuder fler integrerade gränssnitt och fler varierade möjligheter att ansluta externa moduler, vilket gör att serien kan hålla jämna steg med de ständigt föränderliga kraven i en nätverksinfrastruktur. XGS Series är inte utformad för att skydda nätverket bara under det kommande året, utan för att möta behoven under de kommande fyra till fem åren. Covid-19 har påverkat oss alla på olika sätt, men de senaste 18 månaderna har visat att nätverkskraven kan förändras drastiskt och att era brandväggsappliances måste vara tillräckligt flexibla för att anpassa sig till många olika förändringar i infrastrukturen.

Anmärkning: FleXi Port-modulerna från XG Firewall är inte längre kompatibla med XGS Series.

Skydd och prestanda

En smartare och mer fokuserad hantering av datatrafiken frigör resurser som i stället kan användas för mer krävande uppgifter som core firewall tasks, TLS inspection och deep packet inspection. Beroende på vilka siffror man tittar på ger XGS Series upp till tre gånger, eller ännu högre, prestandaökning jämfört med tidigare appliances.

Xstream-arkitekturen

Den nya XGS Series har en ny Xstream Flow Processor, som fungerar som en flerkärnig nätverksprocesseringsenhet, eller NPU. Innan vi går in på hur den nya processorn tydligt förbättrar prestandan i XGS jämfört med XG behöver vi först titta på vad Xstream-arkitekturen faktiskt är.

Sophos Xstream-arkitektur

Xstream-arkitekturen, som introducerades i version 18, är ett effektivt sätt att hantera trafik genom att samla säkerheten i en single streaming deep packet inspection engine. Den skapar en virtuell fast path för att avlasta tidigare verifierad och betrodd trafik, vilket är särskilt värdefullt för applikationer med realtidsdata, till exempel SaaS- och molnapplikationer. I XG-serien var Xstream-arkitekturen helt mjukvarubaserad, men i XGS Series har Sophos lagt till ett hårdvarulager, Xstream Flow Processor. Det ger en dedikerad fast path för applikationsacceleration. Allt detta minskar belastningen på CPU:n, som då kan fokusera alla resurser på brandväggens kärnuppgifter och deep packet inspection, vilket förbättrar latensen avsevärt och ger ett mycket effektivare nätverksskydd.

XGS‑appliances

Den nya hårdvaran kommer tillsammans med en rad nya enheter som delas in i olika kategorier. Beroende på hur stor IT‑infrastrukturen är väljer man sedan rätt hårdvarustorlek. Innan vi går in på detaljer kring varje kategori och enhet är det värt att titta på portföljen för att se hur enheterna skiljer sig från XG‑serien.

Sophos XG 86 → Sophos XGS 87
Sophos XG 106 → Sophos XGS 107
Sophos XG 115 → Sophos XGS 116
Sophos XG 125 → Sophos XGS 126
Sophos XG 135 → Sophos XGS 136
Sophos XG 210 → Sophos XGS 2100
Sophos XG 230 → Sophos XGS 2300
Sophos XG 310 → Sophos XGS 3100
Sophos XG 330 → Sophos XGS 3300
Sophos XG 430 → Sophos XGS 4300
Sophos XG 450 → Sophos XGS 4500
Sophos XG 550 → Sophos XGS 5500
Sophos XG 650 → Sophos XGS 6500
Sophos XG 750 → Sophos XGS 6500

Alla enheter i XG‑serien har en XGS‑motsvarighet, med undantag för XG 750. Tack vare den förbättrade hårdvaran överträffar alla enheter i XGS Series dock tydligt sina XG‑motsvarigheter, så XGS 6500 ligger långt före XG 750.

Skillnader i prestanda mellan Sophos XG‑ och XGS‑appliances

Om kraften i en XGS 6500 ändå inte skulle räcka kan det vara bra att veta att modellerna XGS 7500 och XGS 8500 är planerade till nästa år 🤐.

Låt oss nu titta på de tre kategorier som XGS Series‑enheterna delas in i:

Desktop‑serie

Alla enheter från XGS 87 upp till XGS 136 ingår i kategorin ”desktop‑serie”. De här enheterna passar bäst för små kontor, filialer och butiker. Höjdpunkterna i den här kategorin är:

Sophos XGS Firewall‑hårdvara – höjdpunkter för desktop‑appliances

Alla enheter i den här kategorin har dubbelprocessorarkitekturen.
Alla enheter i den här serien har en SFP-port, som nu även finns i XGS 87 (den fanns inte på XG 86).
Alla modeller från XGS 116(w) till 136(w) kan nu utrustas med valfria moduler (detta var inte möjligt på XG 115(w)).
I XGS 116w, 126w och 136w kan man nu också montera en andra WiFi-modul som tillval (detta var inte möjligt på XG 115w och XG 125w).
Modellerna från XGS 116(w) till 136(w) har nu en inbyggd Power over Ethernet (PoE)-port.
XGS 136(w) har nu 2,5 GE-portar.
Alla modeller utom XGS 87(w) har en valfri andra strömförsörjning.

1U rackmount

Alla enheter från XGS 2100 till XGS 4500 ingår i kategorin ”1U rackmount”. De här enheterna passar perfekt för distribuerade miljöer och organisationer med flera kontor. Höjdpunkterna i den här kategorin är:

Sophos XGS Firewall‑hårdvara – höjdpunkter för 1U‑modeller

Alla enheter i den här serien har dubbelprocessorarkitekturen.
XGS 2100–3300 har en Flexi‑Port‑plats, medan XGS 4300 och XGS 4500 har två Flexi‑Port‑platser.
Modeller från XGS 3100 och uppåt har en integrerad SFP+‑port.
XGS 2100–3300 levereras med ett LAN‑bypassportpar, medan XGS 4300 och XGS 4500 har två LAN‑bypassportpar.
XGS 4300 och XGS 4500 har nu integrerade 2,5‑GE‑portar.
Minnet i enheter från XGS 3300 och uppåt har ökats för bättre TLS‑inspektion.
Alla enheter i 1U rackmount‑serien stöder valfria centralt strömförsörjda PoE Flexi‑Port‑moduler.
Alla enheter i 1U rackmount‑serien stöder valfri extern redundant strömförsörjning.
XGS 4500 levereras med två SSD‑enheter och en valfri intern redundant strömförsörjning.

2U rackmount

XGS 5500 och XGS 6500 ingår i kategorin ”2U rackmount”. De här enheterna är idealiska för avancerade företagsmiljöer. Höjdpunkterna i den här kategorin är:

Sophos XGS Firewall‑hårdvara – höjdpunkter för 2U‑modeller

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.