Przejdz do tresci
Avanet
Sophos Firewall v20 MR1: Nowe funkcje i ulepszenia

Sophos Firewall v20 MR1: Nowe funkcje i ulepszenia

Sophos Firewall v20 MR1 wprowadza wiele nowych funkcji i ulepszeń, które dodatkowo zwiększają bezpieczeństwo i wydajność firewalla. Oto najważniejsze nowości w szczegółach:

⚠️ Ważne dla wszystkich użytkowników RED 15 i RED 50, którzy nie przeszli jeszcze na SD-RED 20 lub SD-RED 60. Komunikat, że RED są End of Life, jest wyświetlany na firewallu już od pewnego czasu. Po tej aktualizacji stare modele RED będą wprawdzie nadal widoczne w WebAdmin, ale nie będą się już łączyć z firewallem.

Automatyczne wykrywanie języka przy logowaniu

Zaraz po uruchomieniu nowego firmware Sophos Firewall v20 MR1 widać pierwszą zmianę. Czy dobrą, czy złą, każdy może ocenić sam; dla mnie raczej to drugie.

Język portalu administracyjnego jest automatycznie wykrywany na podstawie ustawień przeglądarki, a następnie zapisywany w pliku cookie.

Strona logowania administratora Sophos Firewall v20 MR1
Strona logowania administratora Sophos Firewall v20 MR1

Ulepszone bezpieczeństwo zapory i kontrola dostępu

Nowa wersja daje jeszcze bardziej precyzyjną kontrolę nad tym, które usługi są dostępne z sieci WAN. Znacząco poprawia to poziom bezpieczeństwa firewalla. Tego, czego nie widać, nie da się tak łatwo zaatakować.

Dodano nowe opcje ustawień dla IPsec VPN i RED:

Sophos Firewall v20 MR1 Lokalna usługa ACL
Sophos Firewall v20 MR1 Lokalna usługa ACL

Nowe usługi na liście wyjątków Local ACL

Za strefą nadal może jednak kryć się duża powierzchnia ataku, dlatego warto jeszcze dokładniej definiować dostęp w „Local service ACL exception rule”.

Do listy wyjątków dodano następujące usługi: AD SSO, Captive Portal, RADIUS SSO, Client Authentication, Wireless, SMTP, RED, IPsec i na końcu Chromebook, chociaż poza YouTube nigdy jeszcze Chromebooka nie widziałem 🤷‍♂️.

Reguły wyjątku ACL lokalnej usługi Sophos Firewall v20 MR1
Reguły wyjątku ACL lokalnej usługi Sophos Firewall v20 MR1

Bardziej elastyczne wyjątki kontroli dostępu

W nowej wersji Sophos Firewall v20 MR1 elastyczność wyjątków kontroli dostępu została znacznie poprawiona i rozszerzona o trzy ważne typy obiektów.

  • Obsługa hostów FQDN: W regułach wyjątków można teraz używać w pełni kwalifikowanych nazw domen (FQDN). Pozwala to precyzyjniej kontrolować ruch, sterując dostępem do określonych domen na podstawie ich nazw, a nie tylko adresów IP. Na tę funkcję (która była dostępna w UTM 🤐) czekałem od dawna.
  • Grupy hostów: Możliwość definiowania i używania grup hostów zapewnia większą elastyczność w zarządzaniu regułami dostępu. Można połączyć kilka hostów w grupę, a następnie użyć tej grupy w regułach wyjątków.
  • Adresy MAC: Oprócz adresów IP w wyjątkach kontroli dostępu można teraz uwzględniać także adresy MAC. Daje to dodatkową warstwę kontroli, szczególnie przydatną w sieciach z wieloma dynamicznymi lub zmieniającymi się adresami IP.

Zero-Touch Deployment

Zero-Touch Deployment to zaawansowana funkcja Sophos Firewall v20 MR1.

W wielu przypadkach jako Avanet wymieniamy istniejące firewalle 1:1 na nowe i ważne jest, aby odbywało się to szybko oraz przy minimalnych przerwach. Zazwyczaj wstępnie konfigurujemy urządzenie w naszym biurze, a następnie wysyłamy je do klienta, gdzie trzeba je już tylko podmienić.

W przeszłości Zero-Touch Deployment wymagał pamięci USB do przeniesienia pliku konfiguracyjnego na firewall. W nowej wersji nie jest to już konieczne, ponieważ całą konfigurację można przeprowadzić przez Sophos Central.

Oto kroki i ulepszenia w szczegółach:

  1. Wprowadzenie numeru seryjnego: Numer seryjny nowego firewalla jest wprowadzany w Sophos Central. Służy to do identyfikacji i inicjalizacji firewalla.
  2. Zdefiniowanie konfiguracji podstawowej: Definiuje się konfigurację bazową, która zostanie zastosowana przy pierwszym uruchomieniu firewalla. Obejmuje ona ważne ustawienia, takie jak strefa czasowa, nazwa hosta firewalla oraz konfiguracje sieciowe dla LAN i WAN.
  3. Nawiązanie połączenia z Internetem: Firewall zostaje na miejscu po prostu podłączony do sieci, dzięki czemu automatycznie łączy się z Sophos Central i pobiera zdefiniowaną wcześniej konfigurację.
  4. Aktywacja Firewall Management: Po połączeniu z Sophos Central firewall jest automatycznie konfigurowany i gotowy do użycia. Administratorzy mogą następnie wprowadzać dalsze ustawienia i dostrojenia bezpośrednio przez Sophos Central.

Ta metoda znacząco skraca czas instalacji i zmniejsza jej złożoność. Ponadto firewall może być używany od razu po połączeniu z Internetem, co przyspiesza cały proces.

Zalety Zero-Touch Deployment

  • Szybkie wdrożenie: Idealne dla lokalizacji, w których nie ma personelu IT na miejscu. Firewall może zostać skonfigurowany i przygotowany do pracy natychmiast po podłączeniu do sieci.
  • Scentralizowane zarządzanie: Wszystkie kroki konfiguracyjne są wykonywane przez Sophos Central, co umożliwia jednolite i spójne zarządzanie.
  • Minimalne przerwy: Ponieważ konfiguracja jest predefiniowana i stosowana automatycznie, przestoje są minimalne, co jest szczególnie korzystne w środowiskach krytycznych dla biznesu.
  • Łatwe dostosowanie: Po wstępnej konfiguracji dalsze zmiany i ustawienia można wprowadzać centralnie, bez konieczności obecności technika na miejscu.

Dzięki Zero-Touch Deployment Sophos oferuje wydajne rozwiązanie do wdrażania i konfigurowania firewalli, które oszczędza czas i maksymalizuje dostępność sieci.

Pobieranie plików logów do troubleshootingu

Dzięki Sophos Firewall v20 MR1 można teraz pobierać pojedyncze pliki logów bezpośrednio z firewalla. Ta funkcja upraszcza troubleshooting, ponieważ nie trzeba już łączyć się z firewallem przez SSH, aby uzyskać potrzebne dane.

W głównym punkcie menu Diagnostics znajduje się opcja Troubleshooting Logs. Administratorzy mogą tam wyszukiwać konkretne logi i wybierać kilka logów jednocześnie. Sophos Firewall udostępnia następnie do pobrania plik ZIP zawierający wszystkie wybrane logi. Pliki te można otworzyć i przeanalizować na lokalnym kliencie.

Sophos Firewall v20 MR1 - Pobierz logi
Sophos Firewall v20 MR1 - Pobierz logi

Każde połączenie Site-to-Site IPsec i każde pojedyncze połączenie RED otrzymuje własny log. Pozwala to na szczegółową i precyzyjną analizę bez konieczności sięgania po uciążliwe metody. Dzięki temu zarządzanie i utrzymanie firewalla stają się bardziej efektywne i wygodniejsze.

Sophos Firewall v20 MR1 - Logi dla IPsec S2S lub dowolnego RED
Sophos Firewall v20 MR1 - Logi dla IPsec S2S lub dowolnego RED

Pola opisu dla obiektów

Wszystkie obiekty w sekcji “Host & Services” otrzymują teraz pole opisu. Obejmuje to hosty IP, grupy hostów IP, adresy MAC i inne obiekty sieciowe. Możliwość dodania szczegółowego opisu do każdego obiektu znacznie poprawia dokumentację.

Ta funkcja umożliwia przechowywanie ważnych informacji bezpośrednio w firewallu. Na przykład podczas tworzenia nowego hosta IP można od razu dodać opis wyjaśniający jego cel i sposób użycia. Jest to szczególnie przydatne, gdy firewallem zarządza kilku administratorów lub gdy wymagana jest dokładna dokumentacja.

Opis obiektu Sophos Firewall v20 MR1
Opis obiektu Sophos Firewall v20 MR1

Opis może również zawierać linki do dalszych informacji, takich jak baza wiedzy lub dokument PDF ze szczegółami dotyczącymi danego obiektu. Zwiększa to przejrzystość i ułatwia przyszłe zadania administracyjne. Dzięki temu port usługi używany tylko przez określoną aplikację może od razu zawierać odpowiednie informacje i kontekst, co znacząco poprawia efektywność oraz czytelność zarządzania siecią.

Opis jest również indeksowany, aby umożliwić wyszukiwanie.

Generative AI Firewall Assistant

Dzisiaj firma po prostu nie jest już cool, jeśli nie wspomina o AI. Kilka lat temu był to blockchain.

Zintegrowano nowego generatywnego Sophos Assistant wspieranego przez AI, aby pomagał w zarządzaniu firewallem. Asystentowi można zadać dowolne pytanie prostym językiem, a w odpowiedzi otrzymać instrukcje i linki do pomocnych zasobów.

Sophos Firewall v20 MR1 - Asystent z odrobiną AI
Sophos Firewall v20 MR1 - Asystent z odrobiną AI

Nieźle jak na pierwszą wersję, ale chyba wyobrażamy sobie AI inaczej niż tylko jako trochę lepszą wyszukiwarkę?

Aktualizacja OpenVPN do v2.6.0

Komponent OpenVPN w Sophos Firewall został zaktualizowany do wersji 2.6.0. Poprawia to bezpieczeństwo i wydajność SSL VPN. Site-to-Site SSL VPN ze starszymi wersjami nie są już obsługiwane. Zaleca się aktualizację do v20.0 MR1 lub użycie alternatywnych rozwiązań VPN, takich jak IPsec.

Ponadto najnowszą wersję klienta Sophos Connect (v2.3) można pobrać za pośrednictwem portalu VPN:

Ważne uwagi dotyczące kompatybilności SSL VPN

Ze względu na aktualizację do OpenVPN 2.6.0 w tej wersji, tunele SSL VPN nie będą już nawiązywane z następującymi klientami i wersjami zapory:

  • SFOS v18.5 i wcześniejsze wersje: Site-to-Site SSL VPN nie mogą być już nawiązywane. Zaleca się aktualizację wszystkich odpowiednich zapór do v20.0 MR1 lub użycie tuneli Site-to-Site IPsec lub RED.
  • Legacy SSL VPN Client: Tunele Remote Access SSL VPN nie będą już nawiązywane ze starszym SSL VPN Client. Należy użyć Sophos Connect Client albo klientów innych firm, takich jak OpenVPN Client.
  • UTM9 OS: Site-to-Site SSL VPN nie mogą być już nawiązywane między UTM9 OS a SFOS v20.0 MR1. Zaleca się migrację tych urządzeń do v20.0 MR1 lub użycie tuneli Site-to-Site IPsec lub RED.

Ulepszenia w SD-WAN i VPN

Nowa wersja Sophos Firewall v20 MR1 wprowadza ważne ulepszenia w obszarze SD-WAN i VPN, które znacznie zwiększają zarówno niezawodność, jak i wydajność.

  • Minimalne przerwy w ruchu: Dostępność bram podczas HA-Failover i restartów urządzeń została poprawiona czterokrotnie. Oznacza to, że w przypadku awarii bramy lub restartu urządzenia przerwy w ruchu są wyraźnie ograniczone, co przekłada się na stabilniejsze połączenie sieciowe.
  • Nowy OpenVPN 3.0 Client: Nowy OpenVPN 3.0 Client dla Remote Access SSL VPN jest teraz dostępny do pobrania przez portal VPN. Klient oferuje ulepszone funkcje bezpieczeństwa i większą zgodność z różnymi systemami operacyjnymi, co upraszcza konfigurację oraz zarządzanie połączeniami VPN i poprawia doświadczenie użytkownika.
  • Obsługa IPsec Phase-1 IKEv2: Dodano obsługę szyfrów GCM i Suite-B, co poprawia interoperacyjność i przepustowość połączeń IPsec. Te nowoczesne metody szyfrowania zapewniają bezpieczniejszą i bardziej wydajną transmisję danych między urządzeniami sieciowymi.
  • Ulepszenia DHCP Busybox: Domyślny czas dzierżawy DHCP ustawiono na 30 sekund, aby wyeliminować problemy z połączeniem WAN. Krótsze czasy dzierżawy oznaczają szybsze przydzielanie i odnawianie adresów IP, co prowadzi do stabilniejszego oraz bardziej niezawodnego połączenia sieciowego, szczególnie w środowiskach z często zmieniającymi się połączeniami.

Instalacja Sophos Firewall v20 MR1

Aby zainstalować najnowszą wersję firmware, wymagana jest licencja Enhanced Support, chyba że firewall został właśnie kupiony i nadal ma licencję ewaluacyjną: Aktualizacje Sophos Firewall nie będą już darmowe w przyszłości

Ten poradnik opisuje, jak zainstalować najnowszą wersję na firewallu i pobrać obraz: Aktualizacja firmware na Sophos Firewall

Więcej informacji o wydaniu można znaleźć w Sophos Community - Sophos Firewall OS v20 MR1 is Now Available

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.