Hoppa till innehållet
Avanet

Sophos XG vs. XGS: skillnader, EOL och migrering

XGS-serien är efterföljaren till XG-serien sedan 2021. Den ursprungliga jämförelsen mellan gammal och ny hårdvara är idag inte längre bara en prestandafråga. Sophos XG-hårdvara är End of Life sedan 31 mars 2025. Dessutom stöder SFOS 21.0 och senare firmwarelinjer inte längre XG- och SG-Series-hårdvara.

Därmed är den egentliga frågan inte längre Lönar sig XGS?, utan Hur planerar man övergången från XG rent, utan att missa routing, VPN, Central Reporting eller fjärrplatser?

Kort svar

XG och XGS kör båda Sophos Firewall OS, men de är inte längre likvärdiga plattformar.

  • Lifecycle: End of Life. aktivt stödd hårdvaruplattform.
  • Firmware: ingen SFOS 21.0/21.5/22.0-support. aktuella SFOS-versioner.
  • Prestanda: äldre plattform, mindre marginal för modern Inspection. Xstream-arkitektur med större marginal.
  • Drift: migrationsrisk och supportgräns. standardplattform för nya projekt.
  • Planering: ersättning krävs. planera sizing, Port Mapping och licensöverföring rent.

En XG bör därför inte längre betraktas som en normal firewallmodell, utan som en äldre plattform som ska ersättas. För licens- och Lifecycle-frågor passar dessutom Sophos Product Lifecycle-kalendern.

Vad End of Life betyder i firewalldrift

End of Life är för firewallhårdvara inte en formell rad i en tabell. En firewall står vid nätkanten, terminerar VPN:er, filtrerar webb- och applikationstrafik, skyddar publicerade tjänster och innehåller ofta känsliga konfigurationer. Om den plattformen inte längre underhålls uppstår en verklig driftrisk.

För en produktiv XG är framför allt dessa punkter kritiska:

  • Nya SFOS-firmwarelinjer kan inte längre användas.
  • Säkerhetsuppdateringar, Hotfixes och tillverkarens support är begränsade eller inte längre tillgängliga.
  • Nya funktioner som aktuella VPN-, logging-, Health Check- eller säkerhetsfunktioner hamnar på stödda plattformar.
  • Licenser, RMA, ersättningsenheter och supportärenden blir svårare att planera.
  • Revisioner och cyberförsäkringar kan bedöma fortsatt drift av en EOL-firewall kritiskt.

Detta är särskilt kritiskt för firewalls med aktiv Remote Access VPN, Site-to-Site VPN, WAF, TLS Inspection, Web Protection, publicerade servrar eller brett åtkomlig WebAdmin. I sådana miljöer bör fortsatt drift av en XG endast gälla som en tidsbegränsad övergångslösning med dokumenterad migrationsplan.

De tre viktigaste skillnaderna

XG och XGS kan se liknande ut från utsidan beroende på modell, men tekniskt och operativt skiljer de sig tydligt.

  • Lifecycle och Firmware: XG-hårdvara är End of Life. SFOS 21.0, 21.5 och 22.0 stöder inte längre XG- och SG-Series-hårdvara. XGS är den stödda hårdvaruplattformen för aktuella SFOS-versioner.
  • Arkitektur och prestanda: XGS använder Xstream-arkitekturen med dedikerade accelerationsfunktioner. Det ger större marginal för aktuella säkerhetsfunktioner, VPN, TLS Inspection, IPS, Web Protection och routing.
  • Migrering och drift: Övergången till XGS är ett migrationsprojekt. Backup-kompatibilitet, Port Mapping, licensstatus, HA, SD-WAN, Central Reporting, RED, Access Points och ZTNA Gateways måste kontrolleras.
Viktigaste nyheterna i XGS-hårdvaruserien

Arkitektur: Xstream i stället för gammal XG-plattform

XGS-serien byggdes för Xstream-arkitekturen. I vardagen är det inte bara ett marknadsföringsbegrepp, utan framför allt relevant när skyddsfunktioner är aktiverade. Många äldre XG-installationer dimensionerades ursprungligen när det fanns mindre TLS Inspection, mindre molntrafik, mindre SD-WAN och mindre Remote Access-belastning.

En XGS ger, beroende på modell, större marginal för:

  • IPS, Web Protection och Application Control.
  • TLS Inspection och större certifikat-/CA-utrullningar.
  • IPsec VPN, SSL VPN, SD-WAN och flera WAN-uplinks.
  • Fler samtidiga användare, sessioner och regler.
  • Nya SFOS-funktioner som inte längre är tillgängliga på XG.

Alla datavägar blir inte automatiskt snabbare bara för att en XGS installeras. Fel sizing, för små modeller, dåligt planerad TLS Inspection eller oklar VPN-arkitektur kan också bromsa en ny firewall. För valet av rätt målmodell är Sophos Firewall Sizing Guide viktigare än en enkel 1:1-modelljämförelse.

När en XG bör ersättas

En XG-ersättning bör inte planeras först när en firmwareuppgradering blockeras eller ett hårdvarufel redan skapar press. Senast vid dessa signaler är ett migrationsprojekt nödvändigt:

  • Firewallen ska uppdateras till SFOS 21.0, 21.5, 22.0 eller senare.
  • Det finns Remote Access VPN, WAF, publikt åtkomliga tjänster eller flera Site-to-Site VPN:er.
  • Support, revision, RMA eller licensförlängning kan inte längre hanteras rent.
  • Den befintliga XG:n ligger på gränsen under IPS, Web Protection, TLS Inspection eller VPN-belastning.
  • RED, Access Points, SD-WAN, Central Reporting eller ZTNA hänger på den befintliga firewallen.
  • Ett HA-kluster, Port Redesign eller leverantörsbyte står ändå på tur.

Om en XG fortfarande körs produktivt bör först en aktuell backup, Secure Storage Master Key och den använda firmwareversionen dokumenteras. Förloppet beskrivs mer detaljerat i artikeln Skapa eller återställa Sophos Firewall-backup.

Planera migrering från XG till XGS

Vid migrering från XG till XGS bör man inte bara välja den till synes närmaste modellen. Mer meningsfullt är en kort inventering före servicefönstret:

  • Vilka WAN-, LAN- och DMZ-portar används faktiskt?
  • Finns HA, VLAN-stacks, RED-, SD-WAN- eller VPN-specialfall?
  • Vilka säkerhetsfunktioner är aktiva idag och vilka ska aktiveras ytterligare i framtiden?
  • Vilka IPsec-, SSL-VPN-, Sophos Connect- eller ZTNA-scenarier är produktiva?
  • Finns Central Firewall Reporting, Sophos Central Management eller SD-WAN Connection Groups?
  • Är Access Points eller SD-RED-enheter bundna till den här firewallen?
  • Finns statiska rutter, Alias-IP-adresser, DNAT-regler eller WAF-publiceringar som måste vara åtkomliga direkt efter bytet?
  • Ska målplattformen åter vara hårdvara eller en virtuell eller Cloud Appliance?

Backup-Restore Assistant och Port Mapping

Migration Center för XG-till-XGS-migreringar är den viktigaste externa referensen för Port Mapping och Backup-Restore Assistant. Det är viktigt eftersom portnamn, portantal, Flexi-Port-moduler, Wireless-modeller och målmodeller inte alltid passar 1:1.

I praktiken bör man förbereda en porttabell före restore:

  • Port1: Port1. LAN. VLAN, DHCP, DNS.
  • Port2: Port2. WAN. Gateway, Alias-IP, NAT.
  • Port3: Port4. DMZ. Firewall Rules, WAF, DNAT.
  • Flexi Port: ny modul. Uplink eller Trunk. modulkompatibilitet.

Om WAN-MAC-adressen ändras kan framförvarande routrar eller leverantörens CPE:er fortfarande hålla gamla ARP-poster. Vid sådana symptom hjälper artikeln Åtgärda Sophos Firewall ARP-problem efter migrering.

Hantera HA separat

Ett XG-HA-kluster ersätts inte bara genom restore på två nya XGS-enheter. Man måste planera HA medvetet på nytt: modelllikhet, firmwarestatus, licenser, HA-port, monitoring, passphrase, rollbyte och testfönster. Detaljerna hör hemma i HA-planeringen, till exempel med Konfigurera Sophos Firewall High Availability.

Följa upp Central, Reporting, SD-WAN och ZTNA

Efter restore är den nya XGS inte automatiskt lika integrerad i varje Sophos Central-funktion. Beroende på miljö måste man:

  • registrera den nya firewallen i Sophos Central,
  • kontrollera Firewall Management och Central Reporting,
  • kontrollera Central Firewall Reporting-licens och datatilldelning,
  • tilldela SD-WAN Connection Groups på nytt,
  • flytta ZTNA Gateways till den nya firewallen,
  • testa RED- och Access Point-tilldelning,
  • kontrollera notifieringar, backups och schemalagda rapporter på nytt.

För Reporting-upplägg passar dessutom Aktivera Central Firewall Reporting. För operativa bevis efter migreringen är Testa Sophos Firewall-regel med Log Viewer och Packet Capture och Analysera tappade paket på Sophos Firewall mer hjälpsamma än ett enkelt ping-test.

Prestandaskillnader mellan Sophos XG- och XGS-appliances

Typiska fel vid XG-till-XGS-migreringar

För liten målmodell

En till synes passande efterföljarmodell kan vara för liten om fler användare, fler VPN:er, mer TLS Inspection, mer Web Protection eller mer bandbredd har tillkommit sedan den ursprungliga XG-anskaffningen. Därför bör man inte bara jämföra XG-modell mot XGS-modell, utan även ta hänsyn till verklig belastning, aktiva skyddsfunktioner och tillväxt.

Port Mapping bara grovt kontrollerad

Om LAN, WAN, DMZ, VLAN Trunks, HA-portar eller leverantörsanslutningar kopplas annorlunda räcker en lyckad restore inte. Efter restore måste Interface Zones, Gateways, SD-WAN-rutter, NAT-regler, WAF-regler och Firewall Rules kontrolleras målinriktat.

Gammal firmware eller gammalt backup-läge

Ett mycket gammalt backupläge ökar risken för att Interface Mapping, certifikat, VPN:er eller specialkonfigurationer migreras oväntat. Före bytet bör den gamla firewallen, så långt det fortfarande är meningsfullt och stöds, föras till en lämplig version och en färsk backup skapas.

Efterföljande system glömda

Många migreringar misslyckas inte på restore, utan på beroende system: Monitoring, Syslog, SIEM, backup-e-post, VPN-klienter, leverantörs-ARP, DNS, DHCP, RED, Access Points eller Sophos Central. Dessa punkter hör hemma i checklistan, inte i felsökningen efter omkopplingen.

Checklista före bytet

  • Aktuell firmware för XG och målfirmware för XGS är dokumenterade.
  • Aktuell backup är skapad och restore-lösenordet säkert sparat.
  • Secure Storage Master Key är känd och dokumenterad.
  • Port Mapping för WAN, LAN, DMZ, VLAN Trunks och HA är förberett.
  • Licensöverföring, Central-registrering och supportstatus är kontrollerade.
  • VPN:er, NAT, WAF, SD-WAN, DHCP, DNS och routing är förberedda som testlista.
  • RED, Access Points, ZTNA, Central Reporting och Monitoring är beaktade.
  • Rollback-plan med gammal enhet, kabelplan och servicefönster är definierad.
  • Kontaktpersoner för leverantör, DNS, Monitoring och applikationer är nåbara.

Kontroll efter migreringen

Efter omkopplingen bör man inte bara kontrollera om internet fungerar. En ren migrering är först klar när de viktigaste driftfunktionerna har validerats:

  • Kontrollera Dashboard, licensstatus, Central-registrering och backup-e-post.
  • Testa WAN Gateway, Alias-IP-adresser, NAT och publicerade tjänster.
  • Kontrollera Site-to-Site VPN, Remote Access VPN och Sophos Connect-profiler.
  • Kontrollera SD-WAN-rutter, statiska rutter och Route Precedence.
  • Testa Firewall Rules med loggning.
  • Stickprovskontrollera IPS, Web Protection, TLS Inspection och Application Control.
  • Kontrollera RED- och Access Point-anslutningar.
  • Testa Syslog, Central Reporting, notifieringar och Monitoring.
  • Ta den gamla XG:n ur drift först efter en stabil driftfas.

Om enskilda mål inte är åtkomliga direkt efter migreringen bör man arbeta systematiskt med Log Viewer, Packet Capture och routingkontroller. För grunddiagnosen hjälper Använda Sophos Firewall Packet Capture i WebAdmin och Ändra Sophos Firewall Route Precedence säkert.

FAQ

Kan man fortsätta köra en XG efter End of Life?

Tekniskt kan en befintlig XG fortfarande köras. Operativt är det däremot endast försvarbart som en tidsbegränsad övergångslösning, eftersom aktuella SFOS-versioner, support, säkerhetsuppdateringar och Lifecycle-säkerhet saknas.

Kan man återställa en XG-backup på en XGS?

Ja, i grunden är XG-till-XGS-migrering via Backup-Restore avsedd. Avgörande är firmwarestatus, backupversion, Port Mapping, målmodell och efterföljande funktioner som HA, Central Reporting, RED, Access Points, SD-WAN och ZTNA.

Är XGS automatiskt snabbare än XG?

I regel ger XGS betydligt större marginal, framför allt med aktuella säkerhetsfunktioner. Ändå måste målmodellen dimensioneras korrekt. En för liten XGS, ogynnsam TLS Inspection eller dåligt planerad VPN-arkitektur kan fortfarande leda till flaskhalsar.

Måste man även kontrollera reglerna vid en XG-migrering?

Ja. En restore ersätter inte en regel- och NAT-kontroll. Efter migreringen bör man testa Firewall Rules, NAT-regler, WAF-publiceringar, loggning, Route Precedence och Packet Capture målinriktat.