Saltar para o conteudo
Avanet
Sophos Firewall v22 MR1: Visão geral e todas as novas funcionalidades

Sophos Firewall v22 MR1: Visão geral e todas as novas funcionalidades

1. MAIO 2026

A Sophos Firewall v22 MR1 baseia-se na estratégia Secure-by-Design introduzida com a v22 e expande-a com telemetria adicional, deteções NDR curadas do ambiente Taegis e algumas melhorias de detalhe em VPN, SSO e armazenamento. Além disso, o Sophos Firewall Config Studio V2 é uma ferramenta autónoma que simplifica significativamente a análise e comparação de configurações.

Secure by Design: sensor XDR Linux expandido

Com a v22, a Sophos introduziu o sensor XDR Linux na firewall para detetar precocemente manipulações no sistema, por exemplo em ficheiros de configuração ou processos críticos. O SFOS v22 MR1 expande o sensor com a deteção de shells interativas e reverse shells. Se um atacante tentar estabelecer uma sessão de controlo na firewall depois de uma intrusão, a comunicação TCP ou UDP associada ao servidor de comando e controlo é bloqueada. Este sensor passa também a ser ativado em toda a série XGS, e não apenas em modelos individuais.

A deteção de reverse shell é standard em endpoints há anos. O facto de a mesma lógica correr agora também na própria firewall é coerente e importante. Uma firewall comprometida é, no pior caso, uma chave-mestra para a rede. Qualquer camada adicional de deteção diretamente no equipamento é aí mais útil do que qualquer correlação posterior.

NDR Active Threat Intelligence (iSensor IPS)

O SFOS v22 MR1 integra a tecnologia iSensor IPS da plataforma SecureWorks Taegis. Os padrões de deteção assim curados complementam o conjunto clássico de assinaturas IPS com padrões orientados para atacantes ativos na rede, ou seja, lateral movement, comunicação C2 e atividades comparáveis depois de uma intrusão inicial.

O conjunto pode ser ativado em Active threat response > NDR. Em seguida, é necessário ativar a opção correspondente nas definições IPS das regras de firewall para que as novas deteções tenham efeito. Para analistas XDR e MDR, isto significa mais contexto e caminhos de investigação mais curtos, porque as deteções apontam diretamente para TTPs adversárias conhecidas da base de dados Taegis.

NDR Essentials para todas as plataformas

Uma pergunta feita repetidamente desde a v21.5: quando é que o NDR Essentials também vai suportar firewalls virtuais e cloud? Com a v22 MR1, isso já acontece. O NDR Essentials corre agora em todas as plataformas Sophos Firewall, incluindo hardware XGS, appliances virtuais, deployments cloud e instalações de software. Assim desaparece a última grande limitação que excluía setups virtuais da proteção NDR.

Esta é a continuação lógica da arquitetura orientada a CPU da v22. Quem operava uma Sophos Firewall em VMware, Hyper-V ou num hyperscaler ficava até agora de fora no tema NDR Essentials. Esta lacuna está agora fechada.

Audit trail com identidade de utilizador Sophos Central

Quando uma firewall individual é configurada através do Sophos Central, o SFOS v22 MR1 regista agora também qual o utilizador Sophos Central que desencadeou a alteração. Até agora, no audit trail era muitas vezes visível apenas a conta genérica Central. Com a nova variante, é possível perceber que pessoa está por trás de uma alteração de configuração, mesmo que esta não tenha sido feita diretamente no WebAdmin da firewall. A informação aparece tanto no Log Viewer da firewall como nos logs e relatórios do Sophos Central.

Isto é particularmente relevante para organizações sujeitas à NIS2, porque a rastreabilidade de intervenções administrativas é explicitamente exigida. Em ambientes MSP com vários técnicos no mesmo tenant, é de qualquer forma um detalhe há muito esperado.

Estabilidade VPN e retirement do legacy IPsec

O SFOS v22 GA tinha vários problemas de estabilidade em VPNs IPsec policy-based, que foram tratados no MR1. Concretamente, foram corrigidos, entre outros, os tickets internos NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 e NC-176083. Quem usou a v22 GA em produção e notou falhas ou interrupções em túneis policy-based deve verificar especificamente depois da atualização se os túneis estão agora estáveis.

Ao mesmo tempo, o Legacy Remote Access IPsec VPN é definitivamente descontinuado com a v22 MR1. Firewalls que ainda dependem desta variante IPsec antiga não podem ser atualizadas para v22 MR1 ou superior. Quem for afetado deve migrar previamente para a configuração atual de Remote Access IPsec. A Sophos publicou para isso um artigo KB próprio.

Na prática, a maioria dos setups existentes já está há muito na nova variante ou em SSL VPN. Ainda assim, vale a pena fazer uma verificação rápida da configuração antes do upgrade, caso contrário a atualização fica bloqueada.

Sophos Connect 2.0 para macOS

Com o Sophos Connect 2.0 para macOS, também é agora possível estabelecer ligações SSL VPN para Remote Access. Até agora, SSL VPN via Sophos Connect era um privilégio do Windows; utilizadores de macOS tinham de recorrer a IPsec ou a clientes de terceiros. Assim, o conjunto de funcionalidades entre as duas plataformas cliente fica mais alinhado. Detalhes e versões macOS suportadas encontram-se nas Sophos Connect release notes.

Microsoft Entra ID SSO: reavaliação forçada

Até agora, uma sessão SSO existente podia, em determinadas condições, ser reutilizada sem que as Conditional Access Policies no Entra ID fossem novamente verificadas. No pior caso, isso abria um caminho para contornar requisitos MFA quando os cookies de sessão ainda eram válidos. O SFOS v22 MR1 força agora, no reutilizar de uma sessão, uma nova verificação das Conditional Access Policies. É uma correção de segurança clássica: pouco visível, mas importante para ambientes que usam Entra ID como fonte central de identidade e confiam em MFA.

Preservação de SSD e Wi-Fi MTU

Duas melhorias menores, mas úteis:

  • Vida útil do SSD: As operações de escrita no SSD interno foram otimizadas. Isto afeta principalmente equipamentos com elevado volume de logging e prolonga a vida útil do hardware.
  • Wi-Fi MTU/MSS: Os comandos CLI existentes permitem agora ajustar também valores MTU e MSS para interfaces Wi-Fi. Em ambientes com túneis sobrepostos ou caminhos problemáticos no backhaul WLAN, isto é uma ferramenta bem-vinda.

Sophos Firewall Config Studio V2

O Sophos Firewall Config Studio V2, anteriormente Sophos Firewall Configuration Viewer, é uma ferramenta baseada no browser que faz muito mais do que o seu predecessor. Permite três workflows centrais:

  • Configuration Report: Todas as regras, policies e definições de uma firewall podem ser apresentadas num relatório consolidado. Útil para auditorias, passagens de responsabilidade ou onboarding de novos administradores.
  • Configuration Compare: Duas configurações podem ser comparadas diretamente. Entradas adicionadas, alteradas, removidas e inalteradas são destacadas visualmente. É exatamente a ferramenta que falta em change reviews ou troubleshooting depois de um passo de migração, quando não se quer desmontar a firewall em operação.
  • Configuration Editor: Configurações podem ser editadas ou importadas diretamente na ferramenta. Depois podem ser carregadas de volta para a firewall ou exportadas como snippet API ou curl, por exemplo para implementar alterações de forma automatizada.

Um diff de configuração diretamente no browser é uma função desejada há anos. Quem já tentou comparar manualmente dois backups Sophos sabe porque esta ferramenta é um verdadeiro avanço. Será interessante ver quão estável o editor se comporta com configurações grandes e quão bem o export API se integra em pipelines de automação existentes.

A ferramenta pode ser acedida através de docs.sophos.com.

Benchmark CIS atualizado para v22

O Health Check introduzido com a v22 baseia-se nos benchmarks CIS. Os benchmarks subjacentes foram atualizados para a v22 e estão disponíveis para download no site da CIS. Quem usa o Health Check como parte de auditorias internas deve usar a nova versão como referência.

Compatibilidade e notas

  • Legacy Remote Access IPsec VPN: É descontinuado com a v22 MR1. A migração para a configuração atual de Remote Access IPsec é requisito para o upgrade.
  • Caminhos de upgrade: O SFOS v22 MR1 pode ser atualizado a partir de todas as versões suportadas v21.5, v21 e v20. O Sophos Central pode planear e controlar o upgrade.
  • Backup antes do upgrade: Como sempre antes da atualização, fazer um backup completo e ter um plano de rollback preparado.
  • Mecanismo de hotfix: Patches relevantes para segurança continuam a chegar como hotfix over-the-air sem downtime. Maintenance releases agrupam adicionalmente correções não críticas, portanto um upgrade também compensa sem motivo urgente.

Conclusão

A Sophos Firewall v22 MR1 é uma maintenance release sólida. Os pontos mais importantes do nosso ponto de vista: as correções de estabilidade VPN para IPsec policy-based, o suporte alargado do NDR Essentials em plataformas virtuais e o novo audit trail com identidade de utilizador Sophos Central. A deteção de reverse shell na própria firewall e as deteções iSensor curadas do ambiente Taegis encaixam bem na linha que a Sophos iniciou com a v22. A firewall torna-se gradualmente uma plataforma de sensores que fornece telemetria e não apenas filtra pacotes.

O que ainda nos falta não mudou desde a v22: clonar e agrupar regras NAT. Os desejos formulados há cerca de um ano foram parcialmente implementados, o resto continua na lista. Talvez no próximo MR ou, o mais tardar, na v23. Mas talvez a Sophos siga agora também a estratégia de transferir tudo para o Sophos Firewall Config Studio e a firewall continue como está.

Mais informações

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.