thommyf
Goto Top

Sophos XG Firewall SW-Virtual - Bare-Metal Installation oder Hyper-V

Hallo Zusammen,

es steht bei uns an , die Sophos UTM durch die Sophos XG Firewall zu ersetzen.

Unsere VMs laufen unter Hyper-V in einem Cluster.
Für die Sophos XG Firewall wurde ein separater Server angeschafft und ich würde auf diesem Server Sophos XG
lieber auf Hyper-V laufen lassen. Wir hätten dann eine zusätzliche Abstraktionsschicht und ein wenig Leistungsverlust, könnten die Firewall-VM aber mit den vorhandenen Mitteln sichern und auch wiederherstellen.

Spricht aus eurer Sicht etwas gravierendes dagegen, die Sophos XG unter Hyper-V laufen zu lassen statt Bare-Metal ?

Vielen Dank

Content-ID: 671883

Url: https://administrator.de/forum/sophos-xg-firewall-sw-virtual-bare-metal-installation-oder-hyper-v-671883.html

Ausgedruckt am: 13.04.2025 um 01:04 Uhr

nachgefragt
nachgefragt 12.03.2025 aktualisiert um 09:50:14 Uhr
Goto Top
Nimm die alte UTM, installiere eine OPNsense drauf, und weiter geht's. Das ist heute schon das Beste, was man mit alter UTM Hardware machen kann. https://docs.opnsense.org/BE_releases.html

Oder nimm dafür deinen separater Server zum Test.

Ich virtualisiere i.d.R. alles, aber bei der Firewall bleibe ich bei bare metal (+ cluster Hardware).
Ein MS Problem in Hyper-V oder ... und schon wäre die FW offline.

etwas gravierendes dagegen, die Sophos XG
Ja, aus meiner Sicht eines langjährigen Sophos/Astaro Kunden, kann ich von Sophos mittlerweile nur noch abraten!
Zusammengefasst: Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
LucarToni
LucarToni 12.03.2025 um 10:26:55 Uhr
Goto Top
Um auf das Thema vom OP einzugehen:
Ich empfehle immer mit einem Hypervisor zu arbeiten. Ob du nun Hyper-V oder einen anderen nimmst, spielt keine große Rolle für SFOS. Beides funktioniert.

Eine Thematik zu beachten: SFOS wird nach Kernen (CPU) lizenziert, nicht mehr nach IP Adressen wie UTM. Das kann für dich deutlich günstiger kommen, wenn du nur noch 2 oder 4 Kerne benötigst.

Wenn die Leistung der UTM für dich ausreichend war, wird SFOS nochmal schneller sein, da das Betriebssystem mit einem virtual Fastpath ausgestattet ist.
DerMaddin
DerMaddin 12.03.2025 um 10:42:23 Uhr
Goto Top
@LucarToni

Wie ist die Leistung einer SW XG im Vergleich zu z.B. einer XGS138? Speziell wenn man SFP+ mit 10Gb verwendet. Die 138 hat x86 CPU mit 4 Kernen und 8GB. Dabei ist die 138 deutlich günstiger (reine HW) als z.B. Basis Lizenz mit 4 Cores/6 GB.
nachgefragt
nachgefragt 12.03.2025 aktualisiert um 11:41:22 Uhr
Goto Top
Das kann man so pauschal nicht sagen, da musst du beim Sophos Partner ein "Sizing" machen lassen, damit sind schonmal ein paar Hundert € fällig. Und jede Umgebung wächst (hoffentlich).

Den Aufwand und die Kosten hatte ich mir bei OPNsense gespart, stattdessen in mehr besser Hardware gesteckt, Haben ist besser als Brauchen, vor allem in Zukunft.

Die Änderungen der Lizenzbedingungen (Anzahl, CPU Kerne, RAM, usw.) erspare ich mir mit OPNsense, vor allem da ich später weitere z.B. SFP+ oder QSFP nachrüsten werde.

Jede Umgebung ist individuell, wer brav und fleißig segmentiert, bekommt die UTMs i.d.R. schnell ans Limit. Aber bis dahin waren es zuverlässige Geräte.

@thommyF
Auf alle Fälle ganz beharrlich nachfragen, denn sogar die alten SG's sind bis Juni 2026 im Support. "Stress" solltest du dir also nicht machen, sondern auch mal Alternativen ausloten. Es kann tausende € sparen, Dienstleister welche dir die OPNsense (remote) einrichten zu finden, ist auch kein Problem. Je besser du dein Netzwerk kennst, desto schneller geht die Umstellung.
https://www.thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls ...
NordicMike
NordicMike 12.03.2025 um 11:44:55 Uhr
Goto Top
Wir das hier ein Verkaufsgespräch für die Sense? Du kennst doch nicht einmal die Anforderungen des TO.

Zur Frage:
Wenn du den Hyper-V Switch gut einstellst und die Schnittstelle der ankommenden Internet Leitung "nur" in die VM rein leitest, sollte es keine Probleme geben.
nachgefragt
nachgefragt 12.03.2025 um 11:56:35 Uhr
Goto Top
Man hätte es vielleicht generalisieren sollen:

Firewall - bare metal oder virtuell?

Selbst zu Hause: Fritzbox/Draytek ---> OPNsense CE --> Netzwerk

Vielleicht bin ich auch gebrandmarkt, ein fehlerhaftes Treiber- oder Software Update des Hypervisors, und alle stünde still. Das kommt also on top zusätzlich zum Risiko der Firmware Updates der Hardware im Allgemeinen.
LucarToni
LucarToni 12.03.2025 um 12:41:21 Uhr
Goto Top
Zitat von @DerMaddin:

@LucarToni

Wie ist die Leistung einer SW XG im Vergleich zu z.B. einer XGS138? Speziell wenn man SFP+ mit 10Gb verwendet. Die 138 hat x86 CPU mit 4 Kernen und 8GB. Dabei ist die 138 deutlich günstiger (reine HW) als z.B. Basis Lizenz mit 4 Cores/6 GB.

Die XGS138 hat auch einen NPU, der entsprechend deutlich mehr Performance anbietet. Da ist nicht nur ein X86 Prozessor drin.
Viele Kunden kaufen bei Sophos eine Hardware, um das ganze Thema Virtualisierung und Hardware Pflege zu vermeiden (die Hardware ist im Support, solange du eine Subscription besitzt).
LucarToni
LucarToni 12.03.2025 um 12:45:00 Uhr
Goto Top
Man kann sich das auch hier anschauen: Aktuelle Probleme mit der XG(s) Serie von Sophos
Zitat von @NordicMike:

Wir das hier ein Verkaufsgespräch für die Sense? Du kennst doch nicht einmal die Anforderungen des TO.



Leider hat dieser Nutzer eine persönliches Problem mit Sophos und postet unter jedem Sophos related Post, dass OpnSense besser wäre und man immer auf OpnSense setzen sollte.
Ich habe bereits aufgegeben, da ich bis heute nicht erfahren habe, was nun genau das Thema ist, was ihn stört.

Der Transparenz: Ich bin ein Sophos Mitarbeiter und auch in Sophos Communities vertreten. Aber nehme mir das Recht raus, wenn jemand Sophos Fragen stellt, auch auf diese Fragen zu antworten.
nachgefragt
nachgefragt 12.03.2025 um 13:12:42 Uhr
Goto Top
Zitat von @LucarToni:
Aber
Wieso aber?! Das ist Sinn und Zweck dieser Plattform face-wink
Danke für deine Meinung, ich habe eine andere.
Eine Firewall würde ich i.d.R. nie virtualisieren.
MysticFoxDE
MysticFoxDE 12.03.2025 um 13:15:34 Uhr
Goto Top
Moin @thommyF,

Spricht aus eurer Sicht etwas gravierendes dagegen, die Sophos XG unter Hyper-V laufen zu lassen statt Bare-Metal?

definitiv ja, und zwar eine ganze Menge, vor allem wenn du an diese Schnittstellen mit > 1G und oder so geringe Latenzen wie möglich benötigst und sei es nur zum Routen. 😔

Denn selbst 10 GBit/s was heute ja quasi im Serverbereich schon unterer Standard ist oder gar noch schnellere Uplinks bei einer virtualisierten Umgebung hinzubekommen, hört sich in der Theorie vielleicht einfach an, ist jedoch in der Praxis, alles andere als "easy" umzusetzen. Weil man dafür schlichtweg entweder VMMQ oder SR-IOV benötigt und beide Technologien sind weder einfach zu händeln, noch sind diese stand heute wirklich gut seitens der Hypervisor-Hersteller (Hyper-V, VMware, Nutanix & Co) und zum Teil auch seitens der NIC-Hersteller (insbesondere Broadcom aber auch Intel) implementiert.

Sprich, wenn jemand wirklich von einer 10G Schnittstelle einer FW oder eines SGW's auch nur ansatzweise 10G sehen möchte, sollte er meinen bisherigen Erfahrungen nach lieber zu einer Hardware-Appliance greifen und nicht zu einer komplett virtualisierten Lösung. Das gilt übrigens nicht nur für die SGW's von Sophos, sondern für jeglichen Hersteller.

Ferner, wenn man ein Problem mit einer Hardware-Appliance hat, sei es auch nur Software-Bedingt 🙃, so muss man sich in dem Fall betreffend einer Lösung auch nur mit einem Hersteller herumschlagen, sprich, in dem vorliegenden Fall dann mit Sophos. Wenn man die XG jedoch als VM auf einem HV laufen lässt, muss man sich eventuell noch zusätzlich auch noch mit dem HV Hersteller und oder dem Hardwarehersteller der Server extra herumprügeln. 😬

Daher geht meine Empfehlung auch ganz eindeutig Richtung einer Hardware-Appliance. 😉

Gruss Alex
nachgefragt
nachgefragt 12.03.2025 um 13:22:59 Uhr
Goto Top
Zitat von @MysticFoxDE:
Tolles Feedback.

Das gilt übrigens nicht nur für die SGW's von Sophos, sondern für jeglichen Hersteller.
Ein kleines VETO.
Bei OPNsense gibt es zwar "eigene" Hardware https://shop.opnsense.com/product-categorie/hardware-appliances/ , fand ich jedoch zu teuer für das Gebotene. Mit OPNsense ist man nahezu unabhängig in der Auswahl der Hardware oder kann sich bei Thomas Krenn usw. eine Hardware zusammenstellen. In meinen Tests lief OPNsense auch auf der letzten Gurke. face-smile Man kann also auch im Keller suchen, was da noch so rumliegt, für den Anfang.
MysticFoxDE
MysticFoxDE 12.03.2025 um 13:37:13 Uhr
Goto Top
Moin @nachgefragt,

Tolles Feedback.

danke.
Und ich hoffe, dass du das kommende auch noch genau so gut findest. 🙃

Das gilt übrigens nicht nur für die SGW's von Sophos, sondern für jeglichen Hersteller.
Ein kleines VETO.

Eine OPNsense kannst auch in einer VM laufen lassen und in diesem Fall gilt genau dasselbe was ich auch zu den anderen SGW's geschrieben habe. 😉

Bei OPNsense gibt es zwar "eigene" Hardware https://shop.opnsense.com/product-categorie/hardware-appliances/ , fand ich jedoch zu teuer für das Gebotene. Mit OPNsense ist man nahezu unabhängig in der Auswahl der Hardware oder kann sich bei Thomas Krenn usw. eine Hardware zusammenstellen. In meinen Tests lief OPNsense auch auf der letzten Gurke. face-smile Man kann also auch im Keller suchen, was da noch so rumliegt, für den Anfang.

Wenn du bei einer OPNsense nicht die Hardware von OPNsense einsetzt, dann hast du im Problemfall, auch genau dieselben Probleme wie bei einer VM, sprich, du darfst dich im schlimmsten Fall mit mehreren streiten.

Und spätestens wenn es um das Thema Latenz oder Durchsatz geht, zeigen die Softwareentwickler und insbesondere die eines SGW's, eh ganz schnell auf die Hardware. 🙃

Gruss Alex
MysticFoxDE
MysticFoxDE 12.03.2025 aktualisiert um 13:50:17 Uhr
Goto Top
Moin @nachgefragt,

so, und jetzt noch kurz zu dem hier.

Das kann man so pauschal nicht sagen, da musst du beim Sophos Partner ein "Sizing" machen lassen, damit sind schonmal ein paar Hundert € fällig. Und jede Umgebung wächst (hoffentlich).

Den Aufwand und die Kosten hatte ich mir bei OPNsense gespart, stattdessen in mehr besser Hardware gesteckt, Haben ist besser als Brauchen, vor allem in Zukunft.

Die Änderungen der Lizenzbedingungen (Anzahl, CPU Kerne, RAM, usw.) erspare ich mir mit OPNsense, vor allem da ich später weitere z.B. SFP+ oder QSFP nachrüsten werde.

Jede Umgebung ist individuell, wer brav und fleißig segmentiert, bekommt die UTMs i.d.R. schnell ans Limit. Aber bis dahin waren es zuverlässige Geräte.

Wenn man auf seinem SGW bisher nur Layer 3-4 Security implementiert hat, sprich Routing, NAT und etwas IP/Port Filterung, dann kann man dafür natürlich auch eine OPNsense oder auch z.B. eine Lancom Rouer nehmen, Bintec gibt es ja leider nicht mehr.

Ja, OK, eine OPNsense kann schon etwas mehr wie ein reiner Router, aber nicht wirklich viel. 🙃

Wenn man bei einem erwachsenen SGW wie z.B. einer Sophos XGS oder einem Fortigate oder was auch immer, auch deren bis Layer 7 Security, wie z.B. WAF, SSL-TLS Inspection, IPS, ATP, AV, Synchronized Security & Co. KG, nutzen möchte oder gar muss, weil ja DSGVO, BDSG, NIS-2 & Co. KG und so, dann kommt man eher mit einer OPNsense ganz schnell an deren Limits.

Gruss Alex
nachgefragt
nachgefragt 12.03.2025 aktualisiert um 15:39:07 Uhr
Goto Top
Zitat von @MysticFoxDE:
dieselben Probleme wie bei einer VM
Nein, weil ich keinen Hypervisor verwende fällt der Punkt weg.
Ich muss zwar cold standby bzw. cluster Hardware bevorraten, welche ich aber sehr gut auch als Testumgebung nutzen kann, nicht zuletzt auch zuerst für Firmware- und Software Updates. So eine "Spielwiese" ist also durchaus nützlich.

du darfst dich im schlimmsten Fall mit mehreren streiten.
Es wäre schon eine echte Challenge schlimmer als der Sophos Hersteller Support abzuliefern. Bei Sophos wird der Kunde durch die Instanzen bzw. Supportlevel durchgereicht wie ein "falscher Fuffziger", man muss hier ebenso "mit mehreren streiten." Dennoch halte die Krone "you reached the third level support" in Ehren, war schwer genug soweit zu kommen (weißt du sicher selbst). 🙃

Und spätestens wenn es um das Thema Latenz oder Durchsatz geht, zeigen die Softwareentwickler und insbesondere die eines SGW's, eh ganz schnell auf die Hardware.
Ich hatte ja zehntausende €uros an $ophos Lizenzkosten eingespart, da konnte ich leicht überdimensionieren, wie ich aktuell feststelle. 🙃 Aber wer weiß was die Zukunft bringt, daher sind Ressourcen in Reserve kein Fehler.

eine OPNsense kann schon etwas mehr wie ein reiner Router, aber nicht wirklich viel. 🙃
Du hast ja keine Ahnung face-wink
Aber da du hier als Sophos Partner (öffentlich) auftrittst und damit deine Brötchen verdienst, beißt man nicht die fütternde Hand.

wie z.B. WAF, SSL-TLS Inspection, IPS, ATP, AV, Synchronized Security & Co. KG
Nennen wir es einfach Zen Armor https://www.zenarmor.com/docs/opnsense

Oder mit Intrusion Detection und Intrusion Prevention einsteigen.
https://www.thomas-krenn.com/de/wiki/OPNsense_Intrusion_Detection_und_In ...

DSGVO, BDSG, NIS-2 & Co. KG
Das stimmt, welche IT wird davon nicht totgeprügelt. Und am Ende ist überall der grüne Haken gesetzt, und dann passiert's doch.
Ich kenne aber Bereiche aus dem Gesundheitswesen, die haben das Zertifikat mit OPNsense im Einsatz erhalten.
MysticFoxDE
MysticFoxDE 12.03.2025 aktualisiert um 17:05:11 Uhr
Goto Top
Moin @nachgefragt,

dieselben Probleme wie bei einer VM
Nein, weil ich keinen Hypervisor verwende fällt der Punkt weg.

ha ha, hast du heute eventuell schon zu viele Scherzkekse gegessen?

Dann hast du eben eine Hardware-Appliance und im Falle von OPNsense, musst du wahrscheinlich viel mehr als bei der Sophos „tunen“, damit vor allem eine >=10G NICH auch die volle Leistung bringt.

Denn auch ein Pinguin, ist netzwerktechnisch per Default zwar etwas besser wie ein Windows, aber dennoch nicht wirklich optimal eingestellt. Und da du auch die OPNsense Appliances über einen Drittanbieter besorgst, musst du dich bei Problemen, mitunter auch mit diesem herumschlage, der wird jedoch und auch zurecht behaupten, dass die Probleme eher von der Softwareseite kommen. 🙃

Ich muss zwar cold standby bzw. cluster Hardware bevorraten, welche ich aber sehr gut auch als Testumgebung nutzen kann, nicht zuletzt auch zuerst für Firmware- und Software Updates. So eine "Spielwiese" ist also durchaus nützlich.

So so, ein SGW zum Testen und wie genau testest du denn damit?
Denn ich kann mir kaum vorstellen, dass du dafür kurzzeitig das produktive SGW offline nimmst.
Und erzähle mir jetzt bitte nicht, dass du sämtliche produktiven Systeme auch in einem Lab nachstellen kannst, denn das bekommen selbst die grossen Konzerne nicht wirklich auf die Reihe.

du darfst dich im schlimmsten Fall mit mehreren streiten.
Es wäre schon eine echte Challenge schlimmer als der Sophos Hersteller Support abzuliefern. Bei Sophos wird der Kunde durch die Instanzen bzw. Supportlevel durchgereicht wie ein "falscher Fuffziger", man muss hier ebenso "mit mehreren streiten." Dennoch halte die Krone "you reached the third level support" in Ehren, war schwer genug soweit zu kommen (weißt du sicher selbst). 🙃

Das Thema hatten wir schon oft genug und du hast bis heute noch keinen Beleg dafür geliefert und noch nicht mal eines der anscheinend sehr vielen Probleme die du hattest, auch nur ansatzweise hier im Detail beschrieben.

Ich hatte ja zehntausende €uros an $ophos Lizenzkosten eingespart, da konnte ich leicht überdimensionieren, wie ich aktuell feststelle. 🙃 Aber wer weiß was die Zukunft bringt, daher sind Ressourcen in Reserve kein Fehler.

Schön das es bei dir so funktioniert hat, das ist jedoch kein Beleg dafür, dass das auch so bei anderen funktioniert. Denn keiner hier, kenn deine Konfiguration und oder deinen Bedarf wirklich.

eine OPNsense kann schon etwas mehr wie ein reiner Router, aber nicht wirklich viel. 🙃

Du hast ja keine Ahnung face-wink

Ich denke schon, dass ich eine Ahnung habe und die die meine Arbeit auch wirklich kennen, wissen das auch. 😉

Aber da du hier als Sophos Partner (öffentlich) auftrittst und damit deine Brötchen verdienst, beißt man nicht die fütternde Hand.

Oh Gott und jetzt, wir sind auch Intel, HPE, DELL, Juniper und auch Microsoft Partner und vor allem der letztere, sprich Microsoft, bekommt von mir sehr oft einen auf den Deckel, weil die es auch verdient haben und da ist mir der Partnerstatus auch vollkommen schnuppe!
Sprich, wenn Sophos wirklich grossen Mist bauen würde, dann würden die von mir genauso einen auf den Deckel bekommen wie auch MS. 🤪

wie z.B. WAF, SSL-TLS Inspection, IPS, ATP, AV, Synchronized Security & Co. KG
Nennen wir es einfach Zen Armor https://www.zenarmor.com/docs/opnsense

Und auch das Thema hatten wir schon mehrfach.
Sprich, wenn du die Appliances von OPNsense holst und auch deren Business Support mit dazu buchst und dann auch noch die Zenarmor Business Subskription mit berücksichtigst, die übrigens Devicebezogen bezahlt wird …

https://www.zenarmor.com/plans

… bist du ratz fatz bei viel höheren Gesamtkosten wie bei einer XGS und hast trotzdem viel weniger Schutzleistung als es ein SGW der XGS Klasse bereitstellen kann.

Und spätestens bei dem Thema Synchronized Security, ist OPNsense raus und zwar mit oder ohne Zenarmor & Co.

DSGVO, BDSG, NIS-2 & Co. KG

Und am Ende ist überall der grüne Haken gesetzt, und dann passiert's doch.

Wenn überall der Grüne hacken gesetzt wurde, dann ist auch kein Wunder das was passiert. 🙃

Ich kenne aber Bereiche aus dem Gesundheitswesen, die haben das Zertifikat mit OPNsense im Einsatz erhalten.

https://www.sophos.com/de-de/press/press-releases/2022/07/sophos-as-a-qu ...
https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/Netzwerk_und_Kommun ...

Damit kann eine OPNsense glaube ich nicht mithalten, die übrigens z.B. hier …

https://www.gartner.com/doc/reprints?id=1-2HRVN2WH&ct=240606&st= ...

… überhaupt nicht erwähnt wird, weil diese in dieser Liga schlichtweg überhaupt keine Rolle spielt.

Und so gut wie kein IT-Security-Verantwortlicher eines halbwegs grösseren Betriebes, setzt heutzutage vor allem bei den Thema IT-Security, welches immer wichtiger wird, auf ein Nischenprodukt, da er dann im Falle eines Incidents, dann wahrscheinlich noch mehr unangenehme Fragen beantworten und dafür auch geradestehen muss.

Gruss Alex
DivideByZero
DivideByZero 12.03.2025 um 17:58:48 Uhr
Goto Top
Moin,

noch mal zurück zur Ausgangsfrage: die Sophos hat ja bei Euch ihre eigene Hardware, das würde ich auch immer begrüßen und nicht mischen. Firewall ist ja eine zentrale Abwehrinstanz und steht ggf. unter Dauerfeuer, die sollte nicht auch noch bei Lücken im Hypervisor zum Einfallstor werden.

Da es bei der Firewall auf Geschwindigkeit ankommt, würde ich zusätzliche Schichten vermeiden, es sei denn, Ihr habt für Euch ausreichend Leistung, dann geht das natürlich auch.

Gruß

DivideByZero
em-pie
em-pie 12.03.2025 um 19:20:39 Uhr
Goto Top
Moin,

Ich bin ebenfalls im Team: Firewall (egal welche) auf eigene Hardware.
Klar, hat selbstredend Vorteile, wenn ich die Firewall in einem Hypervisor Cluster betreiben kann. Bricht die Hardware weg, gibt es einen Schwenk. Das Szenario kann ich aber mit zwei Hardware-Appliances ebenso abbilden. Active/ Passive bietet den gleichen Effekt/ Schutz.
Und beim Hypervisor-Modell muss ich ohnehin dann auch zwei VMs vorhalten: zumindest, wenn ich Updates im laufenden Betrieb fahren will.

Und ich habe eine Fehlerquelle weniger im Spiel: den Hypervisor. Im Fehlerfall kann (nicht muss) es schnell passieren, dass der Hersteller der FW sagt „Haahaa.. du bist mit dem Hypervisor X in einer nicht von uns getesteten Kombination unterwegs. Zieh das mal glatt und dann schauen wir weiter!“
Kommt alles aus einer Hand, Knall ich dem Hersteller zur Not die HW um die Ohren, bis sein Techniker das Problem dann gelöst hat face-wink

Aber ein Stück ist es, denke ich, auch eine religiöse Frage, ähnlich wie damals ATI oder nVidiaface-smile


@LucarToni
Ich empfehle immer mit einem Hypervisor zu arbeiten.
Weshalb empfiehlst du SFOS als VM zu betreiben? Also das meine ich als ernstgemeinte Frage mit tatsächlichem Interesse, nicht als Vorwurf o. ä.
LucarToni
LucarToni 12.03.2025 um 22:20:30 Uhr
Goto Top
Zitat von @em-pie:

@LucarToni
Ich empfehle immer mit einem Hypervisor zu arbeiten.
Weshalb empfiehlst du SFOS als VM zu betreiben? Also das meine ich als ernstgemeinte Frage mit tatsächlichem Interesse, nicht als Vorwurf o. ä.

Ich sehe den Treiber Support als größeres Problem als den Hypervisor als Problem Instanz.
Die Hypervisor, wenn korrekt konfiguriert, sind eigentlich ziemlich unerreichbar, bringen jedoch immer einen perfekten Treiber Support mit (Egal welche Karte, die rauskommt, welches Speichermedium etc.) - Der Hypervisor ist ziemlich schnell, Treiber dafür anzubieten. Und diese Performance kann dann sehr gut weitergeben werden (10 GBe Karten zum Beispiel).

Auch spart man sich so die alte Diskussion über "Unterstützt meine Hardware auch das Betriebssystem".

Zusätzlich sehe ich den Vorteil bei Virtualisierungsumgebung in dem Snapshot und Backup Verhalten. Viele der großen aber auch tools wie Proxmox bieten Snapshots an, die in der Praxis eine sehr angenehme Hochverfügbarkeit anbieten können.

Ich kann jedoch sagen: Virtualisiert und Bare Metal sind nur ein kleiner Anteil an Installationen, die Sophos betreibt. Der Großteil der Kunden betreib Hardware Appliances (XGS) aus Gründen der Garantie, HA Möglichkeit (Zwei Firewalls) und auch Kostenberechnung (Ich weiß wieviel die Hardware auf 5 Jahre kosten wird - Virtuell / Eigene Hardware hat die Ausfall bzw. eigene Subscription wieder).
nachgefragt
nachgefragt 13.03.2025 um 07:16:08 Uhr
Goto Top
Zitat von @MysticFoxDE:
ha ha, hast du heute eventuell schon zu viele Scherzkekse gegessen?
Schon wieder verlierst du die konstruktive Diskussionsgrundlage, daher lassen wir es wieder face-smile
Du verscherbelst Sophos, verdienst damit viele Brötchen (passiv), daher vielleicht das Anti-OpenSource Vertriebs-BlaBla...

Wir sind uns aber einig: Team eigene Hardware face-wink
Eine schöne Restwoche.
DerMaddin
DerMaddin 13.03.2025 um 08:23:44 Uhr
Goto Top
@nachgefragt es wäre für alle Beteiligten einfacher dem Thread zu folgen, wenn du einen Bogen machst um Themen wo Sophos erwähnt wird. Deine Beiträge sind Null hilfreich, wenn irgendwo Sophos drin steht. Du kritisierst andere wegen fehlender "konstruktiver Diskussionsgrundlage" aber lieferst selbst nichts in dieser Form.

Wenn du dich beteiligen möchtest, dann begrabe dein Kriegsbeil. Es ist nicht hilfreich immer nur von "scheiß Support, scheiß Produkt" etc. zu berichten.
nachgefragt
nachgefragt 13.03.2025 um 08:38:26 Uhr
Goto Top
@DerMaddin
Ich kann mich nur grau erinnern, warst du nicht auch jemand der mit Sophos (Support) Geld verdient?
deine Beiträge sind Null hilfreich
Für dich vielleicht nicht, vielleicht auch nochmal ganz genau "lesen und verstehen" Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)

PS: Du darfst mir sowas auch gern ins PN Postfach legen, wenn du den Thread nicht zuspammen möchtest, hat schließlich 0 mit Sophos zu tun, und ist 0 hilfreich.
DerMaddin
DerMaddin 13.03.2025 um 08:47:39 Uhr
Goto Top
@nachgefragt was denn? du startest einen Flamewar über Sophos in so ziemlich jedem Thread, warum nun der Rückzug via PN? Dein verlinkter Beitrag ist mir egal und geht mir persönlich a.A.v. denn genau dort ist deine brutale Abneigung deutlich zu lesen. Ein Satz hätte gereicht "Ich habe negative Erfahrungen mit Sophos und würde folgende Alternative empfehlen" - fertig!

Und nein, ich verdiene kein Geld mit/durch/über Sophos. Ich habe lediglich Sophos Produkte (nicht nur FW) in einem größeren Umfang im Einsatz.
nachgefragt
nachgefragt 13.03.2025 um 09:09:53 Uhr
Goto Top
Zitat von @DerMaddin:
Rückzug via PN?
So ein unsinniger Quatsch.
Vielleicht wollte ich einfach nur nicht den Thread weiter zumüllen.

Dein verlinkter Beitrag ist mir egal und geht mir persönlich
Somit folgender Vorschlag: klink dich gern an der Stelle aus, es hat 0 mit dem Beitrag zu tun. Wenn du irgendwann doch den Tatsachen aus meinem Erfahrungsbericht mit Sophos diskutieren möchtest, können wir den verlinkten Thread nutzen. Hab ein schönen Tag.
LucarToni
LucarToni 13.03.2025 um 09:55:47 Uhr
Goto Top
Ich kann verstehen, dass ein ehemalige Sophos Kunde unzufrieden war und das Produkt und den Hersteller Sophos verlassen hat. Das ist jedem Kunden das eigene Recht. Ich kann auch verstehen, dass man nach 15 Jahren mit Sophos schlechte Erfahrungen gesammelt hat - Jedes Unternehmen, das so lange wie Sophos am Markt ist, durchlebt eine Reise (Professionalisierung, Prozessanpassungen etc.).
Ich kann verstehen, dass man ein neues Produkt findet, das einem selbst besser gefällt. Und das ist auch super! Niemand hier möchte eine OpnSense angreifen oder schlecht machen. Es ist ein gutes Produkt, mit den Plugins kann man auch viel machen.

Was ich jedoch nicht verstehe: Wie kann man unter jedem Post, wo Sophos erwähnt wird, seine Meinung zu Sophos abladen (Copy/Paste) und jedem Kunden von Sophos versuchen, Sophos Firewall abzusprechen und zu raten, ein anderes Produkt zu verwenden.
Man kennt die Tatsachen nicht, man kennt den Kunden nicht, man kennt die Installation nicht. Man kennt die Prozesse nicht.

Zum Beispiel: Viele Sophos Kunden sind langjährig mit Sophos im Geschäft, setzen alle Produkte ein, haben persönliche Kontakte zu mir und anderen Sophos Mitarbeitern etc.
Nun wird hier eine Sophos spezifische Frage gestellt und man möchte dazu ein Feedback erhalten.
Dein Feedback ist immer das gleiche: Der generische Post über deine Erfahrungen aus den letzten 15 Jahren.

Hilft das nun einem Sophos Kunden weiter? Ich würde schätzen, nur bedingt.

Ich weiß - Du fühlst dich belästigt dadurch, dass hier Leute sind, die Sophos Produkte vertreiben. Aber am Ende kannst du das nicht verhindern. Ich weiß, du fühlst dich belästigt dadurch, dass es nicht eine neutrale Haltung ist. Aber ich helfe den Leuten auch nur weiter. Ich belästige hier auch keinen - Schreibe nicht unter allen OpnSense Threads, dass man doch besser Sophos Firewall einsetzen sollte, weil das besser ist.

Das Internet bietet eben eine Plattform, seine Emotionen einen Ausdruck zu geben. Ich habe versucht, zu verstehen, wo deine Probleme waren, was deine Erfahrungen waren und wo wir (Sophos) es hätten besser machen können - Daraus ist nie etwas geworden.

Während du anderen Vorschlägst, sich auszuklinken, frage ich mich häufig, warum klinkst du dich immer bei allen Sophos bezogen Posts ein, copy/pastes den selben Content und fängst dann an, weiter um dich zu schlagen?

Wir werden es wohl nie erfahren.
DerMaddin
DerMaddin 13.03.2025 um 09:56:41 Uhr
Goto Top
@nachgefragt wünsche dir auch einen schönen Tag
MysticFoxDE
MysticFoxDE 13.03.2025 um 10:03:22 Uhr
Goto Top
Moin @nachgefragt,

Schon wieder verlierst du die konstruktive Diskussionsgrundlage, daher lassen wir es wieder face-smile

also, wenn du weiterhin ohne einen Beleg diesen Unsinn behauptest, dann bleibe ich auch weiterhin bei meiner Scherzkekstheorie.

Du verscherbelst Sophos, verdienst damit viele Brötchen (passiv),

Ich habe dir weder jemals eine Sophos angeboten noch habe ich jemals eine bei dir eingerichtet und auf die bisherigen zig Hilfeangebote zu deinen angeblichen Problemen, die ich dir übrigens vollkommen kostenlos zur Verfügung gestellt habe, hast du bisher, wie auch jetzt, nur mit blöden und absolut haltlosen Sprüchen reagiert.

daher vielleicht das Anti-OpenSource Vertriebs-BlaBla...

Und das würdest du so auch nicht schreiben, wenn du eine XGS oder gar die SG, auch abseits derer GUI‘s wirklich kennen würdest.

Wir sind uns aber einig: Team eigene Hardware face-wink

Wäre auch zu schade, wenn wir bei jedem Punkt zu sehr einer anderen Meinung wären.

Eine schöne Restwoche.

Dir Auch.

Gruss Alex
MysticFoxDE
MysticFoxDE 13.03.2025 aktualisiert um 10:33:15 Uhr
Goto Top
Lieber @LucarToni,

ähm ... welche Yoga Stellung und oder was auch immer, muss ich denn zur Hölle noch absolvieren, damit ich auch nur annähernd dasselbe Kompetentez-Chill-Level erreiche?! 🤔

dass man doch besser Sophos Firewall einsetzen sollte, weil das besser ist.

Wenn man für ein Gerät/Lösung dieser Kategorie, weder das Knowhow noch die Kapazität und auch nicht das Budget hat, dann sollte man sich auf keinen Fall eine/ein solche(s) anschaffen.

Denn eines der mitunter schlimmsten Dingen in der IT-Security, ist meiner Ansicht und Erfahrung nach, der Einsatz von Werkzeugen, die man nicht wirklich versteht/beherrscht oder für diese nicht wirklich die entsprechende Zeit hat!
Weil es sonst im Falle einer FW oder gar eines ausgewachsenen SGW’s, früher oder später wahrscheinlich eh in einer „any“ mit „any“ to „any“ mit ohne „any“ Security Geschichte endet. 😔

Gruss Alex
nachgefragt
nachgefragt 13.03.2025 um 13:15:40 Uhr
Goto Top
Zitat von @LucarToni:
Ich weiß - Du fühlst dich belästigt dadurch, dass hier Leute sind, die Sophos Produkte vertreiben.
Das weißt du nicht. Und das ist Quatsch.
doch besser Sophos Firewall einsetzen sollte, weil das besser ist.
Das ist Unsinn.
LucarToni
LucarToni 13.03.2025 um 14:02:19 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Ich weiß - Du fühlst dich belästigt dadurch, dass hier Leute sind, die Sophos Produkte vertreiben.
Das weißt du nicht. Und das ist Quatsch.
doch besser Sophos Firewall einsetzen sollte, weil das besser ist.
Das ist Unsinn.

Mein zweiter Punkt war eine überspitzte Formulierung.

Und deine defensive Haltung bei jedem Punkt, den man "Pro Sophos" aufbringt, spricht sehr von dieser Belästigten Haltung.
WoenK0
WoenK0 14.03.2025 um 04:42:13 Uhr
Goto Top
Zitat von @thommyF:

Hallo Zusammen,

es steht bei uns an , die Sophos UTM durch die Sophos XG Firewall zu ersetzen.

Unsere VMs laufen unter Hyper-V in einem Cluster.
Für die Sophos XG Firewall wurde ein separater Server angeschafft und ich würde auf diesem Server Sophos XG
lieber auf Hyper-V laufen lassen. Wir hätten dann eine zusätzliche Abstraktionsschicht und ein wenig Leistungsverlust, könnten die Firewall-VM aber mit den vorhandenen Mitteln sichern und auch wiederherstellen.

Spricht aus eurer Sicht etwas gravierendes dagegen, die Sophos XG unter Hyper-V laufen zu lassen statt Bare-Metal ?

Vielen Dank

Der Preis ?
Sofrware Appliance ist teuer, wer kam auf die Idee einen Server dafür zu kaufen ?
XGS138 hat 2 SFP+ Ports, kostet mit 3 Jahren Lizenz um die 6000 EUR.
Software Appliance kostet das im Jahr.
thommyF
thommyF 14.03.2025 um 15:44:30 Uhr
Goto Top
Hallo Zusammen,

danke für die Einordnung.
Wir hatten früher den Microsoft TMG , dann aktuell die Sophos UTM auf HP Server Hardware.
Wir haben insgesamt gute Erfahrungen mit der Sophos UTM gemacht.

Wie ich inzwischen feststellen musste, unterstützt die Sophos Firewall kein UEFI - eine direkte Bare-Metal Installation
fällt damit flach. Da unsere sonstige Infrastruktur unter Hyper-V läuft werden wir Sophos dann unter Hyper-V betreiben.
Dani
Dani 16.03.2025 um 15:37:17 Uhr
Goto Top
Moin,
Vielleicht bin ich auch gebrandmarkt, ein fehlerhaftes Treiber- oder Software Update des Hypervisors, und alle stünde still. Das kommt also on top zusätzlich zum Risiko der Firmware Updates der Hardware im Allgemeinen.
und da sind mögliche Ausbrüche durch Fehlerkonfiguration, Bugs, etc. aus der VM noch nicht berücksichtigt. Daher Firewalls immer auf Hardware installieren.

Abgesehen davon habe ich von Sophos noch nie viel gehalten. Nach den Nachrichten in den letzten Jahren zwischen gar nichts mehr. Egal ob Preis stimmt, eine EAL4+ Zertifizierung vorhanden ist.


Gruß,
Dani