Naar de inhoud
Avanet
Sophos XG Update v17 - Alle vernieuwingen in één oogopslag

Sophos XG Update v17 - Alle vernieuwingen in één oogopslag

16. OKTOBER 2017

Binnenkort is het zover: de nieuwe SFOS verschijnt in versie 17! Ik heb alvast een kijkje kunnen nemen in de Release Candidate en heb de belangrijkste vernieuwingen voor jullie samengevat.

In dit artikel laat ik jullie zien welke nieuwe features SFOS v17 zal brengen. We hebben het op dit moment weliswaar nog over de “Release Candidate”, maar over enkele weken is de nieuwe versie voor iedereen beschikbaar.

6 belangrijke vernieuwingen in de SFOS-update v17

Wie geen zin heeft om alles te lezen, kan ook de volgende video van Sophos bekijken, waarin de features van de XG v17 in minder dan 4 minuten kort worden toegelicht:

1. Synchronized App Control

Een volledig nieuwe feature is Synchronized App Control. Tot nu toe kon de XG Firewall applicaties alleen op basis van signatures herkennen. Daarmee kon je ze bijvoorbeeld blokkeren, of juist voorrang geven en een gegarandeerde bandbreedte toekennen (QoS). Een groot deel van het verkeer kon echter niet worden geclassificeerd. Daaronder vielen zelfontwikkelde of onbekende programma’s of applicaties die bewust onder de radar wilden blijven door geen signatures te gebruiken.

Met v17 heeft Sophos de mogelijkheid om meer applicaties te herkennen, drastisch vergroot. Voor deze functie is echter “Synchronized Security” vereist. Concreet betekent dit dat je op je endpoints “Sophos Central Endpoint Advanced” of “Intercept X” nodig hebt en op je servers “Sophos Central Server Protection Advanced”.

Met Sophos Central op de endpoints geef je je XG Firewall de mogelijkheid om daarmee te communiceren. Sophos noemt dit de “Security Heartbeat”. De firewall kan de endpoint nu dus vragen welke processen er op het systeem actief zijn en de endpoint levert deze gegevens terug. Daarmee wordt het nu ook mogelijk om voorheen niet-geclassificeerd verkeer toe te wijzen. Hierover is ook een video beschikbaar:

2. Beheer van firewallregels

Wie een XG heeft, kent de huidige weergave voor het beheer van firewallregels. Die wordt erg snel onoverzichtelijk en tot nu toe moest je via de naam van de regel een soort “groepering” aanbrengen. De regels worden nu compacter weergegeven, kunnen gegroepeerd worden en de belangrijkste informatie staat direct in het overzicht. Hoe dat eruitziet, laat de volgende video zien:

3. Policy Test Simulator

Net als bij de UTM is er nu ook in SFOS een policy-tester beschikbaar. Daarmee kun je je firewall- of webproxyregels testen zonder dat je met een remote-tool verbinding hoeft te maken met de client. De volgende video laat zien hoe de “Policy Test Simulator” werkt:

4. Webproxy-keywords blokkeren

Sommige organisaties, met name scholen, hadden in het verleden vaak de wens om een website te blokkeren zodra daar een bepaald woord op voorkwam. In de nieuwe v17 kun je nu een keywordlijst aanmaken en deze vullen met vermeend “kwaadaardige” woorden. Verschijnt zo’n woord in de toekomst op een website, dan kun je dit ofwel alleen in het log laten registreren, of de pagina direct volledig blokkeren. Ook hiervoor is weer een video beschikbaar:

5. XG Firewall-setupwizard

Een XG Firewall inrichten en in gebruik nemen was met de vorige setupwizard niet echt elegant opgelost. Het proces was deels behoorlijk pijnlijk. Gelukkig heeft Sophos voor v17 de setupwizard grondig aangepakt en een paar wijzigingen doorgevoerd:

  • Het wachtwoord moet nu direct aan het begin worden gewijzigd. Dat is volkomen logisch, omdat er zo geen XG Firewall meer met “admin” als gebruikersnaam én wachtwoord met internet verbinden.
  • Het design is naar mijn mening flink opgefrist.
  • Een back-up kan direct worden teruggezet.
  • Een internetverbinding is vanaf nu niet langer vereist.
  • De Sophos-ID en licentie kunnen nu ook later worden ingelezen. Zodra je de appliance start, kun je deze met een testlicentie van 30 dagen installeren, zonder eerst een licentieserver te hoeven bereiken.

Als je al een internetverbinding hebt, zijn er drie mogelijkheden:

  1. 30 dagen testlicentie activeren
  2. UTM-licentiebestand uploaden (UTM-naar-SFOS-migratie)
  3. XG-licentiesleutel invoeren

Bekijk de nieuwe setupwizard gerust in detail in deze video:

6. Unified Log Viewer

Als er ergens in het netwerk een probleem optreedt, volstaat in de meeste gevallen al een blik in het log van de firewall. De Log Viewer van v16.5 was echter echt een puinhoop, en dat wordt pas duidelijk wanneer je nu de nieuwe “Unified Log Viewer” ziet. Absoluut elk detail is verbeterd! De nieuwe Log Viewer is mijn absolute favoriete feature van v17. Kijk ernaar, je zult ’m geweldig vinden!

  • betere overzichtelijkheid
  • alle informatie in het log
  • zoeken en filteren over alle logs heen
  • zoeken in oudere logs

Verdere kleine verbeteringen

  • nieuwe tools voor de instellingen van NAT, IPS, Web en VPN
  • IKEv2-VPN
  • betere IPSec-VPN-compatibiliteit met andere systemen
  • wildcard-FQDN - maakt het vrijschakelen van cloudservices heel eenvoudig
  • NAT-verbeteringen - nieuwe protocollen worden ondersteund, niet meer alleen TCP en UDP
  • Email Protection - Smarthost, Greylisting en Recipient Verification
  • Microsoft Azure High Availability

Alle vernieuwingen in detail kun je nalezen in het volgende datasheet van Sophos: XG Firewall : What’s New in v17

Conclusie

De nieuwe SFOS v17 overtuigt met volledig nieuwe features, maar ook met zeer belangrijke verbeteringen van bestaande functies. Deze update verandert onze houding ten opzichte van XG Firewall compleet. Waar we deze tot nu toe eerder alleen voor kleinere projecten zouden aanraden, ziet dat er nu totaal anders uit. Vooral de Log Viewer en het nieuwe, overzichtelijke beheer van firewallregels zijn essentieel voor een nette configuratie en snelle troubleshooting, wat tot nu toe in grotere netwerken vrijwel onmogelijk was.

Omdat v16 al een enorme mijlpaal was ten opzichte van v15, zijn we destijds bij kleinere projecten al begonnen om de XG boven de UTM te verkiezen. Maar nu geldt voor ons heel duidelijk: “XG First” - al is dat strikt genomen niet helemaal juist, want eigenlijk zou het “SFOS First” moeten zijn. :)

Heb je een SG Firewall met het UTM-besturingssysteem, dan kun je je hardware nu met een gerust hart uitrusten met de nieuwe SFOS. De licenties kunnen worden overgenomen, de configuratie echter niet. Dat vinden wij overigens niet zo problematisch, want we hebben al meerdere migraties van UTM naar SFOS uitgevoerd, en in alle gevallen is het hoe dan ook nuttig om de configuratie weer eens volledig vanaf de basis te heroverwegen.

Meer informatie over SFOS v17:

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.