Aller au contenu
Avanet

Comprendre la Sophos Firewall Base License

La Sophos Firewall Base License est la base d’une Sophos Firewall. Elle ne répond toutefois qu’à une question de base : cette instance de firewall est-elle fondamentalement enregistrée et attribuée du point de vue licence ? Ce n’est pas la même chose qu’une licence de support, un Security-Bundle ou une subscription de protection individuelle.

Cette distinction est précisément importante en exploitation. Une firewall peut afficher une Base License visible et rester malgré tout limitée pour les mises à jour firmware, le support, le RMA, Sophos Central Firewall Management ou certaines fonctions de sécurité. Ce guide explique comment interpréter la Base License, où la contrôler et quels points ne doivent pas être oubliés avant des mises à jour, renewals, planifications HA ou cas de support.

Quel article sur les licences convient ?

Les questions de licence se ressemblent souvent, mais elles mènent à des décisions différentes. Cet article est le bon choix lorsqu’il faut interpréter une Base Firewall visible dans la vue des licences et comprendre ce que cela implique pour le support, le firmware, HA, Central et les Security-Subscriptions.

Pour les questions voisines, d’autres guides conviennent mieux : le choix du modèle et de la classe de performance relève du Sophos Firewall Sizing Guide, les décisions de bundle de l’article sur les bundles Sophos Firewall, les firewalls isolées de la procédure de licence Air-Gap et Pattern Updates, les changements de compte de l’article sur le transfert Sophos Central, et les questions matérielles de la classification XG, XGS, EOL et migration.

Cette séparation évite la principale fausse hypothèse : une Base License visible ne prouve pas automatiquement un support actif, des Security-Subscriptions adaptées, un lifecycle valide ou un Account-Ownership correct. Pour l’exploitation, le renewal et les cas de support, le numéro de série, le compte, le statut de support, le bundle, les dates d’expiration et la plateforme doivent toujours être contrôlés ensemble.

Ce qu’est la Base License

La Base License identifie et autorise l’installation Sophos Firewall de base. Sans attribution correcte de licence et de numéro de série, une appliance ou une instance virtuelle ne peut pas être exploitée et administrée proprement comme système Sophos Firewall productif.

La distinction est importante :

  • Base License : base de l’installation de la firewall et droit d’utilisation de base.
  • Enhanced Support / Enhanced Plus Support : droit au support et aux mises à jour selon le modèle de licence.
  • Security-Subscription : modules de protection tels que Network, Web, Email, Zero-Day ou autres fonctions sous licence.
  • Numéro de série : identité unique de la firewall pour la licence, le support, le RMA et l’association au compte.

La Base License ne doit donc pas être comprise comme « tout est licencié ». Elle ne répond qu’à une partie de la question de licence.

Le chemin de contrôle le plus important dans SFOS est Administration > Licensing. On y voit l’enregistrement, le modèle d’appliance, le numéro de série, Base Firewall, le statut de support, les bundles, les subscriptions individuelles et les dates d’expiration. Sur une firewall connectée en ligne, SFOS synchronise normalement les licences automatiquement avec Sophos Central. Pour obtenir une vue actuelle, on peut y lancer Synchronize avant de tirer de mauvaises conclusions d’un affichage ancien.

Classification rapide en exploitation

Au quotidien, une classification simple aide. La Base License ne répond qu’à la question de savoir si la firewall est fondamentalement attribuée comme instance Sophos Firewall. Vient ensuite la vraie question d’exploitation : existe-t-il le droit approprié pour ce que l’on veut faire ?

Si la firewall doit seulement router, appliquer des règles simples ou fournir du VPN, la Base License est le point de départ. Dès que des firmware upgrades, le support constructeur, le RMA, IPS, Web Protection, Zero-Day Protection, WAF, Central Firewall Management ou un reporting plus long deviennent importants, il faut contrôler séparément la subscription de support, de bundle ou de sécurité correspondante.

Dans les clusters HA, regarder une seule ligne de licence ne suffit pas non plus. Les rôles, numéros de série, types de plateforme, la synchronisation des subscriptions et le modèle de support déterminent ensemble si le failover, le RMA et l’administration centrale fonctionneront proprement en cas réel. Pour les firewalls virtuelles et logicielles, il faut ajouter la licence par CPU core, l’attribution de l’instance et le scénario de restore.

Cette décision rapide ne remplace pas un contrôle de licence, mais elle évite l’erreur la plus fréquente : voir une Base License valide et supposer que le support, les modules de protection et la capacité de mise à jour sont également clarifiés.

Ce qui est inclus dans la Base License

Dans la vue officielle des licences, Sophos attribue à la Base License les fonctions de base Stateful Firewall, VPN, Wireless, High Availability et Firewall RED. Pour la pratique, il est important de comprendre ce que cela signifie : la firewall peut fondamentalement être exploitée comme routeur, firewall et passerelle VPN, mais de nombreuses fonctions de protection et de support manquent sans Security-Subscriptions supplémentaires.

Fonctions typiques de la Base License :

  • Stateful Firewall : règles de firewall, zones, services, hosts, NAT et contrôle de policy de base. La règle peut autoriser ou bloquer le trafic. Les modules de protection comme IPS, Web Protection ou Zero-Day Protection ne sont pas automatiquement licenciés avec cela.
  • Routage et réseau : interfaces, VLAN, routes statiques, routes SD-WAN, DHCP, DNS et services réseau de base. La firewall peut fonctionner comme routeur réseau central. L’inspection de sécurité du trafic dépend de modules supplémentaires.
  • VPN : Site-to-Site IPsec, Remote Access IPsec et SSL VPN. La fonctionnalité VPN est fondamentalement possible. MFA, accès au portail, Device Access et logging doivent néanmoins être planifiés séparément.
  • Firewall RED : il s’agit des fonctions RED de la firewall, notamment Site-to-Site RED entre Sophos Firewalls. Ce n’est pas la même chose que SD-RED Device Management ou les tunnels SD-RED vers des appareils SD-RED.
  • Wireless : gestion de Sophos Access Points compatibles via la firewall. Ce n’est pas la même chose qu’une architecture Sophos Central Wireless moderne. Beaucoup d’environnements utilisent aujourd’hui d’autres systèmes WLAN.
  • High Availability : fonctionnement HA de Sophos Firewall. La licence et les rôles doivent être contrôlés proprement et séparément dans les clusters HA, en particulier pour Active-Passive et la synchronisation des subscriptions.
  • Logs et rapports locaux : événements locaux, Log Viewer et rapports simples. Pour une conservation plus longue, une recherche centrale ou du reporting, il faut selon l’objectif Sophos Central Reporting, Syslog ou SIEM.

La Base License est donc avant tout la base technique d’exploitation. Elle transforme une appliance ou une instance en Sophos Firewall utilisable, mais pas en package de protection entièrement licencié.

Ce qui n’est pas inclus dans la Base License

La question revient très souvent : la Base License donne-t-elle aussi accès aux mises à jour firmware, au support ou à toutes les fonctions de sécurité ? Ce n’est précisément pas le cas.

  • Firmware upgrades sans droit au support : Sophos autorise trois firmware upgrades gratuits. Ensuite, un droit de support ou de bundle valide est nécessaire. La Base License seule n’est donc pas une stratégie de mise à jour fiable.
  • Support constructeur via Sophos Case, chat ou téléphone : le support est lié à Enhanced Support, Enhanced Plus Support ou à un bundle approprié.
  • SD-RED et Network Protection : SD-RED Device Management et les tunnels SD-RED vers des appareils SD-RED ne doivent pas être planifiés comme des fonctions de la Base License. Ils nécessitent la Subscription Network Protection appropriée.
  • IPS / Network Protection : Intrusion Prevention, Sophos X-Ops Threat Feeds et Security Heartbeat nécessitent également Network Protection.
  • Web Protection et Application Control : le filtrage Web, Application Control et l’analyse Web Malware ne sont pas de simples fonctions de Base License.
  • Zero-Day Protection : sandboxing, Machine Learning et Threat Intelligence nécessitent une licence correspondante.
  • Email Protection : Anti-Spam, Antivirus, DLP, chiffrement et protection contre les malwares e-mail sont licenciés séparément.
  • Webserver Protection / WAF : Web Application Firewall est une fonction de protection distincte et ne fait pas partie de la Base License.
  • Sophos Central Firewall Management uniquement avec Base License : la simple licence Base Firewall ne suffit pas pour Central Firewall Management. Il faut une subscription payante active en dehors de la Base License ou un contrat de support actif.
  • Reporting central prolongé : Central Firewall Reporting dépend de la licence, du stockage et de la durée de conservation.

Les firmware upgrades sont un piège fréquent : une firewall peut afficher une Base License valide et ne pas avoir malgré tout de droit suffisant pour d’autres firmware upgrades planifiés. Les détails sont décrits dans l’article de blog Les mises à jour Sophos Firewall ne seront plus gratuites à l’avenir.

Appliance matérielle

Sur une appliance matérielle XGS, la Base License est liée au matériel ou au numéro de série. Les appliances matérielles disposent fondamentalement de Base Firewall comme base de l’appareil. La possibilité de les utiliser en pratique dépend toutefois du lifecycle, du support, du bundle, des dates d’expiration et de l’association au compte.

Le numéro de série est particulièrement important en exploitation, car le statut de licence, le support, le RMA, l’association au compte et la documentation en dépendent.

À contrôler :

  • La firewall est-elle enregistrée dans le bon compte Sophos ?
  • Le numéro de série correspond-il à la commande, aux documents de licence et à l’appareil ?
  • Existe-t-il une licence de support ou de bundle active ?
  • Les Security-Subscriptions nécessaires sont-elles actives ?
  • Est-il clair quelles mises à jour firmware sont encore possibles ?
  • Le matériel lui-même se trouve-t-il encore dans le lifecycle supporté ?

Le numéro de série se trouve directement dans le dashboard de SFOS. La procédure est décrite dans Trouver le numéro de série Sophos Firewall.

Firewalls virtuelles et logicielles

Pour les instances Sophos Firewall virtuelles, logicielles et cloud, la licence dépend davantage de l’instance attribuée et du numéro de série. Contrairement au matériel, il n’existe pas de numéro de série d’appliance physique sur une étiquette d’appareil. L’attribution de la licence et de l’instance doit donc être documentée très proprement.

Important :

  • Le numéro de série et le fichier de licence appartiennent à l’instance concrète.
  • L’association au compte doit être correcte avant l’exploitation productive.
  • La licence CPU-Core, Base Firewall et le support doivent être contrôlés séparément.
  • Les backups ne remplacent pas une documentation propre des licences et numéros de série.
  • En cas de réinstallation, de restore ou de migration, il doit être clair quelle instance utilise quelle licence.

Depuis 2025, la licence CPU-Core est particulièrement pertinente pour les instances Sophos Firewall virtuelles et logicielles ; la RAM n’est plus l’ancienne limite de licence. Les détails sont classés dans l’article Sophos Firewall VM & SW - Seul le CPU compte - Plus de limite RAM. Pour la décision de plateforme fondamentale, voir Sophos Firewall : matériel, virtuel ou cloud ?.

Pour HA, la distinction est importante : en Active-Passive HA, seules l’instance Primary des firewalls virtuelles et logicielles a besoin de la Base Firewall et des autres licences. En Active-Active HA, les deux appareils ou instances ont besoin de leurs propres licences adaptées. En HA matérielle, il existe en plus des détails RMA et support qui ne peuvent pas être déduits de la Base License seule. Pour Sophos Central Firewall Management, la simple synchronisation des licences ne suffit pas non plus ; les firewalls doivent être enregistrées pour Firewall Management et disposer d’une subscription payante appropriée ou d’une licence de support.

Ce qu’il ne faut pas déduire de la Base License

La Base License ne dit pas automatiquement que toutes les fonctions souhaitées sont utilisables en production, supportées ou autorisées pour les mises à jour. Beaucoup de malentendus naissent parce que plusieurs éléments sont affichés côte à côte dans la vue des licences.

Ne pas déduire de la Base License :

  • que les firmware updates sont possibles durablement sans support,
  • que tous les modules de protection sont actifs,
  • que Web Protection, Mail Protection, Zero-Day Protection ou d’autres modules de sécurité sont licenciés,
  • que le support ou le RMA est couvert,
  • que la firewall se trouve dans le bon compte,
  • que la licence HA et la synchronisation des subscriptions sont correctes.

Pour les firmware updates, un point est important : Sophos a déjà introduit avec SFOS v19 MR1 une exigence de support pour les futurs firmware upgrades. Les clients sans support disposent de trois firmware upgrades gratuits ; ensuite, une Support-Subscription valide devient nécessaire. Avanet a classé ce changement dans Les mises à jour Sophos Firewall ne seront plus gratuites à l’avenir.

Le changement de 2025 est également pertinent : Sophos limite davantage les firewalls sans licence de support valide. La vue d’ensemble se trouve dans Sophos Firewall : changement important pour les clients sans licence de support.

Contrôler proprement le statut de licence

Dans la WebAdmin Console locale, on peut contrôler le statut de licence sous Administration > Licensing. On y voit notamment le numéro de série, les licences enregistrées, les durées et des indications sur les subscriptions expirées ou manquantes. Le point décisif n’est pas seulement de savoir si Base Firewall apparaît quelque part. Il faut vérifier si les licences affichées correspondent à l’opération prévue.

À contrôler :

  1. Se connecter à Sophos Firewall.
  2. Ouvrir Administration > Licensing.
  3. Documenter le numéro de série et le modèle.
  4. Contrôler Base Firewall / Base License.
  5. Contrôler les subscriptions de support et de sécurité.
  6. Interpréter les statuts comme Subscribed, Evaluating, Not subscribed ou Expired.
  7. Documenter les dates d’expiration et les avertissements.
  8. Si nécessaire, exécuter Synchronize pour récupérer l’état actuel depuis Sophos Central.
  9. Si nécessaire, activer une clé de licence ou une subscription.

La procédure pratique d’activation d’une clé de licence se trouve dans Activer une clé de licence Sophos Firewall.

Documenter le statut de licence et de support

Pour les questions de licence, de support et de renewal, une capture d’écran de la Base License suffit rarement. Pour l’exploitation, un cas de support, le RMA, un restore ou un transfert de compte, il faut maintenir un petit jeu de données de licence par firewall.

  • Numéro de série : relie licence, appareil, support, RMA et association au compte.
  • Modèle et plateforme : distingue matériel XGS, firewall virtuelle, Software Appliance ou Cloud Deployment.
  • Compte Sophos / Central Tenant : évite les activations de licence erronées ou les problèmes lors d’un transfert de compte.
  • Statut Base License : indique si la firewall est fondamentalement attribuée correctement.
  • Support / Bundle : décide des questions de mise à jour, de support et de renewal.
  • Security-Subscriptions : montre quels modules de protection sont réellement utilisables.
  • Dates d’expiration : importantes pour le renewal, le budget et les firmware upgrades planifiés.
  • Backup et Secure Storage Master Key : importants pour restore, migration et cas de support.

Cette documentation ne doit pas être créée seulement en cas d’incident. Si une firewall est transférée vers un autre compte, l’article Transférer Sophos Firewall vers un autre compte Sophos Central convient. Si un restore, un remplacement matériel ou un reimage est envisagé, il faut aussi consulter Créer ou restaurer un backup Sophos Firewall.

Date d’expiration de la Base License

Vue des licences Sophos Firewall avec date d'expiration Base Firewall
Dans la vue des licences, Base Firewall peut apparaître avec une date d’expiration très éloignée. Le support, les subscriptions et le lifecycle de la plateforme restent toutefois décisifs.

Dans la vue des licences, Base Firewall peut apparaître avec une date d’expiration très éloignée. Il ne faut pas confondre cela avec un support illimité ou une capacité de mise à jour illimitée.

En pratique, cela signifie :

  • La Base License peut rester visible longtemps comme base de la firewall.
  • Le matériel, la plateforme et le firmware ont malgré tout leurs propres limites de lifecycle.
  • D’autres firmware upgrades peuvent nécessiter un droit de support valide.
  • Les fonctions de sécurité dépendent de subscriptions actives.
  • Le support, le RMA et le renewal doivent être contrôlés séparément.

Pour les firewalls cloud, virtuelles et logicielles, Base Firewall n’expire pas comme une subscription de protection normale selon les informations Sophos. Pour les appliances matérielles, le statut Base Firewall est en revanche lié au lifecycle matériel. Une date d’expiration éloignée ne doit donc jamais être évaluée isolément : modèle, statut EOL, version SFOS, support et Security-Subscriptions font toujours partie du même contrôle.

Quand la Base Firewall expire réellement

Un statut Base Firewall expiré n’est pas une indication de licence cosmétique. La configuration reste certes visible et peut encore être modifiée en partie, mais l’application des règles change massivement.

Sophos décrit notamment le comportement suivant pour une Base Firewall expirée : les règles de firewall ne sont plus traitées, certaines directions de trafic LAN/DMZ vers WAN ou internes sont autorisées comme avec un simple routeur, d’autres trafics restent bloqués, les tunnels VPN peuvent rester établis mais ne plus transporter de données utiles, et les règles NAT, tunnels RED Site-to-Site, Remote Access Points ainsi que Wireless Networks ne fonctionnent plus comme prévu. C’est précisément pourquoi un avertissement Base Firewall ne doit pas attendre le prochain entretien de renewal.

La distinction est importante : un module de sécurité expiré n’est pas la même chose qu’une Base Firewall expirée. Si, par exemple, Web Protection, Zero-Day Protection ou Webserver Protection expire, la firewall ne perd pas automatiquement toute fonction de base, mais la fonction de protection ou d’application concernée disparaît ou ne fonctionne plus que de manière limitée. L’analyse commence donc toujours par la question : quelle licence a réellement expiré ?

Pour les admins, cela signifie concrètement :

  • Contrôler le statut de licence sous Administration > Licensing.
  • Vérifier le numéro de série, le compte Sophos Central et l’association au compte.
  • Déterminer s’il s’agit d’un problème normal de online sync, d’un sujet Air-Gap, d’un problème HA ou d’une vraie expiration de licence.
  • Sur les systèmes productifs, lancer immédiatement le processus de support, renewal ou partenaire.

Si une firewall est exploitée isolément, le sync normal de 24 heures n’est pas le bon point de référence. Le processus Air-Gap avec fichier de licence, upload manuel et routine Pattern fait alors partie de la responsabilité d’exploitation.

Ce qu’il faut vérifier avant les updates et renewals

Avant des firmware updates, entretiens de renewal ou migrations, il ne faut pas regarder le statut de licence seulement en surface. Un court contrôle d’exploitation est préférable.

D’abord, le numéro de série, le modèle, la plateforme, le compte Sophos et la Base License sont documentés. Ensuite, on vérifie la licence de support ou de bundle, les Security-Subscriptions nécessaires, les dates d’expiration et les avertissements. Pour les clusters HA, les deux nodes, les rôles et la synchronisation des licences font partie du contrôle ; pour les firewalls virtuelles, il faut ajouter les CPU-Cores, l’attribution de l’instance et le scénario de restore.

Avant un firmware upgrade, il ne faut pas se fier au fait qu’une entrée Base Firewall visible suffit. La combinaison pertinente est un backup actuel, un statut de support contrôlé, une version cible connue, une fenêtre de maintenance et un court plan de retour arrière. Les firmware upgrades gratuits sans support sont au mieux une situation transitoire, mais pas une stratégie d’exploitation propre.

Pour les mises à jour plus importantes, Contrôler Sophos Firewall avant l’upgrade SFOS 22 est également utile. Pour les environnements HA, Configurer Sophos Firewall High Availability (HA) est pertinent, car la licence et les rôles dans le cluster doivent être documentés proprement.

Erreurs fréquentes

Confondre Base License et support

Une Base License visible ne signifie pas automatiquement que le support et les firmware upgrades sont couverts. Le statut de support doit être contrôlé séparément.

Ne pas contrôler les modules de sécurité

Si une fonction ne fonctionne pas ou n’est pas configurable, il ne faut pas regarder uniquement la Base License. Le point décisif est de savoir si la subscription appropriée est active et si la fonction a aussi été configurée.

Utiliser un mauvais numéro de série

Avec plusieurs firewalls, des clusters HA, des instances virtuelles ou des transferts de compte, les confusions arrivent vite. Le numéro de série, le compte et les documents de licence doivent correspondre.

Documenter une firewall virtuelle de manière incomplète

Pour les firewalls virtuelles, il faut documenter ensemble la licence, le numéro de série, le nom d’instance, l’hyperviseur, les CPU-Cores, le backup et le compte responsable. Sinon, un restore ou un cas de support devient inutilement difficile.

FAQ

La Sophos Firewall Base License est-elle une licence de support ?

Non. La Base License est la base de la firewall. Le support, les firmware upgrades et les Security-Subscriptions doivent être contrôlés séparément.

Peut-on installer des firmware updates avec la Base License ?

Pas durablement sans restrictions. Depuis SFOS v19 MR1, Sophos exige une Support-Subscription valide pour les futurs firmware upgrades une fois les trois firmware upgrades gratuits épuisés.

Où voit-on la Base License ?

Dans la WebAdmin Console locale sous Administration > Licensing. Il faut aussi y contrôler le numéro de série, le statut de support, les subscriptions, les dates d’expiration et d’éventuelles indications de synchronisation.

Qu'est-ce qui change avec les firewalls virtuelles ?

Les firewalls virtuelles n’ont pas de numéro de série d’appliance physique sur une étiquette d’appareil. La licence, le numéro de série, l’instance et l’association au compte doivent donc être documentés très proprement.

La Base License suffit-elle pour l'exploitation productive ?

Pour une exploitation productive sûre, il ne faut pas considérer uniquement la Base License. Les points décisifs sont le statut de support, la version firmware, les Security-Subscriptions nécessaires, le backup, le monitoring et le lifecycle de la plateforme.