Leitfaden für Firewall-Migration: So gelingen Austausch oder Umstieg

In den Kategorien: Experten-Artikel Rss feed , Sophos Firewall/UTM Rss feed Leitfaden für Firewall-Migration: So gelingen Austausch oder Umstieg
Inhaltsverzeichnisarrow_drop_down

Was bedeutet Firewall Migration – und wann ist sie nötig?

Eine Firewall Migration bezeichnet den geplanten Austausch einer bestehenden Firewall durch ein neues System – etwa bei Supportende, Funktionsmängeln oder einem Herstellerwechsel. Spätestens beim End-of-Life (EOL) von Firewall-Hardware oder -Betriebssystem ist der Wechsel unvermeidbar. Doch auch Performance-Engpässe, veraltete Sicherheitsfunktionen oder neue Compliance-Anforderungen machen eine Migration notwendig. Entscheidend ist, dass der Übergang strukturiert erfolgt, um Ausfallzeiten und Sicherheitslücken zu vermeiden.

Dieser Leitfaden richtet sich an IT-Verantwortliche, die eine Firewall Migration professionell planen und umsetzen wollen. Er erklärt die nötigen Schritte, zeigt typische Herausforderungen auf und erläutert anhand des Beispiels Sophos SG UTM, wie der Umstieg auf XGS-Firewalls gelingt – auch bei einem Wechsel von einem anderen Hersteller. Firewalls24.de unterstützt dabei als erfahrener Migrationspartner.

Warum ein Firewall-Umstieg sinnvoll sein kann

Eine Firewall Migration wird meist notwendig, wenn ein System das End-of-Life erreicht. Ab diesem Zeitpunkt entfallen Sicherheitsupdates und Support – ein Weiterbetrieb wird zum Risiko. So endet der Support für die Sophos SG UTM-Serie am 30. Juni 2026. Alle wichtigen Fristen und Nachfolger finden sich in unserem End-of-Life-Kalender für Sophos Hardware. Wer rechtzeitig handelt, vermeidet ungeplante Ausfälle.

Auch unabhängig vom EOL lohnt sich der Umstieg: Ältere UTM-Firewalls stoßen bei verschlüsseltem Datenverkehr, komplexen Angriffsmustern und hohen Durchsatzanforderungen an ihre Grenzen. Next-Generation Firewalls sind UTM-Modellen deutlich überlegen, da sie neben mehr Performance auch über Funktionen wie Deep-Packet-Inspection, TLS-Prüfung und Sandboxing verfügen.

Hinzu kommen organisatorische Gründe: Neue Standorte, vermehrte Remote-Arbeit oder strengere Compliance-Vorgaben erfordern flexible, leistungsfähige Sicherheitslösungen. Eine rechtzeitig geplante Firewall Migration schafft hier Zukunftssicherheit.

Vorbereitung auf den Firewall-Austausch

Jede Firewall Migration beginnt mit einer fundierten Vorbereitung. Dazu zählt die strukturierte Bestandsaufnahme: Welche Netzwerkbereiche, Dienste und Verbindungen werden aktuell abgesichert? Welche Regeln, Filter oder VPN-Tunnel sind aktiv? Eine vollständige Dokumentation – inklusive Backup der Konfiguration – bildet die Basis für den nächsten Schritt.

Darauf aufbauend wird der Zielzustand definiert: Welche Plattform soll künftig eingesetzt werden? Welche Leistung wird benötigt? In Sophos-Umgebungen empfiehlt sich die XGS-Serie mit SFOS. Bei einem Herstellerwechsel sollte geprüft werden, welche Modelle die vorhandenen Anforderungen abdecken. Eine passgenaue Auswahl gelingt durch Sizing, Machbarkeitsprüfung und – bei Bedarf – mit externer Unterstützung.

Auch organisatorisch braucht es klare Strukturen: Zeitplan, Migrationsfenster, Zuständigkeiten und Kommunikation. Ein durchdachter Ablauf inklusive Rollback-Plan schafft Sicherheit – insbesondere in sensiblen IT-Umgebungen.

Schritte einer Firewall-Migration

Ist die Vorbereitung abgeschlossen, geht es an die Umsetzung. Die folgenden Schritte haben sich in der Praxis für einen geordneten Firewall-Umstieg bewährt:

Schritt 1: Planung und Bestandsaufnahme

In der ersten Phase werden die Weichen gestellt. Wie oben beschrieben, erfolgt eine gründliche Bestandsaufnahme der aktuellen Firewall-Regeln und -Funktionen. Auf dieser Basis entsteht ein Migrationsplan: Welche Komponenten müssen migriert werden? Gibt es veraltete oder unnötige Regeln, die man bereinigen kann? Jetzt ist der ideale Zeitpunkt, um Altlasten in der Konfiguration zu identifizieren und zu entscheiden, was in der neuen Firewall übernommen werden soll. Zudem wird der Zeitplan festgelegt und Verantwortlichkeiten werden definiert.

Schritt 2: Überprüfung der aktuellen Konfiguration

Bevor die neue Firewall eingerichtet wird, lohnt sich ein detaillierter Review der bestehenden Konfiguration. Dabei werden alle Sicherheitsrichtlinien, Zugriffsregeln, NAT-Regeln, VPN-Einstellungen, Routingtabellen und Schnittstellen-Einstellungen analysiert. Zusätzlich sollte auch die bestehende Netzwerkstruktur überprüft werden – einschließlich wichtiger Systeme wie Mailserver (z. B. Exchange), VoIP-Telefonanlage oder andere zentrale Dienste, die spezifische Firewall-Regeln benötigen.

Diese Überprüfung stellt sicher, dass nicht nur die reine Funktionsweise der alten Firewall nachvollzogen wird, sondern auch, dass die zugrunde liegenden Abhängigkeiten im Netzwerk berücksichtigt werden. Oft entdeckt man in diesem Schritt Optimierungspotenziale oder längst nicht mehr benötigte Regeln. Alle Erkenntnisse fließen in das Konzept für die neue Firewall ein, damit keine wichtigen Einstellungen verloren gehen und das bestehende Sicherheitsniveau erhalten bleibt oder sogar verbessert werden kann.

Schritt 3: Einrichtung der neuen Firewall

Nun wird die neue Firewall-Plattform aufgesetzt und grundkonfiguriert. Im ersten Schritt konfiguriert man Basisparameter wie Netzwerkschnittstellen (IPs, VLANs), Administratorzugänge und ggf. Schnittstellen zu Management-Systemen. Anschließend können – je nach Strategie – vorhandene Regeln manuell nachgebaut oder teilweise automatisiert übertragen werden.

Bei einem Herstellerwechsel besteht eventuell die Möglichkeit, Migrations-Tools zu nutzen: So bieten Sophos, Fortinet und andere Firewall-Hersteller Migrations-Tools, die zentrale Konfigurationselemente aus einem Backup in  andere Formate konvertiert.

Allgemein empfehlen Hersteller wie Sophos jedoch oft eine saubere Neu-Konfiguration, um von einem „frischen“ Setup ohne Altlasten zu profitieren. Wichtig ist, dass in dieser Phase alle notwendigen Security-Policies und Verbindungen in der neuen Firewall eingerichtet werden, jedoch zunächst idealerweise parallel zur alten Umgebung und ohne produktiven Traffic umzuleiten.

Schritt 4: Test und Validierung

Bevor die neue Firewall live geschaltet wird, steht eine gründliche Testphase an. Im Idealfall kann die neue Appliance zunächst in einer Testumgebung oder zumindest isoliert vom laufenden Betrieb geprüft werden. Sind alle definierten Firewall-Regeln wirksam? Funktionieren VPN-Tunnel, Webfilter, Applikationskontrolle und andere Dienste wie gewünscht?

Es empfiehlt sich, typische Nutzungsszenarien durchzuspielen – zum Beispiel den Zugriff aus dem Home Office via VPN, das Laden externer Websites durch interne Clients oder den Empfang von E-Mails über einen Mail-Server hinter der Firewall. Eventuelle Konfigurationsfehler oder Lücken in den Regeln lassen sich so im Vorfeld erkennen und korrigieren. Dieser Schritt gibt allen Beteiligten die Sicherheit, dass die neue Lösung bereit für den Einsatz ist.

Schritt 5: Umstellung und Rollback-Plan

Jetzt erfolgt die eigentliche Umschaltung (Cut-over) vom alten auf das neue System. Dazu wird die neue Firewall in den Produktivbetrieb genommen – meist indem man sie in das Netzwerk anstelle der alten Firewall einschleift. Idealerweise findet dieser Schritt in einem geplanten Wartungsfenster statt. Während der Umstellung sollte das IT-Team die Netzwerkanbindungen, wichtigen Services und Logs genau beobachten, um etwaige Probleme sofort zu erkennen.

Trotz aller Tests lassen sich nicht alle Eventualitäten vorab simulieren. Daher ist es essenziell, einen vorbereiteten Rollback-Plan zu haben: Sollte es zu einem kritischen Fehler kommen, muss schnell entschieden werden können, ob man auf die alte Firewall zurück wechselt, um den Geschäftsbetrieb nicht zu gefährden. In vielen Fällen verläuft die Umschaltung jedoch ohne größere Unterbrechungen, insbesondere wenn die Vorarbeiten sorgfältig waren.

Schritt 6: Nachbereitung und Optimierung

In der Nachbereitungsphase der Firewall-Migration wird überprüft, ob alle Systeme wie erwartet über die neue Firewall laufen und ob die Sicherheitsrichtlinien greifen. Es ist sinnvoll, Logs und Berichte der neuen Firewall in den ersten Tagen verstärkt auszuwerten, um ungewöhnliche Auffälligkeiten festzustellen (z. B. geblockte Verbindungen, die erlaubt sein sollten oder umgekehrt). Ebenso sollten eventuell noch ausstehende Feineinstellungen vorgenommen werden, etwa die Anpassung von Performance-Tunings, Web-Filter-Kategorien oder IPS-Ausnahmen basierend auf den realen Anforderungen im Betrieb.

Ein weiterer Aspekt der Nachbereitung ist die Schulung bzw. Übergabe an das Administrator-Team. Falls die neue Plattform (z. B. SFOS bei Sophos) im Handling anders ist als die alte, sollten die Administratoren mit den neuen Bedienoberflächen und Funktionen vertraut gemacht werden. Gegebenenfalls bietet sich eine offizielle Schulung an, um die neuen Möglichkeiten optimal zu nutzen.

Abschließend kann der gesamte Migrationsprozess intern dokumentiert und evaluiert werden: Welche Learnings gab es und wo ließe sich der Prozess in Zukunft optimieren? 

Herausforderungen beim Firewall-Umstieg

Trotz bester Planung können beim Firewall-Wechsel Herausforderungen auftreten. Typische Stolpersteine und Lösungsansätze sind:

  • Minimierung von Downtime: Während der Migration soll die Erreichbarkeit des Netzwerks erhalten bleiben.
    • Lösung: Präzise Zeitplanung und Tests im Vorfeld.
      Durch eine sorgfältige Durchführung im Wartungsfenster und einen durchdachten Rollback-Plan lassen sich Ausfallzeiten auf ein Minimum reduzieren.
  • Komplexe Konfiguration und Fehlerfreiheit: Bei vielen Regeln und Objekten ist die Gefahr gegeben, etwas zu übersehen oder fehlerhaft zu übertragen.
    • Lösung: Penible Dokumentation aller Einstellungen.
      Tools und Skripte können Konfigurationen exportieren und dabei Helfen Checklisten zu erstellen.
  • Unterschiede zwischen Systemen: Wechselt man die Plattform oder den Hersteller, unterscheiden sich Begriffe, Bedienung und Funktionsumfang.
    • Lösung: Einarbeitung und Schulung im Vorfeld.
      Für den Wechsel von Sophos SG UTM (oder anderer UTM-Firewalls) auf die neue Sophos Firewall gibt es z. B. Migrationsleitfäden und Hilfestellungen. Auch beim Umstieg von anderen Herstellern (z. B. Fortinet, Cisco, etc.) hilft es, Mappings für Begriffe zu erstellen. Generell sollte man ausreichend Zeit für Konfigurationsanpassungen einplanen.
  • Sicherstellung der Kompatibilität: Firewalls sind oft in viele Prozesse eingebunden – von der Authentifizierung (z. B. Active-Directory-Anbindung) bis zu Monitoring- und Logging-Systemen. Nach dem Austausch muss geprüft werden, dass alle Integrationen weiterhin funktionieren.
    • Lösung: Checklisten für alle Dienste, die mit der Firewall interagieren.
      Nach der Migration muss jeder Punkt verifiziert werdej. Wo nötig, Konfigurationen anpassen (z. B. neue IP der Firewall im Monitoring hinterlegen, Zertifikate austauschen etc.).  Zudem sollten mindestens das 4-Augen-Prinzip und umfangreiche Tests sicherstellen, dass die neue Firewall das gleiche Verhalten zeigt wie die alte.
  • Benutzerakzeptanz und Gewohnheiten: Für Administratoren bedeutet eine neue Firewall manchmal auch veränderte Abläufe (andere Web-GUI, neue Features).
    • Lösung: frühzeitige Einbindung und Training des IT-Personals.
      Wenn Admins die Vorteile der neuen Lösung erkennen (z. B. zentralisiertes Management, bessere Auswertungen, einfachere Policy-Erstellung), steigt die Akzeptanz. Zudem unterstützt ein guter Hersteller-Support oder Partner bei Fragen in der Übergangszeit.

Die meisten dieser Herausforderungen lassen sich durch Erfahrung und gründliche Vorbereitung deutlich abmildern. Jedes Netzwerk ist einzigartig, doch bewährte Vorgehensweisen und Learnings aus früheren Projekten helfen, unerwartete Probleme zu vermeiden.

Sophos SG UTM (EOL): Umstieg auf XGS-Firewalls

Der Support für die Sophos SG UTM-Serie endet am 30. Juni 2026. Ab dem 31. Dezember 2025 sind keine Subskriptionsverlängerungen mehr möglich. Damit steht für alle SG-Bestandskunden ein Plattformwechsel an – sowohl auf Hardware- als auch auf Betriebssystemebene. Der Umstieg auf SFOS-basierte XGS-Firewalls bringt eine vollständig neue Architektur mit sich. Gleichzeitig sind zentrale Sicherheitsfunktionen wie Webfilter, VPN, NAT, IPS und Applikationskontrolle weiterhin verfügbar – in vielen Fällen erweitert und leistungsstärker. Die Benutzeroberfläche unterscheidet sich deutlich, folgt jedoch einer logischen Struktur, sodass der Einstieg technisch versierten Administratoren leichtfällt.

Sophos stellt umfassende Migrationspfade und technische Dokumentationen bereit, mit denen sich bestehende Konfigurationen manuell nachbilden lassen. Dabei gilt: Je sauberer die Altumgebung dokumentiert ist, desto effizienter verläuft die Übertragung.

Der Umstieg sollte trotz klarer Fristen nicht aufgeschoben werden. Frühzeitige Planung und fachliche Begleitung reduzieren Ausfallrisiken und ermöglichen eine optimale Nutzung der neuen Plattform.

Firewall-Herstellerwechsel: Wechsel zu Sophos

Ein Herstellerwechsel – etwa von Fortinet, WatchGuard oder Cisco zu Sophos – ist technisch anspruchsvoll, aber planbar. Gründe sind meist strategischer Natur: etwa die konsolidierte Sicherheitsarchitektur von Sophos, Lizenzmodelle oder Integrationsvorteile über Sophos Central.

Voraussetzung für einen reibungslosen Wechsel ist eine vollständige Dokumentation der Altumgebung. Exportfunktionen oder Konfig-Backups helfen, bestehende Regeln, VPN-Verbindungen, Webfilter und IPS-Strukturen zu erfassen. Auf Sophos-Seite gilt es, passende Entsprechungen in SFOS zu definieren und strukturiert abzubilden.

Für Fortinet-Umgebungen stellt Sophos mit dem Migration Assistant ein Tool bereit, das zentrale Konfigurationselemente automatisch konvertiert. Der Assistent funktioniert auch für SonicWall- und SG-UTM-Firewalls. In der Praxis empfehlen wir jedoch immer eine manuelle Überprüfung – gerade bei komplexen Regelwerken oder individuellen Anforderungen.

Ein Herstellerwechsel bietet zudem die Chance, bestehende Regelwerke zu bereinigen, Sicherheitskonzepte zu modernisieren und neue Firewall-Funktionen gezielt einzubinden. Der Aufbau der neuen Umgebung sollte nicht als 1:1-Kopie, sondern als Optimierung gedacht werden.

Für größere Infrastrukturen empfiehlt sich eine gestaffelte Migration – etwa über Testumgebungen oder Pilotstandorte. So lassen sich Funktionalitäten absichern, bevor die komplette Umgebung umgestellt wird. Mit einem erfahrenen Partner an der Seite wird auch ein komplexer Herstellerwechsel technisch sauber und wirtschaftlich sinnvoll umsetzbar.

Fazit: Firewall-Migration mit dem richtigen Partner

Ob End-of-Life, Systemwechsel oder strategisches Upgrade – eine Firewall-Migration ist planbar, wenn Technik, Timing und Ressourcen zusammenpassen. Mit klarer Struktur und erfahrener Begleitung bleiben Sicherheit, Verfügbarkeit und Performance jederzeit gewährleistet.

Wer frühzeitig plant, profitiert nicht nur von mehr Handlungsspielraum, sondern auch von finanziellen Vorteilen: Aktuelle Sophos Promotions erleichtern den Umstieg zusätzlich – etwa beim Wechsel auf XGS-Firewalls.

Als zertifizierter Sophos Partner begleitet Firewalls24 gemeinsam mit der Aphos Gesellschaft für IT-Sicherheit mbH den gesamten Migrationsprozess: von der Bedarfsanalyse über die Auswahl der passenden Lösung bis hin zur vollständigen Umsetzung – inklusive Testing, Dokumentation und Schulung. Auch bei der Integration der zentrale Verwaltungsplattformen Sophos Central oder der Schutz-Erweiterung durch Managed Detection and Response (MDR) bieten wir praxiserprobte Expertise.

Kontaktieren Sie uns, wenn ein Firewall-Wechsel ansteht oder wenn geprüft werden soll, ob Ihre aktuelle Lösung noch den heutigen Anforderungen genügt.

Webinar-Tipp: Expertenwissen zur Firewall-Migration

Am 26.06.2025 um 11:00 Uhr findet unser kostenloses Webinar zum Thema Firewall-Migration statt. Gemeinsam mit unserem Technical Service sowie einem Gast-Speaker von Sophos geben wir praxisnahe Einblicke in die Planung, Umsetzung und Optimierung von Firewall-Projekten.

Jetzt zum Firewall-Migrations-Webinar anmelden und wertvolle Tipps aus erster Hand sichern!

Verwandte Beiträge

Sie benötigen ein individuelles Angebot?

Sie erreichen uns via E-Mail, telefonisch oder über unser Kontaktformular. Unser Team freut sich auf Ihre Anfrage!

×

Hinweis zu Cookie-Einstellungen

Wir verwenden Cookies, um Ihr Einkaufserlebnis zu verbessern und um unsere Dienste anzubieten. Diese sind für den technischen Betrieb der Website erforderlich und werden stets gesetzt. Weiterführende Informationen finden Sie in unserer Datenschutzerklärung.

×