Przejdz do tresci
Avanet

Zrozumieć Sophos Firewall Base License

Sophos Firewall Base License jest podstawą Sophos Firewall. Odpowiada jednak tylko na podstawowe pytanie: czy ta instancja firewalla jest zasadniczo zarejestrowana i przypisana od strony licencji? Nie jest to to samo co licencja wsparcia, Security Bundle ani pojedyncza subskrypcja ochronna.

To rozróżnienie jest ważne w eksploatacji. Firewall może mieć widoczną Base License, a mimo to podlegać ograniczeniom przy aktualizacjach firmware, wsparciu, RMA, Sophos Central Firewall Management lub określonych funkcjach bezpieczeństwa. Ten poradnik wyjaśnia, jak klasyfikować Base License, gdzie ją sprawdzić i których punktów nie wolno pominąć przed aktualizacjami, renewalami, planowaniem HA albo zgłoszeniami do wsparcia.

Który artykuł o licencjach pasuje?

Pytania licencyjne często brzmią podobnie, ale prowadzą do różnych decyzji. Ten artykuł jest właściwy wtedy, gdy trzeba sklasyfikować widoczny wpis Base Firewall w widoku licencji i zrozumieć, co oznacza on dla wsparcia, firmware, HA, Central oraz Security Subscriptions.

W przypadku powiązanych pytań lepiej pasują inne poradniki: wybór modelu i klasy wydajności należy do Sophos Firewall Sizing Guide, decyzje dotyczące pakietów do artykułu o Sophos Firewall Bundles, izolowane firewalle do procesu licencjonowania Air-Gap i aktualizacji pattern, zmiany konta do artykułu o transferze Sophos Central, a pytania sprzętowe do klasyfikacji XG, XGS, EOL i migracji.

Takie rozdzielenie zapobiega najważniejszemu błędnemu założeniu: widoczna Base License nie dowodzi automatycznie aktywnego wsparcia, odpowiednich Security Subscriptions, ważnego lifecycle ani poprawnego account ownership. Dla eksploatacji, renewala i zgłoszeń wsparcia należy zawsze wspólnie sprawdzać numer seryjny, konto, status wsparcia, bundle, daty wygaśnięcia i platformę.

Czym jest Base License

Base License identyfikuje i uprawnia podstawową instalację Sophos Firewall. Bez odpowiedniej licencji i przypisania numeru seryjnego appliance albo instancja wirtualna nie może być poprawnie eksploatowana i zarządzana jako produkcyjny system Sophos Firewall.

Ważne jest rozróżnienie:

  • Base License: podstawa instalacji firewalla i podstawowe uprawnienie.
  • Enhanced Support / Enhanced Plus Support: uprawnienie do wsparcia i aktualizacji zależnie od modelu licencji.
  • Security Subscription: moduły ochronne takie jak Network, Web, Email, Zero-Day albo inne licencjonowane funkcje.
  • Numer seryjny: jednoznaczna tożsamość firewalla dla licencji, wsparcia, RMA i przypisania konta.

Base License nie należy więc rozumieć jako “wszystko jest licencjonowane”. Odpowiada ona tylko na część pytania licencyjnego.

Najważniejsza ścieżka kontroli w SFOS to Administration > Licensing. Widać tam rejestrację, model appliance, numer seryjny, Base Firewall, status wsparcia, bundle, pojedyncze subskrypcje i daty wygaśnięcia. Przy firewallu podłączonym online SFOS zwykle automatycznie synchronizuje licencje z Sophos Central. Aby mieć aktualny widok, można uruchomić tam Synchronize, zanim wyciągnie się błędne wnioski ze starego stanu.

Szybka klasyfikacja operacyjna

W codziennej pracy pomaga prosta klasyfikacja. Base License odpowiada tylko na pytanie, czy firewall jest zasadniczo przypisany jako instancja Sophos Firewall. Potem pojawia się właściwe pytanie operacyjne: czy istnieje odpowiednie uprawnienie do tego, co właśnie ma zostać wykonane?

Jeśli firewall ma tylko routować, stosować proste reguły lub udostępniać VPN, Base License jest punktem startowym. Gdy istotne stają się firmware upgrades, wsparcie producenta, RMA, IPS, Web Protection, Zero-Day Protection, WAF, Central Firewall Management albo dłuższe raportowanie, należy osobno sprawdzić odpowiednią subskrypcję wsparcia, bundle lub bezpieczeństwa.

W klastrach HA również nie wystarcza spojrzenie na jedną linię licencji. Role, numery seryjne, typ platformy, synchronizacja subskrypcji i model wsparcia wspólnie decydują o tym, czy failover, RMA i centralne zarządzanie zadziałają poprawnie w poważnym przypadku. W firewallach wirtualnych i software dochodzą licencjonowanie CPU core, przypisanie instancji i scenariusz restore.

Ta szybka decyzja nie zastępuje kontroli licencji, ale zapobiega najczęstszemu błędowi: widzi się ważną Base License i zakłada, że wsparcie, moduły ochronne oraz możliwość aktualizacji też są już wyjaśnione.

Co zawiera Base License

W oficjalnym widoku licencji Sophos przypisuje Base License do podstawowych funkcji Stateful Firewall, VPN, Wireless, High Availability i Firewall RED. W praktyce ważne jest, co to oznacza: firewall może zasadniczo działać jako router, firewall i brama VPN, ale bez dodatkowych Security Subscriptions brakuje wielu funkcji ochronnych i wsparcia.

Typowe funkcje Base License:

  • Stateful Firewall: reguły firewalla, strefy, usługi, hosty, NAT i podstawowe sterowanie politykami. Reguła może zezwalać na ruch albo go blokować. Moduły ochronne takie jak IPS, Web Protection czy Zero-Day Protection nie są przez to automatycznie licencjonowane.
  • Routing i sieć: interfejsy, VLAN, trasy statyczne, trasy SD-WAN, DHCP, DNS i podstawowe usługi sieciowe. Firewall może działać jako centralny router sieciowy. Kontrola bezpieczeństwa ruchu zależy od dodatkowych modułów.
  • VPN: Site-to-Site IPsec, Remote Access IPsec i SSL VPN. Funkcjonalność VPN jest zasadniczo możliwa. MFA, dostęp do portalu, Device Access i logowanie nadal należy zaplanować osobno.
  • Firewall RED: chodzi o funkcje RED firewalla, przede wszystkim Site-to-Site RED między Sophos Firewall. To nie jest to samo co SD-RED Device Management ani tunele SD-RED do urządzeń SD-RED.
  • Wireless: zarządzanie kompatybilnymi Sophos Access Points przez firewall. Nie jest to to samo co nowoczesna architektura Sophos Central Wireless. Wiele środowisk używa dziś innych systemów WLAN.
  • High Availability: praca HA Sophos Firewall. Licencjonowanie i role w klastrach HA trzeba sprawdzić osobno, szczególnie przy Active-Passive i synchronizacji subskrypcji.
  • Lokalne logi i raporty: lokalne zdarzenia, Log Viewer i proste raporty. Do dłuższego przechowywania, centralnego wyszukiwania albo raportowania, zależnie od celu, potrzebne są Sophos Central Reporting, Syslog albo SIEM.

Base License jest więc przede wszystkim techniczną podstawą działania. Dzięki niej appliance albo instancja staje się używalnym Sophos Firewall, ale nie w pełni licencjonowanym pakietem ochronnym.

Czego Base License nie zawiera

Bardzo często pojawia się pytanie, czy wraz z Base License otrzymuje się również aktualizacje firmware, wsparcie albo wszystkie funkcje bezpieczeństwa. Właśnie tak nie jest.

  • Firmware upgrades bez uprawnienia wsparcia: Sophos pozwala na trzy darmowe firmware upgrades. Potem potrzebne jest ważne uprawnienie wsparcia albo bundle. Sama Base License nie jest więc wiarygodną strategią aktualizacji.
  • Wsparcie producenta przez Sophos Case, chat lub telefon: wsparcie jest powiązane z Enhanced Support, Enhanced Plus Support albo odpowiednim bundle.
  • SD-RED i Network Protection: SD-RED Device Management oraz tunele SD-RED do urządzeń SD-RED nie powinny być planowane jako funkcje Base License. Wymagają odpowiedniej Network Protection Subscription.
  • IPS / Network Protection: Intrusion Prevention, Sophos X-Ops Threat Feeds oraz Security Heartbeat również wymagają Network Protection.
  • Web Protection i Application Control: filtrowanie web, Application Control i kontrola web malware nie są czystymi funkcjami Base License.
  • Zero-Day Protection: sandboxing, Machine Learning i Threat Intelligence wymagają odpowiedniej licencji.
  • Email Protection: anti-spam, antivirus, DLP, szyfrowanie i ochrona przed malware w poczcie są licencjonowane osobno.
  • Webserver Protection / WAF: Web Application Firewall jest osobną funkcją ochronną i nie jest częścią Base License.
  • Sophos Central Firewall Management tylko z Base License: sama licencja Base Firewall nie wystarcza do Central Firewall Management. Potrzebna jest aktywna płatna subskrypcja poza Base License albo aktywna umowa wsparcia.
  • Dłuższe centralne raportowanie: Central Firewall Reporting zależy od licencji, przestrzeni i okresu przechowywania.

Szczególnie firmware upgrades są częstą pułapką: firewall może pokazywać ważną Base License, a mimo to nie mieć wystarczającego uprawnienia do kolejnych planowanych firmware upgrades. Tło opisano we wpisie blogowym Sophos Firewall Updates zukünftig nicht mehr kostenlos.

Hardware Appliance

W przypadku XGS Hardware Appliance Base License jest powiązana ze sprzętem lub numerem seryjnym. Hardware appliances mają Base Firewall jako podstawę urządzenia. Mimo to praktyczna użyteczność zależy od lifecycle, wsparcia, bundle, dat wygaśnięcia i przypisania konta.

Numer seryjny jest szczególnie ważny w eksploatacji, ponieważ zależą od niego status licencji, wsparcie, RMA, przypisanie konta i dokumentacja.

Sprawdzić:

  • Czy firewall jest zarejestrowany we właściwym koncie Sophos?
  • Czy numer seryjny zgadza się z zamówieniem, dokumentami licencyjnymi i urządzeniem?
  • Czy istnieje aktywna licencja wsparcia albo bundle?
  • Czy wymagane Security Subscriptions są aktywne?
  • Czy wiadomo, które aktualizacje firmware są jeszcze możliwe?
  • Czy sam sprzęt nadal jest w obsługiwanym lifecycle?

Numer seryjny można znaleźć w SFOS bezpośrednio na dashboardzie. Procedura znajduje się w znajdowaniu numeru seryjnego Sophos Firewall.

Firewalle wirtualne i software

W przypadku wirtualnych, software i cloud instancji Sophos Firewall licencjonowanie silniej zależy od przypisanej instancji oraz numeru seryjnego. W przeciwieństwie do sprzętu nie ma fizycznego numeru seryjnego appliance na etykiecie urządzenia. Dlatego przypisanie licencji i instancji trzeba dokumentować szczególnie dokładnie.

Ważne:

  • Numer seryjny i plik licencyjny należą do konkretnej instancji.
  • Przypisanie konta musi być poprawne przed pracą produkcyjną.
  • Licencjonowanie CPU core, Base Firewall i wsparcie trzeba sprawdzić osobno.
  • Backupy nie zastępują czystej dokumentacji licencji i numeru seryjnego.
  • Przy reinstalacji, restore albo migracji musi być jasne, która instancja używa której licencji.

Od 2025 roku w wirtualnych i software instancjach Sophos Firewall szczególnie ważne jest licencjonowanie CPU core; RAM nie jest już dawnym limitem licencyjnym. Szczegóły sklasyfikowano w artykule Sophos Firewall VM & SW - Nur CPU zählt - Kein RAM Limit mehr. Do podstawowej decyzji platformowej pasuje Sophos Firewall: hardware, virtual or cloud?.

W HA rozróżnienie jest istotne: przy Active-Passive HA w firewallach wirtualnych i software tylko instancja Primary potrzebuje Base Firewall oraz kolejnych licencji. Przy Active-Active HA oba urządzenia albo instancje potrzebują własnych odpowiednich licencji. Przy hardware HA dochodzą szczegóły RMA i wsparcia, których nie da się wyprowadzić z samej Base License. Dla Sophos Central Firewall Management sama synchronizacja licencji również nie wystarcza; firewalle muszą być zarejestrowane do Firewall Management i mieć odpowiednią płatną subskrypcję albo licencję wsparcia.

Czego nie należy wyprowadzać z Base License

Base License nie mówi automatycznie, że wszystkie oczekiwane funkcje nadają się do produkcyjnego użycia, są wspierane albo mają uprawnienie do aktualizacji. Wiele nieporozumień powstaje dlatego, że w widoku licencji kilka rzeczy stoi obok siebie.

Nie wyprowadzaj z Base License:

  • że aktualizacje firmware są trwale możliwe bez wsparcia,
  • że wszystkie moduły ochronne są aktywne,
  • że Web Protection, Mail Protection, Zero-Day Protection albo inne moduły bezpieczeństwa są licencjonowane,
  • że wsparcie albo RMA jest pokryte,
  • że firewall znajduje się we właściwym koncie,
  • że licencjonowanie HA i synchronizacja subskrypcji są poprawne.

Dla aktualizacji firmware ważne jest: Sophos już w SFOS v19 MR1 wprowadził wymóg wsparcia dla przyszłych firmware upgrades. Klienci bez wsparcia mają trzy darmowe firmware upgrades; potem wymagana jest ważna Support Subscription. Avanet sklasyfikował tę zmianę w Sophos Firewall Updates zukünftig nicht mehr kostenlos.

Dodatkowo istotna jest zmiana z 2025 roku, w której Sophos mocniej ogranicza firewalle bez ważnej licencji wsparcia. Przegląd znajduje się w Sophos Firewall: Wichtige Änderung für Kunden ohne Support-Lizenz.

Czysto sprawdzić status licencji

W lokalnej WebAdmin Console można sprawdzić status licencji pod Administration > Licensing. Widać tam między innymi numer seryjny, zarejestrowane licencje, okresy ważności oraz informacje o wygasłych albo brakujących subskrypcjach. Chodzi nie tylko o to, czy gdzieś widnieje Base Firewall. Decydujące jest, czy pokazane licencje pasują do planowanego działania.

Sprawdzić:

  1. Zalogować się do Sophos Firewall.
  2. Otworzyć Administration > Licensing.
  3. Udokumentować numer seryjny i model.
  4. Sprawdzić Base Firewall / Base License.
  5. Sprawdzić wsparcie i Security Subscriptions.
  6. Sklasyfikować wartości statusu takie jak Subscribed, Evaluating, Not subscribed albo Expired.
  7. Udokumentować daty wygaśnięcia i ostrzeżenia.
  8. W razie potrzeby uruchomić Synchronize, aby pobrać aktualny stan z Sophos Central.
  9. W razie potrzeby aktywować klucz licencyjny albo subskrypcję.

Praktyczny proces aktywacji klucza licencyjnego znajduje się w aktywacji klucza licencyjnego Sophos Firewall.

Dokumentować status licencji i wsparcia

Przy pytaniach o licencję, wsparcie i renewal zrzut ekranu Base License rzadko wystarcza. Dla eksploatacji, zgłoszeń wsparcia, RMA, restore albo transferu konta należy utrzymywać mały zestaw danych licencyjnych dla każdego firewalla.

  • Numer seryjny: łączy licencję, urządzenie, wsparcie, RMA i przypisanie konta.
  • Model i platforma: odróżnia XGS Hardware, firewall wirtualny, Software Appliance albo Cloud Deployment.
  • Sophos Account / Central Tenant: zapobiega błędnej aktywacji licencji albo problemom przy transferze konta.
  • Status Base License: pokazuje, czy firewall jest zasadniczo poprawnie przypisany.
  • Support / Bundle: decyduje o aktualizacjach, wsparciu i pytaniach renewal.
  • Security Subscriptions: pokazuje, które moduły ochronne są rzeczywiście używalne.
  • Daty wygaśnięcia: ważne dla renewala, budżetu i planowanych firmware upgrades.
  • Backup i Secure Storage Master Key: ważne dla restore, migracji i zgłoszeń wsparcia.

Taka dokumentacja nie powinna powstawać dopiero w przypadku błędu. Jeśli firewall jest przenoszony na inne konto, pasuje przeniesienie Sophos Firewall do innego konta Sophos Central. Jeśli w grę wchodzi restore, wymiana sprzętu albo reimage, należy dodatkowo sprawdzić artykuł tworzenie lub przywracanie backupu Sophos Firewall.

Data wygaśnięcia Base License

Widok licencji Sophos Firewall z datą wygaśnięcia Base Firewall
W widoku licencji Base Firewall może mieć datę wygaśnięcia daleko w przyszłości. Mimo to decydujące pozostają wsparcie, subskrypcje i lifecycle platformy.

W widoku licencji Base Firewall może pojawić się z datą wygaśnięcia bardzo daleko w przyszłości. Nie należy mylić tego z nieograniczonym wsparciem albo nieograniczoną możliwością aktualizacji.

W praktyce oznacza to:

  • Base License może pozostać widoczna długoterminowo jako podstawa firewalla.
  • Sprzęt, platforma i firmware nadal mają własne granice lifecycle.
  • Kolejne firmware upgrades mogą wymagać ważnego uprawnienia wsparcia.
  • Funkcje bezpieczeństwa zależą od aktywnych subskrypcji.
  • Wsparcie, RMA i renewal trzeba sprawdzać osobno.

Według Sophos w firewallach cloud, wirtualnych i software Base Firewall nie wygasa jak normalna subskrypcja ochronna. W hardware appliances status Base Firewall jest natomiast powiązany z lifecycle sprzętu. Dlatego odległej daty wygaśnięcia nigdy nie należy oceniać w izolacji: model, status EOL, wersja SFOS, wsparcie i Security Subscriptions należą zawsze do tej samej kontroli.

Gdy Base Firewall naprawdę wygasa

Wygasły status Base Firewall nie jest kosmetycznym komunikatem licencyjnym. Konfiguracja pozostaje widoczna i częściowo można ją dalej edytować, ale egzekwowanie polityk zmienia się masowo.

Sophos opisuje dla wygasłej Base Firewall między innymi takie zachowanie: reguły firewalla nie są już przetwarzane, określone kierunki ruchu LAN/DMZ-do-WAN albo ruch wewnętrzny są dopuszczane jak w prostym routerze, inny ruch pozostaje blokowany, tunele VPN mogą pozostać zestawione, ale nie transportują już użytecznego ruchu, a reguły NAT, Site-to-Site RED tunnels, Remote Access Points oraz Wireless Networks nie działają zgodnie z przeznaczeniem. Właśnie dlatego ostrzeżenia Base Firewall nie należy oglądać dopiero przy kolejnej rozmowie renewal.

Ważne jest rozróżnienie: wygasły moduł bezpieczeństwa nie jest tym samym co wygasła Base Firewall. Jeśli na przykład wygasa Web Protection, Zero-Day Protection albo Webserver Protection, firewall nie traci automatycznie każdej funkcji podstawowej, ale dana funkcja ochronna albo egzekwująca przestaje działać lub działa tylko w ograniczony sposób. Analiza błędu zawsze zaczyna się więc od pytania, która licencja naprawdę wygasła.

Dla administratorów oznacza to praktycznie:

  • Sprawdzić status licencji pod Administration > Licensing.
  • Skontrolować numer seryjny, konto Sophos Central i przypisanie konta.
  • Sprawdzić, czy chodzi o normalny problem online sync, temat Air-Gap, problem HA czy rzeczywiste wygaśnięcie licencji.
  • W systemach produkcyjnych natychmiast uruchomić proces wsparcia, renewala albo partnera.

Jeśli firewall działa w izolacji, normalna synchronizacja 24-godzinna nie jest właściwą miarą. Wtedy proces Air-Gap z plikiem licencji, ręcznym uploadem i rutyną pattern należy do odpowiedzialności operacyjnej.

Co sprawdzić przed aktualizacjami i renewalami

Przed aktualizacjami firmware, rozmowami renewal albo migracjami nie należy patrzeć na status licencji tylko powierzchownie. Lepsza jest krótka kontrola operacyjna.

Najpierw dokumentuje się numer seryjny, model, platformę, konto Sophos i Base License. Następnie sprawdza się licencję wsparcia albo bundle, wymagane Security Subscriptions, daty wygaśnięcia i ostrzeżenia. W klastrach HA do kontroli należą oba nody, role i synchronizacja licencji; w firewallach wirtualnych dodatkowo CPU cores, przypisanie instancji i scenariusz restore.

Przed firmware upgrade nie należy ufać, że widoczny wpis Base Firewall wystarczy. Sensowne jest połączenie aktualnego backupu, sprawdzonego statusu wsparcia, znanej wersji docelowej, okna serwisowego i krótkiego planu fallback. Darmowe firmware upgrades bez wsparcia są co najwyżej sytuacją przejściową, a nie czystą strategią operacyjną.

Przy większych aktualizacjach pomaga dodatkowo sprawdzenie Sophos Firewall przed upgrade do SFOS 22. W środowiskach HA istotne jest konfigurowanie Sophos Firewall High Availability (HA), ponieważ licencjonowanie i role w klastrze muszą być jasno udokumentowane.

Częste błędy

Mylenie Base License ze wsparciem

Widoczna Base License nie oznacza automatycznie, że wsparcie i firmware upgrades są pokryte. Status wsparcia trzeba sprawdzić osobno.

Niesprawdzanie modułów bezpieczeństwa

Jeśli funkcja nie działa albo nie można jej skonfigurować, nie należy patrzeć tylko na Base License. Decydujące jest, czy odpowiednia subskrypcja jest aktywna i czy funkcja została też skonfigurowana.

Użycie niewłaściwego numeru seryjnego

Przy wielu firewallach, klastrach HA, instancjach wirtualnych albo transferach kont szybko powstają pomyłki. Numer seryjny, konto i dokumenty licencyjne muszą do siebie pasować.

Niepełne dokumentowanie firewalla wirtualnego

W przypadku firewalli wirtualnych należy dokumentować razem licencję, numer seryjny, nazwę instancji, hypervisor, CPU cores, backup i odpowiedzialne konto. W przeciwnym razie restore albo zgłoszenie wsparcia staje się niepotrzebnie trudne.

FAQ

Czy Sophos Firewall Base License jest licencją wsparcia?

Nie. Base License jest podstawą firewalla. Wsparcie, firmware upgrades i Security Subscriptions trzeba sprawdzać osobno.

Czy z Base License można instalować aktualizacje firmware?

Nie trwale bez ograniczeń. Od SFOS v19 MR1 Sophos wymaga ważnej Support Subscription dla przyszłych firmware upgrades po wyczerpaniu trzech darmowych firmware upgrades.

Gdzie widać Base License?

W lokalnej WebAdmin Console pod Administration > Licensing. Tam należy też sprawdzić numer seryjny, status wsparcia, subskrypcje, daty wygaśnięcia i możliwe informacje o synchronizacji.

Co jest inne w firewallach wirtualnych?

Firewalle wirtualne nie mają fizycznego numeru seryjnego appliance na etykiecie urządzenia. Licencję, numer seryjny, instancję i przypisanie konta trzeba więc dokumentować szczególnie dokładnie.

Czy Base License wystarczy do pracy produkcyjnej?

Dla bezpiecznej pracy produkcyjnej nie należy patrzeć tylko na Base License. Decydujące są status wsparcia, wersja firmware, wymagane Security Subscriptions, backup, monitoring i lifecycle platformy.