Sophos Firewall Base License begrijpen
De Sophos Firewall Base License is de basis van een Sophos Firewall. Ze is echter niet hetzelfde als een supportlicentie, een Security Bundle of een afzonderlijke Security-Subscription. Juist dit onderscheid is belangrijk in de praktijk: een firewall kan een Base License hebben en toch beperkt zijn bij firmware-updates, support, RMA of bepaalde beveiligingsfuncties.
Deze handleiding legt uit hoe men de Base License moet plaatsen, wat bij hardware en virtuele firewalls anders is en welke punten vóór updates, renewals of supportcases gecontroleerd moeten worden.
Welk licentieartikel past?
Licentiekwesties lijken vaak op elkaar, maar brengen verschillende beslissingen met zich mee. Het is daarom belangrijk dat Sophos Firewall-beheerders eerst het juiste onderwerp kiezen:
- Base License, support en subscriptions onderscheiden: Dit artikel.
- Passend firewallmodel of passende prestatieklasse kiezen: Sophos Firewall Sizing Guide: het juiste model kiezen.
- Standard Protection, Xstream Protection of andere bundels vergelijken: Welke Sophos Firewall-bundels zijn er?.
- Licenties zonder directe internettoegang plannen: Air-Gap-licenties en Pattern-Updates beheren.
- Serienummer voor licentie, support of RMA vinden: Serienummer van de Sophos Firewall vinden.
- Firewall naar een ander Sophos Central-account overdragen: Sophos Firewall naar een ander Sophos Central-account overdragen.
- XG, SG of XGS in de lifecycle plaatsen: Sophos XG vs. XGS: verschillen, EOL en migratie.
- Hardwaregarantie, support en RMA controleren: Sophos hardwaregarantie, support en RMA plaatsen.
- Supportcase met licentie- en apparaatgegevens voorbereiden: Sophos-supportticket openen: voorbereiding en portal.
- Firewall met Sophos Central verbinden of Central-functies plaatsen: Sophos Firewall met Sophos Central verbinden.
Deze scheiding voorkomt typische verkeerde aannames. Een zichtbare Base License bewijst niet automatisch actieve support, passende Security-Subscriptions, een geldige lifecycle of correct accounteigendom. Voor beheer, renewal en supportcases moeten serienummer, account, supportstatus, bundel, vervaldata en platform altijd samen worden gecontroleerd.
Als een firewall bewust zonder directe internettoegang wordt gebruikt, is normale licentiesynchronisatie niet het juiste standaardproces. Dan is een Air-Gap-proces nodig met vrijgave, licentiebestand, handmatige upload en Pattern-routine. Het proces staat beschreven in Sophos Firewall Air-Gap-licenties en Pattern-Updates beheren.
Wat de Base License is
De Base License identificeert en autoriseert de basisinstallatie van de Sophos Firewall. Zonder correcte toewijzing van licentie en serienummer kan een appliance of virtuele instance niet netjes als productief Sophos Firewall-systeem worden gebruikt en beheerd.
Het onderscheid is belangrijk:
- Base License: Basis van de firewallinstallatie en basisautorisatie.
- Enhanced Support / Enhanced Plus Support: Support- en updateautorisatie afhankelijk van het licentiemodel.
- Security-Subscription: Beschermingsmodules zoals Network, Web, Email, Zero-Day of andere gelicentieerde functies.
- Serienummer: Unieke identiteit van de firewall voor licentie, support, RMA en accounttoewijzing.
De Base License moet daarom niet worden opgevat als “alles is gelicenseerd”. Slechts een deel van de licentievraag wordt beantwoord.
Snelle operationele beslissing
Voor dagelijks beheer helpt een eenvoudige indeling. De Base License beantwoordt de vraag of de firewall in principe als Sophos Firewall-instance is toegewezen. Daarmee is echter niet automatisch duidelijk of werking, bescherming, updates en support volledig zijn afgedekt.
- Firewall draait en basisfuncties zijn zichtbaar: Base License en serienummer zijn relevant.
- Firmware-update of hotfix gepland: support- of bundelautorisatie controleren.
- IPS, Web, Email, Zero-Day of WAF nodig: passende Security-Subscription controleren.
- Sophos Central Management of centrale reporting gewenst: licentie- en supportvoorwaarden apart controleren.
- RMA, fabrikantensupport of hardwarecase: serienummer, supportstatus, garantie en accounttoewijzing samen controleren.
- HA-cluster in gebruik: beide nodes, rollen, serienummers en Subscription-synchronisatie documenteren.
- Virtuele of software-firewall: CPU-core-licenties, instance-toewijzing en restore-scenario controleren.
Deze snelle beslissing vervangt geen licentiecontrole, maar voorkomt de meest voorkomende fout: een geldige Base License zien en aannemen dat daarmee ook support, beschermingsmodules en updategeschiktheid duidelijk zijn.
Wat is inbegrepen in de Base License
In de officiële licentieweergave wijst Sophos de Base License toe aan de basisfuncties Stateful Firewall, VPN, Draadloos, High Availability en Firewall RED. Wat in de praktijk van belang is, is wat dit betekent: de firewall kan in principe worden gebruikt als router, firewall en VPN-gateway, maar zonder extra Security-Subscriptions ontbreken veel beveiligings- en ondersteuningsfuncties.
Typische functies van de Base License:
- Stateful Firewall: Firewallregels, zones, services, hosts, NAT en basis-policybesturing. De regel kan verkeer toestaan of blokkeren. Beschermingsmodules zoals IPS, Web Protection of Zero-Day Protection zijn daarmee nog niet automatisch gelicentieerd.
- Routing en netwerk: Interfaces, VLAN’s, statische routes, SD-WAN-routes, DHCP, DNS en basisnetwerkdiensten. De firewall kan als centrale netwerkrouter werken. Security-inspectie van traffic hangt af van aanvullende modules.
- VPN: Site-to-Site IPsec, Remote Access IPsec en SSL VPN. VPN-functionaliteit is in principe mogelijk. MFA, portaltoegang, Device Access en logging moeten toch apart zorgvuldig worden gepland.
- Wireless: Beheer van compatibele Sophos Access Points via de firewall. Dit is niet hetzelfde als moderne Sophos Central Wireless-architectuur. Veel omgevingen gebruiken tegenwoordig andere WLAN-systemen.
- High Availability: HA-bedrijf van de Sophos Firewall. Licenties en rollen moeten bij HA-clusters apart zorgvuldig worden gecontroleerd, vooral bij Active-Passive en Subscription-synchronisatie.
- Firewall RED: RED-koppelingen via de firewall. SD-RED Device Management en verdere beschermingsfuncties kunnen van aanvullende licenties afhangen.
- Lokale logs en reports: Lokale events, Log Viewer en eenvoudige reports. Voor langere bewaartermijnen, centrale zoekfuncties of reporting zijn afhankelijk van het doel Sophos Central Reporting, syslog of SIEM nodig.
Dit betekent dat de Base License vooral de technische basis voor de bediening vormt. Hierdoor wordt een apparaat of instance een bruikbare Sophos Firewall, maar geen volledig gelicentieerd beveiligingspakket.
Wat is niet inbegrepen in de Base License
Vaak rijst de vraag of men met de Base License ook firmware-updates, support of alle beveiligingsfuncties ontvangt. Dat is precies niet het geval.
- Firmware-updates zonder supportautorisatie: Voor firmware-upgrades is een geldige support- of bundelautorisatie nodig. De Base License alleen is daarvoor niet voldoende.
- Fabrikantsupport via Sophos Case, chat of telefoon: Support is gekoppeld aan Enhanced Support, Enhanced Plus Support of een passende bundel.
- IPS / Network Protection: Intrusion Prevention, Sophos X-Ops Threat Feeds, Security Heartbeat en andere Network-Protection-functies vereisen de passende Subscription.
- Web Protection en Application Control: Webfilter, Application Control en web-malwarescans zijn geen pure Base-License-functie.
- Zero-Day Protection: Sandboxing, Machine Learning en Threat Intelligence vereisen een passende licentie.
- Email Protection: Anti-Spam, Antivirus, DLP, encryptie en mail-malwarebescherming zijn apart gelicentieerd.
- Webserver Protection / WAF: Web Application Firewall is een eigen beschermingsfunctie en geen onderdeel van de Base License.
- Sophos Central Firewall Management alleen met Base License: De pure Base Firewall License is niet voldoende voor bepaalde Central-Management-functies. Daarvoor is een betaalde Subscription of supportlicentie nodig.
- Langere centrale reporting: Central Firewall Reporting hangt af van licentie, opslag en bewaartermijn.
Vooral firmware-updates vormen een veelvoorkomend struikelblok: een firewall kan een geldige Base License weergeven en nog steeds niet voldoende autorisatie hebben voor toekomstige firmware-upgrades. De achtergrond wordt beschreven in de blogpost Sophos Firewall Updates zullen in de toekomst niet langer gratis zijn.
Hardware-apparaten
Bij een XGS-hardware-appliance is de Base License gekoppeld aan het hardware- of serienummer. Het serienummer is in de praktijk bijzonder belangrijk, omdat licentiestatus, support, RMA, accounttoewijzing en documentatie daarvan afhangen.
Controleer:
- Is de firewall geregistreerd in het juiste Sophos-account?
- Komt het serienummer overeen met de bestelling, licentiedocumenten en apparaat?
- Is er een actieve support- of bundellicentie?
- Zijn de vereiste Security-Subscriptions actief?
- Is duidelijk welke firmware-updates nog mogelijk zijn?
Het serienummer vindt men in SFOS direct in het dashboard. De procedure staat in serienummer van de Sophos Firewall vinden.
Virtuele en softwaregebaseerde firewalls
Voor virtuele en softwaregebaseerde Sophos Firewall-instances hangt licensering sterker af van de toegewezen instance en het serienummer. In tegenstelling tot hardware staat er geen serienummer van een fysiek apparaat op een apparaatlabel. De licentie- en instancetoewijzing moeten daarom bijzonder duidelijk worden gedocumenteerd.
Belangrijk:
- Serienummer en licentiebestand horen bij het specifieke exemplaar.
- Accounttoewijzing moet correct zijn vóór productieve werking.
- CPU-Core licenties en support moeten afzonderlijk worden gecontroleerd.
- Back-ups vervangen geen schone licentie- en serienummerdocumentatie.
- Bij herinstallatie, Restore of migratie moet duidelijk zijn welke instance welke licentie gebruikt.
Sinds 2025 zijn CPU-Core-licenties vooral relevant voor virtuele en softwaregebaseerde Sophos-firewallinstances; RAM is niet langer de vorige licentielimiet. De details staan vermeld in het artikel Sophos Firewall VM & SW - Alleen CPU-tellingen - Geen RAM-limiet meer. Voor de basisplatformbeslissing is Sophos Firewall: hardware, virtueel of cloud? geschikt.
Wat je niet moet afleiden uit de Base License
De Base License geeft niet automatisch aan dat alle gewenste functies productief gebruikt kunnen worden, ondersteund worden of recht hebben op updates. Er ontstaan veel misverstanden omdat er in de licentieweergave meerdere zaken naast elkaar worden weergegeven.
Niet afleiden uit de Base License:
- dat firmware-updates permanent mogelijk zijn zonder support,
- dat alle beveiligingsmodules actief zijn,
- dat Web Protection, Mail Protection, Zero-Day Protection of andere Security-Module een licentie hebben,
- dat support of RMA gedekt is,
- dat de firewall in het juiste account staat,
- dat de HA-licentie en Subscription-synchronisatie correct zijn.
Belangrijk voor firmware-updates: Sophos heeft al met SFOS v19 MR1 een supportvereiste geïntroduceerd voor toekomstige firmware-upgrades. Klanten zonder support hadden een beperkt aantal extra upgrades, waarna een geldige Support Subscription vereist is. Avanet heeft deze wijziging geclassificeerd in Sophos Firewall Updates zullen in de toekomst niet langer gratis zijn.
Bovendien is de wijziging van 2025 relevant, omdat Sophos grotere beperkingen oplegt aan firewalls zonder een geldige ondersteuningslicentie. Het overzicht vindt u in Sophos Firewall: Belangrijke wijziging voor klanten zonder supportlicentie.
Controleer de licentiestatus in SFOS
In de lokale WebAdmin Console kunt u de licentiestatus controleren in het product- of licentiegedeelte van de firewall. Daar kunt u onder meer serienummers, geregistreerde licenties, looptijden en informatie over verlopen of ontbrekende Subscriptions zien.
Controleer:
- Rechtsboven het gebruikers- of productmenu openen.
- About product of het product-/licentiegedeelte openen.
- Documenteer serienummer en model.
- Controleer Base Firewall / Base License.
- Controleer support en Security-Subscriptions.
- Documenteer vervaldata en waarschuwingen.
- Activeer indien nodig de licentiesleutel of Subscription.
Het praktische proces voor het activeren van een licentiesleutel staat in Sophos Firewall-licentiesleutel activeren.
Licentie- en supportstatus documenteren
Voor licentie-, support- en renewalvragen is een screenshot van de Base License zelden voldoende. Per firewall moet een kleine licentiedataset worden bijgehouden voor beheer, supportcases, RMA, restore of accountoverdracht.
- Serienummer: Koppelt licentie, apparaat, support, RMA en accounttoewijzing.
- Model en platform: Onderscheidt XGS-hardware, virtuele firewall, software-appliance of clouddeployment.
- Sophos Account / Central Tenant: Voorkomt verkeerde licentieactivering of problemen bij accountoverdracht.
- Base License Status: Toont of de firewall in principe correct is toegewezen.
- Support / bundel: Bepaalt update-, support- en renewalvragen.
- Security-Subscriptions: Toont welke beschermingsmodules echt bruikbaar zijn.
- Vervaldata: Belangrijk voor renewal, budget en geplande firmware-upgrades.
- Back-up en Secure Storage Master Key: Belangrijk voor restore, migratie en supportcases.
Deze documentatie mag niet pas in een storing ontstaan. Als een firewall naar een ander account wordt overgedragen, past Sophos Firewall naar een ander Sophos Central-account overdragen. Als restore, hardwarevervanging of reimage aan de orde is, moet ook het artikel Sophos Firewall back-up maken of herstellen worden gecontroleerd.
Vervaldatum van Base License

In de licentieweergave kan Base Firewall verschijnen met een vervaldatum die erg ver in de toekomst ligt. Dit moet niet worden verward met onbeperkte support of onbeperkte updatemogelijkheden.
Praktisch betekent dit:
- De Base License kan op termijn zichtbaar blijven als basis van de firewall.
- Hardware, platform en firmware hebben nog steeds hun eigen levenscycluslimieten.
- Voor firmware-upgrades is mogelijk een geldige ondersteuningsautorisatie vereist.
- Beveiligingsfuncties zijn afhankelijk van actieve Subscriptions.
- Ondersteuning, RMA en Renewal moeten afzonderlijk worden gecontroleerd.
Wat men vóór updates en renewals moet controleren
Vóór firmware-updates, Renewal-discussies of migraties moet u niet alleen oppervlakkig naar de licentiestatus kijken. Een korte audit is beter.
Controlelijst:
- Serienummer gedocumenteerd.
- Firewall geregistreerd in het juiste Sophos-account.
- Base License zichtbaar.
- Ondersteuningslicentie of bundellicentie actief.
- Vereist Security-Subscriptions actief.
- Vervaldata gedocumenteerd.
- HA cluster: zowel knooppunten als licentiesynchronisatie gecontroleerd.
- Virtuele firewall: CPU-Cores en licentietoewijzing gecontroleerd.
- Back-up beschikbaar vóór licentie-, update- of migratiewerkzaamheden.
- Geplande firmware-upgrade gecontroleerd aan de hand van de ondersteuningsstatus.
Voor grotere updates helpt Sophos Firewall vóór SFOS 22 upgrade controleren. Voor HA-omgevingen is Sophos Firewall High Availability (HA) installatie relevant omdat licenties en rollen in het cluster duidelijk moeten worden gedocumenteerd.
Veelvoorkomende fouten
Base License met support verwarren
Een zichtbare Base License betekent niet automatisch dat support en firmware-upgrades gedekt zijn. De supportstatus moet afzonderlijk worden gecontroleerd.
Security-modules niet controleren
Als een functie niet werkt of niet configureerbaar is, moet je niet alleen naar Base License kijken. Cruciaal is of de juiste Subscription actief is en of de functie ook is geconfigureerd.
Gebruik een onjuist serienummer
Met meerdere firewalls, HA clusters, virtuele instanties of accountoverdrachten ontstaat er snel verwarring. Serienummer, account- en licentiedocumenten moeten overeenkomen.
Documenteer de virtuele firewall volledig
Voor virtuele firewalls moet u de licentie, het serienummer, de instancenaam, de hypervisor, CPU-Cores, de back-up en het verantwoordelijke account samen documenteren. Anders wordt een Restore of supportaanvraag onnodig lastig.