Przejdz do tresci
Avanet
Sophos Firewall v19.5 - Wszystkie nowe funkcje w tej aktualizacji

Sophos Firewall v19.5 - Wszystkie nowe funkcje w tej aktualizacji

2. GRUDNIA 2022

Minęło już kilka miesięcy, odkąd ostatni raz miałem czas na napisanie artykułu o aktualizacji SFOS. W przyszłości będzie już lepiej. Dlatego tym bardziej cieszę się, że mogę przedstawić nowe funkcje i ulepszenia w SFOS 19.5.

Aktualizacja jest przeznaczona dla wszystkich zapór Sophos z serii SG, XG i XGS, a także dla urządzeń wirtualnych lub instancji na platformach chmurowych, takich jak Azure czy AWS.

Poniższe modele nie otrzymają aktualizacji, ponieważ nie posiadają 4 GB pamięci RAM: XG 85(w), XG 105(w), SG 105(w)

Luka bezpieczeństwa CVE-2022-3236 zostaje zamknięta

Luka wstrzykiwania kodu w portalu użytkownika i w WebAdmin pozwala atakującemu na wykonanie kodu w Sophos Firewall, w wersji v19.0 MR1 i starszych. CVE-2022-3236

Wyszukiwanie hostów i usług

W SFOS v19 wyszukiwanie obiektów w regułach zapory zostało masowo ulepszone. Jednak w niektórych miejscach brakowało jeszcze funkcji wyszukiwania, jak w przypadku obiektów Hostów i Usług. Tutaj można wyszukiwać według nazwy, portów lub adresów IP, co również upraszcza znajdowanie zduplikowanych obiektów.

Usunięcie zduplikowanych obiektów, jeśli są one nadal używane, nie jest jeszcze tak proste, ponieważ nie ma wskazówki, gdzie ten obiekt jest używany.

Wyszukiwanie hostów i usług Sophos Firewall v19.5
Wyszukiwanie hostów i usług Sophos Firewall v19

Logowanie Webadmin przez Azure AD SSO

Azure AD jest już od dawna dostępne w Sophos Central. Wraz z v19.5, integracja Azure Active Directory (Azure AD) trafia teraz na Sophos Firewall do logowania Single Sign-on (SSO) na konsoli Webadmin.

Integracja Azure AD umożliwia również dynamiczne zarządzanie rolami i dostępem do grup. Możliwe jest więc tworzenie własnych profili uprawnień na zaporze lub wykorzystanie już istniejących i przypisanie ich do użytkownika w Azure AD.

Integracja Sophos Firewall v19.5 Azure AD
Integracja Sophos Firewall v19.5 Azure AD dla logowania Webadmin

Integracja Azure AD dla logowania Webadmin to z pewnością świetny początek. Emocjonująco zrobi się, gdy użytkownicy dostępu zdalnego (SSLVPN lub IPsec) oraz Portal Użytkownika również będą z tym działać.

Ulepszenia wysokiej dostępności

Pojawiły się również naprawdę dobre ulepszenia dla klastrów HA. Małą nowością jest np. wskazówka podczas tworzenia klastra, że licencja musi być dostępna na urządzeniu głównym lub w przypadku klastra Active-Active, którego faktycznie prawie nigdy nie używamy, licencja musi być dostępna na obu urządzeniach.

Sophos Firewall 19.5 Wysoka dostępność tworzenie klastra
Tworzenie klastra wysokiej dostępności Sophos Firewall v19.5

Możliwe jest teraz konfigurowanie wielu linków HA, i to już nie tylko poprzez bezpośrednie połączenie, ale także poprzez LAGi i sieci VLAN.

Interfejsy VLAN mogą być teraz również dodawane do monitorowania interfejsów.

Sophos Firewall 19.5 Wysoka dostępność Strona statusu
Strona statusu wysokiej dostępności Sophos Firewall v19.5

Strona statusu dostarcza teraz znacznie więcej ważnych informacji. Widać, na którym węźle licencja jest aktywna. Data i godzina ostatniej zmiany statusu klastra. Można przypisać nazwę i nie trzeba już pamiętać numeru seryjnego.

Sophos Firewall 19.5 Widget wysokiej dostępności
Widget klastra wysokiej dostępności Sophos Firewall v19.5

Widżet w Centrum Kontroli przesunął się w prawy górny róg i również wyświetla więcej informacji o klastrze. Nazwa zakładki wskazuje teraz również, z którym węzłem się łączysz, chociaż wolałbym, żeby tu stała nazwa hosta firewalla, ponieważ i tak nigdy nie loguję się na Node2.

Równoważenie obciążenia SD-WAN

Od wersji 19 dostępny jest SD-WAN, a w profilach nowej wersji możliwe jest stworzenie równoważenia obciążenia. Metodami są Round Robin lub Session Persistence.

Round Robin

Połączenia są rozdzielane na wybrane połączenia zgodnie z wagą. Na zrzucie ekranu obie bramy mają obecnie wagę 1, co skutkuje równomiernym rozłożeniem na obie bramy.

Sesja Persistency

W przypadku Session Persistence można zdefiniować, czy ruch ma być dzielony według Source-IP, Destination-IP, obu jednocześnie czy na każde połączenie.

Opcje równoważenia obciążenia Sophos Firewall SD-WAN
Opcje równoważenia obciążenia Sophos Firewall SD-WAN

Ta innowacja dotyczy profilu SD-WAN. Oczywiście można utworzyć wiele profili i używać ich w zależności od wymagań strategii routingu na podstawie aplikacji, źródła, celu lub usługi.

Większa wydajność dla wszystkich Sophos XGS Firewalls

Każde urządzenie Sophos XGS posiada architekturę dwuprocesorową. Sophos, wprowadzając na rynek serię XGS, przyspieszył niektóre połączenia dwukrotnie w porównaniu do serii XG. Ogłoszono, że wraz z nadchodzącymi aktualizacjami oprogramowania procesy zostaną przeniesione z CPU na NPU, aby poprawić wydajność. W wersji 19.5 kolejne procesy są przetwarzane przez procesor Xstream Flow, a tym samym przyspieszone. W tej wersji, dzięki temu rozwojowi, liczba tuneli VPN IPsec w modelach XGS została po prostu podwojona.

W modelach XGS 4300, 4500, 5500 i 6500 połączenia szyfrowane TLS są przyspieszane na FastPath, co sprawia, że głęboka inspekcja pakietów jest jeszcze bardziej wydajna.

Inne drobne ulepszenia w v19.5

OSPFv3

Nowy dynamiczny silnik routingu oferuje wsparcie dla OSPFv3. Do ulepszeń OSPFv3 należą między innymi obsługa IPv6, mniejszy rozmiar nagłówka oraz rezygnacja z MD5 do uwierzytelniania. OSPFv3 całkowicie rezygnuje z własnego wsparcia dla uwierzytelniania i zamiast tego opiera się na bardziej elastycznej strukturze IPsec w IPv6.

Log

Ulepszone przechowywanie plików dziennika umożliwia szczegółowe rozwiązywanie problemów.

Wsparcie sprzętowe

Ulepszona obsługa interfejsów 40G z automatycznym wykrywaniem rozszerzonych konfiguracji portów w modelach XGS 5500 i 6500.

Wsparcie sprzętowe dla modułów 5G, które było wymienione w EAP, nie znajduje się już w finalnej wersji v19.5. Przypuszczam zatem, że moduły pojawią się nieco później, niż oczekiwano.

Film o nowościach w Sophos Firewall OS v19.5

Jak widać, Sophos bardzo się stara, aby pokazać nowe funkcje w filmach, co bardzo nam się podoba. Często pojawiały się nowe funkcje, które umykały uwadze w notatkach do wydania i tylko nieliczni je zauważali. Oprócz umieszczonego powyżej filmu o poszczególnych funkcjach, dostępny jest również film o Sophos Firewall 19.5 jako całości.

Aktualizacje nie będą już długo darmowe

Może informacja nie dotarła do wszystkich: Aktualizacje Sophos Firewall w przyszłości nie będą już darmowe

Mamy więc teraz pierwszą aktualizację od wersji 19.0 MR1, a licznik darmowych aktualizacji zaczyna się od trzech. Po instalacji, a dokładniej po wgraniu nowego obrazu firmware 19.5, będzie wynosił dwa.

Jeśli spojrzeć na innowacje w tej aktualizacji, która, co prawda, jest dużą aktualizacją, widać, że pojawia się wiele nowych funkcji, które sprawią, że Sophos Firewall stanie się jeszcze lepszy. Ten rozwój musi zostać opłacony i, jak wiadomo z aplikacji na smartfony, wielu deweloperów przechodzi na model subskrypcyjny, aby ten rozwój został opłacony.

W związku z tym, gdy licznik firmware osiągnie zero, wymagana jest licencja Enhanced Support, która jest zawarta pojedynczo lub w pakiecie licencji, takim jak Standard Protection, Xstream Protection lub Epic Protection.

Licznik bezpłatnych aktualizacji oprogramowania układowego Sophos Firewall
Licznik Sophos Firewall dla bezpłatnych aktualizacji
Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.