Migrazione da XG a XGS
Le appliance hardware XG Series raggiungeranno l’End-of-Life (EoL) il 31 marzo 2025. Queste appliance smetteranno di ricevere aggiornamenti del software poco dopo questa data. Si consiglia pertanto di effettuare la migrazione alle appliance hardware XGS Series il prima possibile, per evitare il rischio di funzionalità e sicurezza limitate.
Prerequisiti
Prima di iniziare, procedere come segue:
-
Selezionare il modello dell’appliance XGS.
Si consiglia di selezionare il modello XGS equivalente al proprio modello XG. Ad esempio, se si utilizza XG 230, selezionare XGS 2300.
Vedere Verifica dei dispositivi compatibili per ripristinare i backup.
-
Assicurarsi che la nuova appliance XGS abbia la licenza richiesta, dopodiché richiedere il firewall. Vedere Licenze firewall.
Nota
Se si utilizza la funzionalità Zero Touch di Sophos Central, è possibile applicare le licenze e richiedere il firewall quando si aggiunge il firewall a Sophos Central utilizzando Zero Touch.
-
Si consiglia di eseguire l’aggiornamento a SFOS versione 20.0 MR2 o successiva. Queste versioni offrono le seguenti possibilità:
-
Maggiore compatibilità per i modelli, secondo i seguenti principi:
- È possibile passare da un modello di appliance con capacità superiore a un modello con capacità inferiore e ripristinare i backup esistenti. Ad esempio, è possibile ripristinare i backup da un modello firewall XG Series 1US, al modello desktop XGS 126 dei più potenti firewall XGS Series.
- È possibile utilizzare backup con configurazioni generiche come modelli e ripristinarli sui firewall dell’organizzazione o dei clienti.
-
Per completare la migrazione, è possibile utilizzare l’assistente di backup e ripristino, che permette di visualizzare e modificare il mapping delle porte predefinito.
L’assistente di backup e ripristino viene visualizzato solo se vengono soddisfatte tutte le seguenti condizioni:
- Il backup proviene da un’appliance che esegue la versione 19.5 MR4 o successiva.
- Si sta effettuando il ripristino su un’appliance con versione 20.0 MR2 o successiva.
- Si sta effettuando il ripristino su appliance XGS, virtuali e cloud.
-
Supportiamo il backup e il ripristino da un modello wireless a un modello non wireless. Se si utilizza un modello wireless (Wi‑Fi nell’appliance), è possibile effettuare la migrazione verso un modello wireless o un modello non wireless con AP6 per la connettività Wi‑Fi.
-
Nota
I moduli FleXi Port compatibili con la linea XG Series non sono compatibili con le appliance XGS Series. È necessario acquistare moduli FleXi Port che sono compatibili con le appliance XGS Series.
Migrazione da un’appliance XG a un’appliance XGS
È possibile effettuare la migrazione con le console WebAdmin dei due firewall, oppure con la funzionalità Zero Touch di Sophos Central per una migrazione da remoto.
-
Disponibilità elevata (HA)
In presenza di una configurazione di disponibilità elevata (HA), è possibile eseguire la migrazione utilizzando una delle seguenti opzioni:
- Opzione 1: Configurazione della disponibilità elevata, con successivo ripristino del backup
- Opzione 2: Ripristino del backup, con successiva configurazione della disponibilità elevata
Migrazione con una configurazione di disponibilità elevata (HA)
Migrazione con la console WebAdmin dei due firewall
Per eseguire la migrazione da un’appliance XG a un’appliance XGS, occorre utilizzare la funzionalità di backup e ripristino del firewall.
Per effettuare la migrazione, procedere come segue:
- Eseguire un backup sull’appliance XG.
- Ripristinare il backup sulla nuova appliance XGS.
-
Utilizzare l’assistente di backup e ripristino per completare la migrazione.
Nota
L’assistente è disponibile per i backup da appliance con versione 19.5 MR4 o successiva, che vengono ripristinati su appliance con versione 20.0 MR2 o versione successiva.
Vedi Backup e ripristino.
Il seguente video mostra come utilizzare il backup e il ripristino per la migrazione:
Migrazione con una configurazione di disponibilità elevata (HA)
Se nell’appliance XG da migrare è presente una configurazione di disponibilità elevata (HA), è possibile eseguire la migrazione utilizzando una delle seguenti opzioni:
- Opzione 1: Configurazione della disponibilità elevata, con successivo ripristino del backup
- Opzione 2: Ripristino del backup, con successiva configurazione della disponibilità elevata
Nota
Questa operazione disattiverà la configurazione di disponibilità elevata e ripristinerà il backup sul dispositivo primario.
Configurazione della disponibilità elevata, con successivo ripristino del backup
Per utilizzare questa opzione, procedere come segue:
- Eseguire un backup dell’appliance XG primaria che esegue la disponibilità elevata.
- Configurare la disponibilità elevata sulle nuove appliance XGS.
-
Una volta stabilita la disponibilità elevata, ripristinare il backup sull’appliance XGS primaria.
Nota
Se la vecchia e la nuova appliance hanno un numero di interfacce diverso, la nuova appliance XGS deve eseguire SFOS versione 20.0 MR2 o successiva.
Ripristino del backup, con successiva configurazione della disponibilità elevata
Per utilizzare questa opzione, procedere come segue:
- Eseguire un backup dell’appliance XG primaria che esegue la disponibilità elevata.
-
Ripristinare il backup sulla nuova appliance XGS che si desidera impostare come dispositivo primario iniziale.
Nota
Se si utilizza la modalità attivo-passivo, assicurarsi che il dispositivo abbia le licenze richieste.
-
Configurare la disponibilità elevata utilizzando la modalità QuickHA su questa appliance, in qualità di dispositivo primario iniziale.
-
Configurare la disponibilità elevata sul dispositivo ausiliario.
Nota
In Modalità interattiva, occorre configurare prima il dispositivo ausiliario, per evitare il timeout dell’individuazione del peer nel dispositivo primario.
Vedere Disponibilità elevata (HA).
Il seguente video mostra come eseguire la migrazione in presenza di una configurazione di disponibilità elevata:
Migrazione con Zero Touch
È anche possibile utilizzare la funzionalità Zero Touch di Sophos Central per eseguire la migrazione da remoto dell’appliance XG a un’appliance XGS.
Per effettuare la migrazione con Zero Touch, procedere come segue:
-
In Sophos Central, eseguire un backup della configurazione dell’appliance XG. Vedere Backup immediato del firewall.
Nota
Sull’appliance XG, assicurarsi che l’accesso WAN sia attivato o che si abbia accesso diretto al nuovo firewall dopo la migrazione.
-
Aggiungere la nuova appliance XGS a Sophos Central con Zero Touch.
-
Aprire la console WebAdmin dell’appliance XGS.
- Connettere l’appliance XGS a Internet. Vedere Azioni da eseguire in Sophos Central.
- Ripristinare il backup del vecchio firewall sul nuovo firewall. Vedere Ripristino da un backup.
Annullamento della registrazione e registrazione del nuovo firewall a Sophos Central
È necessario annullare la registrazione del nuovo firewall a Sophos Central e successivamente registrarlo di nuovo. È una procedura che deve essere effettuata una volta sola.
Procedere come segue:
- Sulla console WebAdmin del nuovo firewall, aprire Sistema > Sophos Central.
- Sotto Registrazione a Sophos Central, cliccare su Annulla registrazione.
- Effettuare di nuovo la registrazione a Sophos Central. Vedere Attivazione della gestione di Sophos Firewall con Sophos Central.
- Disattivare l’accesso WAN.
Configurazione firewall
Se si utilizzano dispositivi e access point SD-RED, dopo la migrazione queste configurazioni verranno importate nel nuovo firewall XGS Series.
Configurazione SD-RED
Quando si esegue un backup sull’appliance XG, assicurarsi che i dispositivi SD-RED siano configurati e connessi. Dopo la migrazione, non appena si disconnette l’appliance XG dalla rete, i dispositivi SD-RED passeranno automaticamente al nuovo firewall.
Se si desidera mantenere l’appliance XG connessa alla rete, occorrerà eliminare manualmente i dispositivi SD-RED dall’appliance XG. I dispositivi SD-RED passeranno ora al nuovo firewall.
Access Point
Gli access point (AP e APX Series) diventeranno automaticamente operativi dopo il ripristino del backup sulla nuova appliance XGS. Non sono richieste ulteriori azioni manuali.
Configurazione di Sophos Central
Se si desidera gestire la nuova appliance XGS da Sophos Central, occorre registrare il nuovo firewall a Sophos Central. Successivamente, sarà possibile attivare i servizi desiderati. Synchronized Security si attiverà automaticamente una volta completata la registrazione. Vedere Attivazione della gestione di Sophos Firewall con Sophos Central.
Il passaggio successivo prevede l’aggiunta manuale della nuova appliance ai gruppi richiesti in Sophos Central.
Report
Non è possibile trasferire i report dall’appliance XG alla nuova appliance XGS. Tuttavia, è possibile trasferire i report generati da Central Firewall Reporting (CFR) in Sophos Central sulla nuova appliance XGS. Per farlo, è necessario trasferire la licenza CFR utilizzata sulla vecchia appliance e applicarla alla nuova appliance. La licenza CFR non viene trasferita durante il trasferimento della licenza firewall.
Per trasferire la licenza CFR sulla nuova appliance, procedere come segue:
-
Assicurarsi che l’opzione Utilizza reportistica di Sophos Central sia attivata nel nuovo firewall.
Per farlo, accedere al nuovo firewall e selezionare Sistema > Sophos Central.
Vedere Attivazione della gestione di Sophos Firewall con Sophos Central.
-
In Sophos Central, cliccare sull’icona del Profilo, selezionare Licenze e successivamente Licenze firewall.
- Sotto Dettagli della licenza, accanto a Central Firewall Reporting, cliccare su Gestisci.
-
Per l’appliance XG, selezionare Associa licenze e dati al dispositivo sostitutivo.
-
In Associa licenze e dati, selezionare la nuova appliance XGS.
Gruppi di connessione SD-WAN
Se la vecchia appliance XG è stata configurata in un gruppo di connessione SD-WAN in Sophos Central, occorre aggiungere la nuova appliance XGS a tale gruppo.
Dopo la migrazione, procedere come segue:
- Accedere al nuovo firewall.
-
Eliminare le regole firewall e i tunnel VPN creati da Sophos Central.
- Aprire Regole e criteri > Regole firewall ed eliminare le regole con il prefisso Central_..
- Selezionare VPN site-to-site > IPsec ed eliminare i tunnel con il prefisso Central_.
-
In Sophos Central, aggiungere la nuova appliance XGS al gruppo di connessione SD-WAN.
Gateway Zero Trust Network Access (ZTNA)
Se si utilizza la vecchia appliance XG come gateway ZTNA, dopo la migrazione occorrerà sostituirla con la nuova appliance XGS in Sophos Central.
Per farlo, procedere come segue:
- In Sophos Central, selezionare Gestione dei prodotti > ZTNA > Gateway.
- Cliccare sul gateway con la vecchia appliance XG.
- In Modifica gateway, nell’elenco Firewall, selezionare la nuova appliance XGS come gateway.
Ulteriori risorse