Saltar para o conteudo
Avanet
Atualização Sophos XG v17 - Todas as novidades em resumo

Atualização Sophos XG v17 - Todas as novidades em resumo

16. OUTUBRO 2017

Bald ist es so weit, und das neue SFOS erscheint in der Version 17! Eu já tive oportunidade de analisar o Release Candidate e reuni aqui para vocês as novidades mais importantes.

Neste artigo mostro‑vos quais as novas funcionalidades que o SFOS v17 vai trazer. Neste momento ainda estamos a falar do “Release Candidate”, mas dentro de poucas semanas a nova versão estará disponível para todos.

6 melhorias importantes no update SFOS v17

Quem não tiver paciência para ler tudo pode ver o seguinte vídeo de Sophos, onde as funcionalidades da XG v17 são apresentadas em menos de 4 minutos:

1. Synchronized App Control

Uma funcionalidade completamente nova é o Synchronized App Control. Até agora, a XG Firewall só conseguia reconhecer aplicações com base em assinaturas. Com isso, estas podiam, por exemplo, ser bloqueadas ou priorizadas e receber uma largura de banda garantida (QoS). No entanto, uma grande parte do tráfego não podia ser classificada. Isto incluía programas desenvolvidos internamente, aplicações desconhecidas ou aplicações que deliberadamente não queriam ser identificadas por não utilizarem assinaturas.

Com a v17, o Sophos aumentou drasticamente a capacidade de reconhecer mais aplicações. Contudo, para esta funcionalidade é necessário o “Synchronized Security”. Isto significa que precisam de “Sophos Central Endpoint Advanced” ou “Intercept X” para os endpoints e de “Sophos Central Server Protection Advanced” para os servidores.

Com Sophos Central nos endpoints, passam a dar à vossa XG Firewall a capacidade de comunicar com estes. A Sophos chama a isto o “Security Heartbeat”. Assim, a firewall pode agora perguntar ao endpoint que processos estão ativos no sistema e o endpoint devolve essa informação. Desta forma, torna‑se também possível classificar o tráfego que antes não era identificado. Aqui fica mais um vídeo sobre o tema:

2. Gestão das regras de firewall

Quem tiver uma XG conhece a vista atual para gestão das regras de firewall: torna‑se muito rapidamente confusa e, até agora, era necessário recorrer ao nome das regras para construir uma espécie de “agrupamento”. As regras passam agora a ser apresentadas de forma mais compacta, podem ser agrupadas e as informações mais importantes são mostradas logo na vista geral. Como isto funciona na prática, podem ver no seguinte vídeo:

3. Policy Test Simulator

Tal como na UTM, o SFOS passa agora também a incluir um Policy Tester. Desta forma, podem testar as vossas regras de firewall ou de Web‑Proxy sem terem de se ligar ao cliente através de uma ferramenta remota. O vídeo seguinte mostra‑vos como funciona o “Policy‑Test‑Simulator”:

4. Bloquear keywords no Web Proxy

Algumas organizações, em especial escolas, tinham muitas vezes no passado a necessidade de bloquear um site assim que fosse encontrado nele um determinado termo. Na nova v17 é agora possível criar uma lista de keywords e preenchê‑la com palavras potencialmente “más”. Se, no futuro, uma dessas palavras surgir numa página web, podem registar esse acesso no log ou bloquear de imediato o acesso à página. Também aqui temos novamente um vídeo:

5. XG Firewall Setup Wizard

Configurar e colocar em produção uma XG Firewall não era particularmente elegante com o Setup Wizard anterior. O processo era, em parte, algo doloroso. Felizmente, a Sophos trabalhou no Setup Wizard para a v17 e introduziu algumas alterações:

  • A password tem agora de ser alterada logo no início. Isto faz bastante sentido, pois assim nenhuma XG Firewall se liga mais à Internet com “admin” como nome de utilizador e password.
  • Do meu ponto de vista, o design foi bastante melhorado.
  • O backup pode ser restaurado de imediato.
  • Deixa de ser obrigatório ter ligação à Internet.
  • A Sophos‑ID e a licença podem agora ser introduzidas mais tarde. Assim que ligarem o appliance, podem instalá‑lo com uma licença de teste de 30 dias, sem terem primeiro de contactar um servidor de licenças.

Se já tiverem uma ligação à Internet, existem três possibilidades:

  1. Ativar uma licença de teste de 30 dias
  2. Fazer upload do ficheiro de licença UTM (migração de UTM para SFOS)
  3. Introduzir a XG License Key

Vejam o novo Setup Wizard com mais atenção neste vídeo:

6. Unified Log Viewer

Quando existe um problema em algum ponto da rede, em muitos casos basta dar uma vista de olhos ao log da firewall. No entanto, o Log Viewer da v16.5 era realmente muito fraco - e isso torna‑se particularmente óbvio quando se olha agora para o novo “Unified Log Viewer”. Cada pequeno detalhe está melhor! O novo Log Viewer é, para mim, a funcionalidade favorita da nova v17. Vejam‑no, vale mesmo a pena!

  • melhor visibilidade
  • todas as informações relevantes no log
  • pesquisa e filtragem em todos os logs
  • pesquisa em logs mais antigos

Outras pequenas melhorias

  • Novas ferramentas para as configurações de NAT, IPS, Web e VPN
  • IKEv2 VPN
  • Melhor compatibilidade de IPSec VPN com outros sistemas
  • Wildcard FQDN - permite autorizar serviços cloud de forma muito simples
  • Melhorias de NAT - novos protocolos são suportados, já não apenas TCP e UDP
  • Email Protection - Smarthost, Greylisting e Recipient Verification
  • Microsoft Azure High Availability

Podem consultar todos os detalhes das novidades na seguinte ficha técnica da Sophos: XG Firewall : O que há de novo na v17

Conclusão

O novo SFOS v17 convence com funcionalidades completamente novas, mas também com melhorias muito importantes em funções já existentes. Este update altera por completo a nossa perceção da XG Firewall. Se até agora a recomendávamos sobretudo para projetos mais pequenos, o cenário passa a ser bem diferente. Em particular, o Log Viewer e a nova forma de apresentação das regras de firewall são essenciais para uma configuração limpa e um troubleshooting rápido - algo que até aqui era praticamente impossível em redes de maior dimensão.

Como a v16 já tinha sido um enorme marco em relação à v15, começámos, na altura, a preferir a XG à UTM em projetos mais pequenos. Mas agora, para nós, é claramente: “XG First”, embora, sendo rigorosos, devesse ser “SFOS First”. :)

Se tiverem uma SG Firewall com o sistema operativo UTM, podem agora equipar o vosso hardware com toda a confiança com o novo SFOS. As licenças podem ser reutilizadas, mas a configuração não. Do nosso ponto de vista, isso também não é particularmente problemático, uma vez que já fizemos várias migrações de UTM para SFOS e, em todos os casos, faz bem repensar a configuração de raiz.

Mais informações sobre SFOS v17:

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.