Przejdz do tresci
Avanet
Aktualizacja Sophos XG v17 - przegląd wszystkich nowości

Aktualizacja Sophos XG v17 - przegląd wszystkich nowości

16. PAŹDZIERNIKA 2017

Już wkrótce: nowe SFOS pojawi się w wersji 17! Miałem już okazję przyjrzeć się wersji Release Candidate i tutaj podsumowałem dla was najważniejsze nowości.

W tym artykule pokazuję wam, jakie nowe funkcje przyniesie SFOS v17. Co prawda mówimy jeszcze o „Release Candidate”, ale już za kilka tygodni nowa wersja będzie dostępna dla wszystkich.

6 najważniejszych nowości w aktualizacji SFOS v17

Jeśli nie macie ochoty czytać całego artykułu, możecie po prostu obejrzeć poniższe wideo od Sophos. Funkcje XG v17 są w nim krótko omówione w niecałe cztery minuty:

1. Synchronized App Control

Całkowicie nową funkcją jest Synchronized App Control. Do tej pory XG Firewall potrafiła rozpoznawać aplikacje wyłącznie na podstawie sygnatur. Dzięki temu można je było np. blokować, priorytetyzować lub przydzielać im gwarantowaną przepustowość (QoS). Znacznej części ruchu jednak nie dało się sklasyfikować - dotyczyło to m.in. własnych aplikacji, nieznanych programów lub aplikacji, które celowo chciały pozostać niewidoczne, rezygnując z używania sygnatur.

W wersji v17 Sophos znacząco poszerza możliwości rozpoznawania większej liczby aplikacji. Do działania tej funkcji wymagany jest jednak „Synchronized Security”. Oznacza to, że na stacjach roboczych potrzebujecie „Sophos Central Endpoint Advanced” lub Intercept X, a na serwerach „Sophos Central Server Protection Advanced”.

Dzięki Sophos Central na endpointach dajecie swojej XG Firewall możliwość komunikacji z nimi. Sophos nazywa to „Security Heartbeat”. Firewall może teraz zapytać endpoint, jakie procesy są aktualnie aktywne w systemie, a endpoint odsyła te informacje. Umożliwia to przypisanie wcześniej niesklasyfikowanego ruchu do konkretnych aplikacji. Tutaj znajdziecie jeszcze wideo na ten temat:

2. Zarządzanie regułami firewalla

Każdy, kto korzysta z XG, zna obecną listę reguł służącą do zarządzania politykami firewalla. Bardzo szybko robi się tam nieprzejrzyście i dotąd trzeba było tworzyć coś w rodzaju „grupowania” poprzez odpowiednie nazewnictwo reguł. Teraz reguły są prezentowane w bardziej kompaktowy sposób, można je grupować, a najważniejsze informacje są od razu widoczne w przeglądzie. Jak dokładnie to wygląda, pokazuje poniższe wideo:

3. Policy Test Simulator

Podobnie jak w UTM, tak i w SFOS pojawił się teraz Policy Tester. Możecie z jego pomocą testować swoje reguły firewalla lub web proxy bez konieczności zdalnego łączenia się z klientem za pomocą dodatkowego narzędzia. W poniższym wideo zobaczycie, jak działa „Policy‑Test‑Simulator”:

4. Blokowanie słów kluczowych w web proxy

Niektóre organizacje, szczególnie szkoły, miały w przeszłości częstą potrzebę blokowania strony internetowej zawsze wtedy, gdy pojawiało się na niej określone słowo. W nowej v17 można utworzyć listę słów kluczowych i wypełnić ją potencjalnie „złymi” wyrażeniami. Jeśli w przyszłości takie słowo pojawi się na stronie WWW, można ten dostęp zalogować lub całkowicie zablokować stronę. Tutaj również przygotowaliśmy odpowiednie wideo:

5. Kreator konfiguracji XG Firewall

Konfiguracja i uruchomienie XG Firewall przy pomocy dotychczasowego kreatora (Setup Wizard) nie były rozwiązane zbyt elegancko. Proces bywał momentami dość bolesny. Na szczęście Sophos popracował nad kreatorem w v17 i wprowadził kilka zmian:

  • Hasło musi zostać zmienione już na samym początku. Ma to jak najbardziej sens, bo dzięki temu żadna XG Firewall nie łączy się już z Internetem z „admin” jako loginem i hasłem.
  • Moim zdaniem interfejs został wyraźnie odświeżony wizualnie.
  • Można od razu przywrócić kopię zapasową.
  • Połączenie z Internetem nie jest już wymagane.
  • Sophos ID i licencję można wczytać również później. Po uruchomieniu appliance można ją wystartować z 30‑dniową licencją testową, bez konieczności wcześniejszego łączenia się z serwerem licencji.

Jeżeli macie już połączenie z Internetem, są trzy możliwości:

  1. Aktywacja 30‑dniowej licencji testowej
  2. Wgranie pliku licencji UTM (migracja z UTM do SFOS)
  3. Wprowadzenie klucza licencyjnego XG

Przyjrzyjcie się nowemu kreatorowi konfiguracji dokładniej w tym wideo:

6. Unified Log Viewer

Jeśli gdzieś w sieci występuje problem, w większości przypadków wystarczy rzut oka na log firewalla. Log Viewer z v16.5 był jednak naprawdę słaby - widać to dopiero teraz, gdy porówna się go z nowym „Unified Log Viewer”. Absolutnie wszystko jest w nim lepsze! Nowy Log Viewer to dla mnie zdecydowanie najważniejsza funkcja w v17. Koniecznie go zobaczcie - pokochacie go!

  • lepsza czytelność
  • wszystkie istotne informacje w logu
  • wyszukiwanie i filtrowanie we wszystkich logach
  • wyszukiwanie w starszych logach

Inne drobne usprawnienia

  • nowe kreatory do konfiguracji NAT, IPS, Web i VPN
  • IKEv2 VPN
  • lepsza kompatybilność IPSec VPN z innymi systemami
  • wildcard FQDN - bardzo proste odblokowywanie usług chmurowych
  • ulepszenia NAT - obsługiwane są nowe protokoły, nie tylko TCP i UDP
  • Email Protection - smarthost, greylisting i weryfikacja odbiorców (Recipient Verification)
  • Microsoft Azure High Availability

Wszystkie nowości w szczegółach znajdziecie w poniższej karcie produktu od Sophos: XG Firewall : What’s New in v17

Podsumowanie

Nowe SFOS v17 przekonuje zarówno zupełnie nowymi funkcjami, jak i bardzo istotnymi usprawnieniami istniejących rozwiązań. To uaktualnienie całkowicie zmienia nasze podejście do XG Firewall. Podczas gdy wcześniej rekomendowaliśmy ją raczej tylko do mniejszych projektów, teraz sytuacja wygląda zupełnie inaczej. Zwłaszcza Log Viewer i nowy, przejrzysty widok reguł firewalla są kluczowe dla poprawnej konfiguracji i szybkiego troubleshootingu, co dotychczas w większych sieciach było praktycznie niewykonalne.

Ponieważ v16 była już ogromnym kamieniem milowym w stosunku do v15, zaczęliśmy wtedy przy mniejszych projektach preferować XG zamiast UTM. Teraz jednak sprawa jest dla nas jasna: „XG First”, co ściśle rzecz biorąc nie jest do końca poprawne, bo właściwie powinno być „SFOS First”. :)

Jeśli posiadacie firewall SG z systemem UTM, możecie teraz bez obaw wyposażyć swój sprzęt w nowe SFOS. Licencje można przenieść, konfiguracji już nie. Z naszej perspektywy nie jest to jednak duży problem - mamy już za sobą kilka migracji z UTM do SFOS i w każdym przypadku dobrze jest raz na jakiś czas przemyśleć konfigurację od zera.

Więcej informacji o SFOS v17:

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.