[iThome产品报导] Sophos在4月发表XGS系列网路防火墙，基于Sophos Firewall OS v18.5作业系统搭配多核心中央处理器与专属的流量处理器

投入UTM／次世代防火墙市场已长达将近10年的Sophos，他们一路走来，经历了不少变化。例如，在2011年并购Astaro，2012年推出UTM 100设备，2014年并购Cyberoam，同年推出SG系列，到了2015年，他们发表XG Firewall系列。

Xstream串流处理架构登场

在2020年2月，Sophos发表新的Xstream串流处理架构，并将其导入XG Firewall系列，促使网路防火墙能够在TLS加密流量解密处理上，获得高效能，提高网路流量的透明度，以便消弭与加密流量导致的控管盲点，减低信息安全风险。而在这个时期搭配的作业系统，主要是Sophos Firewall OS（SFOS）的v18。

他们表示，Xstream可完整支援TLS 1.3安全通讯协定，能减少因此产生的存取延迟与相容性问题。根据Sophos内部测试，若采用新的深度封包检测（DPI）引擎，以及TLS检测功能，加密流量处理效能可达到前代XG版本的2到3倍。

简而言之，Xstream是一种串流封包处理架构，可提供极致的防护与效能。根据Sophos的介绍，当中包含下列3大技术：Xstream SSL Inspection、Xstream DPI Engine、Xstream Network Flow FastPath。

其中的Xstream SSL Inspection，能让企业针对网路流量进行SSL检测作业时，无需牺牲连线效能或使用者体验。它可支援TLS 1.3的高效能处理，能容纳大量连线，以及所有当前常用的加密演算法，可针对所有网路埠、通讯协定、应用程式，提供绝佳的SSL检测效能。同时，它也配备了企业级的控管机制，能确保信息安全、隐私、网路传输效能。

另一个Xstream DPI Engine，是指透过一个高效能串流的深度封包检测引擎，搭配无代理伺服器（proxyless）的整体网路流量扫描机制（用于防毒侦测、网路入侵防御系统与网页威胁防护），能藉此提供应用程式控管与SSL检测的功能。而面对经过网路防火墙系统解密之后的网路流量，接下来进行模式比对时，可以更有效率，对于持续改变杂凑与模式的应用程式，例如，Proxy代理伺服器／翻墙软体「赛风（Psiphon）」的使用，也能更具保护力。

第三个技术是Xstream Network Flow FastPath，透过智慧型的流量卸载处理，提供极致、可信的网路传输效能。而防火墙的FastPath卸载处理，可经由政策来进行控管，加快重要的云端应用程式流量，也能针对流量特性，运用基于DPI引擎的智慧型处理。

细部来看，一旦应用程式流量被防火墙判定为可信，Network Flow FastPath技术就会将这些直接导引至处理封包流向的阶段，而且是透过FastPath、跳过DPI引擎处理的状态下，持续来回地进行封包传递。Sophos表示，这部份处理分成自动加速，以及基于政策来加速等两种方式。

所谓的自动加速，是指如果应用程式符合SophosLabs定义的伺服器名称表示（Server Name Indication，SNI），相关的流量就被认为是可信的，而且能对其进行防窜改处理，目前这项处理支援Netflix、Spotify等影音串流服务，微软、苹果、Adobe应用程式内部直接进行的安全更新，VoIP或SIP、RDP等串流传输协定。

而基于政策的做法，则是指防火墙若设置了特定应用程式相关的规则，系统可在FastPath之上进行加速，而不会进行安全扫描。

所谓的FastPath又是什么？Sophos表示，这是一种软体技术，又称为虚拟FastPath（VFP），能用于维持Sophos Firewall硬体设备、软体与虚拟化平台的通用架构。事实上，Sophos这整个防火墙的堆叠架构，均可透过VFP或FastPath API来卸载FastPath的作业

当时，XG Firewall也新增了多项安全与网路加速功能。例如，提供AI强化威胁侦测能力，这是由SophosLabs 研发的技术；整合新的进阶封包深度检测引擎，可动态评估网路流量的风险，并将其套用适当的威胁扫描等级，在大多数的连网环境下，可将网路吞吐量提升33%；搭配新的FastPath政策控管功能，可加速SD-WAN部署方式下的各种网路应用与流量，例如，VoIP、SaaS等网路服务，提升连线效能。

推出XGS系列，硬体设备搭配Xstream流量处理器

到了今年4月，Sophos发表新的XGS系列防火墙设备，内建TLS检测功能，能以原生方式支援TLS 1.3，若以市面上其他机型为基准，可提供5倍的加密流量处理速度。

在作业系统的搭配上，XGS系列防火墙采用Sophos Firewall OS最新版本v18.5。就整体使用而言，相较于搭配v18的XG系列，采用v18.5这个版本至少可带来2倍的效能增长，而有了这样的馀裕，足以让用户启用TLS检测这类基本防护功能。

XGS系列设备也搭配新的Xstream流量处理器，能自动加速受到信赖的网路流量，像是SaaS云端服务、软体定义广域网路（SD-WAN），以及云端应用程式，为这些网路传输所需的TLS加解密处理与深度封包检测作业，提供最大的可用资源，如此可大大减少关键业务应用系统的延迟与整体效能。Sophos表示，这个流量处理器，支援软体、可程式化的使用，未来可卸载更多网路流量。

就硬体运算架构而言，每台XGS系列设备搭配1颗多核心的x86处理器，以及专属的Xstream流量处理器。Sophos透露，后者是一种网路处理器（NPU），目前添加了硬体层的FastPath加速机制，可延伸Xstream架构的使用。

Xstream流量处理器能直接从DPI引擎的主记忆体当中，进行网路封包的传递与撷取，或将这些直接送至DPI引擎的主记忆体，而这项强化机制可提升防火墙的整体网路效能。例如，由于无需额外进行复制作业，因此，存取延迟改善幅度可达到5倍；若相较于前一代硬体机型，采用Xstream流量处理器的XGS系列，在SSL/TLS解密流量效能上，可提升至5倍。

除此之外，SFOS v18能以虚拟FastPath（VFP）来提供资料层（Data Plane）的处理,，而这主要是运用同样的x86处理器来卸载网路流量，而能分摊可信网路流量与先前信息安全已验证过的流量负担。

而到了最新发表的XGS系列，Sophos表示，在检测Flow里面初步传送的封包时，x86处理器会将可信的网路流量，卸载到Xstream流量处理器之上执行的Xstream FastPath，而这颗处理器本身也是专为FastPath所设计的。

在管理介面的部分，Sophos针对TLS流量状态呈现与相关的检测问题，提供直觉的仪表板，资安人员检视这些信息之馀，也能以简单的方式替有问题的串流传输新增例外。Sophos也在此提供延伸的规则集，并透过SophosLabs更新与维护，以便将安全流量排除在检测范围之外，达到网路处理效能最佳化。

此外，关于Sophos现行的网路防火墙产品线整体名称，也将有所异动──从原本的Sophos XG Firewall，改为Sophos Firewall。

而在产品使用授权的模式上，Sophos也予以简化，这部份主要与作业系统有关。无论采用硬体与虚拟型态的Sophos防火墙，都需购买SFOS的基本授权，而且可永久使用当中的功能。Sophos表示，SFOS硬体设备的购买原本就包含基本授权，至于虚拟版本的基本授权，则是包含在所购买的授权当中。若需要额外功能，用户能以1、2、3年的期间来进行订阅，可个别或以套餐的方式购买。

在XGS系列设备推出之后，Sophos提供新的简化授权计画，而且不支援先前的授权模式。

至于XG系列防火墙设备，包含硬体设备，以及软体、虚拟型态，在SFOS v18.5推出之后，也都将转成同样的套餐。

以桌上型为例，XG系列的机型名称，分别是：XG 86(w)、XG 106(w)、XG 115(w)、XG 125(w)、XG 135(w)，而XGS系列的机型名称，则是在数字的部分直接加1，因此成了XGS 87(w)、XGS 107(w)、XGS 116(w)、XGS 126(w)、XGS 136(w)。至于1U与2U机型，则是在原本的数字尾数多1个0。

这系列产品的实际供货时程会如何安排？Sophos在4月底发表相关消息时提到，关于桌上型（87/87w、107/107w、116/116w、126/126w、136/136w），以及大多数1U机架型设备（2100、2300、3100、3300），已透过他们的全球通路合作夥伴与代管服务供应商独家贩售，接下来几周，Sophos将推出同为1U机架型的4300、4500，以及针对大型企业边缘环境推出的2U机架型（5500、6500），因应最大的传输吞吐量需求，以及衍生的复杂网路组态。

产品信息

Sophos XGS系列
●原厂：Sophos
●建议售价：厂商未提供
●机型：
桌上型有5款，分别为87/87w、107/107w、116/116w、126/126w、136/136w；
1U机架型有6款，分别为2100、2300、3100、3300、4300、4500；
2U机架型有2款，分别为5500、6500
●威胁防护效能：桌上型为240 Mbps/330 Mbps/685 Mbps/900 Mbps/1,000 Mbps，
1U机架型为1,250 Mbps、1,400 Mbps、2,000 Mbps、2,770 Mbps、4,800 Mbps、8,390 Mbps，
2U机架型为12,390 Mbps、17,050 Mbps
●搭配的作业系统：Sophos Firewall OS v18
●集中管理平台：Sophos Central

【注：规格与价格由厂商提供，因时有异动，正确信息请洽厂商】

原文连结：https://www.ithome.com.tw/review/144853