Sophos Firewall Base License verstehen
Die Sophos Firewall Base License ist die Grundlage einer Sophos Firewall. Beantwortet wird aber nur die Basisfrage: Ist diese Firewall-Instanz grundsätzlich registriert und lizenzseitig zugeordnet? Das ist nicht dasselbe wie eine Support-Lizenz, ein Security-Bundle oder eine einzelne Schutz-Subscription.
Genau diese Unterscheidung ist im Betrieb wichtig. Eine Firewall kann eine sichtbare Base License haben und trotzdem bei Firmware-Updates, Support, RMA, Sophos Central Firewall Management oder bestimmten Security-Funktionen eingeschränkt sein. Diese Anleitung erklärt, wie man die Base License einordnet, wo man sie prüft und welche Punkte vor Updates, Renewals, HA-Planung oder Supportfällen nicht übersehen werden sollten.
Welcher Lizenz-Artikel passt?
Lizenzfragen klingen oft ähnlich, führen aber zu unterschiedlichen Entscheidungen. Dieser Artikel ist richtig, wenn man eine sichtbare Base Firewall in der Lizenzansicht einordnen muss und wissen möchte, was daraus für Support, Firmware, HA, Central und Security-Subscriptions folgt.
Für angrenzende Fragen passen andere Anleitungen besser: Modellwahl und Leistungsklasse gehören in den Sophos Firewall Sizing Guide, Bundle-Entscheidungen in den Artikel zu Sophos Firewall Bundles, isolierte Firewalls in den Ablauf für Air-Gap-Lizenzierung und Pattern-Updates, Account-Wechsel in den Artikel zum Sophos-Central-Transfer, und Hardwarefragen in die Einordnung zu XG, XGS, EOL und Migration.
Diese Trennung verhindert die wichtigste Fehlannahme: Eine sichtbare Base License beweist nicht automatisch aktiven Support, passende Security-Subscriptions, gültigen Lifecycle oder korrektes Account-Ownership. Für Betrieb, Renewal und Supportfall sollten Seriennummer, Account, Supportstatus, Bundle, Ablaufdaten und Plattform immer zusammen geprüft werden.
Was die Base License ist
Die Base License identifiziert und berechtigt die grundlegende Sophos-Firewall-Installation. Ohne passende Lizenz- und Seriennummernzuordnung kann eine Appliance oder virtuelle Instanz nicht sauber als produktives Sophos-Firewall-System betrieben und verwaltet werden.
Wichtig ist die Abgrenzung:
- Base License: Grundlage der Firewall-Installation und Basisberechtigung.
- Enhanced Support / Enhanced Plus Support: Support- und Updateberechtigung je nach Lizenzmodell.
- Security-Subscription: Schutzmodule wie Network, Web, Email, Zero-Day oder andere lizenzierte Funktionen.
- Seriennummer: eindeutige Identität der Firewall für Lizenz, Support, RMA und Account-Zuordnung.
Die Base License sollte deshalb nicht als “alles ist lizenziert” verstanden werden. Beantwortet wird nur ein Teil der Lizenzfrage.
Der wichtigste Prüfpfad in SFOS ist Administration > Licensing. Dort sieht man Registrierung, Appliance-Modell, Seriennummer, Base Firewall, Supportstatus, Bundles, einzelne Subscriptions und Ablaufdaten. Bei einer online angebundenen Firewall synchronisiert SFOS die Lizenzen normalerweise automatisch mit Sophos Central. Für eine aktuelle Sicht kann man dort Synchronize ausführen, bevor aus einer alten Anzeige falsche Schlüsse gezogen werden.
Die schnelle Betriebseinordnung
Für den Alltag hilft eine einfache Einordnung. Die Base License beantwortet nur die Frage, ob die Firewall grundsätzlich als Sophos-Firewall-Instanz zugeordnet ist. Danach folgt die eigentliche Betriebsfrage: Gibt es die passende Berechtigung für das, was man gerade tun möchte?
Wenn die Firewall nur routen, einfache Regeln anwenden oder VPN bereitstellen soll, ist die Base License der Startpunkt. Sobald Firmware-Upgrades, Herstellersupport, RMA, IPS, Web Protection, Zero-Day Protection, WAF, Central Firewall Management oder längeres Reporting wichtig werden, muss man die jeweilige Support-, Bundle- oder Security-Subscription separat prüfen.
Bei HA-Clustern reicht ein Blick auf die eine Lizenzzeile ebenfalls nicht aus. Rollen, Seriennummern, Plattformtyp, Subscription-Synchronisation und Supportmodell entscheiden gemeinsam, ob Failover, RMA und zentrale Verwaltung im Ernstfall sauber funktionieren. Bei virtuellen und softwarebasierten Firewalls kommen CPU-Core-Lizenzierung, Instanzzuordnung und Restore-Szenario dazu.
Diese Kurzentscheidung ersetzt keine Lizenzprüfung, verhindert aber den häufigsten Fehler: Man sieht eine gültige Base License und nimmt an, dass damit auch Support, Schutzmodule und Updatefähigkeit geklärt sind.
Was in der Base License enthalten ist
In der offiziellen Lizenzansicht ordnet Sophos die Base License den Grundfunktionen Stateful Firewall, VPN, Wireless, High Availability und Firewall RED zu. Für die Praxis ist wichtig, was damit gemeint ist: Die Firewall kann grundsätzlich als Router, Firewall und VPN-Gateway betrieben werden, aber ohne zusätzliche Security-Subscriptions fehlen viele Schutz- und Supportfunktionen.
Typische Funktionen der Base License:
- Stateful Firewall: Firewall-Regeln, Zonen, Services, Hosts, NAT und grundlegende Policy-Steuerung. Die Regel kann Traffic erlauben oder blockieren. Schutzmodule wie IPS, Web Protection oder Zero-Day Protection sind damit noch nicht automatisch lizenziert.
- Routing und Netzwerk: Interfaces, VLANs, statische Routen, SD-WAN-Routen, DHCP, DNS und grundlegende Netzwerkdienste. Die Firewall kann als zentraler Netzwerkrouter arbeiten. Sicherheitsprüfung des Traffics hängt von zusätzlichen Modulen ab.
- VPN: Site-to-Site IPsec, Remote Access IPsec und SSL VPN. VPN-Funktionalität ist grundsätzlich möglich. MFA, Portalzugriff, Device Access und Logging sollten trotzdem separat sauber geplant werden.
- Firewall RED: Gemeint sind RED-Funktionen der Firewall, insbesondere Site-to-Site RED zwischen Sophos Firewalls. Das ist nicht dasselbe wie SD-RED Device Management oder SD-RED-Tunnel zu SD-RED-Geräten.
- Wireless: Verwaltung kompatibler Sophos Access Points über die Firewall. Das ist nicht dasselbe wie moderne Sophos Central Wireless Architektur. Viele Umgebungen setzen heute andere WLAN-Systeme ein.
- High Availability: HA-Betrieb der Sophos Firewall. Lizenzierung und Rollen müssen bei HA-Clustern separat sauber geprüft werden, besonders bei Active-Passive und Subscription-Synchronisation.
- Lokale Logs und Reports: Lokale Ereignisse, Log Viewer und einfache Reports. Für längere Aufbewahrung, zentrale Suche oder Reporting braucht es je nach Ziel Sophos Central Reporting, Syslog oder SIEM.
Damit ist die Base License vor allem die technische Betriebsgrundlage. Aus einer Appliance oder Instanz wird damit eine nutzbare Sophos Firewall, aber kein vollständig lizenziertes Schutzpaket.
Was nicht in der Base License enthalten ist
Sehr häufig entsteht die Frage, ob man mit der Base License auch Firmware-Updates, Support oder alle Security-Funktionen erhält. Genau das ist nicht der Fall.
- Firmware-Upgrades ohne Supportberechtigung: Sophos erlaubt drei freie Firmware-Upgrades. Danach braucht es eine gültige Support- beziehungsweise Bundle-Berechtigung. Die Base License allein ist deshalb keine verlässliche Update-Strategie.
- Herstellersupport über Sophos Case, Chat oder Telefon: Support ist an Enhanced Support, Enhanced Plus Support oder ein passendes Bundle gebunden.
- SD-RED und Network Protection: SD-RED Device Management und SD-RED-Tunnel zu SD-RED-Geräten sollten nicht als Base-License-Funktion eingeplant werden. Dafür braucht es die passende Network-Protection-Subscription.
- IPS / Network Protection: Intrusion Prevention, Sophos X-Ops Threat Feeds und Security Heartbeat benötigen ebenfalls Network Protection.
- Web Protection und Application Control: Webfilter, Application Control und Web-Malware-Prüfung sind keine reine Base-License-Funktion.
- Zero-Day Protection: Sandboxing, Machine Learning und Threat Intelligence benötigen eine entsprechende Lizenz.
- Email Protection: Anti-Spam, Antivirus, DLP, Verschlüsselung und Mail-Malware-Schutz sind separat lizenziert.
- Webserver Protection / WAF: Web Application Firewall ist eine eigene Schutzfunktion und nicht Bestandteil der Base License.
- Sophos Central Firewall Management nur mit Base License: Die reine Base Firewall Lizenz reicht für Central Firewall Management nicht aus. Dafür braucht es eine aktive bezahlte Subscription ausserhalb der Base License oder einen aktiven Supportvertrag.
- Längeres zentrales Reporting: Central Firewall Reporting hängt von Lizenz, Speicher und Aufbewahrungsdauer ab.
Gerade Firmware-Upgrades sind ein häufiger Stolperstein: Eine Firewall kann eine gültige Base License anzeigen und trotzdem keine ausreichende Berechtigung für weitere geplante Firmware-Upgrades haben. Die Hintergründe sind im Blogpost Sophos Firewall Updates zukünftig nicht mehr kostenlos beschrieben.
Hardware Appliance
Bei einer XGS Hardware Appliance ist die Base License an die Hardware beziehungsweise Seriennummer gekoppelt. Hardware-Appliances haben die Base Firewall grundsätzlich als Gerätebasis. Trotzdem hängt die praktische Nutzbarkeit von Lifecycle, Support, Bundle, Ablaufdaten und Account-Zuordnung ab.
Die Seriennummer ist im Betrieb besonders wichtig, weil Lizenzstatus, Support, RMA, Account-Zuordnung und Dokumentation daran hängen.
Prüfen:
- Ist die Firewall im richtigen Sophos-Account registriert?
- Stimmt die Seriennummer mit Bestellung, Lizenzunterlagen und Gerät überein?
- Gibt es eine aktive Support- oder Bundle-Lizenz?
- Sind benötigte Security-Subscriptions aktiv?
- Ist klar, welche Firmware-Updates noch möglich sind?
- Ist die Hardware selbst noch im unterstützten Lifecycle?
Die Seriennummer findet man in SFOS direkt im Dashboard. Der Ablauf steht in Seriennummer der Sophos Firewall finden.
Virtuelle und softwarebasierte Firewalls
Bei virtuellen, softwarebasierten und Cloud-Sophos-Firewall-Instanzen ist die Lizenzierung stärker von der zugewiesenen Instanz und Seriennummer abhängig. Anders als bei Hardware gibt es keine physische Appliance-Seriennummer auf einem Geräteetikett. Die Lizenz- und Instanzzuordnung muss deshalb besonders sauber dokumentiert werden.
Wichtig:
- Seriennummer und Lizenzdatei gehören zur konkreten Instanz.
- Account-Zuordnung muss vor produktivem Betrieb stimmen.
- CPU-Core-Lizenzierung, Base Firewall und Support müssen getrennt geprüft werden.
- Backups ersetzen keine saubere Lizenz- und Seriennummerndokumentation.
- Bei Neuinstallation, Restore oder Migration muss klar sein, welche Instanz welche Lizenz verwendet.
Seit 2025 ist bei virtuellen und softwarebasierten Sophos-Firewall-Instanzen besonders die CPU-Core-Lizenzierung relevant; RAM ist nicht mehr die frühere Lizenzgrenze. Die Details sind im Artikel Sophos Firewall VM & SW - Nur CPU zählt - Kein RAM Limit mehr eingeordnet. Für die grundsätzliche Plattformentscheidung passt Sophos Firewall: Hardware, virtuell oder Cloud?.
Für HA ist die Unterscheidung wichtig: Bei Active-Passive-HA braucht bei virtuellen und softwarebasierten Firewalls nur die Primary-Instanz die Base Firewall und die weiteren Lizenzen. Bei Active-Active-HA benötigen beide Geräte beziehungsweise Instanzen eigene passende Lizenzen. Bei Hardware-HA gelten zusätzlich RMA- und Supportdetails, die nicht aus der Base License allein ableitbar sind. Für Sophos Central Firewall Management ist ausserdem die reine Lizenzsynchronisation nicht genug; die Firewalls müssen für Firewall Management registriert sein und eine passende bezahlte Subscription oder Supportlizenz haben.
Was man nicht aus der Base License ableiten sollte
Die Base License sagt nicht automatisch, dass alle gewünschten Funktionen produktiv nutzbar, supportet oder updateberechtigt sind. Viele Missverständnisse entstehen, weil in der Lizenzansicht mehrere Dinge nebeneinander stehen.
Nicht aus der Base License ableiten:
- dass Firmware-Updates ohne Support dauerhaft möglich sind,
- dass alle Schutzmodule aktiv sind,
- dass Web Protection, Mail Protection, Zero-Day Protection oder andere Security-Module lizenziert sind,
- dass Support oder RMA abgedeckt ist,
- dass die Firewall im richtigen Account liegt,
- dass HA-Lizenzierung und Subscription-Synchronisation korrekt sind.
Für Firmware-Updates ist wichtig: Sophos hat bereits mit SFOS v19 MR1 eine Supportanforderung für zukünftige Firmware-Upgrades eingeführt. Kunden ohne Support haben drei freie Firmware-Upgrades, danach wird eine gültige Support-Subscription benötigt. Avanet hat diese Änderung in Sophos Firewall Updates zukünftig nicht mehr kostenlos eingeordnet.
Zusätzlich ist die 2025er Änderung relevant, bei der Sophos Firewalls ohne gültige Supportlizenz stärker einschränkt. Der Überblick steht in Sophos Firewall: Wichtige Änderung für Kunden ohne Support-Lizenz.
Lizenzstatus sauber prüfen
In der lokalen WebAdmin Console kann man den Lizenzstatus unter Administration > Licensing prüfen. Dort sieht man unter anderem Seriennummer, registrierte Lizenzen, Laufzeiten und Hinweise auf abgelaufene oder fehlende Subscriptions. Der Punkt ist nicht nur, ob irgendwo Base Firewall steht. Entscheidend ist, ob die angezeigten Lizenzen zum geplanten Vorgang passen.
Prüfen:
- In der Sophos Firewall anmelden.
- Administration > Licensing öffnen.
- Seriennummer und Modell dokumentieren.
- Base Firewall / Base License prüfen.
- Support- und Security-Subscriptions prüfen.
- Statuswerte wie
Subscribed,Evaluating,Not subscribedoderExpiredeinordnen. - Ablaufdaten und Warnhinweise dokumentieren.
- Bei Bedarf Synchronize ausführen, um den aktuellen Stand aus Sophos Central abzurufen.
- Bei Bedarf Lizenzschlüssel oder Subscription aktivieren.
Der praktische Ablauf zur Aktivierung eines Lizenzschlüssels steht in Sophos Firewall Lizenzschlüssel aktivieren.
Lizenz- und Supportstatus dokumentieren
Bei Lizenz-, Support- und Renewal-Fragen reicht ein Screenshot der Base License selten aus. Für Betrieb, Supportfall, RMA, Restore oder Account-Transfer sollte pro Firewall ein kleiner Lizenzdatensatz gepflegt werden.
- Seriennummer: Verknüpft Lizenz, Gerät, Support, RMA und Account-Zuordnung.
- Modell und Plattform: Unterscheidet XGS Hardware, virtuelle Firewall, Software Appliance oder Cloud Deployment.
- Sophos Account / Central Tenant: Verhindert falsche Lizenzaktivierung oder Probleme beim Account-Transfer.
- Base License Status: Zeigt, ob die Firewall grundsätzlich korrekt zugeordnet ist.
- Support / Bundle: Entscheidet über Update-, Support- und Renewal-Fragen.
- Security-Subscriptions: Zeigt, welche Schutzmodule wirklich nutzbar sind.
- Ablaufdaten: Wichtig für Renewal, Budget und geplante Firmware-Upgrades.
- Backup und Secure Storage Master Key: Wichtig für Restore, Migration und Supportfälle.
Diese Dokumentation sollte nicht erst im Fehlerfall entstehen. Wenn eine Firewall in ein anderes Konto übertragen wird, passt Sophos Firewall in anderes Sophos Central Konto übertragen. Wenn ein Restore, Hardwaretausch oder Reimage im Raum steht, sollte zusätzlich der Artikel Sophos Firewall Backup erstellen oder wiederherstellen geprüft werden.
Ablaufdatum der Base License

In der Lizenzansicht kann die Base Firewall mit einem sehr weit in der Zukunft liegenden Ablaufdatum erscheinen. Das sollte man nicht mit unbegrenztem Support oder unbegrenzter Updatefähigkeit verwechseln.
Praktisch bedeutet das:
- Die Base License kann als Grundlage der Firewall langfristig sichtbar bleiben.
- Hardware, Plattform und Firmware haben trotzdem eigene Lifecycle-Grenzen.
- Weitere Firmware-Upgrades können eine gültige Supportberechtigung erfordern.
- Security-Funktionen hängen von aktiven Subscriptions ab.
- Support, RMA und Renewal müssen separat geprüft werden.
Bei Cloud-, virtuellen und softwarebasierten Firewalls läuft die Base Firewall nach Sophos-Angaben nicht wie eine normale Schutz-Subscription ab. Bei Hardware-Appliances ist der Base-Firewall-Status dagegen an den Hardware-Lifecycle gekoppelt. Deshalb sollte ein weit entferntes Ablaufdatum nie isoliert bewertet werden: Modell, EOL-Status, SFOS-Version, Support und Security-Subscriptions gehören immer zur gleichen Prüfung.
Wenn die Base Firewall wirklich abläuft
Ein abgelaufener Base-Firewall-Status ist kein kosmetischer Lizenzhinweis. Die Konfiguration bleibt zwar sichtbar und kann teilweise weiter bearbeitet werden, aber die Durchsetzung ändert sich massiv.
Sophos beschreibt für eine abgelaufene Base Firewall unter anderem dieses Verhalten: Firewall-Regeln werden nicht mehr verarbeitet, bestimmte LAN/DMZ-zu-WAN- oder interne Verkehrsrichtungen werden wie bei einem einfachen Router erlaubt, anderer Traffic bleibt blockiert, VPN-Tunnel können zwar bestehen bleiben, aber keinen Nutzdatenverkehr mehr transportieren, und NAT-Regeln, Site-to-Site-RED-Tunnel, Remote Access Points sowie Wireless Networks funktionieren nicht mehr wie vorgesehen. Genau deshalb sollte man eine Base-Firewall-Warnung nicht erst im nächsten Renewal-Gespräch anschauen.
Wichtig ist die Abgrenzung: Ein abgelaufenes Security-Modul ist nicht dasselbe wie eine abgelaufene Base Firewall. Wenn zum Beispiel Web Protection, Zero-Day Protection oder Webserver Protection abläuft, bleibt die Firewall nicht automatisch ohne jede Grundfunktion, aber die betroffene Schutz- oder Durchsetzungsfunktion fällt weg oder arbeitet nur noch eingeschränkt. Die Fehleranalyse beginnt deshalb immer mit der Frage, welche Lizenz wirklich abgelaufen ist.
Für Admins heisst das praktisch:
- Lizenzstatus unter Administration > Licensing prüfen.
- Seriennummer, Sophos-Central-Konto und Account-Zuordnung kontrollieren.
- Prüfen, ob es ein normales Online-Sync-Problem, ein Air-Gap-Thema, ein HA-Problem oder ein echter Lizenzablauf ist.
- Bei produktiven Systemen Support-, Renewal- oder Partnerprozess sofort anstossen.
Wenn eine Firewall isoliert betrieben wird, passt nicht der normale 24-Stunden-Sync als Massstab. Dann gehört der Air-Gap-Prozess mit Lizenzdatei, manuellem Upload und Pattern-Routine zur Betriebsverantwortung.
Was vor Updates und Renewals geprüft werden sollte
Vor Firmware-Updates, Renewal-Gesprächen oder Migrationen sollte man den Lizenzstatus nicht nur oberflächlich ansehen. Besser ist eine kurze Betriebsprüfung.
Zuerst werden Seriennummer, Modell, Plattform, Sophos-Account und Base License dokumentiert. Danach prüft man Support- oder Bundle-Lizenz, benötigte Security-Subscriptions, Ablaufdaten und Warnhinweise. Bei HA-Clustern gehören beide Nodes, Rollen und Lizenzsynchronisation zur Prüfung; bei virtuellen Firewalls zusätzlich CPU-Cores, Instanzzuordnung und Restore-Szenario.
Vor einem Firmware-Upgrade sollte man nicht darauf vertrauen, dass ein sichtbarer Base-Firewall-Eintrag genügt. Sinnvoll ist die Kombination aus aktuellem Backup, geprüftem Supportstatus, bekannter Zielversion, Wartungsfenster und einem kurzen Rückfallplan. Die freien Firmware-Upgrades ohne Support sind höchstens eine Übergangssituation, aber keine saubere Betriebsstrategie.
Für grössere Updates hilft zusätzlich Sophos Firewall vor SFOS 22 Upgrade prüfen. Für HA-Umgebungen ist Sophos Firewall High Availability (HA) einrichten relevant, weil Lizenzierung und Rollen im Cluster sauber dokumentiert sein müssen.
Häufige Fehler
Base License mit Support verwechseln
Eine sichtbare Base License bedeutet nicht automatisch, dass Support und Firmware-Upgrades abgedeckt sind. Der Supportstatus muss separat geprüft werden.
Security-Module nicht prüfen
Wenn ein Feature nicht funktioniert oder nicht konfigurierbar ist, sollte man nicht nur die Base License ansehen. Entscheidend ist, ob die passende Subscription aktiv ist und ob die Funktion auch konfiguriert wurde.
Falsche Seriennummer verwenden
Bei mehreren Firewalls, HA-Clustern, virtuellen Instanzen oder Account-Transfers entstehen schnell Verwechslungen. Seriennummer, Account und Lizenzunterlagen müssen zusammenpassen.
Virtuelle Firewall unvollständig dokumentieren
Bei virtuellen Firewalls sollte man Lizenz, Seriennummer, Instanzname, Hypervisor, CPU-Cores, Backup und zuständigen Account gemeinsam dokumentieren. Sonst wird ein Restore oder Supportfall unnötig schwierig.