Ir al contenido
Avanet

Entender la Base License de Sophos Firewall

La Sophos Firewall Base License es la base de un Sophos Firewall. Pero solo responde a la pregunta básica: ¿esta instancia de firewall está registrada y asignada desde el punto de vista de licencias? No es lo mismo que una licencia de soporte, un Security Bundle o una suscripción de protección individual.

Esta distinción es importante en operación. Un firewall puede mostrar una Base License visible y aun así estar limitado en actualizaciones de firmware, soporte, RMA, Sophos Central Firewall Management o determinadas funciones de seguridad. Esta guía explica cómo clasificar la Base License, dónde comprobarla y qué puntos no se deben pasar por alto antes de actualizaciones, renewals, planificación HA o casos de soporte.

¿Qué artículo de licencias encaja?

Las preguntas de licencia suelen sonar parecidas, pero llevan a decisiones distintas. Este artículo es el adecuado cuando hay que clasificar una Base Firewall visible en la vista de licencias y entender qué significa para soporte, firmware, HA, Central y Security Subscriptions.

Para preguntas cercanas encajan mejor otras guías: la elección de modelo y rendimiento pertenece al Sophos Firewall Sizing Guide, las decisiones de bundle al artículo sobre Sophos Firewall Bundles, los firewalls aislados al proceso de licenciamiento Air-Gap y pattern updates, los cambios de cuenta al artículo sobre transferencia de Sophos Central, y las preguntas de hardware a la clasificación de XG, XGS, EOL y migración.

Esta separación evita la falsa suposición más importante: una Base License visible no demuestra automáticamente soporte activo, Security Subscriptions adecuadas, lifecycle válido ni account ownership correcto. Para operación, renewal y soporte, siempre conviene comprobar juntos número de serie, cuenta, estado de soporte, bundle, fechas de caducidad y plataforma.

¿Qué es el Base License?

El Base License identifica y autoriza la instalación básica del firewall de Sophos. Sin una licencia adecuada y una asignación de número de serie, un dispositivo o una instancia virtual no se puede operar ni gestionar correctamente como un sistema de firewall productivo de Sophos.

La distinción es importante:

  • Base License: Base de la instalación de firewall y autorización básica.
  • Enhanced Support / Enhanced Plus Support: Autorización de soporte y actualizaciones según el modelo de licencia.
  • Security-Subscription: Módulos de protección como Network, Web, Email, Zero-Day u otras funciones licenciadas.
  • Número de serie: Identidad única de la firewall para licencia, soporte, RMA y asignación de cuenta.

Por lo tanto, la Base License no debe entenderse como “todo está licenciado”. Solo responde a una parte de la cuestión de licencia.

El camino de comprobación más importante en SFOS es Administration > Licensing. Allí se ven registro, modelo de appliance, número de serie, Base Firewall, estado de soporte, bundles, suscripciones individuales y fechas de caducidad. En un firewall conectado online, SFOS normalmente sincroniza las licencias automáticamente con Sophos Central. Para una vista actual se puede ejecutar Synchronize antes de sacar conclusiones de una visualización antigua.

Clasificación rápida para operación

Para el día a día ayuda una clasificación sencilla. La Base License solo responde si el firewall está asignado básicamente como instancia de Sophos Firewall. Después viene la pregunta operativa real: ¿existe el entitlement adecuado para lo que se quiere hacer?

Si el firewall solo debe enrutar, aplicar reglas sencillas o proporcionar VPN, la Base License es el punto de partida. En cuanto sean importantes actualizaciones de firmware, soporte del fabricante, RMA, IPS, Web Protection, Zero-Day Protection, WAF, Central Firewall Management o reporting más prolongado, hay que comprobar por separado la suscripción de soporte, bundle o seguridad correspondiente.

En clústeres HA tampoco basta con mirar una sola línea de licencia. Roles, números de serie, tipo de plataforma, sincronización de suscripciones y modelo de soporte deciden conjuntamente si failover, RMA y gestión central funcionan correctamente en caso serio. En firewalls virtuales y basados en software se añaden licenciamiento por CPU core, asignación de instancia y escenario de restore.

Esta decisión rápida no sustituye una revisión de licencia, pero evita el error más frecuente: ver una Base License válida y asumir que soporte, módulos de protección y capacidad de actualización también están aclarados.

¿Qué está incluido en el Base License?

En la vista de licencia oficial, Sophos asigna la Base License a las funciones básicas Stateful Firewall, VPN, Wireless, High Availability y Firewall RED. Lo importante en la práctica es lo que esto significa: el firewall puede funcionar básicamente como enrutador, firewall y puerta de enlace VPN, pero sin Security Subscriptions adicionales faltan muchas funciones de protección y soporte.

Funciones típicas del Base License:

  • Stateful Firewall: Reglas de firewall, zonas, servicios, hosts, NAT y control básico de policies. La regla puede permitir o bloquear tráfico. Los módulos de protección como IPS, Web Protection o Zero-Day Protection no quedan licenciados automáticamente por ello.
  • Routing y red: Interfaces, VLANs, rutas estáticas, rutas SD-WAN, DHCP, DNS y servicios de red básicos. La firewall puede actuar como router central de la red. La inspección de seguridad del tráfico depende de módulos adicionales.
  • VPN: Site-to-Site IPsec, Remote Access IPsec y SSL VPN. La funcionalidad VPN es básicamente posible. MFA, acceso al portal, Device Access y logging deben planificarse igualmente por separado.
  • Wireless: Gestión de Sophos Access Points compatibles a través de la firewall. No es lo mismo que la arquitectura moderna de Sophos Central Wireless. Muchos entornos usan hoy otros sistemas WLAN.
  • High Availability: Operación HA de Sophos Firewall. En clústeres HA, licencias y roles deben revisarse por separado con cuidado, especialmente en Active-Passive y sincronización de Subscriptions.
  • Firewall RED: Conexiones RED a través de la firewall. SD-RED Device Management y otras funciones de protección pueden depender de licencias adicionales.
  • Logs e informes locales: Eventos locales, Log Viewer e informes sencillos. Para retención más prolongada, búsqueda central o reporting se necesitan, según el objetivo, Sophos Central Reporting, Syslog o SIEM.

Esto significa que la Base License es principalmente la base técnica para el funcionamiento. Convierte un dispositivo o instancia en un Sophos Firewall utilizable, pero no en un paquete de protección con licencia completa.

Lo que no está incluido en el Base License

A menudo surge la pregunta de si con la Base License también se reciben actualizaciones de firmware, soporte o todas las funciones de seguridad. Precisamente no es el caso.

  • Firmware upgrades sin autorización de soporte: Sophos permite tres firmware upgrades gratuitos. Después se necesita una autorización válida de soporte o bundle. Por eso, la Base License por sí sola no es una estrategia de actualización fiable.
  • Soporte del fabricante mediante Sophos Case, chat o teléfono: El soporte está vinculado a Enhanced Support, Enhanced Plus Support o un bundle adecuado.
  • IPS / Network Protection: Intrusion Prevention, Sophos X-Ops Threat Feeds, Security Heartbeat y otras funciones de Network Protection requieren la Subscription adecuada.
  • Web Protection y Application Control: Webfilter, Application Control y comprobación de malware web no son funciones puras de la Base License.
  • Zero-Day Protection: Sandboxing, Machine Learning y Threat Intelligence requieren una licencia correspondiente.
  • Email Protection: Anti-Spam, Antivirus, DLP, cifrado y protección contra malware de correo se licencian por separado.
  • Webserver Protection / WAF: Web Application Firewall es una función de protección propia y no forma parte de la Base License.
  • Sophos Central Firewall Management solo con Base License: La licencia Base Firewall pura no basta para Central Firewall Management. Para ello se necesita una suscripción de pago activa fuera de la Base License o un contrato de soporte activo.
  • Reporting central prolongado: Central Firewall Reporting depende de licencia, almacenamiento y periodo de retención.

Los firmware upgrades en particular son un obstáculo común: un firewall puede mostrar una Base License válida y aun así no tener autorización suficiente para otros firmware upgrades planificados. Los antecedentes se describen en la publicación del blog Sophos Firewall: las actualizaciones dejarán de ser gratuitas en el futuro.

Appliance de hardware

Con una appliance de hardware XGS, la Base License está vinculada al hardware o al número de serie. Las hardware appliances tienen la Base Firewall como base del dispositivo. Aun así, la utilidad práctica depende de lifecycle, soporte, bundle, fechas de expiración y asignación de cuenta.

El número de serie es especialmente importante en operación porque de él dependen el estado de licencia, soporte, RMA, asignación de cuenta y documentación.

Comprobar:

  • ¿Está registrado el firewall en la cuenta de Sophos correcta?
  • ¿Coincide el número de serie con el pedido, los documentos de licencia y el dispositivo?
  • ¿Existe un soporte activo o una licencia de paquete?
  • ¿Están activas las Security Subscriptions requeridas?
  • ¿Está claro qué actualizaciones de firmware aún son posibles?
  • ¿El hardware sigue dentro del lifecycle soportado?

El número de serie se encuentra directamente en el dashboard de SFOS. El procedimiento está en encontrar el número de serie de Sophos Firewall.

Cortafuegos virtuales y basados en software

Para instancias Sophos Firewall virtuales, basadas en software y cloud, la licencia depende más de la instancia y del número de serie asignados. A diferencia del hardware, no hay un número de serie físico en una etiqueta del dispositivo. Por eso, la asignación de licencia e instancia debe documentarse con especial cuidado.

Importante:

  • El número de serie y el archivo de licencia pertenecen a la instancia específica.
  • La asignación de cuenta debe ser correcta antes de la operación productiva.
  • CPU core licensing, Base Firewall y soporte deben comprobarse por separado.
  • Las copias de seguridad no reemplazan la documentación limpia de la licencia y el número de serie.
  • En una reinstalación, restore o migración debe quedar claro qué instancia usa qué licencia.

Desde 2025, el licenciamiento por CPU core es especialmente relevante para instancias Sophos Firewall virtuales y basadas en software; la RAM ya no es el límite de licencia anterior. Los detalles están clasificados en el artículo Sophos Firewall VM y SW - Solo cuenta la CPU - No más límite de RAM. Para la decisión básica de plataforma encaja Sophos Firewall: ¿hardware, virtual o nube?.

Para HA, la diferencia es importante: en Active-Passive HA, en firewalls virtuales y basados en software solo la instancia Primary necesita la Base Firewall y las demás licencias. En Active-Active HA, ambos dispositivos o instancias necesitan sus propias licencias adecuadas. En hardware HA se añaden detalles de RMA y soporte que no se pueden deducir solo de la Base License. Para Sophos Central Firewall Management, además, la simple sincronización de licencias no basta; los firewalls deben estar registrados para Firewall Management y tener una suscripción de pago adecuada o una licencia de soporte.

Lo que no deberías derivar del Base License

La Base License no dice automáticamente que todas las funciones deseadas se puedan utilizar de forma productiva, que tengan soporte o que tengan derecho a actualizaciones. Surgen muchos malentendidos porque en la vista de licencia se muestran varias cosas una al lado de la otra.

No derivar del Base License:

  • que las actualizaciones de firmware sean posibles de forma permanente sin soporte,
  • que todos los módulos de protección estén activos,
  • que Web Protection, Mail Protection, Zero-Day Protection u otros módulos de seguridad tengan licencia,
  • que el soporte o RMA esté cubierto,
  • que el firewall esté en la cuenta correcta,
  • que la licencia HA y la sincronización de suscripciones sean correctas.

Importante para las actualizaciones de firmware: Sophos ya introdujo con SFOS v19 MR1 un requisito de soporte para futuros firmware upgrades. Los clientes sin soporte tienen tres firmware upgrades gratuitos; después se necesita una Support Subscription válida. Avanet clasificó este cambio en Sophos Firewall: las actualizaciones dejarán de ser gratuitas en el futuro.

Además, el cambio de 2025 es relevante, ya que Sophos impondrá mayores restricciones a los firewalls sin una licencia de soporte válida. La descripción general se puede encontrar en Sophos Firewall: Cambio importante para clientes sin licencia de soporte.

Comprobar limpiamente el estado de licencia

En la WebAdmin Console local se puede comprobar el estado de licencia en Administration > Licensing. Allí se ven, entre otras cosas, número de serie, licencias registradas, periodos y avisos sobre suscripciones caducadas o ausentes. El punto no es solo si aparece Base Firewall en alguna parte. Lo decisivo es si las licencias mostradas encajan con la operación planificada.

Comprobar:

  1. Iniciar sesión en Sophos Firewall.
  2. Abrir Administration > Licensing.
  3. Documentar número de serie y modelo.
  4. Comprobar Base Firewall / Base License.
  5. Comprobar soporte y Security Subscriptions.
  6. Clasificar valores de estado como Subscribed, Evaluating, Not subscribed o Expired.
  7. Documentar fechas de expiración y advertencias.
  8. Si es necesario, ejecutar Synchronize para obtener el estado actual desde Sophos Central.
  9. Si es necesario, activar una clave de licencia o suscripción.

El proceso práctico para activar una clave de licencia se puede encontrar en Sophos Firewall Activar clave de licencia.

Documentar el estado de licencia y soporte

Para preguntas sobre licencia, soporte y renewal, una captura de pantalla de la Base License rara vez es suficiente. Se debe mantener un pequeño conjunto de datos de licencia por firewall para operación, casos de soporte, RMA, restore o transferencia de cuentas.

  • Número de serie: Vincula licencia, dispositivo, soporte, RMA y asignación de cuenta.
  • Modelo y plataforma: Distingue hardware XGS, firewall virtual, software appliance o cloud deployment.
  • Sophos Account / Central Tenant: Evita activaciones de licencia incorrectas o problemas en transferencias de cuenta.
  • Estado de Base License: Muestra si la firewall está correctamente asignada en lo básico.
  • Soporte / Bundle: Decide sobre actualizaciones, soporte y preguntas de Renewal.
  • Security Subscriptions: Muestra qué módulos de protección son realmente utilizables.
  • Fechas de caducidad: Importantes para renewal, presupuesto y firmware upgrades planificados.
  • Backup y Secure Storage Master Key: Importantes para Restore, migración y casos de soporte.

Esta documentación no debería crearse solo en caso de error. Si un firewall se transfiere a otra cuenta, encaja transferir Sophos Firewall a otra cuenta Sophos Central. Si se plantea un restore, un cambio de hardware o un reimage, también se debe revisar el artículo crear o restaurar un backup de Sophos Firewall.

Fecha de caducidad de Base License

Vista de licencias de Sophos Firewall con fecha de caducidad de Base Firewall
En la vista de licencias, Base Firewall puede aparecer con una fecha de caducidad muy lejana. Aun así, soporte, suscripciones y lifecycle de la plataforma siguen siendo decisivos.

En la vista de licencia, el Base Firewall puede aparecer con una fecha de vencimiento muy lejana en el futuro. Esto no debe confundirse con soporte ilimitado o capacidad de actualización ilimitada.

Prácticamente esto significa:

  • El Base License puede permanecer visible a largo plazo como base del cortafuegos.
  • El hardware, la plataforma y el firmware todavía tienen sus propios límites de ciclo de vida.
  • Otros firmware upgrades pueden requerir una autorización de soporte válida.
  • Las funciones de seguridad dependen de suscripciones activas.
  • Soporte, RMA y renewal deben comprobarse por separado.

En firewalls cloud, virtuales y basados en software, Sophos indica que la Base Firewall no caduca como una suscripción de protección normal. En appliances de hardware, en cambio, el estado Base Firewall está vinculado al lifecycle del hardware. Por eso, una fecha de caducidad muy lejana nunca debe evaluarse de forma aislada: modelo, estado EOL, versión SFOS, soporte y Security Subscriptions siempre pertenecen a la misma revisión.

Cuando la Base Firewall realmente expira

Un estado Base Firewall caducado no es un aviso cosmético de licencia. La configuración sigue visible y en parte se puede seguir editando, pero la aplicación de políticas cambia de forma masiva.

Sophos describe, entre otras cosas, este comportamiento para una Base Firewall caducada: las reglas de firewall ya no se procesan, determinadas direcciones de tráfico LAN/DMZ-a-WAN o internas se permiten como en un router sencillo, el resto del tráfico queda bloqueado, los túneles VPN pueden seguir establecidos pero ya no transportan tráfico útil, y NAT rules, Site-to-Site-RED tunnels, Remote Access Points y Wireless Networks dejan de funcionar como estaba previsto. Por eso una advertencia de Base Firewall no debería revisarse solo en la siguiente conversación de renewal.

La distinción es importante: un módulo de seguridad caducado no es lo mismo que una Base Firewall caducada. Si caduca Web Protection, Zero-Day Protection o Webserver Protection, por ejemplo, el firewall no pierde automáticamente toda función básica, pero la función de protección o enforcement afectada deja de funcionar o funciona solo de forma limitada. Por eso, el análisis empieza siempre con la pregunta de qué licencia ha caducado realmente.

Para admins, esto significa en la práctica:

  • Comprobar el estado de licencia en Administration > Licensing.
  • Controlar número de serie, cuenta Sophos Central y asignación de cuenta.
  • Verificar si se trata de un problema normal de online sync, un tema Air-Gap, un problema HA o una caducidad real de licencia.
  • En sistemas productivos, iniciar inmediatamente el proceso de soporte, renewal o partner.

Si un firewall funciona aislado, el sync normal de 24 horas no es el criterio adecuado. En ese caso, el proceso Air-Gap con archivo de licencia, carga manual y rutina de patterns forma parte de la responsabilidad operativa.

Qué revisar antes de actualizaciones y renewals

Antes de actualizaciones de firmware, conversaciones de renewal o migraciones, no se debería mirar el estado de licencia solo de forma superficial. Es mejor una breve comprobación operativa.

Primero se documentan número de serie, modelo, plataforma, Sophos Account y Base License. Después se comprueban licencia de soporte o bundle, Security Subscriptions necesarias, fechas de caducidad y advertencias. En clústeres HA, ambos nodos, roles y sincronización de licencias forman parte de la revisión; en firewalls virtuales se añaden CPU cores, asignación de instancia y escenario de restore.

Antes de un firmware upgrade no se debería confiar en que una entrada Base Firewall visible sea suficiente. Tiene sentido combinar backup actual, estado de soporte comprobado, versión objetivo conocida, ventana de mantenimiento y un breve plan de fallback. Los firmware upgrades gratuitos sin soporte son como mucho una situación transitoria, no una estrategia operativa limpia.

Para actualizaciones mayores también ayuda comprobar Sophos Firewall antes de una actualización a SFOS 22. Para entornos HA es relevante configurar Sophos Firewall High Availability (HA), porque licencias y roles en el clúster deben estar claramente documentados.

Errores comunes

Confundir Base License con soporte

Un Base License visible no significa automáticamente que el soporte y las actualizaciones de firmware estén cubiertos. El estado del soporte debe verificarse por separado.

No comprobar los módulos de seguridad

Si una función no funciona o no es configurable, no se debería mirar solo la Base License. Lo decisivo es si la suscripción correspondiente está activa y si la función también está configurada.

Usar un número de serie incorrecto

Con múltiples firewalls, clústeres HA, instancias virtuales o transferencias de cuentas, rápidamente surge la confusión. El número de serie, la cuenta y los documentos de licencia deben coincidir.

Documentar el firewall virtual de forma incompleta

En firewalls virtuales se deberían documentar conjuntamente licencia, número de serie, nombre de instancia, hipervisor, CPU cores, backup y cuenta responsable. De lo contrario, un restore o caso de soporte se vuelve innecesariamente difícil.

Preguntas frecuentes

¿Es Sophos Firewall Base License una licencia de soporte?

No. La Base License es la base del firewall. Soporte, firmware upgrades y Security Subscriptions deben comprobarse por separado.

¿Se pueden instalar firmware updates con Base License?

No de forma permanente sin restricciones. Desde SFOS v19 MR1, Sophos requiere una Support Subscription válida para futuros firmware upgrades una vez agotados los tres firmware upgrades gratuitos.

¿Dónde se ve la Base License?

En la WebAdmin Console local en Administration > Licensing. Allí también se deben comprobar número de serie, estado de soporte, suscripciones, fechas de caducidad y posibles avisos de sincronización.

¿Qué tienen de diferente los cortafuegos virtuales?

Los firewalls virtuales no tienen un número de serie de dispositivo físico en la etiqueta del dispositivo. Por lo tanto, es necesario documentar de forma especialmente clara la licencia, el número de serie, la instancia y la asignación de cuentas.

¿Es suficiente el Base License para una operación productiva?

Para una operación productiva segura, no se debería mirar solo la Base License. Los factores decisivos son estado de soporte, versión de firmware, Security Subscriptions necesarias, backup, monitorización y lifecycle de la plataforma.