Sophos Firewall Air-Gap-Lizenzierung und Pattern-Updates betreiben

Eine Sophos Firewall kann in besonders abgeschotteten Umgebungen ohne direkten Internetzugriff betrieben werden. Das ist kein normaler Offline-Modus, sondern ein bewusst geplanter Air-Gap-Betrieb mit eigener Lizenzlogik, manueller Synchronisation und separatem Updateprozess für Pattern.

Der wichtigste Punkt: Air Gap ist kein Weg, um eine Firewall einfach “ohne Internet” nebenbei zu betreiben. Man braucht vorab eine passende Freigabe, eine geclaimte Hardware-Firewall, einen klaren Updateprozess und eine regelmässige Kontrolle der Lizenz- und Pattern-Stände. Sonst läuft die Firewall zwar vielleicht weiter, aber Schutzfunktionen verlieren ihre Aktualität oder Subscriptions werden deaktiviert.

Für die allgemeine Lizenzlogik passt zuerst Sophos Firewall Base License verstehen. Dieser Artikel konzentriert sich auf den Sonderfall Air Gap.

Wann Air Gap sinnvoll ist

Air Gap passt nur zu Umgebungen, in denen die Firewall bewusst vom Internet getrennt betrieben wird. Typische Beispiele sind stark regulierte Netze, Forschungsumgebungen, Verteidigungsumgebungen, Produktionssegmente oder andere Zonen, in denen direkte Cloud- oder Updateverbindungen nicht erlaubt sind.

Vor der Entscheidung sollte man drei Fragen trennen:

Frage	Warum wichtig?
Darf die Firewall wirklich keinen Internetzugriff haben?	Wenn kontrollierter Internetzugriff möglich ist, ist normaler Lizenz- und Pattern-Sync meist einfacher und sicherer.
Wer übernimmt den manuellen Updateprozess?	Air Gap erzeugt Betriebsaufwand. Lizenzdateien und Pattern müssen bewusst gepflegt werden.
Welche Funktionen fallen weg oder werden schwächer?	Manche Funktionen benötigen Online-Dienste, Reputation, Sophos Central oder externe Auflösung.

Air Gap erhöht nicht automatisch die Sicherheit. Es reduziert eine bestimmte Verbindungsfläche, verschiebt aber Verantwortung auf Prozesse: Download, Prüfung, Transfer, Upload, Dokumentation und Monitoring.

Voraussetzungen

Vor der Installation sollte man diese Punkte klären:

Die Firewall muss als Air-Gap-Firewall in Sophos Central geclaimt sein.
Die Air-Gap-Nutzung muss über den Sophos Account Manager freigegeben sein.
Laut Sophos ist Air Gap für Hardware-Firewalls vorgesehen.
Die Umgebung darf nicht einfach nur temporär offline sein, sondern muss als isolierte Umgebung geplant sein.
Die Firewall darf nicht mit MSP-Flex-Lizenzierung in einem nicht passenden Modell betrieben werden.
Es braucht einen Admin-Zugang auf CLI und WebAdmin.
Es braucht einen sicheren Weg, Lizenz- und Pattern-Dateien in die isolierte Umgebung zu übertragen.

Vor der Umsetzung sollte man Seriennummer, Modell, Sophos Central Konto, Lizenzstatus und zuständige Person dokumentieren. Für Seriennummern und Lizenzgrundlagen helfen Sophos Firewall Lizenzschlüssel aktivieren und Seriennummer der Sophos Firewall finden.

Ablauf im Überblick

Der Air-Gap-Prozess besteht aus mehreren getrennten Schritten. Wenn einer davon fehlt, ist die Firewall nicht sauber im Air-Gap-Betrieb.

Schritt	Ort	Ergebnis
Firewall claimen	Sophos Central	Firewall ist dem richtigen Account zugeordnet
Air-Gap-Freigabe klären	Sophos Account Manager	Air-Gap-Berechtigung ist vorhanden
Air-Gap-Lizenz herunterladen	Sophos Central	Lizenzdatei liegt vor
Air Gap auf der Firewall aktivieren	CLI Device Console	Manual license synchronization wird sichtbar
Lizenzdatei hochladen	`Administration > Licensing`	Lizenzstatus wird lokal aktualisiert
Pattern-Updates einspielen	`Backup & firmware > Pattern updates`	Schutz-Pattern werden aktualisiert
Ablauf und Logs überwachen	WebAdmin, Alerts, `licensing.log`	Deaktivierung oder veraltete Pattern werden früh erkannt

Wichtig ist die Reihenfolge. Eine Lizenzdatei allein reicht nicht, wenn Air Gap auf der Firewall nicht aktiviert wurde. Umgekehrt bringt der CLI-Befehl nichts, wenn keine gültige Air-Gap-Lizenzdatei aus dem richtigen Account vorhanden ist.

Air-Gap-Lizenz herunterladen

Die Lizenzdatei wird in Sophos Central heruntergeladen. Der typische Pfad ist:

Sophos Central > Profil-Menü > Licensing > Firewall licenses > Download airgap license

Die Lizenzdatei sollte nach dem Download kontrolliert behandelt werden und gehört nicht in private Downloads, Messenger oder unklare Zwischenablagen. Sinnvoll ist ein kurzer interner Nachweis:

Download-Datum
Sophos Central Account
betroffene Firewall oder Firewall-Gruppe
Seriennummern
verantwortliche Person
geplanter Upload-Zeitpunkt

Sophos gibt vor, dass eine heruntergeladene Air-Gap-Lizenz innerhalb von 30 Tagen angewendet werden muss. Wird die Datei zu spät verwendet, sollte eine neue Datei heruntergeladen werden.

Air Gap auf der Firewall aktivieren

Damit die manuelle Lizenzsynchronisation im WebAdmin sichtbar wird, muss Air Gap auf der Firewall per CLI aktiviert werden.

Vorgehen:

An der Firewall-Konsole oder per SSH anmelden.
In der Sophos-Konsole 4 für Device Console auswählen.
Den Befehl ausführen:

system airgap enable

Danach sollte unter Administration > Licensing der Bereich Manual license synchronization sichtbar sein.

Dieser Schritt sollte dokumentiert werden. In produktiven Umgebungen gehört er in denselben Change wie der Upload der Lizenzdatei, damit später klar ist, wann Air Gap aktiviert wurde und welche Lizenzdatei dazu gehört.

Air-Gap-Lizenz hochladen

Nach der Aktivierung wird die Lizenzdatei im WebAdmin eingespielt.

Vorgehen:

An der WebAdmin Console anmelden.
Administration > Licensing öffnen.
Im Bereich Manual license synchronization Choose file auswählen.
Die Air-Gap-Lizenzdatei auswählen.
Mit Update license einspielen.
Lizenzstatus und Ablaufdaten kontrollieren.

Nach dem Upload sollte man prüfen, ob die erwarteten Subscriptions aktiv sind. Eine erfolgreiche Lizenzsynchronisation ersetzt keine Funktionsprüfung. Wenn Web Protection, IPS, Zero-Day Protection oder andere Module genutzt werden, müssen Policy, Pattern-Stand, Logging und Tests separat stimmen.

HA-Cluster: Initial Primary beachten

Bei Active-Passive-HA ist Air-Gap-Lizenzierung besonders heikel. Die Lizenzdatei sollte nur auf dem Initial Primary eingespielt werden. Dieses Gerät muss beim Upload auch der aktuelle Primary sein.

Wenn die Lizenz auf dem falschen Node hochgeladen wird, können Lizenzunterschiede oder unerwartetes HA-Verhalten entstehen. Für den Betrieb ist deshalb sinnvoll:

Vor dem Upload System services > High availability prüfen.
Initial Primary und aktuelle Rolle dokumentieren.
Initial Primary als Preferred primary device setzen.
Lizenzdatei auf dem richtigen Primary einspielen.
Danach HA-Status und Lizenzstatus kontrollieren.

Für die HA-Grundlagen und Rollenlogik passt Sophos Firewall High Availability einrichten. Bei Air Gap ist diese Vorarbeit nicht optional, weil der falsche Node später schwer verständliche Lizenz- oder Failover-Symptome erzeugen kann.

Pattern-Updates manuell einspielen

Ohne automatische Online-Updates müssen Pattern bewusst gepflegt werden. Das betrifft Signaturen, Engines, Clients und weitere Update-Komponenten. In Air-Gap-Umgebungen wird dafür eine Pattern-Datei heruntergeladen und im WebAdmin hochgeladen.

Für SFOS 22.0 und neuer verweist Sophos auf die Air-Gap-Pattern-Datei:

https://airgap.u2d.sophos.com/sfos_pattern_updates_v2.tar

Vorgehen:

Pattern-Datei auf einem dafür vorgesehenen System herunterladen.
Datei über den freigegebenen Transferweg in die isolierte Umgebung bringen.
An der Firewall anmelden.
Backup & firmware > Pattern updates > Manual pattern update öffnen.
Choose file auswählen.
Pattern-Datei hochladen.
Upload bestätigen und Update-Status prüfen.

In HA-Umgebungen werden Pattern auf dem Primary eingespielt und anschliessend auf den Auxiliary synchronisiert. Deshalb sollte auch hier zuerst der HA-Status geprüft werden.

Pattern-Stand kontrollieren

Ein Air-Gap-Betrieb ist nur so gut wie die Routine dahinter. Neue Pattern sind regelmässig verfügbar. Wenn die Firewall lange nicht aktualisiert wird, sinkt der Wert von IPS, Antivirus, Application Signatures und anderen Schutzfunktionen.

Praktische Kontrolle:

Kontrolle	Ort
Aktuelle Pattern-Versionen	`Backup & firmware > Pattern updates`
Letztes erfolgreiches Update	`Backup & firmware > Pattern updates`
Update-Status	Ready to install, Downloading, Success oder Failed
Lizenzstatus	`Administration > Licensing`
Lizenz- und Deaktivierungshinweise	`licensing.log`

Für eine allgemeine Betriebsprüfung passt zusätzlich Sophos Firewall Health Check richtig nutzen. Dort sollte Air Gap nicht als Ausnahme von Update-Hygiene verstanden werden, sondern als Sonderprozess für dieselbe Pflicht: Schutzfunktionen aktuell halten.

Lizenzablauf und Incommunicado-Fenster

Bei normaler Lizenzsynchronisation sind 90 Tage ohne erfolgreichen Sync kritisch. Bei Air-Gap-Lizenzen gilt ein längeres Fenster von 180 Tagen. Danach werden Security-Subscriptions deaktiviert; Base Firewall und Enhanced Support bleiben aktiv.

Für den Betrieb bedeutet das:

Spätestens ab Tag 160 sollte eine neue Air-Gap-Lizenzdatei vorbereitet werden.
Spätestens bei Warnmeldungen muss der Upload geplant werden.
Nach 180 Tagen ohne neue Air-Gap-Lizenz droht Deaktivierung von Schutz-Subscriptions.
Der Traffic kann weiterlaufen, aber ohne die betroffenen Schutzfunktionen.
Der Zustand sollte über WebAdmin, Alerts und licensing.log kontrolliert werden.

licensing.log ist bei Lizenzproblemen besonders wichtig. Eine Übersicht über relevante Firewall-Logs steht in Sophos Firewall Troubleshooting: Services und Logs.

Was in Air-Gap-Umgebungen eingeschränkt ist

Air Gap bedeutet, dass Online-Dienste nicht wie in einer normal angebundenen Firewall funktionieren. Einige Funktionen sind gar nicht unterstützt, andere verlieren einen Teil ihrer Wirkung.

Typische Grenzen:

Bereich	Einschränkung
Sophos Central Management	zentrale Verwaltung und Synchronized Security sind nicht wie in Online-Umgebungen nutzbar
Dynamic DNS	benötigt Internetverbindung
Externer NTP	funktioniert nur, wenn ein erreichbarer interner Zeitserver vorhanden ist
FQDN	sinnvoll nur mit interner DNS-Auflösung
RED Online Provisioning	benötigt Online-Provisionierung
Web und URL Categorization	ohne Online-Dienste nur mit lokal verfügbaren Kategorien und Signaturen eingeschränkt
Zero-Day Protection	benötigt Cloud-Anbindung und passt nicht zu klassischem Air Gap
Support Access	Remote-Support-Zugriff ist in isolierten Netzen nicht verfügbar

Dieser Punkt wird in Projekten gerne unterschätzt. Eine Air-Gap-Firewall kann nicht dieselbe Cloud-gestützte Schutzwirkung liefern wie eine normal angebundene Firewall. Deshalb sollte vor dem Design entschieden werden, welche Schutzfunktionen zwingend gebraucht werden und wie die fehlenden Online-Funktionen kompensiert werden: interne DNS- und NTP-Server, manuelle Pattern-Routine, Syslog, lokale Dokumentation und klarer Supportprozess.

Betriebsroutine festlegen

Für Air Gap braucht es einen festen Ablauf. Sonst werden Lizenz- und Pattern-Updates erst dann auffällig, wenn eine Warnung erscheint oder ein Schutzmodul nicht mehr aktuell ist.

Sinnvolle Routine:

Intervall	Aufgabe
Wöchentlich oder nach internem Risiko	Pattern-Datei prüfen, herunterladen und einspielen
Monatlich	Pattern-Stand, Lizenzstatus, HA-Status und Alerts dokumentieren
Spätestens ab Tag 160	neue Air-Gap-Lizenzdatei aus Sophos Central vorbereiten
Nach jedem Upload	Lizenzstatus, Pattern-Status, relevante Schutzmodule und HA-Sync prüfen
Bei jedem Firmwarefenster	Air-Gap-Prozess, Backup, Pattern und Rollback gemeinsam planen

Firmware-Updates bleiben ein eigener Prozess. Für die Durchführung passt Sophos Firewall Firmware Update durchführen, für Backup und Recovery Sophos Firewall Backup erstellen oder wiederherstellen.

Häufige Fehler

Air Gap erst nach der Installation klären

Air Gap sollte vor der Beschaffung und Installation geklärt werden. Wenn die Firewall schon produktiv isoliert läuft, aber keine passende Air-Gap-Freigabe oder Lizenzdatei vorhanden ist, entsteht unnötiger Druck.

Pattern-Updates als optional behandeln

Pattern-Updates sind in Air-Gap-Umgebungen nicht weniger wichtig, sondern betrieblich aufwendiger. Ohne Routine veralten Schutzfunktionen still.

HA-Rolle vor dem Lizenzupload ignorieren

Bei Active-Passive-HA muss der Initial Primary der richtige aktuelle Primary sein. Sonst kann der Lizenzstatus nach Failover oder Upload unklar werden.

Cloud-Funktionen voraussetzen

Zero-Day Protection, Sophos Central Management, Online-Reputation, RED Online Provisioning oder Support Access sollten in Air-Gap-Designs nicht stillschweigend eingeplant werden.

Lizenzwarnungen zu spät bearbeiten

Air-Gap-Lizenzen haben zwar ein 180-Tage-Fenster, aber der Prozess sollte nicht am letzten Tag beginnen. Download, Transfer, Change-Freigabe und Upload brauchen Zeit.

Checkliste

Air-Gap-Freigabe mit Sophos geklärt.
Firewall im richtigen Sophos Central Account geclaimt.
Seriennummer, Modell und Lizenzstatus dokumentiert.
Sichere Dateiübertragung in die isolierte Umgebung definiert.
system airgap enable ausgeführt und dokumentiert.
Air-Gap-Lizenz unter Administration > Licensing hochgeladen.
Bei HA: Initial Primary, aktueller Primary und Preferred Primary geprüft.
Pattern-Datei heruntergeladen und unter Backup & firmware > Pattern updates eingespielt.
Lizenzstatus, Pattern-Stand und licensing.log kontrolliert.
Betriebsroutine für Pattern, Lizenzdatei, HA-Status und Firmwarefenster festgelegt.

FAQ

Was ist Sophos Firewall Air Gap?

Air Gap ist ein Betriebsmodell für isolierte Sophos-Firewall-Umgebungen ohne direkten Internetzugriff. Lizenzierung und Pattern-Updates werden dabei manuell oder über einen separaten Air-Gap-Prozess gepflegt.

Wie aktiviert man Air Gap auf der Sophos Firewall?

Man aktiviert Air Gap in der Device Console mit system airgap enable. Danach erscheint unter Administration > Licensing der Bereich für manuelle Lizenzsynchronisation.

Wie lange ist eine Air-Gap-Lizenz gültig?

Für Air-Gap-Lizenzen gilt ein 180-Tage-Fenster ohne neue Synchronisation. Danach werden Security-Subscriptions deaktiviert, während Base Firewall und Enhanced Support aktiv bleiben.

Muss man Pattern in Air-Gap-Umgebungen manuell aktualisieren?

Ja, wenn keine automatisierte Air-Gap-Update-Lösung eingerichtet ist. Für SFOS 22.0 und neuer wird die Pattern-Datei heruntergeladen und unter Backup & firmware > Pattern updates > Manual pattern update hochgeladen.

Was ist bei Air Gap und HA wichtig?

Bei Active-Passive-HA sollte die Air-Gap-Lizenz auf dem Initial Primary eingespielt werden, während dieses Gerät auch aktueller Primary ist. Der Initial Primary sollte als Preferred Primary gesetzt sein.

Funktionieren alle Sophos-Firewall-Funktionen im Air-Gap-Betrieb?

Nein. Funktionen mit Cloud-, Online-Reputations-, Central- oder Remote-Support-Abhängigkeit sind nicht oder nur eingeschränkt nutzbar. Das muss vor dem Design geprüft werden.