Ir al contenido
Avanet
Sophos Firewall v22: visión general y todas las nuevas funciones

Sophos Firewall v22: visión general y todas las nuevas funciones

Sophos Firewall v22 apuesta por el refuerzo, una visibilidad clara y procesos operativos estables. La arquitectura Xstream modernizada, un kernel reforzado y nuevas funciones operativas ayudan a reducir la superficie de ataque y a simplificar la administración. En este artículo se explican todas las novedades de SFOS v22.

Health Check

El Health Check es la comprobación de configuración integrada en Sophos Firewall v22. Su objetivo es visibilizar pronto las configuraciones erróneas, antes de que se conviertan en un problema de seguridad u operación. Responde al creciente nivel de amenaza para infraestructuras expuestas a Internet y sigue el enfoque Secure by Design según las directrices de CISA. Sophos ha reforzado el firewall a lo largo de varias releases, ha simplificado el parcheo y ha mejorado la detección bajo ataque. Un rasgo diferenciador son los hotfixes over-the-air sin downtime, así como la supervisión activa de la base instalada por parte de Sophos para detectar indicadores tempranos de ataque.

Para qué está pensado el Health Check Evalúa decenas de ajustes frente a los CIS Benchmarks y buenas prácticas establecidas. Los campos típicos de comprobación incluyen cifrados TLS obsoletos o inseguros, políticas de administración y usuario demasiado amplias, reglas no utilizadas o solapadas, servicios expuestos innecesariamente y refuerzos básicos como hora, autenticación y logging. Así, Sophos Firewall v22 facilita mantener una buena higiene de políticas y eliminar vulnerabilidades no deseadas.

Cómo funciona el Health Check En el Control Center, un widget del dashboard muestra el estado. Con un clic se accede a la vista detallada, o también desde el menú principal en “Firewall health check”. Los resultados están priorizados, explicados y enlazados mediante drill-down con la pantalla de configuración correspondiente. Así se pueden corregir desviaciones sin tener que buscarlas manualmente.

Sophos Firewall v22 - Health Check Dashboard Widget
Sophos Firewall v22 - Health Check Dashboard Widget

Cómo utilizar el Health Check en funcionamiento Conviene ejecutarlo antes de go-lives, después de cambios de política, tras actualizaciones de firmware y de forma regular. Sirve como validación objetiva en procesos CAB y proporciona evidencias de auditoría sobre la higiene continua de las políticas.

El Health Check cubre la calidad de la configuración, no la salud del hardware. No comprueba si las bases de datos internas son consistentes o si la RAM o la SSD presentan errores de escritura. Una indicación de estado visible en la GUI sería aquí una ayuda adicional.

Health Check: áreas de comprobación en detalle

Sophos Firewall v22 - Health Check
Sophos Firewall v22 - Health Check

El Health Check lista en el dashboard todos los puntos comprobados, de forma similar a una auditoría de seguridad. Cada punto muestra módulo, estándar, severidad, estado y una acción directa. Así se ve de un vistazo qué configuraciones se desvían de las buenas prácticas. Una selección de las comprobaciones más importantes:

  • Synchronized Application Control should be turned on.
  • NDR Essentials should be turned on and at least on one interface selected.
  • Sophos X-Ops should be turned on. An Action should be set to Log and drop.
  • MDR threat feeds should be turned on. An Action should be set to Log and drop.
  • A firewall rule should have Synchronized Security Heartbeat settings.
  • Security Heartbeat should be turned on.
  • Login disclaimer should be turned on.
  • Hotfix settings should be turned on.
  • Remote sessions should be signed out. Sign-ins should be blocked for the specified unsuccessful attempts.
  • Password complexity should be configured for users.
  • Password complexity should be configured for administrators.
  • DNS Protection should be configured and have an active status.
  • MFA should be configured for remote access VPN (IPsec and SSL VPN) sign-ins.
  • MFA should be configured for web admin console and VPN portal sign-ins.
  • The firewall’s connection with authentication servers should be encrypted.
  • Backups should be scheduled.
  • Public key authentication should be configured for SSH access to the firewall.
  • User portal shouldn’t be accessible from WAN.
  • Web admin console shouldn’t be accessible from WAN.
  • MFA should be configured for the default admin.
  • Notification emails should be configured for system and security events.
  • Automatic update should be turned on for pattern download and installation.
  • A Web policy should be selected in a firewall rule.
  • Zero-day protection should be selected in a firewall rule.
  • Intrusion prevention should be turned on. An IPS policy should be selected in a firewall rule.
  • An Application control policy should be selected in a firewall rule.
  • An SSL/TLS inspection rule should have Action set to Decrypt.
  • A firewall rule with Action set to Allow shouldn’t have all the network and service settings set to Any.
  • Sophos Central reporting should be turned on.
  • The firewall should send its backups to Sophos Central.
  • The firewall should be registered for Sophos Central management. Sophos Central management should be turned on.
  • NTP server should be configured.

Esta lista muestra que el Health Check cubre tanto configuraciones técnicas como directrices de seguridad organizativas.

Algunos puntos son sin duda útiles; otros se pueden cuestionar. Por ejemplo: “Login disclaimer should be turned on”. Un aviso de este tipo solo aumenta la seguridad de forma limitada: casi nadie lo lee y, en la práctica, normalmente se descarta con un clic. Sin embargo, cumple requisitos legales en determinados entornos, por ejemplo como condiciones de uso o exención de responsabilidad. Desde una perspectiva puramente técnica, apenas es un mecanismo de protección; es más bien un punto formal que pretende señalizar conciencia de seguridad.

El estado de comprobaciones individuales se puede sobrescribir manualmente. Así un punto puede marcarse como “Complies” aunque técnicamente no se cumpla. En ese caso aparece un símbolo ⚠️ que identifica el estado sobrescrito. De este modo se mantiene la transparencia sin perder margen administrativo.

También llama la atención que algunos puntos de comprobación tienen una fuerte relación con Sophos Central, MDR, NDR o DNS Protection. Desde la perspectiva de Sophos, esto también es una forma de cross-selling, porque subraya el valor de su propia integración de ecosistema. Aun así, muchas de estas recomendaciones aportan valor real, por ejemplo mediante gestión consolidada o alertas automatizadas.

Next-Gen Xstream Control Plane

Con Sophos Firewall v22, Sophos ha evolucionado de forma fundamental la Xstream Architecture. Aunque el concepto original se introdujo en la versión 18 para aprovechar al máximo el rendimiento del hardware XGS, la nueva generación apunta a mucho más que rendimiento: seguridad, estabilidad y capacidad de futuro están en el centro.

Una nueva base para la seguridad y la escalabilidad

El Control Plane revisado se ha rediseñado por completo. En lugar de un sistema monolítico, Sophos apuesta ahora por un framework modular en el que servicios centrales como IPS, Web Filter o SSL Inspection se ejecutan aislados entre sí. Cada servicio funciona como una aplicación propia dentro del firewall y puede administrarse o reiniciarse de forma independiente. Así, otras funciones permanecen estables incluso si un módulo responde de forma incorrecta o se bloquea.

Desde la perspectiva de un security engineer, este es un paso decisivo: la arquitectura minimiza dependencias y reduce el impacto de posibles exploits sobre componentes individuales. Al mismo tiempo crea la base para un aislamiento Zero Trust dentro del sistema, un concepto que hasta ahora resultaba más familiar en plataformas cloud modernas.

Independiente del hardware y el entorno

Una gran ventaja de la nueva arquitectura Xstream es su independencia total de hardware propietario. A diferencia de muchos competidores, Sophos Firewall v22 no se basa en ASIC especiales ni en chips de función fija. La arquitectura se ejecuta de forma consistente en hardware físico, máquinas virtuales o entornos cloud. Esto garantiza un comportamiento uniforme en todas las plataformas y facilita la automatización operativa.

Alta disponibilidad mejorada con autocuración

También es nueva la lógica de autocuración en clústeres HA. El Control Plane supervisa continuamente el estado de ambos sistemas y corrige desviaciones automáticamente. Si detecta diferencias en la configuración o en el estado de sincronización, el firewall inicia una corrección por sí mismo. Esto reduce situaciones de error, disminuye el esfuerzo de mantenimiento y mejora notablemente la disponibilidad. En la práctica significa menos reinicios no planificados y un rendimiento de clúster más estable.

Perspectiva técnica y futuro

La nueva arquitectura Xstream sienta las bases para futuras funciones como clustering de n nodos, servicios de seguridad completamente containerizados y una API REST completa para gestión remota y automatización. Con ello, Sophos Firewall v22 avanza claramente hacia una arquitectura de plataforma que recuerda a principios cloud modernos: basada en servicios, dinámica y centrada en la seguridad.

Desde un punto de vista profesional, esta reestructuración es más que una actualización técnica. Cambia la forma en que se concebirán los firewalls en el futuro: lejos de appliances monolíticas, hacia una infraestructura flexible y orientada a servicios que puede adaptarse rápidamente y administrarse de forma automatizada. Para operadores con altos requisitos de uptime, compliance y escalabilidad, es un avance decisivo.

Estoy totalmente de acuerdo: la reorientación hacia procesamiento basado en CPU tiene pleno sentido técnico. No todas las appliances XGS disponen de una NPU para acelerar el tráfico, y los firewalls virtuales siempre estuvieron en desventaja en este punto. Con la nueva arquitectura, la capacidad vuelve a desplazarse con más fuerza hacia CPU modernas, lo que garantiza un comportamiento uniforme en todas las plataformas. En los modelos XGS de escritorio más antiguos, la combinación de CPU y NPU también era térmicamente exigente y generaba más ruido. Las nuevas generaciones son mucho más silenciosas al desaparecer esta carga de doble procesador. Quien recuerde la comparación entiende por qué el regreso a la optimización en CPU tiene sentido tanto estratégico como práctico.

Kernel reforzado 6.6+

Sophos Firewall v22 utiliza un kernel Linux modernizado (v6.6+) para mejorar seguridad, rendimiento y escalabilidad. Los aspectos centrales son un aislamiento de procesos más estricto y mitigaciones amplias contra ataques de canal lateral, así como vulnerabilidades de CPU como Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed y Downfall. Además están activos hardened usercopy, Stack Canaries y Kernel Address Space Layout Randomization (KASLR). Esto reduce la explotabilidad de errores de memoria, estabiliza el comportamiento en tiempo de ejecución y refuerza la base de la arquitectura Xstream.

Remote Integrity Monitoring

Remote Integrity Monitoring en SFOS v22 complementa el refuerzo del kernel mediante una supervisión continua de la integridad del sistema. Dicho de forma sencilla: comprueba en segundo plano si cambia algo en el firewall que no debería cambiar. El sensor Linux integrado para XDR registra eventos relevantes para la seguridad a nivel de sistema y servicios, por ejemplo si se inicia un proceso desconocido, si se modifican archivos de configuración o se exportan reglas, o si se manipulan archivos críticos.

Esta información se envía a Sophos Central junto con la hora, el usuario y el origen. Allí puede correlacionarse con otros datos, por ejemplo de endpoints, gateways de correo electrónico o servicios de identidad. Esto permite a los administradores detectar antes comportamientos inusuales y reaccionar de forma dirigida antes de que se conviertan en un problema mayor.

En el día a día de un administrador de TI, esto significa que si alguien intenta cambiar algo en el firewall o manipular un archivo sin ser detectado, el intento se reconoce y se reporta. La función ayuda a descubrir ataques silenciosos o configuraciones erróneas de forma temprana sin tener que revisar manualmente todo el tiempo. Al mismo tiempo, ayuda a Sophos a supervisar de forma centralizada el comportamiento de los firewalls instalados e identificar patrones o posibles problemas de seguridad.

Active Threat Response (Threat Feeds para WAF y NAT)

Con el feature request SFSW-I-2618 se ha implementado por fin un comportamiento solicitado desde hace tiempo. Los Threat Feeds son listas dinámicas con direcciones IP maliciosas conocidas, actualizadas continuamente por proveedores de Threat Intelligence como nosotros (Avanet Threat Feeds). Sirven para bloquear ataques desde Internet de forma proactiva, antes de que siquiera se acerquen a un servicio.

Hasta ahora, sin embargo, estos feeds se utilizaban exclusivamente para proteger los portales de Sophos. Las reglas NAT y WAF quedaban fuera, lo que desde la práctica parecía menos una función pendiente y más un bug.

Con Sophos Firewall v22 esta limitación queda resuelta. Los Threat Feeds se aplican ahora automáticamente también a reglas NAT y WAF. Esto significa que, en cuanto se detecta una conexión desde una dirección IP incluida en un feed, el firewall la bloquea automáticamente, también en redirecciones o reglas de servidor web. Ya no es necesario mantener reglas separadas ni workarounds.

Este cambio es un gran avance, porque los Threat Feeds ahora también protegen servicios productivos como servidores web y contribuyen directamente a detectar y bloquear ataques. El firewall reacciona así en tiempo real ante amenazas actuales sin intervención manual. Es un detalle pequeño, pero técnicamente relevante, que vuelve a aumentar claramente el valor de seguridad de Sophos Firewall v22.

Mejoras de NDR

Para tráfico saliente se soportan coincidencias de IP de origen con NDR Essentials y feeds externos, con el fin de identificar y bloquear dispositivos comprometidos y no gestionados. El Threat Score de NDR Essentials aparece directamente en los logs. Además, desde SFOS v21.5 MR1, la región del data center de NDR Essentials puede seleccionarse explícitamente; por defecto se utiliza la región con menor latencia.

Control de acceso a la API

Sophos Firewall v22 - API access settings
Sophos Firewall v22 - API access settings

El acceso a la API de administración se puede restringir a objetos IP explícitos. Hasta 64 entradas permiten una separación limpia entre workers de automatización, redes de management y accesos de partners externos. En ventanas de cambio puede ampliarse temporalmente y volver a reducirse después. Recomendación: permitir solo desde redes de management dedicadas, activar logging y revisar los accesos con regularidad. La configuración se realiza en SFOS v22 bajo Administración.

Actualizaciones de firmware vía SSL con fijación de certificados

SFOS v22 valida los servidores de actualización mediante SSL y certificate pinning. Esto reduce el riesgo de una infraestructura de actualización manipulada. En entornos con políticas de egress estrictas, los FQDN de destino deben incluirse en allowlists para que las actualizaciones funcionen de forma fiable.

HTTP/2 y TLS 1.3 para Device Access

La Web Admin Console, el VPN Portal y el User Portal utilizan ahora HTTP/2 y TLS 1.3. Estas dos tecnologías hacen que las conexiones se establezcan más rápido, sean más estables y estén mejor cifradas. La diferencia se nota sobre todo en el login y en la carga de páginas del Web Admin Interface, que responden de forma perceptiblemente más ágil.

HTTP/2 agrupa varias solicitudes en una misma conexión, lo que reduce tiempos de espera entre cliente y servidor en el firewall. TLS 1.3 aporta al mismo tiempo cifrado moderno, un handshake más corto y mayor seguridad. En entornos de red antiguos, donde todavía se utilizan firewalls o sistemas proxy legacy, conviene comprobar antes de activarlo que todo sea compatible.

Monitoreo con sFlow y valores de hardware SNMP

sFlow permite hacer traffic sampling hacia colectores centrales para detectar picos de volumen, flujos inesperados y anomalías en tiempo real. La tasa de muestreo estándar es 400; el mínimo, 10. Se soportan hasta 5 colectores. sFlow puede activarse en interfaces físicas, alias e interfaces VLAN. Nota: En la interfaz de monitoreo se desactiva FastPath. Además, SFOS v22 entrega métricas de hardware vía SNMP, como temperatura de CPU y NPU, velocidad de ventiladores, estado de fuentes de alimentación a partir de XGS 2100, así como valores de potencia PoE para todos los modelos XGS con PoE excepto XGS 116(w). Un archivo MIB puede descargarse directamente desde la UI. Los intervalos de sampling y polling deben elegirse de forma que los enlaces principales sigan visibles sin sobrecargar el colector.

Mejor manejo y funciones de búsqueda

Con SFOS v22, la interfaz debería responder de forma significativamente más rápida. Al cambiar entre menús y pestañas ya no es necesario esperar a que la página se cargue por completo de nuevo.

En mis pruebas no se notó ninguna mejora. Aun así, es positivo que se esté trabajando en la velocidad de la interfaz. Aquí sigue habiendo mucho potencial, especialmente al guardar reglas de firewall o al cargar las vistas de interfaces, donde todavía se producen retrasos perceptibles.

Las interfaces XFRM ahora se pueden filtrar y buscar directamente en la interfaz. Cuando hay muchas entradas, se paginan automáticamente, lo que mejora de forma clara la visión general y la administración de configuraciones IPsec grandes.

También se notan pequeñas mejoras en el día a día: la configuración del servidor NTP queda ahora por defecto en “Use pre-defined NTP server”.

Funciones similares a UTM en SFOS

Para todos los que aún no han migrado de SG UTM a SFOS, la versión 22 trae una función que faltaba. Esto incluye soporte MFA en WAF, algoritmos OTP modernos como SHA-256 y SHA-512, así como logs de Audit Trail con vista before/after. Estas ampliaciones cierran brechas importantes frente a la UTM anterior y facilitan mucho la migración. Quien todavía duda con el cambio encontrará ahora en SFOS v22 casi todas las funciones habituales, con tecnología moderna y mejor integración.

Logs de Audit Trail en detalle

La fase 1 registra cada cambio en reglas de firewall, objetos e interfaces. Los logs se pueden descargar en el menú Diagnostics > Logs y muestran con claridad qué se ha cambiado exactamente, incluidos los valores antes y después del ajuste. En versiones futuras, estos cambios se mostrarán directamente en el Log Viewer, de modo que las diferencias puedan verse de inmediato sin exportación. Esto mejora la trazabilidad y ahorra tiempo al analizar cambios.

Instant Web Category Alerts

Sophos Firewall v22 - Instant Web Category Alerts
Sophos Firewall v22 - Instant Web Category Alerts

Se pueden configurar notificaciones automáticas para categorías web restringidas. Estos mensajes informan en intervalos cortos, por ejemplo cada cinco minutos, sobre intentos de acceso a sitios web bloqueados. Cada mensaje contiene detalles como hora, usuario, categoría y dominio visitado. Esto aporta más transparencia y facilita el seguimiento cuando se accede repetidamente a páginas no permitidas. La función resulta especialmente útil en entornos con directrices claras, como escuelas u organizaciones con reglas de Internet definidas. Las infracciones se documentan automáticamente y pueden revisarse si es necesario.

Upgrade a SFOS v22: rutas, duración y notas

SFOS v22 trae cambios profundos en la arquitectura del sistema. Para ello, el firmware necesita algo más de espacio en la partición raíz. En la mayoría de los dispositivos, alrededor del 98 %, el upgrade se realiza automáticamente y sin intervención. Los modelos a partir de XGS 2100 ya tienen espacio suficiente y se actualizan directamente.

En modelos XGS de escritorio y virtuales con una partición más pequeña (1 GB), el espacio se amplía automáticamente durante el upgrade. Por ello, el proceso tarda algo más, normalmente entre dos y diez minutos. Solo unos pocos sistemas, alrededor del tres por ciento, requieren preparación manual, por ejemplo borrar informes o logs antiguos para liberar espacio suficiente.

Los dispositivos con firmware SSD antiguo deben actualizarlo primero antes de poder pasar a la versión 22. Las instalaciones virtuales muy antiguas que todavía se basan en discos pequeños o en versiones SFOS anteriores, previas a la versión 18, requieren pasos adicionales. En algunos casos se necesita primero una actualización intermedia a la versión 21 MR2 para que el upgrade funcione. Si el soporte de datos es demasiado pequeño, solo queda reinstalar con un disco más grande.

Las indicaciones sobre todos los pasos necesarios aparecen automáticamente en la interfaz del firewall mediante mensajes en el Control Center, por correo electrónico y mediante símbolos de advertencia en Sophos Central. También muestran un código de referencia que enlaza directamente con el artículo correspondiente de la Knowledge Base. Tras una preparación correcta, la advertencia desaparece en aproximadamente una hora. Para diagnóstico hay además comandos CLI adicionales.

Conclusión

Sophos Firewall v22 convence con una base de seguridad notablemente más sólida, una estructura modular y una operación más estable. El Health Check es una herramienta bien pensada que ayuda a revisar configuraciones de forma sistemática y cumplir buenas prácticas. El nuevo Control Plane aporta upgrades más fluidos y más fiabilidad en operación continua. Los protocolos modernos y la telemetría ampliada hacen que el análisis y el troubleshooting sean mucho más eficientes.

Nos alegra el claro progreso de Sophos Firewall v22, pero seguimos deseando que se trabaje en clonar y agrupar reglas NAT, tal como ya se conoce en las reglas de firewall. Hace alrededor de un año recopilamos y publicamos nuestros deseos. Desde entonces ha mejorado mucho, pero desde nuestra perspectiva todavía faltan algunas funciones. Esperamos que se implementen en próximas versiones.

Preguntas frecuentes

¿Cuándo estará disponible Sophos Firewall v22 como GA?

La fase Early Access comenzó en octubre de 2025. Por lo general, Sophos publica la versión GA unas semanas después del EAP. Según los ciclos de publicación anteriores, cabe esperar el GA release a principios de diciembre de 2025.

¿Qué es el nuevo Health Check y para qué se utiliza?

El Health Check comprueba la configuración del firewall en busca de vulnerabilidades y desviaciones frente a buenas prácticas. Evalúa ajustes como cifrado TLS, complejidad de contraseñas, MFA, accesos de administrador o estado de actualización, y los muestra de forma clara en el dashboard. El objetivo es detectar y corregir configuraciones erróneas antes de que se conviertan en problemas de seguridad.

¿Qué ha cambiado en la arquitectura Xstream?

El Xstream Control Plane se ha reconstruido por completo. Servicios centrales como IPS o Web Filter ahora se ejecutan aislados entre sí. Esto aumenta la estabilidad, ya que un módulo defectuoso ya no afecta a otras áreas. Al mismo tiempo, la arquitectura crea la base para servicios containerizados, control vía API y futuras funciones de escalado.

¿Por qué es mejor el procesamiento basado en CPU ahora que la solución NPU de la antigua serie XGS?

No todos los firewalls disponen de una NPU dedicada. La nueva arquitectura orientada a CPU garantiza un rendimiento uniforme en todas las plataformas, también en instalaciones virtuales o cloud. Además, la eliminación de la NPU reduce la generación de calor y, por tanto, el nivel de ruido, especialmente en modelos pequeños.

¿Qué ventajas ofrece el nuevo kernel (versión 6.6+)?

El kernel Linux actualizado en Sophos Firewall v22 ofrece mecanismos de seguridad mejorados frente a ataques como Spectre, Meltdown y Retbleed. Protege mejor contra errores de memoria y estabiliza la operación mediante mecanismos de protección adicionales como Stack Canaries y KASLR.

¿Qué novedades hay en Threat Feeds?

Los Threat Feeds ahora también se aplican a reglas NAT y WAF. Esto significa que el firewall bloquea automáticamente IP de atacantes conocidas incluso antes de que lleguen a un servicio interno. Esta función aumenta de forma clara la eficacia de la protección, ya que incluye servidores productivos y redirecciones.

¿Cómo funciona la actualización a SFOS v22?

En alrededor del 98 % de los dispositivos, el upgrade se realiza automáticamente. Los sistemas con una partición raíz pequeña (1 GB) la amplían de forma autónoma durante el proceso, lo que puede tardar unos minutos más. Solo instalaciones antiguas o dispositivos con firmware SSD obsoleto requieren preparación manual. Todos los pasos se muestran claramente en la GUI o por correo electrónico.

¿Hay nuevas funciones de monitorización?

Sí. Además de valores de hardware vía SNMP (temperatura, ventiladores, fuentes de alimentación, PoE), Sophos Firewall v22 ahora también soporta sFlow para análisis de tráfico en tiempo real. Esto permite detectar de inmediato flujos de datos inusuales o picos de carga.

Enlaces adicionales

Fuentes

  1. Sophos Firewall OS v22 Key New Features
  2. Sophos Firewall v22 ya está disponible en acceso anticipado, Sophos News
  3. Sophos Firewall v22 EAP ya está disponible, Sophos Community, 15.10.2025,
Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.