Porównanie pakietów Sophos Firewall
Przed zakupem lub odnowieniem Sophos Firewall nie należy skupiać się wyłącznie na modelu sprzętowym. Ważne jest również, które moduły ochrony, wsparcie i funkcje Central są rzeczywiście potrzebne w eksploatacji. Właśnie dlatego istotne są pakiety Sophos Firewall.
Pakiet może być bardziej opłacalny niż pojedyncze licencje. Może jednak prowadzić do zakupu funkcji, które są rzadko używane na co dzień. Dlatego najpierw należy ustalić, które funkcje bezpieczeństwa, wymagania dotyczące raportowania i oczekiwania dotyczące wsparcia pasują do środowiska.
Jaki artykuł licencyjny pasuje?
Decyzje dotyczące licencji i zakupu są powiązane, ale odpowiadają na różne pytania:
- Porównanie Standard Protection, Xstream Protection i Epic Protection: Ten artykuł.
- Dobór modelu firewall i klasy wydajności: Przewodnik po rozmiarze Sophos Firewall: Prawidłowe wymiarowanie XGS.
- Rozdzielenie Base License, wsparcia i subskrypcji: Zrozumienie Base License Sophos Firewall.
- Wybór sprzętu, wirtualnej zapory, aplikacji programowej lub wdrożenia w chmurze: Sophos Firewall: Sprzęt, wirtualny czy chmura?.
- Sprawdzenie gwarancji, statusu wsparcia lub pytań dotyczących RMA: Klasyfikacja gwarancji sprzętu Sophos, wsparcia i RMA.
- Aktywacja klucza licencyjnego na firewallu: Aktywacja klucza licencyjnego Sophos Firewall.
- Przeniesienie firewalla do innego konta Sophos Central: Przeniesienie Sophos Firewall do innego konta Sophos Central.
To rozdzielenie jest ważne: odpowiedni pakiet nie zastępuje wymiarowania, przeglądu cyklu życia ani czystego przypisania konta. Z drugiej strony, najlepszy model sprzętowy niewiele pomoże, jeśli wsparcie, moduły ochrony lub raportowanie nie pasują do eksploatacji.
Przegląd pakietów Sophos Firewall
Dla urządzeń XGS Firewall z Sophos Firewall OS zazwyczaj na pierwszym planie są trzy warianty pakietów:
- Standard Protection: Base License, Network Protection, Web Protection, Enhanced Support. klasyczne funkcje UTM, filtr internetowy, IPS, wsparcie i aktualizacje oprogramowania.
- Xstream Protection: Standard Protection plus Zero-Day Protection, Central Orchestration i inne funkcje Xstream/Central w zależności od oferty. środowiska z większym naciskiem na chmurę, SD-WAN, raportowanie lub zaawansowaną ochronę przed złośliwym oprogramowaniem.
- Epic Protection: Xstream Protection plus Email Protection i Webserver Protection. środowiska, które chcą bezpośrednio na firewallu obsługiwać funkcje Mail Security lub WAF.

Tabela nie jest zamierzona jako pełna macierz licencyjna. Sophos może zmieniać nazwy pakietów, akcje, okresy obowiązywania i zawarte usługi dodatkowe. Dlatego przy zakupie lub odnowieniu zawsze należy sprawdzić konkretną ofertę i widoczny widok licencji w Sophos Central lub na firewallu w odniesieniu do potrzeb technicznych.
Klasyfikacja Standard Protection
Standard Protection to w wielu środowiskach pragmatyczny początek, gdy Sophos Firewall ma przede wszystkim przejąć klasyczne funkcje bezpieczeństwa bramy: IPS, Web Protection, Application Control, wsparcie i prawo do aktualizacji.
Standard Protection jest sensowne, jeśli spełnione są te punkty:
- Jedna lub kilka zapór chroni sieci biurowe, serwerowe lub lokalizacyjne.
- Web Protection i IPS są rzeczywiście używane i rejestrowane.
- Zero-Day Protection, Central Orchestration lub funkcje Mail/WAF oparte na firewallu nie są częścią modelu eksploatacji.
- Raportowanie jest rozwiązywane lokalnie, przez Syslog, SIEM lub osobno przez Central Firewall Reporting.
- Środowisko nie powinno być zmuszane do wyższego pakietu z powodu promocji sprzętowej.
Dla wielu mniejszych i średnich środowisk jest to najczystszy punkt startowy. Decydujące nie jest jednak nazwa pakietu, ale to, czy funkcje ochrony są również aktywowane, monitorowane i utrzymywane.
Klasyfikacja Xstream Protection
Xstream Protection uzupełnia Standard Protection głównie o funkcje, które bardziej kierują się w stronę zaawansowanej ochrony przed zagrożeniami, funkcji Central, raportowania, ochrony DNS/chmury i orkiestracji SD-WAN. Pakiet nie jest automatycznie opłacalny tylko dlatego, że wygląda atrakcyjnie w promocji.
Xstream Protection powinno być rozważane, jeśli co najmniej jeden z tych punktów jest istotny:
- Zero-Day Protection ma być rzeczywiście używane dla pobrań lub ruchu internetowego.
- Planowane lub już wprowadzone jest TLS Inspection, aby zaszyfrowany ruch mógł być sensownie analizowany.
- Kilka zapór ma być efektywniej zarządzanych przez Sophos Central i orkiestrację SD-WAN.
- Funkcje Central, takie jak raportowanie, orkiestracja, DNS Protection lub dodatkowe usługi chmurowe są częścią koncepcji eksploatacji.
- Istnieje osoba lub zespół, który regularnie sprawdza alerty, wyjątki i fałszywe alarmy.
W przypadku Sophos Firewall Zero-Day Protection szczególnie ważne jest: sama licencja nie chroni automatycznie każdego pobrania. Decydujące są odpowiednie polityki, planowanie TLS Inspection, akceptacja użytkowników, wyjątki i monitorowanie. Bez tej pracy eksploatacyjnej praktyczna korzyść pozostaje ograniczona.
Największą praktyczną wartość Xstream Protection często widzimy tam, gdzie aktywnie wykorzystywane są Threat Feeds od zewnętrznych dostawców. Dzięki temu można bezpośrednio uwzględniać znane złośliwe adresy IP, skompromitowane systemy lub inne zewnętrzne źródła informacji o zagrożeniach w polityce firewalla.
Central Orchestration jest szczególnie interesujące, gdy obsługiwanych jest wiele zapór, wiele lokalizacji VPN lub bardziej złożone projekty SD-WAN. W przypadku jednej zapory lub kilku prostych tuneli site-to-site ręczna konfiguracja może nadal być wystarczająca. Dla centralnych zmian w firewallu dodatkowo należy uwzględnić Sophos Central Firewall Management Task Queue w procesie eksploatacyjnym.
Klasyfikacja Epic Protection
Epic Protection to bardziej kompleksowy pakiet, ale nie powinien być rozumiany jako standardowa odpowiedź na każde środowisko. Wartość dodana zależy w dużej mierze od tego, czy Email Protection i Webserver Protection rzeczywiście mają być obsługiwane na Sophos Firewall.
Epic Protection jest bardziej sensowne, jeśli na te pytania można odpowiedzieć twierdząco:
- Czy Sophos Firewall ma działać jako komponent ochrony poczty w własnym przepływie poczty?
- Czy opublikowane serwery internetowe lub aplikacje są chronione przez firewall?
- Czy istnieją jasne odpowiedzialności za eksploatację poczty, WAF, certyfikatów i wyjątków?
- Czy logowanie, kwarantanna, rozwiązywanie problemów i zmiany dla tych funkcji są organizacyjnie pokryte?
Jeśli bezpieczeństwo poczty e-mail jest już rozwiązane przez Sophos Central Email, Microsoft 365 Security, inne Secure Email Gateway lub wyspecjalizowaną usługę, Email Protection na firewallu nie musi być automatycznie dodatkowo kupowane. Podobnie jest z Webserver Protection: WAF na firewallu ma sens tylko wtedy, gdy pasuje do architektury aplikacji, eksploatacji TLS i modelu odpowiedzialności.
Matryca decyzyjna dla zakupu i odnowienia
Przed zakupem, odnowieniem lub zmianą pakietu nie należy porównywać tylko cen. Lepsza jest krótka matryca fachowa:
- Jakie funkcje ochrony są obecnie aktywnie używane? Kupione, ale nie skonfigurowane moduły nie przynoszą korzyści bezpieczeństwa.
- Jakie funkcje mają być wprowadzone w ciągu najbliższych 12 do 36 miesięcy? Pakiet może być sensowny, jeśli wprowadzenie jest realistycznie planowane.
- Czy jest wystarczająco dużo czasu na utrzymanie, wyjątki i przegląd logów? IPS, Web Protection, Zero-Day Protection i WAF generują nakład pracy eksploatacyjnej.
- Gdzie będą długoterminowo przechowywane logi? Lokalne raportowanie często nie wystarcza na dłuższe dowody lub audyty.
- Ile jest zapór, lokalizacji i VPN? Central Orchestration opłaca się bardziej przy wielu zaporach i bardziej złożonych topologiach.
- Jakie funkcje bezpieczeństwa działają już poza firewallem? Endpoint, DNS, E-mail, WAF i SIEM mogą częściowo zastępować lub uzupełniać funkcje.
- Czy oferta jest związana z określonym okresem obowiązywania? Oferty wieloletnie mogą być finansowo korzystne, ale wiążą budżet i architekturę.
Ta matryca szczególnie pomaga przy odnowieniach. Środowisko, które trzy lata temu rozpoczęło z Xstream Protection, może dziś używać tylko funkcji standardowych. Z drugiej strony, dotychczas prosta zapora może teraz potrzebować więcej raportowania, SD-WAN lub zaawansowanej ochrony przed złośliwym oprogramowaniem.
Ocena ofert promocyjnych

Promocje Sophos mogą na pierwszy rzut oka wydawać się bardzo atrakcyjne, ponieważ sprzęt jest mocno rabatowany, jeśli wybierze się określony pakiet lub okres obowiązywania. Jednak dla decyzji technicznej nie decyduje sam rabat.
Przed podjęciem decyzji o promocji należy osobno rozważyć te punkty:
- Całkowite koszty w całym okresie obowiązywania, nie tylko cena sprzętu.
- Przedpłata i związanie budżetu przy wieloletnich okresach obowiązywania.
- Rzeczywiście potrzebne moduły w porównaniu do zakupionych modułów.
- Nakład pracy na wprowadzenie, monitorowanie i utrzymanie funkcji dodatkowych.
- Sytuacja odnowienia po wygaśnięciu promocji.
- Ryzyko, że funkcje są kupowane tylko z powodu pakietu, ale nigdy nie są eksploatowane.
Promocja Xstream może być sensowna, jeśli Zero-Day Protection, Central Orchestration lub dodatkowe funkcje Central są rzeczywiście używane. Jeśli te funkcje nie są eksploatowane, Standard Protection mimo mniejszego rabatu sprzętowego często jest bardziej uczciwą decyzją.
Co pakiet nie zastępuje
Pakiet nie rozwiązuje problemów architektonicznych ani eksploatacyjnych. Udostępnia funkcje, ale nie konfiguruje ich sensownie.
Nie należy wyciągać z pakietu wniosków:
- że model firewall jest prawidłowo wymiarowany,
- że wszystkie funkcje bezpieczeństwa są automatycznie aktywowane,
- że TLS Inspection działa bez planu wdrożenia,
- że logi są przechowywane wystarczająco długo,
- że HA, backup lub przywracanie są dobrze zaplanowane,
- że przypadek wsparcia można szybko rozwiązać bez numeru seryjnego, statusu licencji i dokumentacji.
Dla podstaw technicznych należy równolegle rozważyć Prawidłowa konfiguracja Sophos Firewall po kreatorze konfiguracji, Tworzenie lub przywracanie kopii zapasowej Sophos Firewall i Aktualizacja oprogramowania Sophos Firewall: Przygotowanie i najlepsze praktyki.
Lista kontrolna odnowienia
Przed odnowieniem nie należy po prostu przedłużać licencji bez zmian. Lepiej jest przeprowadzić krótką kontrolę eksploatacyjną:
- Sprawdzenie numeru seryjnego i modelu firewalla.
- Dokumentacja aktualnej Base License, wsparcia i subskrypcji.
- Dopasowanie używanych modułów do aktualnego pakietu.
- Identyfikacja nieużywanych modułów.
- Uzasadnienie brakujących modułów na podstawie konkretnych wymagań.
- Sprawdzenie stanu oprogramowania i prawa do aktualizacji.
- Klasyfikacja cyklu życia XG, SG lub XGS.
- Sprawdzenie przechowywania raportów i połączenia Syslog/SIEM.
- HA-Cluster: kontrola obu węzłów, ról i synchronizacji licencji.
- Wirtualne zapory: sprawdzenie rdzeni CPU, instancji, licencji i przypisania konta.
Dla numeru seryjnego i przypisania konta pasują Znajdowanie numeru seryjnego Sophos Firewall i Przeniesienie Sophos Firewall do innego konta Sophos Central. Dla pytań dotyczących platformy i cyklu życia pomocne jest Sophos XG vs. XGS: Różnice, EOL i migracja.
Typowe błędy
- Wybór pakietu tylko ze względu na rabat sprzętowy: Funkcje są opłacane, ale nie eksploatowane. Sprawdzenie zapotrzebowania na funkcje i kosztów eksploatacji oddzielnie od rabatu.
- Mylenie Base License z wsparciem: Zdolność do aktualizacji i wsparcia jest błędnie oceniana. Oddzielne sprawdzenie Base License, wsparcia i subskrypcji.
- Zakup Zero-Day Protection bez planu TLS Inspection: Skuteczność ochrony pozostaje ograniczona lub prowadzi do frustracji użytkowników. Planowanie wdrożenia, wyjątków, grupy testowej i monitorowania.
- Wybór Central Orchestration dla bardzo prostego środowiska: Dodatkowa licencja przynosi niewielką praktyczną korzyść. Ocena liczby zapór, VPN i złożoności SD-WAN.
- Podwójne licencjonowanie Email Protection: Bezpieczeństwo poczty staje się niepotrzebnie skomplikowane lub kosztowne. Sprawdzenie istniejącej architektury bezpieczeństwa poczty e-mail.
- Zapomnienie o wymaganiach dotyczących raportowania: Logi później brakuje do analizy, audytu lub ubezpieczenia. Wczesne planowanie Central Reporting, Syslog lub SIEM.