Capire la Base License di Sophos Firewall
Il Sophos Firewall Base License è la base di un Sophos Firewall. Tuttavia, non è la stessa cosa di una licenza di supporto, una Security-Bundle o una protezione singola Subscription. È proprio questa distinzione che è importante nel funzionamento: un firewall può avere un Base License ed essere comunque limitato in termini di aggiornamenti del firmware, supporto, RMA o determinate funzioni di sicurezza.
Questa guida spiega come classificare Base License, cosa cambia con l’hardware e i firewall virtuali e quali punti dovrebbero essere controllati prima degli aggiornamenti, Renewals o casi di supporto.
Quale articolo sulle licenze è adatto?
Le questioni legate alla licenza spesso sembrano simili, ma implicano decisioni diverse. È quindi importante che gli amministratori del firewall Sophos scelgano prima l’argomento giusto:
| Situazione | Ingresso migliore |
|---|---|
| Base License, Supporto e Subscriptions distinguono | Questo articolo |
| Selezionare il modello di firewall o la classe di prestazioni appropriata | Sophos Firewall Guida alle taglie: seleziona correttamente il modello |
| Confronta la protezione standard, la protezione Xstream o altri pacchetti | Quali pacchetti Sophos Firewall ci sono? |
| Pianificare la licenza senza accesso diretto a Internet | licenzaAir-Gap e funzionamento Pattern-Updates |
| Trova il numero di serie per licenza, supporto o RMA | Trova il numero di serie di Sophos Firewall |
| Trasferisci il firewall su un altro account Sophos Central | Trasferisci Sophos Firewall ad un altro account Sophos Central |
| Classificare XG, SG o XGS nel ciclo di vita | Sophos XG vs. XGS: differenze, EOL e migrazione |
| Controlla la garanzia hardware, il supporto e RMA | Classificare la garanzia hardware, il supporto e RMA di Sophos |
| Preparare il caso di supporto con la licenza e i dati del dispositivo | Apri un ticket di supporto Sophos: preparazione e portale |
| Collega il firewall con Sophos Central o assegna funzioni centrali | Connetti Sophos Firewall a Sophos Central |
Questa separazione previene i tipici falsi presupposti. Un Base License visibile non dimostra automaticamente il supporto attivo, un Security-Subscriptions appropriato, un ciclo di vita valido o la corretta proprietà dell’account. Per le operazioni, Renewal e i casi di supporto, il numero di serie, l’account, lo stato del supporto, il bundle, le date di scadenza e la piattaforma devono essere sempre controllati insieme.
Se un firewall viene utilizzato deliberatamente senza accesso diretto a Internet, la normale sincronizzazione delle licenze non è lo standard appropriato. Quindi è necessario un processo Air-Gap con rilascio, file di licenza, caricamento manuale e routine Pattern. Il processo è descritto in Sophos Firewall Air-Gap licenza e funzionamento Pattern-Updates.
Cos’è Base License
Base License identifica e autorizza l’installazione di base del firewall Sophos. Senza un’appropriata assegnazione di licenza e numero di serie, un’appliance o un’istanza virtuale non può essere utilizzata e gestita adeguatamente come un sistema firewall Sophos produttivo.
La distinzione è importante:
| termine | Importanza negli affari |
|---|---|
| Base License | Installazione di base del firewall e autorizzazione di base |
| Enhanced Support / Enhanced Plus Support | Supporto e aggiornamento dell’autorizzazione a seconda del modello di licenza |
| Security-Subscription | Moduli di protezione come rete, web, e-mail, zero-day o altre funzioni concesse in licenza |
| Numero di serie | identità firewall univoca per licenza, supporto, RMA e mappatura degli account |
L’Base License non va quindi inteso come “tutto è concesso in licenza”. Viene data risposta solo a una parte della domanda sulla licenza.
Cosa è incluso nell’Base License
Nella visualizzazione della licenza ufficiale, Sophos assegna Base License alle funzioni di base Stateful Firewall, VPN, Wireless, High Availability e Firewall RED. Ciò che in pratica è importante è cosa significa: il firewall può essere utilizzato sostanzialmente come router, firewall e gateway VPN, ma senza Security-Subscriptions aggiuntivo mancano molte funzioni di protezione e supporto.
Funzioni tipiche di Base License:
| Zona | Cosa è sostanzialmente possibile con questo | Classificazione importante |
|---|---|---|
| Stateful Firewall | Regole del firewall, zone, servizi, host, NAT e controlli delle policy di base | La regola può consentire o bloccare il traffico. I moduli di protezione come IPS, Web Protection o Zero-Day Protection non hanno ancora la licenza automatica. |
| Routing e reti | Interfacce, VLAN, percorsi statici, percorsi SD-WAN, DHCP, DNS e servizi di rete di base | Il firewall può funzionare come router di rete centrale. La verifica della sicurezza del traffico dipende da moduli aggiuntivi. |
| VPN | Da sito a sito IPsec, Accesso remoto IPsec e SSL VPN | La funzionalità VPN è sostanzialmente possibile. MFA, l’accesso al portale, Device Access e la registrazione dovrebbero comunque essere adeguatamente pianificati separatamente. |
| Senza fili | Gestisci i punti di accesso Sophos compatibili tramite il firewall | Questa non è la stessa architettura wireless moderna Sophos Central. Molti ambienti oggi utilizzano altri sistemi WLAN. |
| High Availability | HA funzionamento di Sophos Firewall | Le licenze e i ruoli devono essere attentamente controllati separatamente per i cluster HA, in particolare per la sincronizzazione attiva-passiva e Subscription. |
| Firewall RED | RED connessioni tramite firewall | SD-RED La gestione del dispositivo e altre funzioni di protezione possono dipendere da licenze aggiuntive. |
| Registri e report locali | Eventi locali, Log Viewer e semplici report | Per un’archiviazione più lunga, ricerca centralizzata o reporting, a seconda della destinazione, è richiesto Sophos Central reporting, syslog o SIEM. |
Ciò significa che Base License è principalmente la base tecnica per il funzionamento. Ciò trasforma un’appliance o un’istanza in un Sophos Firewall utilizzabile, ma non in un pacchetto di protezione con licenza completa.
Cosa non è compreso nell’Base License
Spesso sorge la domanda se con Base License riceverai anche aggiornamenti firmware, supporto o tutte le funzioni di sicurezza. Non è proprio così.
| Non incluso | Perché è importante |
|---|---|
| Aggiornamenti firmware senza autorizzazione al supporto | Gli aggiornamenti del firmware richiedono un supporto valido o un’autorizzazione del bundle. L’Base License da solo non è sufficiente a questo scopo. |
| Supporto al produttore tramite Sophos Case, chat o telefono | Il supporto è legato a Enhanced Support, Enhanced Plus Support o a un pacchetto appropriato. |
| IPS/Network Protection | Prevenzione delle intrusioni, Sophos X-Ops Threat Feeds, Security Heartbeat e altre funzioni di protezione della rete richiedono Subscription appropriato. |
| Web Protection e Application Control | Il filtraggio web, Application Control e il controllo del malware web non sono una pura funzionalità della licenza di base. |
| Zero-Day Protection | Il sandboxing, l’apprendimento automatico e l’intelligence sulle minacce richiedono una licenza adeguata. |
| Email Protection | La protezione anti-spam, antivirus, DLP, crittografia e malware di posta viene fornita con licenza separata. |
| Webserver Protection / WAF | Web Application Firewall è una funzione di protezione separata e non fa parte di Base License. |
| Sophos Central Gestione firewall solo con Base License | Per alcune funzioni di gestione centrale la licenza pura Base Firewall non è sufficiente. Ciò richiede una Subscription a pagamento o una licenza di supporto. |
| Reporting centrale più lungo | Central Firewall Reporting dipende dalla licenza, dallo spazio di archiviazione e dal periodo di conservazione. |
Soprattutto gli aggiornamenti del firmware rappresentano un ostacolo comune: un firewall può visualizzare un Base License valido e non avere ancora un’autorizzazione sufficiente per futuri aggiornamenti del firmware. Lo sfondo è descritto nel post del blog Sophos Firewall Gli aggiornamenti non saranno più gratuiti in futuro.
Appliance hardware
Con un dispositivo hardware XGS, Base License è collegato all’hardware o al numero di serie. The serial number is particularly important in operations because license status, support, RMA, account assignment and documentation depend on it.
Controlla:
- Il firewall è registrato nell’account Sophos corretto?
- Il numero di serie corrisponde all’ordine, ai documenti di licenza e al dispositivo?
- Esiste un supporto attivo o una licenza bundle?
- Gli Security-Subscriptions richiesti sono attivi?
- È chiaro quali aggiornamenti del firmware sono ancora possibili?
Il numero di serie può essere trovato in SFOS direttamente nel dashboard. La procedura è in trova il numero di serie di Sophos Firewall.
Firewall virtuali e basati su software
Per le istanze del firewall Sophos virtuali e basate su software, la licenza dipende maggiormente dall’istanza assegnata e dal numero di serie. A differenza dell’hardware, sull’etichetta del dispositivo non è presente alcun numero di serie fisico dell’appliance. L’assegnazione della licenza e dell’istanza deve quindi essere documentata in modo particolarmente chiaro.
Importante:
- Il numero di serie e il file di licenza appartengono all’istanza specifica.
- L’assegnazione dei conti deve essere corretta prima dell’operazione produttiva.
- La licenza e il supporto CPU-Core devono essere controllati separatamente.
- I backup non sostituiscono la documentazione pulita della licenza e del numero di serie.
- Durante la reinstallazione, Restore o la migrazione, deve essere chiaro quale istanza utilizza quale licenza.
Dal 2025, la licenza CPU-Core è stata particolarmente rilevante per le istanze firewall Sophos virtuali e basate su software; La RAM non è più il limite della licenza precedente. I dettagli sono elencati nell’articolo Sophos Firewall VM e SW - Conta solo la CPU - Nessun limite di RAM. Per la decisione di base sulla piattaforma, Sophos Firewall: hardware, virtuale o cloud? è adatto.
Cosa non dovresti ricavare da Base License
L’Base License non dice automaticamente che tutte le funzioni desiderate possano essere utilizzate in modo produttivo, siano supportate o abbiano diritto ad aggiornamenti. Sorgono molti malintesi perché nella visualizzazione della licenza vengono visualizzate diverse cose una accanto all’altra.
Non derivare da Base License:
- che gli aggiornamenti del firmware sono possibili in modo permanente senza supporto,
- che tutti i moduli di protezione siano attivi,
- che Web Protection, Mail Protection, Zero-Day Protection o altri Security-Module siano concessi in licenza,
- il supporto o RMA è coperto,
- che il firewall sia nell’account corretto,
- che la licenza HA e la sincronizzazione Subscription siano corrette.
Importante per gli aggiornamenti del firmware: Sophos ha già introdotto un requisito di supporto per futuri aggiornamenti del firmware con SFOS v19 MR1. I clienti senza supporto avevano un numero limitato di aggiornamenti aggiuntivi, dopo i quali è richiesto un supporto valido Subscription. Avanet ha classificato questa modifica in Sophos Firewall Gli aggiornamenti non saranno più gratuiti in futuro.
Inoltre, la modifica del 2025 è rilevante, poiché Sophos impone maggiori restrizioni ai firewall senza una licenza di supporto valida. La panoramica è disponibile in Sophos Firewall: Modifica importante per i clienti senza licenza di supporto.
Controlla lo stato della licenza in SFOS
Nell’WebAdmin Console locale è possibile verificare lo stato della licenza nell’area del prodotto o della licenza del firewall. Lì puoi vedere, tra le altre cose, numeri di serie, licenze registrate, tempi di esecuzione e informazioni su Subscriptions scaduti o mancanti.
Controlla:
- Apri il menu utente o prodotto in alto a destra.
- About product oppure aprire l’area prodotto/licenza.
- Documentare il numero di serie e il modello.
- Controllare Base Firewall / Base License.
- Controlla il supporto e Security-Subscriptions.
- Documentare le date di scadenza e gli avvisi.
- Se necessario, attivare la chiave di licenza o Subscription.
La procedura pratica per l’attivazione di una chiave di licenza è disponibile in Sophos Firewall Attivazione della chiave di licenza.
Documentare lo stato della licenza e del supporto
Per domande su licenza, supporto e Renewal, uno screenshot di Base License raramente è sufficiente. È necessario mantenere un piccolo set di dati di licenza per firewall per operazioni, casi di supporto, RMA, Restore o trasferimento di account.
| campo | Perché è importante |
|---|---|
| Numero di serie | Collega licenza, dispositivo, supporto, RMA e mappatura dell’account |
| Modello e piattaforma | Distingue XGS hardware, firewall virtuale, dispositivo software o distribuzione cloud |
| Account Sophos/Locatario centrale | Previene problemi di attivazione errata della licenza o di trasferimento dell’account |
| Base License Stato | Mostra se il firewall è sostanzialmente assegnato correttamente |
| Supporto/Pacchetto | Decide sull’aggiornamento, sul supporto e sulle domande Renewal |
| Security-Subscriptions | Mostra quali moduli di protezione possono effettivamente essere utilizzati |
| Date di scadenza | Importante per Renewal, budget e aggiornamenti firmware pianificati |
| Chiave master di backup e archiviazione sicura | Importante per Restore, casi di migrazione e supporto |
Questa documentazione non dovrebbe essere creata solo in caso di errore. Quando un firewall viene trasferito a un altro account, Sophos Firewall trasferito ad un altro account Sophos Central corrisponde. Se si tratta di un Restore, di una sostituzione hardware o di un Reimage, è necessario controllare anche l’articolo Sophos Firewall Creare o ripristinare il backup.
Data di scadenza di Base License
Nella visualizzazione della licenza, Base Firewall potrebbe apparire con una data di scadenza molto lontana nel futuro. Questo non deve essere confuso con supporto illimitato o aggiornabilità illimitata.
In pratica questo significa:
- L’Base License può rimanere visibile a lungo termine come base del firewall.
- Hardware, piattaforma e firmware hanno ancora i propri limiti del ciclo di vita.
- Gli aggiornamenti del firmware potrebbero richiedere un’autorizzazione di supporto valida.
- Le funzioni di sicurezza dipendono dall’Subscriptions attivo.
- Supporto, RMA e Renewal devono essere controllati separatamente.
Cosa dovrebbe essere controllato prima degli aggiornamenti e Renewals
Prima degli aggiornamenti del firmware, delle discussioni sull’Renewal o delle migrazioni, non dovresti guardare superficialmente lo stato della licenza. Un breve audit è meglio.
Lista di controllo:
- Numero di serie documentato.
- Firewall registrato nell’account Sophos corretto.
- Base License visibile.
- Licenza di supporto o licenza bundle attiva.
- Richiesto Security-Subscriptions attivo.
- Date di scadenza documentate.
- Cluster HA: verificata la sincronizzazione di entrambi i nodi e delle licenze.
- Firewall virtuale: CPU-Cores e assegnazione della licenza verificati.
- Backup disponibile prima del lavoro di licenza, aggiornamento o migrazione.
- Aggiornamento firmware pianificato controllato rispetto allo stato del supporto.
Per aggiornamenti più grandi, anche Sophos Firewall prima di SFOS 22 controlla l’aggiornamento aiuta. Per gli ambienti HA, configurazioneSophos Firewall High Availability (HA) è rilevante perché le licenze e i ruoli nel cluster devono essere chiaramente documentati.
Errori comuni
Confondi Base License con il supporto
Un Base License visibile non significa automaticamente che il supporto e gli aggiornamenti del firmware siano coperti. Lo stato del supporto deve essere controllato separatamente.
Security-Module non selezionare
Se una funzionalità non funziona o non è configurabile, non dovresti limitarti a guardare Base License. L’importante è se è attivo l’Subscription corrispondente e se è stata configurata anche la funzione.
Utilizza il numero di serie errato
Con più firewall, cluster HA, istanze virtuali o trasferimenti di account, sorge rapidamente confusione. Il numero di serie, l’account e i documenti di licenza devono corrispondere.
Documentare il firewall virtuale in modo incompleto
Per i firewall virtuali, è necessario documentare insieme la licenza, il numero di serie, il nome dell’istanza, l’hypervisor, CPU-Cores, il backup e l’account responsabile. Altrimenti un Restore o un caso di supporto diventerà inutilmente difficile.