Vai al contenuto
Avanet

Capire la Base License di Sophos Firewall

La Sophos Firewall Base License è la base di un Sophos Firewall. Risponde però solo alla domanda di base: questa istanza firewall è registrata e assegnata dal punto di vista delle licenze? Non è la stessa cosa di una licenza di supporto, un Security Bundle o una singola protezione Subscription.

Questa distinzione è importante in esercizio. Un firewall può mostrare una Base License visibile ed essere comunque limitato per firmware update, supporto, RMA, Sophos Central Firewall Management o determinate funzioni di sicurezza. Questa guida spiega come classificare la Base License, dove verificarla e quali punti non vanno trascurati prima di update, renewal, pianificazione HA o casi di supporto.

Quale articolo sulle licenze è adatto?

Le domande sulle licenze spesso sembrano simili, ma portano a decisioni diverse. Questo articolo è quello giusto quando si deve classificare una Base Firewall visibile nella vista licenze e capire cosa significa per supporto, firmware, HA, Central e Security-Subscriptions.

Per domande vicine sono più adatte altre guide: scelta del modello e classe di prestazioni rientrano nel Sophos Firewall Sizing Guide, le decisioni sui bundle nell’articolo sui Sophos Firewall Bundles, i firewall isolati nel processo per Air-Gap licensing e pattern updates, i cambi account nell’articolo sul trasferimento Sophos Central, e le domande hardware nella classificazione XG, XGS, EOL e migrazione.

Questa separazione evita il falso presupposto più importante: una Base License visibile non prova automaticamente supporto attivo, Security-Subscriptions adeguate, lifecycle valido o account ownership corretto. Per esercizio, renewal e casi di supporto, numero di serie, account, stato del supporto, bundle, date di scadenza e piattaforma vanno sempre verificati insieme.

Cos’è Base License

Base License identifica e autorizza l’installazione di base del firewall Sophos. Senza un’appropriata assegnazione di licenza e numero di serie, un’appliance o un’istanza virtuale non può essere utilizzata e gestita adeguatamente come un sistema firewall Sophos produttivo.

La distinzione è importante:

  • Base License: base dell’installazione firewall e autorizzazione di base.
  • Enhanced Support / Enhanced Plus Support: autorizzazione a supporto e aggiornamenti a seconda del modello di licenza.
  • Security-Subscription: moduli di protezione come Network, Web, Email, Zero-Day o altre funzioni licenziate.
  • Numero di serie: identità univoca della firewall per licenza, supporto, RMA e assegnazione account.

L’Base License non va quindi inteso come “tutto è concesso in licenza”. Viene data risposta solo a una parte della domanda sulla licenza.

Il percorso di verifica più importante in SFOS è Administration > Licensing. Qui si vedono registrazione, modello appliance, numero di serie, Base Firewall, stato del supporto, bundle, singole Subscriptions e date di scadenza. Su un firewall collegato online, SFOS normalmente sincronizza automaticamente le licenze con Sophos Central. Per una vista aggiornata si può eseguire Synchronize prima di trarre conclusioni sbagliate da una visualizzazione vecchia.

Classificazione rapida in esercizio

Nell’operatività quotidiana aiuta una classificazione semplice. La Base License risponde solo alla domanda se il firewall è assegnato come istanza Sophos Firewall. Subito dopo viene la vera domanda operativa: esiste il diritto corretto per ciò che si vuole fare?

Se il firewall deve solo fare routing, applicare regole semplici o fornire VPN, la Base License è il punto di partenza. Appena diventano importanti firmware upgrade, supporto del produttore, RMA, IPS, Web Protection, Zero-Day Protection, WAF, Central Firewall Management o reporting più lungo, occorre verificare separatamente la rispettiva subscription di supporto, bundle o sicurezza.

Nei cluster HA non basta nemmeno guardare una sola riga di licenza. Ruoli, numeri di serie, tipo di piattaforma, sincronizzazione delle Subscriptions e modello di supporto determinano insieme se failover, RMA e gestione centrale funzionano correttamente in caso serio. Nei firewall virtuali e software si aggiungono licenza CPU core, assegnazione dell’istanza e scenario di restore.

Questa decisione rapida non sostituisce una verifica della licenza, ma evita l’errore più frequente: vedere una Base License valida e presumere che anche supporto, moduli di protezione e possibilità di aggiornamento siano chiariti.

Cosa è incluso nella Base License

Nella visualizzazione della licenza ufficiale, Sophos assegna Base License alle funzioni di base Stateful Firewall, VPN, Wireless, High Availability e Firewall RED. Ciò che in pratica è importante è cosa significa: il firewall può essere utilizzato sostanzialmente come router, firewall e gateway VPN, ma senza Security-Subscriptions aggiuntivo mancano molte funzioni di protezione e supporto.

Funzioni tipiche di Base License:

  • Stateful Firewall: regole firewall, zone, servizi, host, NAT e controllo policy di base. La regola può consentire o bloccare traffico. Moduli di protezione come IPS, Web Protection o Zero-Day Protection non sono automaticamente licenziati.
  • Routing e rete: interfacce, VLAN, rotte statiche, rotte SD-WAN, DHCP, DNS e servizi di rete di base. La firewall può funzionare come router centrale. La verifica di sicurezza del traffico dipende da moduli aggiuntivi.
  • VPN: Site-to-Site IPsec, Remote Access IPsec e SSL VPN. La funzionalità VPN è sostanzialmente possibile. MFA, accesso ai portali, Device Access e logging vanno comunque pianificati separatamente.
  • Firewall RED: significa le funzioni RED del firewall, in particolare Site-to-Site RED tra Sophos Firewall. Non è la stessa cosa di SD-RED Device Management o dei tunnel SD-RED verso dispositivi SD-RED.
  • Wireless: gestione di access point Sophos compatibili tramite la firewall. Non è la stessa cosa della moderna architettura Sophos Central Wireless. Molti ambienti oggi usano altri sistemi WLAN.
  • High Availability: funzionamento HA di Sophos Firewall. Licenze e ruoli devono essere verificati separatamente per i cluster HA, soprattutto con Active-Passive e sincronizzazione delle Subscription.
  • Log e report locali: eventi locali, Log Viewer e report semplici. Per conservazione più lunga, ricerca centrale o reporting servono, a seconda dell’obiettivo, Sophos Central Reporting, Syslog o SIEM.

Ciò significa che Base License è principalmente la base tecnica per il funzionamento. Ciò trasforma un’appliance o un’istanza in un Sophos Firewall utilizzabile, ma non in un pacchetto di protezione con licenza completa.

Cosa non è compreso nella Base License

Spesso sorge la domanda se con Base License siano inclusi anche aggiornamenti firmware, supporto o tutte le funzioni di sicurezza. Non è proprio così.

  • Firmware upgrade senza autorizzazione al supporto: Sophos consente tre firmware upgrade gratuiti. Dopo serve una valida autorizzazione di supporto o bundle. La Base License da sola quindi non è una strategia di update affidabile.
  • Supporto produttore tramite Sophos Case, chat o telefono: il supporto è legato a Enhanced Support, Enhanced Plus Support o a un bundle adatto.
  • SD-RED e Network Protection: SD-RED Device Management e i tunnel SD-RED verso dispositivi SD-RED non dovrebbero essere pianificati come funzioni della Base License. Richiedono la Subscription Network Protection corretta.
  • IPS / Network Protection: Intrusion Prevention, Sophos X-Ops Threat Feeds e Security Heartbeat richiedono anch’essi Network Protection.
  • Web Protection e Application Control: web filtering, Application Control e controllo malware web non sono funzioni puramente Base License.
  • Zero-Day Protection: sandboxing, Machine Learning e Threat Intelligence richiedono una licenza corrispondente.
  • Email Protection: anti-spam, antivirus, DLP, cifratura e protezione mail malware sono licenziati separatamente.
  • Webserver Protection / WAF: Web Application Firewall è una funzione di protezione propria e non fa parte della Base License.
  • Sophos Central Firewall Management solo con Base License: la pura licenza Base Firewall non basta per Central Firewall Management. Serve una Subscription a pagamento attiva fuori dalla Base License oppure un contratto di supporto attivo.
  • Reporting centrale più lungo: Central Firewall Reporting dipende da licenza, spazio e durata di conservazione.

I firmware upgrade sono un ostacolo frequente: un firewall può mostrare una Base License valida e non avere comunque un diritto sufficiente per altri firmware upgrade pianificati. Il contesto è descritto nel post del blog Sophos Firewall Gli aggiornamenti non saranno più gratuiti in futuro.

Appliance hardware

Con una appliance hardware XGS, la Base License è collegata all’hardware o al numero di serie. Le appliance hardware hanno generalmente la Base Firewall come base del dispositivo. L’utilizzabilità pratica dipende comunque da lifecycle, supporto, bundle, date di scadenza e assegnazione account.

Il numero di serie è particolarmente importante in esercizio, perché stato della licenza, supporto, RMA, assegnazione account e documentazione dipendono da esso.

Controlla:

  • Il firewall è registrato nell’account Sophos corretto?
  • Il numero di serie corrisponde all’ordine, ai documenti di licenza e al dispositivo?
  • Esiste un supporto attivo o una licenza bundle?
  • Gli Security-Subscriptions richiesti sono attivi?
  • È chiaro quali aggiornamenti del firmware sono ancora possibili?
  • L’hardware è ancora nel lifecycle supportato?

Il numero di serie può essere trovato in SFOS direttamente nel dashboard. La procedura è in trova il numero di serie di Sophos Firewall.

Firewall virtuali e basati su software

Per le istanze Sophos Firewall virtuali, software e cloud, la licenza dipende maggiormente dall’istanza assegnata e dal numero di serie. A differenza dell’hardware, non esiste un numero di serie fisico dell’appliance su un’etichetta del dispositivo. L’assegnazione della licenza e dell’istanza deve quindi essere documentata con particolare cura.

Importante:

  • Il numero di serie e il file di licenza appartengono all’istanza specifica.
  • L’assegnazione dei conti deve essere corretta prima dell’operazione produttiva.
  • CPU-Core licensing, Base Firewall e supporto devono essere controllati separatamente.
  • I backup non sostituiscono la documentazione pulita della licenza e del numero di serie.
  • Durante la reinstallazione, Restore o la migrazione, deve essere chiaro quale istanza utilizza quale licenza.

Dal 2025, la licenza CPU-Core è stata particolarmente rilevante per le istanze firewall Sophos virtuali e basate su software; La RAM non è più il limite della licenza precedente. I dettagli sono elencati nell’articolo Sophos Firewall VM e SW - Conta solo la CPU - Nessun limite di RAM. Per la decisione di base sulla piattaforma, Sophos Firewall: hardware, virtuale o cloud? è adatto.

Per HA, la distinzione è importante: in Active-Passive HA, nei firewall virtuali e software solo l’istanza Primary necessita della Base Firewall e delle altre licenze. In Active-Active HA, entrambi i dispositivi o istanze hanno bisogno di licenze proprie adeguate. In hardware HA valgono inoltre dettagli RMA e supporto che non si possono dedurre dalla sola Base License. Per Sophos Central Firewall Management, inoltre, la semplice sincronizzazione delle licenze non basta; i firewall devono essere registrati per Firewall Management e avere una Subscription a pagamento adeguata o una licenza di supporto.

Cosa non dovresti ricavare da Base License

L’Base License non dice automaticamente che tutte le funzioni desiderate possano essere utilizzate in modo produttivo, siano supportate o abbiano diritto ad aggiornamenti. Sorgono molti malintesi perché nella visualizzazione della licenza vengono visualizzate diverse cose una accanto all’altra.

Non derivare da Base License:

  • che gli aggiornamenti del firmware sono possibili in modo permanente senza supporto,
  • che tutti i moduli di protezione siano attivi,
  • che Web Protection, Mail Protection, Zero-Day Protection o altri Security-Module siano concessi in licenza,
  • il supporto o RMA è coperto,
  • che il firewall sia nell’account corretto,
  • che la licenza HA e la sincronizzazione Subscription siano corrette.

Importante per gli aggiornamenti del firmware: Sophos ha già introdotto un requisito di supporto per futuri firmware upgrade con SFOS v19 MR1. I clienti senza supporto hanno tre firmware upgrade gratuiti; dopo è richiesta una Support Subscription valida. Avanet ha classificato questa modifica in Sophos Firewall Gli aggiornamenti non saranno più gratuiti in futuro.

Inoltre, la modifica del 2025 è rilevante, poiché Sophos impone maggiori restrizioni ai firewall senza una licenza di supporto valida. La panoramica è disponibile in Sophos Firewall: Modifica importante per i clienti senza licenza di supporto.

Controllare correttamente lo stato della licenza

Nella WebAdmin Console locale si controlla lo stato della licenza sotto Administration > Licensing. Lì si vedono tra l’altro numero di serie, licenze registrate, durate e avvisi su Subscriptions scadute o mancanti. Il punto non è solo se da qualche parte compare Base Firewall. È decisivo se le licenze visualizzate sono adatte all’operazione pianificata.

Controlla:

  1. Accedere a Sophos Firewall.
  2. Aprire Administration > Licensing.
  3. Documentare il numero di serie e il modello.
  4. Controllare Base Firewall / Base License.
  5. Controlla il supporto e Security-Subscriptions.
  6. Classificare valori di stato come Subscribed, Evaluating, Not subscribed o Expired.
  7. Documentare date di scadenza e avvisi.
  8. Se necessario, eseguire Synchronize per recuperare lo stato attuale da Sophos Central.
  9. Se necessario, attivare una chiave di licenza o una Subscription.

La procedura pratica per l’attivazione di una chiave di licenza è disponibile in Sophos Firewall Attivazione della chiave di licenza.

Documentare lo stato della licenza e del supporto

Per domande su licenza, supporto e Renewal, uno screenshot di Base License raramente è sufficiente. È necessario mantenere un piccolo set di dati di licenza per firewall per operazioni, casi di supporto, RMA, Restore o trasferimento di account.

  • Numero di serie: collega licenza, dispositivo, supporto, RMA e assegnazione account.
  • Modello e piattaforma: distingue hardware XGS, firewall virtuale, appliance software o cloud deployment.
  • Sophos Account / Central Tenant: evita attivazioni di licenza errate o problemi nel trasferimento account.
  • Stato Base License: mostra se la firewall è sostanzialmente assegnata correttamente.
  • Supporto / Bundle: decide su aggiornamenti, supporto e domande di renewal.
  • Security-Subscriptions: mostra quali moduli di protezione sono realmente utilizzabili.
  • Date di scadenza: importanti per renewal, budget e firmware upgrade pianificati.
  • Backup e Secure Storage Master Key: importanti per restore, migrazione e casi di supporto.

Questa documentazione non dovrebbe essere creata solo in caso di errore. Quando un firewall viene trasferito a un altro account, Sophos Firewall trasferito ad un altro account Sophos Central corrisponde. Se si tratta di un Restore, di una sostituzione hardware o di un Reimage, è necessario controllare anche l’articolo Sophos Firewall Creare o ripristinare il backup.

Data di scadenza di Base License

Sophos Firewall Panoramica della licenza con data di scadenza Base Firewall
L’Base Firewall potrebbe apparire nella panoramica della licenza con una data di scadenza lontana nel futuro. Il supporto, Subscriptions e il ciclo di vita della piattaforma sono ancora cruciali.

Nella visualizzazione della licenza, Base Firewall potrebbe apparire con una data di scadenza molto lontana nel futuro. Questo non deve essere confuso con supporto illimitato o aggiornabilità illimitata.

In pratica questo significa:

  • L’Base License può rimanere visibile a lungo termine come base del firewall.
  • Hardware, piattaforma e firmware hanno ancora i propri limiti del ciclo di vita.
  • Gli aggiornamenti del firmware potrebbero richiedere un’autorizzazione di supporto valida.
  • Le funzioni di sicurezza dipendono dall’Subscriptions attivo.
  • Supporto, RMA e Renewal devono essere controllati separatamente.

Per firewall cloud, virtuali e software, Sophos indica che la Base Firewall non scade come una normale Protection Subscription. Per appliance hardware, invece, lo stato Base Firewall è collegato al lifecycle hardware. Per questo una data di scadenza molto lontana non va mai valutata isolatamente: modello, stato EOL, versione SFOS, supporto e Security-Subscriptions appartengono sempre alla stessa verifica.

Quando la Base Firewall scade davvero

Uno stato Base Firewall scaduto non è un semplice avviso cosmetico di licenza. La configurazione rimane visibile e può in parte ancora essere modificata, ma l’enforcement cambia in modo massiccio.

Sophos descrive tra l’altro questo comportamento per una Base Firewall scaduta: le regole firewall non vengono più elaborate, determinate direzioni di traffico LAN/DMZ-verso-WAN o interne vengono consentite come con un semplice router, altro traffico rimane bloccato, i tunnel VPN possono restare stabiliti ma non trasportano più traffico utile, e NAT rules, Site-to-Site-RED tunnels, Remote Access Points e Wireless Networks non funzionano più come previsto. Proprio per questo un avviso Base Firewall non dovrebbe essere guardato solo nella successiva discussione di renewal.

La distinzione è importante: un Security-Module scaduto non è la stessa cosa di una Base Firewall scaduta. Se per esempio scade Web Protection, Zero-Day Protection o Webserver Protection, il firewall non perde automaticamente ogni funzione di base, ma la funzione di protezione o enforcement interessata viene meno o funziona solo in modo limitato. L’analisi inizia quindi sempre con la domanda su quale licenza sia davvero scaduta.

Per gli admin significa in pratica:

  • Controllare lo stato della licenza sotto Administration > Licensing.
  • Controllare numero di serie, account Sophos Central e assegnazione account.
  • Verificare se si tratta di un normale problema di online sync, un tema Air-Gap, un problema HA o una reale scadenza della licenza.
  • Nei sistemi produttivi avviare subito il processo di supporto, renewal o partner.

Se un firewall viene gestito isolato, il normale sync di 24 ore non è il metro corretto. In quel caso il processo Air-Gap con file di licenza, upload manuale e routine pattern rientra nella responsabilità operativa.

Cosa controllare prima degli aggiornamenti e dei renewal

Prima degli aggiornamenti del firmware, delle discussioni sull’Renewal o delle migrazioni, non dovresti guardare superficialmente lo stato della licenza. Un breve audit è meglio.

Prima si documentano numero di serie, modello, piattaforma, account Sophos e Base License. Poi si controllano licenza di supporto o bundle, Security-Subscriptions necessarie, date di scadenza e avvisi. Nei cluster HA fanno parte della verifica entrambi i nodi, ruoli e sincronizzazione delle licenze; nei firewall virtuali si aggiungono CPU-Cores, assegnazione dell’istanza e scenario di restore.

Prima di un firmware upgrade non si dovrebbe confidare nel fatto che una voce Base Firewall visibile sia sufficiente. È utile combinare backup attuale, stato del supporto verificato, versione target nota, finestra di manutenzione e un breve piano di fallback. I firmware upgrade gratuiti senza supporto sono al massimo una situazione transitoria, non una strategia operativa pulita.

Per aggiornamenti più grandi, anche Sophos Firewall prima di SFOS 22 controlla l’aggiornamento aiuta. Per gli ambienti HA, configurazioneSophos Firewall High Availability (HA) è rilevante perché le licenze e i ruoli nel cluster devono essere chiaramente documentati.

Errori comuni

Confondere Base License con il supporto

Un Base License visibile non significa automaticamente che il supporto e gli aggiornamenti del firmware siano coperti. Lo stato del supporto deve essere controllato separatamente.

Non controllare i moduli di sicurezza

Se una funzionalità non funziona o non è configurabile, non dovresti limitarti a guardare Base License. L’importante è se è attivo l’Subscription corrispondente e se è stata configurata anche la funzione.

Usare il numero di serie errato

Con più firewall, cluster HA, istanze virtuali o trasferimenti di account, sorge rapidamente confusione. Il numero di serie, l’account e i documenti di licenza devono corrispondere.

Documentare il firewall virtuale in modo incompleto

Per i firewall virtuali, è necessario documentare insieme la licenza, il numero di serie, il nome dell’istanza, l’hypervisor, CPU-Cores, il backup e l’account responsabile. Altrimenti un Restore o un caso di supporto diventerà inutilmente difficile.

Domande frequenti

Sophos Firewall Base License è una licenza di supporto?

No. Base License è la base del firewall. Supporto, aggiornamenti firmware e Security-Subscriptions devono essere controllati separatamente.

È possibile installare gli aggiornamenti del firmware con Base License?

Non permanentemente senza restrizioni. A partire da SFOS v19 MR1, Sophos richiede una Support Subscription valida per futuri firmware upgrade una volta esauriti i tre firmware upgrade gratuiti.

Dove si vede Base License?

Nella WebAdmin Console locale sotto Administration > Licensing. Lì si dovrebbero controllare anche numero di serie, stato del supporto, Subscriptions, date di scadenza ed eventuali avvisi di sincronizzazione.

Cosa c'è di diverso nei firewall virtuali?

I firewall virtuali non dispongono di un numero di serie dell’appliance fisica sull’etichetta del dispositivo. La licenza, il numero di serie, l’istanza e l’assegnazione dell’account devono quindi essere documentati in modo particolarmente chiaro.

Base License è sufficiente per un'operazione produttiva?

Per un funzionamento produttivo sicuro non dovreste considerare solo Base License. I fattori decisivi sono lo stato del supporto, la versione del firmware, l’Security-Subscriptions richiesto, il backup, il monitoraggio e il ciclo di vita della piattaforma.