14
Sophos XG Firewall SW-Virtual - Bare-Metal Installation oder Hyper-V
Hallo Zusammen,
es steht bei uns an , die Sophos UTM durch die Sophos XG Firewall zu ersetzen.
Unsere VMs laufen unter Hyper-V in einem Cluster.
Für die Sophos XG Firewall wurde ein separater Server angeschafft und ich würde auf diesem Server Sophos XG
lieber auf Hyper-V laufen lassen. Wir hätten dann eine zusätzliche Abstraktionsschicht und ein wenig Leistungsverlust, könnten die Firewall-VM aber mit den vorhandenen Mitteln sichern und auch wiederherstellen.
Spricht aus eurer Sicht etwas gravierendes dagegen, die Sophos XG unter Hyper-V laufen zu lassen statt Bare-Metal ?
Vielen Dank
es steht bei uns an , die Sophos UTM durch die Sophos XG Firewall zu ersetzen.
Unsere VMs laufen unter Hyper-V in einem Cluster.
Für die Sophos XG Firewall wurde ein separater Server angeschafft und ich würde auf diesem Server Sophos XG
lieber auf Hyper-V laufen lassen. Wir hätten dann eine zusätzliche Abstraktionsschicht und ein wenig Leistungsverlust, könnten die Firewall-VM aber mit den vorhandenen Mitteln sichern und auch wiederherstellen.
Spricht aus eurer Sicht etwas gravierendes dagegen, die Sophos XG unter Hyper-V laufen zu lassen statt Bare-Metal ?
Vielen Dank
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671883
Url: https://administrator.de/forum/sophos-xg-firewall-sw-virtual-bare-metal-installation-oder-hyper-v-671883.html
Ausgedruckt am: 12.03.2025 um 13:03 Uhr
14 Kommentare
Neuester Kommentar
Nimm die alte UTM, installiere eine OPNsense drauf, und weiter geht's. Das ist heute schon das Beste, was man mit alter UTM Hardware machen kann. https://docs.opnsense.org/BE_releases.html
Oder nimm dafür deinen separater Server zum Test.
Ich virtualisiere i.d.R. alles, aber bei der Firewall bleibe ich bei bare metal (+ cluster Hardware).
Ein MS Problem in Hyper-V oder ... und schon wäre die FW offline.
Zusammengefasst: Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
Oder nimm dafür deinen separater Server zum Test.
Ich virtualisiere i.d.R. alles, aber bei der Firewall bleibe ich bei bare metal (+ cluster Hardware).
Ein MS Problem in Hyper-V oder ... und schon wäre die FW offline.
etwas gravierendes dagegen, die Sophos XG
Ja, aus meiner Sicht eines langjährigen Sophos/Astaro Kunden, kann ich von Sophos mittlerweile nur noch abraten!Zusammengefasst: Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
2
Um auf das Thema vom OP einzugehen:
Ich empfehle immer mit einem Hypervisor zu arbeiten. Ob du nun Hyper-V oder einen anderen nimmst, spielt keine große Rolle für SFOS. Beides funktioniert.
Eine Thematik zu beachten: SFOS wird nach Kernen (CPU) lizenziert, nicht mehr nach IP Adressen wie UTM. Das kann für dich deutlich günstiger kommen, wenn du nur noch 2 oder 4 Kerne benötigst.
Wenn die Leistung der UTM für dich ausreichend war, wird SFOS nochmal schneller sein, da das Betriebssystem mit einem virtual Fastpath ausgestattet ist.
Ich empfehle immer mit einem Hypervisor zu arbeiten. Ob du nun Hyper-V oder einen anderen nimmst, spielt keine große Rolle für SFOS. Beides funktioniert.
Eine Thematik zu beachten: SFOS wird nach Kernen (CPU) lizenziert, nicht mehr nach IP Adressen wie UTM. Das kann für dich deutlich günstiger kommen, wenn du nur noch 2 oder 4 Kerne benötigst.
Wenn die Leistung der UTM für dich ausreichend war, wird SFOS nochmal schneller sein, da das Betriebssystem mit einem virtual Fastpath ausgestattet ist.
1
@LucarToni
Wie ist die Leistung einer SW XG im Vergleich zu z.B. einer XGS138? Speziell wenn man SFP+ mit 10Gb verwendet. Die 138 hat x86 CPU mit 4 Kernen und 8GB. Dabei ist die 138 deutlich günstiger (reine HW) als z.B. Basis Lizenz mit 4 Cores/6 GB.
Wie ist die Leistung einer SW XG im Vergleich zu z.B. einer XGS138? Speziell wenn man SFP+ mit 10Gb verwendet. Die 138 hat x86 CPU mit 4 Kernen und 8GB. Dabei ist die 138 deutlich günstiger (reine HW) als z.B. Basis Lizenz mit 4 Cores/6 GB.
Das kann man so pauschal nicht sagen, da musst du beim Sophos Partner ein "Sizing" machen lassen, damit sind schonmal ein paar Hundert € fällig. Und jede Umgebung wächst (hoffentlich).
Den Aufwand und die Kosten hatte ich mir bei OPNsense gespart, stattdessen in mehr besser Hardware gesteckt, Haben ist besser als Brauchen, vor allem in Zukunft.
Die Änderungen der Lizenzbedingungen (Anzahl, CPU Kerne, RAM, usw.) erspare ich mir mit OPNsense, vor allem da ich später weitere z.B. SFP+ oder QSFP nachrüsten werde.
Jede Umgebung ist individuell, wer brav und fleißig segmentiert, bekommt die UTMs i.d.R. schnell ans Limit. Aber bis dahin waren es zuverlässige Geräte.
@thommyF
Auf alle Fälle ganz beharrlich nachfragen, denn sogar die alten SG's sind bis Juni 2026 im Support. "Stress" solltest du dir also nicht machen, sondern auch mal Alternativen ausloten. Es kann tausende € sparen, Dienstleister welche dir die OPNsense (remote) einrichten zu finden, ist auch kein Problem. Je besser du dein Netzwerk kennst, desto schneller geht die Umstellung.
https://www.thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls ...
Den Aufwand und die Kosten hatte ich mir bei OPNsense gespart, stattdessen in mehr besser Hardware gesteckt, Haben ist besser als Brauchen, vor allem in Zukunft.
Die Änderungen der Lizenzbedingungen (Anzahl, CPU Kerne, RAM, usw.) erspare ich mir mit OPNsense, vor allem da ich später weitere z.B. SFP+ oder QSFP nachrüsten werde.
Jede Umgebung ist individuell, wer brav und fleißig segmentiert, bekommt die UTMs i.d.R. schnell ans Limit. Aber bis dahin waren es zuverlässige Geräte.
@thommyF
Auf alle Fälle ganz beharrlich nachfragen, denn sogar die alten SG's sind bis Juni 2026 im Support. "Stress" solltest du dir also nicht machen, sondern auch mal Alternativen ausloten. Es kann tausende € sparen, Dienstleister welche dir die OPNsense (remote) einrichten zu finden, ist auch kein Problem. Je besser du dein Netzwerk kennst, desto schneller geht die Umstellung.
https://www.thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls ...
Wir das hier ein Verkaufsgespräch für die Sense? Du kennst doch nicht einmal die Anforderungen des TO.
Zur Frage:
Wenn du den Hyper-V Switch gut einstellst und die Schnittstelle der ankommenden Internet Leitung "nur" in die VM rein leitest, sollte es keine Probleme geben.
Zur Frage:
Wenn du den Hyper-V Switch gut einstellst und die Schnittstelle der ankommenden Internet Leitung "nur" in die VM rein leitest, sollte es keine Probleme geben.
Man hätte es vielleicht generalisieren sollen:
Firewall - bare metal oder virtuell?
Selbst zu Hause: Fritzbox/Draytek ---> OPNsense CE --> Netzwerk
Vielleicht bin ich auch gebrandmarkt, ein fehlerhaftes Treiber- oder Software Update des Hypervisors, und alle stünde still. Das kommt also on top zusätzlich zum Risiko der Firmware Updates der Hardware im Allgemeinen.
Firewall - bare metal oder virtuell?
Selbst zu Hause: Fritzbox/Draytek ---> OPNsense CE --> Netzwerk
Vielleicht bin ich auch gebrandmarkt, ein fehlerhaftes Treiber- oder Software Update des Hypervisors, und alle stünde still. Das kommt also on top zusätzlich zum Risiko der Firmware Updates der Hardware im Allgemeinen.
Zitat von @DerMaddin:
@LucarToni
Wie ist die Leistung einer SW XG im Vergleich zu z.B. einer XGS138? Speziell wenn man SFP+ mit 10Gb verwendet. Die 138 hat x86 CPU mit 4 Kernen und 8GB. Dabei ist die 138 deutlich günstiger (reine HW) als z.B. Basis Lizenz mit 4 Cores/6 GB.
@LucarToni
Wie ist die Leistung einer SW XG im Vergleich zu z.B. einer XGS138? Speziell wenn man SFP+ mit 10Gb verwendet. Die 138 hat x86 CPU mit 4 Kernen und 8GB. Dabei ist die 138 deutlich günstiger (reine HW) als z.B. Basis Lizenz mit 4 Cores/6 GB.
Die XGS138 hat auch einen NPU, der entsprechend deutlich mehr Performance anbietet. Da ist nicht nur ein X86 Prozessor drin.
Viele Kunden kaufen bei Sophos eine Hardware, um das ganze Thema Virtualisierung und Hardware Pflege zu vermeiden (die Hardware ist im Support, solange du eine Subscription besitzt).
Man kann sich das auch hier anschauen: Aktuelle Probleme mit der XG(s) Serie von Sophos
Leider hat dieser Nutzer eine persönliches Problem mit Sophos und postet unter jedem Sophos related Post, dass OpnSense besser wäre und man immer auf OpnSense setzen sollte.
Ich habe bereits aufgegeben, da ich bis heute nicht erfahren habe, was nun genau das Thema ist, was ihn stört.
Der Transparenz: Ich bin ein Sophos Mitarbeiter und auch in Sophos Communities vertreten. Aber nehme mir das Recht raus, wenn jemand Sophos Fragen stellt, auch auf diese Fragen zu antworten.
Zitat von @NordicMike:
Wir das hier ein Verkaufsgespräch für die Sense? Du kennst doch nicht einmal die Anforderungen des TO.
Wir das hier ein Verkaufsgespräch für die Sense? Du kennst doch nicht einmal die Anforderungen des TO.
Leider hat dieser Nutzer eine persönliches Problem mit Sophos und postet unter jedem Sophos related Post, dass OpnSense besser wäre und man immer auf OpnSense setzen sollte.
Ich habe bereits aufgegeben, da ich bis heute nicht erfahren habe, was nun genau das Thema ist, was ihn stört.
Der Transparenz: Ich bin ein Sophos Mitarbeiter und auch in Sophos Communities vertreten. Aber nehme mir das Recht raus, wenn jemand Sophos Fragen stellt, auch auf diese Fragen zu antworten.
1
Wieso aber?! Das ist Sinn und Zweck dieser Plattform 
Danke für deine Meinung, ich habe eine andere.
Eine Firewall würde ich i.d.R. nie virtualisieren.
Danke für deine Meinung, ich habe eine andere.
Eine Firewall würde ich i.d.R. nie virtualisieren.
Moin @thommyF,
definitiv ja, und zwar eine ganze Menge, vor allem wenn du an diese Schnittstellen mit > 1G und oder so geringe Latenzen wie möglich benötigst und sei es nur zum Routen. 😔
Denn selbst 10 GBit/s was heute ja quasi im Serverbereich schon unterer Standard ist oder gar noch schnellere Uplinks bei einer virtualisierten Umgebung hinzubekommen, hört sich in der Theorie vielleicht einfach an, ist jedoch in der Praxis, alles andere als "easy" umzusetzen. Weil man dafür schlichtweg entweder VMMQ oder SR-IOV benötigt und beide Technologien sind weder einfach zu händeln, noch sind diese stand heute wirklich gut seitens der Hypervisor-Hersteller (Hyper-V, VMware, Nutanix & Co) und zum Teil auch seitens der NIC-Hersteller (insbesondere Broadcom aber auch Intel) implementiert.
Sprich, wenn jemand wirklich von einer 10G Schnittstelle einer FW oder eines SGW's auch nur ansatzweise 10G sehen möchte, sollte er meinen bisherigen Erfahrungen nach lieber zu einer Hardware-Appliance greifen und nicht zu einer komplett virtualisierten Lösung. Das gilt übrigens nicht nur für die SGW's von Sophos, sondern für jeglichen Hersteller.
Ferner, wenn man ein Problem mit einer Hardware-Appliance hat, sei es auch nur Software-Bedingt 🙃, so muss man sich in dem Fall betreffend einer Lösung auch nur mit einem Hersteller herumschlagen, sprich, in dem vorliegenden Fall dann mit Sophos. Wenn man die XG jedoch als VM auf einem HV laufen lässt, muss man sich eventuell noch zusätzlich auch noch mit dem HV Hersteller und oder dem Hardwarehersteller der Server extra herumprügeln. 😬
Daher geht meine Empfehlung auch ganz eindeutig Richtung einer Hardware-Appliance. 😉
Gruss Alex
Spricht aus eurer Sicht etwas gravierendes dagegen, die Sophos XG unter Hyper-V laufen zu lassen statt Bare-Metal?
definitiv ja, und zwar eine ganze Menge, vor allem wenn du an diese Schnittstellen mit > 1G und oder so geringe Latenzen wie möglich benötigst und sei es nur zum Routen. 😔
Denn selbst 10 GBit/s was heute ja quasi im Serverbereich schon unterer Standard ist oder gar noch schnellere Uplinks bei einer virtualisierten Umgebung hinzubekommen, hört sich in der Theorie vielleicht einfach an, ist jedoch in der Praxis, alles andere als "easy" umzusetzen. Weil man dafür schlichtweg entweder VMMQ oder SR-IOV benötigt und beide Technologien sind weder einfach zu händeln, noch sind diese stand heute wirklich gut seitens der Hypervisor-Hersteller (Hyper-V, VMware, Nutanix & Co) und zum Teil auch seitens der NIC-Hersteller (insbesondere Broadcom aber auch Intel) implementiert.
Sprich, wenn jemand wirklich von einer 10G Schnittstelle einer FW oder eines SGW's auch nur ansatzweise 10G sehen möchte, sollte er meinen bisherigen Erfahrungen nach lieber zu einer Hardware-Appliance greifen und nicht zu einer komplett virtualisierten Lösung. Das gilt übrigens nicht nur für die SGW's von Sophos, sondern für jeglichen Hersteller.
Ferner, wenn man ein Problem mit einer Hardware-Appliance hat, sei es auch nur Software-Bedingt 🙃, so muss man sich in dem Fall betreffend einer Lösung auch nur mit einem Hersteller herumschlagen, sprich, in dem vorliegenden Fall dann mit Sophos. Wenn man die XG jedoch als VM auf einem HV laufen lässt, muss man sich eventuell noch zusätzlich auch noch mit dem HV Hersteller und oder dem Hardwarehersteller der Server extra herumprügeln. 😬
Daher geht meine Empfehlung auch ganz eindeutig Richtung einer Hardware-Appliance. 😉
Gruss Alex
1Zitat von @MysticFoxDE:
Tolles Feedback.Das gilt übrigens nicht nur für die SGW's von Sophos, sondern für jeglichen Hersteller.
Ein kleines VETO.Bei OPNsense gibt es zwar "eigene" Hardware https://shop.opnsense.com/product-categorie/hardware-appliances/ , fand ich jedoch zu teuer für das Gebotene. Mit OPNsense ist man nahezu unabhängig in der Auswahl der Hardware oder kann sich bei Thomas Krenn usw. eine Hardware zusammenstellen. In meinen Tests lief OPNsense auch auf der letzten Gurke.
Man kann also auch im Keller suchen, was da noch so rumliegt, für den Anfang.
Moin @nachgefragt,
danke.
Und ich hoffe, dass du das kommende auch noch genau so gut findest. 🙃
Eine OPNsense kannst auch in einer VM laufen lassen und in diesem Fall gilt genau dasselbe was ich auch zu den anderen SGW's geschrieben habe. 😉
Wenn du bei einer OPNsense nicht die Hardware von OPNsense einsetzt, dann hast du im Problemfall, auch genau dieselben Probleme wie bei einer VM, sprich, du darfst dich im schlimmsten Fall mit mehreren streiten.
Und spätestens wenn es um das Thema Latenz oder Durchsatz geht, zeigen die Softwareentwickler und insbesondere die eines SGW's, eh ganz schnell auf die Hardware. 🙃
Gruss Alex
Tolles Feedback.
danke.
Und ich hoffe, dass du das kommende auch noch genau so gut findest. 🙃
Das gilt übrigens nicht nur für die SGW's von Sophos, sondern für jeglichen Hersteller.
Ein kleines VETO.Eine OPNsense kannst auch in einer VM laufen lassen und in diesem Fall gilt genau dasselbe was ich auch zu den anderen SGW's geschrieben habe. 😉
Bei OPNsense gibt es zwar "eigene" Hardware https://shop.opnsense.com/product-categorie/hardware-appliances/ , fand ich jedoch zu teuer für das Gebotene. Mit OPNsense ist man nahezu unabhängig in der Auswahl der Hardware oder kann sich bei Thomas Krenn usw. eine Hardware zusammenstellen. In meinen Tests lief OPNsense auch auf der letzten Gurke. Man kann also auch im Keller suchen, was da noch so rumliegt, für den Anfang.
Man kann also auch im Keller suchen, was da noch so rumliegt, für den Anfang.Wenn du bei einer OPNsense nicht die Hardware von OPNsense einsetzt, dann hast du im Problemfall, auch genau dieselben Probleme wie bei einer VM, sprich, du darfst dich im schlimmsten Fall mit mehreren streiten.
Und spätestens wenn es um das Thema Latenz oder Durchsatz geht, zeigen die Softwareentwickler und insbesondere die eines SGW's, eh ganz schnell auf die Hardware. 🙃
Gruss Alex
Moin @nachgefragt,
so, und jetzt noch kurz zu dem hier.
Wenn man auf seinem SGW bisher nur Layer 3-4 Security implementiert hat, sprich Routing, NAT und etwas IP/Port Filterung, dann kann man dafür natürlich auch eine OPNsense oder auch z.B. eine Lancom Rouer nehmen, Bintec gibt es ja leider nicht mehr.
Ja, OK, eine OPNsense kann schon etwas mehr wie ein reiner Router, aber nicht wirklich viel. 🙃
Wenn man bei einem erwachsenen SGW wie z.B. einer Sophos XGS oder einem Fortigate oder was auch immer, auch deren bis Layer 7 Security, wie z.B. WAF, SSL-TLS Inspection, IPS, ATP, AV, Synchronized Security & Co. KG, nutzen möchte oder gar muss, weil ja DSGVO, BDSG, NIS-2 & Co. KG und so, dann kommt man eher mit einer OPNsense ganz schnell an deren Limits.
Gruss Alex
so, und jetzt noch kurz zu dem hier.
Das kann man so pauschal nicht sagen, da musst du beim Sophos Partner ein "Sizing" machen lassen, damit sind schonmal ein paar Hundert € fällig. Und jede Umgebung wächst (hoffentlich).
Den Aufwand und die Kosten hatte ich mir bei OPNsense gespart, stattdessen in mehr besser Hardware gesteckt, Haben ist besser als Brauchen, vor allem in Zukunft.
Die Änderungen der Lizenzbedingungen (Anzahl, CPU Kerne, RAM, usw.) erspare ich mir mit OPNsense, vor allem da ich später weitere z.B. SFP+ oder QSFP nachrüsten werde.
Jede Umgebung ist individuell, wer brav und fleißig segmentiert, bekommt die UTMs i.d.R. schnell ans Limit. Aber bis dahin waren es zuverlässige Geräte.
Den Aufwand und die Kosten hatte ich mir bei OPNsense gespart, stattdessen in mehr besser Hardware gesteckt, Haben ist besser als Brauchen, vor allem in Zukunft.
Die Änderungen der Lizenzbedingungen (Anzahl, CPU Kerne, RAM, usw.) erspare ich mir mit OPNsense, vor allem da ich später weitere z.B. SFP+ oder QSFP nachrüsten werde.
Jede Umgebung ist individuell, wer brav und fleißig segmentiert, bekommt die UTMs i.d.R. schnell ans Limit. Aber bis dahin waren es zuverlässige Geräte.
Wenn man auf seinem SGW bisher nur Layer 3-4 Security implementiert hat, sprich Routing, NAT und etwas IP/Port Filterung, dann kann man dafür natürlich auch eine OPNsense oder auch z.B. eine Lancom Rouer nehmen, Bintec gibt es ja leider nicht mehr.
Ja, OK, eine OPNsense kann schon etwas mehr wie ein reiner Router, aber nicht wirklich viel. 🙃
Wenn man bei einem erwachsenen SGW wie z.B. einer Sophos XGS oder einem Fortigate oder was auch immer, auch deren bis Layer 7 Security, wie z.B. WAF, SSL-TLS Inspection, IPS, ATP, AV, Synchronized Security & Co. KG, nutzen möchte oder gar muss, weil ja DSGVO, BDSG, NIS-2 & Co. KG und so, dann kommt man eher mit einer OPNsense ganz schnell an deren Limits.
Gruss Alex
Nein, weil ich keinen Hypervisor verwende fällt der Punkt weg.
du darfst dich im schlimmsten Fall mit mehreren streiten.
Wir werden sehen, es wäre schon eine echte Challenge schlimmer als der Sophos Hersteller Support abzuliefern.Und spätestens wenn es um das Thema Latenz oder Durchsatz geht, zeigen die Softwareentwickler und insbesondere die eines SGW's, eh ganz schnell auf die Hardware.
Ich hatte ja tausende €uros an $ophos Lizenzkosten eingespart, da konnte ich vielleicht etwas überdimensionieren, wie ich aktuell feststelle. 🙃a, OK, eine OPNsense kann schon etwas mehr wie ein reiner Router, aber nicht wirklich viel. 🙃
Du hast ja keine Ahnung 
