Saltar para o conteudo
Avanet
Sophos Firewall v22: Visão geral e todas as novas funcionalidades

Sophos Firewall v22: Visão geral e todas as novas funcionalidades

A Sophos Firewall v22 aposta em hardening, visibilidade clara e processos operacionais estáveis. A arquitetura Xstream modernizada, um kernel reforçado e novas funções operacionais ajudam a reduzir superfícies de ataque e a simplificar a administração. Este artigo explica todas as novidades do SFOS v22.

Health Check

O Health Check é a verificação de configuração integrada na Sophos Firewall v22. O objetivo é tornar as configurações incorretas visíveis cedo, antes de se transformarem num problema de segurança ou de operação. Responde ao cenário de ameaças crescente para infraestruturas expostas à Internet e segue a abordagem Secure-by-Design de acordo com as diretrizes da CISA. A Sophos reforçou a firewall ao longo de vários releases, simplificou a aplicação de patches e melhorou a deteção em situação de ataque. Um elemento distintivo são os hotfixes Over-the-Air sem downtime, bem como a monitorização ativa da base instalada pela Sophos para detetar indicadores precoces de ataque.

Para que serve o Health Check Avalia dezenas de definições face aos benchmarks CIS e a best practices estabelecidas. Áreas de verificação típicas incluem cifras TLS desatualizadas ou inseguras, policies de administração e utilizador demasiado amplas, regras não utilizadas ou sobrepostas, serviços desnecessariamente expostos, bem como medidas básicas de hardening como tempo, autenticação e logging. A Sophos Firewall v22 torna assim mais fácil manter uma elevada higiene de policies e eliminar vulnerabilidades indesejadas.

Como funciona o Health Check No Control Center, um widget do dashboard mostra o estado. Um clique leva à vista detalhada; em alternativa, é possível aceder pelo menu principal em “Firewall health check”. Os resultados são priorizados, explicados e ligados por drill-down à máscara de configuração adequada. Assim, os desvios podem ser corrigidos sem pesquisa demorada.

Sophos Firewall v22 - Widget do painel Health Check
Sophos Firewall v22 - Widget do painel Health Check

Como usar o Health Check em operação Executar antes de go-lives, após alterações de policy, depois de atualizações de firmware e de forma regular. Serve como validação objetiva em processos CAB e fornece evidências de auditoria sobre a higiene contínua das policies.

O Health Check cobre a qualidade da configuração, não a saúde do hardware. Não verifica se as bases de dados internas são consistentes ou se a RAM ou o SSD apresentam erros de escrita. Uma indicação de estado visível na GUI seria aqui um complemento útil.

Health Check: áreas de verificação em detalhe

Sophos Firewall v22 - Health Check
Sophos Firewall v22 - Health Check

O Health Check lista no dashboard todos os pontos verificados, de forma semelhante a uma auditoria de segurança. Cada ponto mostra módulo, standard, gravidade, estado e uma ação direta. Assim, vê-se rapidamente quais configurações se desviam das best practices. Uma seleção das verificações mais importantes:

  • Synchronized Application Control should be turned on.
  • NDR Essentials should be turned on and at least on one interface selected.
  • Sophos X-Ops should be turned on. An Action should be set to Log and drop.
  • MDR threat feeds should be turned on. An Action should be set to Log and drop.
  • A firewall rule should have Synchronized Security Heartbeat settings.
  • Security Heartbeat should be turned on.
  • Login disclaimer should be turned on.
  • Hotfix settings should be turned on.
  • Remote sessions should be signed out. Sign-ins should be blocked for the specified unsuccessful attempts.
  • Password complexity should be configured for users.
  • Password complexity should be configured for administrators.
  • DNS Protection should be configured and have an active status.
  • MFA should be configured for remote access VPN (IPsec and SSL VPN) sign-ins.
  • MFA should be configured for web admin console and VPN portal sign-ins.
  • The firewall’s connection with authentication servers should be encrypted.
  • Backups should be scheduled.
  • Public key authentication should be configured for SSH access to the firewall.
  • User portal shouldn’t be accessible from WAN.
  • Web admin console shouldn’t be accessible from WAN.
  • MFA should be configured for the default admin.
  • Notification emails should be configured for system and security events.
  • Automatic update should be turned on for pattern download and installation.
  • A Web policy should be selected in a firewall rule.
  • Zero-day protection should be selected in a firewall rule.
  • Intrusion prevention should be turned on. An IPS policy should be selected in a firewall rule.
  • An Application control policy should be selected in a firewall rule.
  • An SSL/TLS inspection rule should have Action set to Decrypt.
  • A firewall rule with Action set to Allow shouldn’t have all the network and service settings set to Any.
  • Sophos Central reporting should be turned on.
  • The firewall should send its backups to Sophos Central.
  • The firewall should be registered for Sophos Central management. Sophos Central management should be turned on.
  • NTP server should be configured.

Esta lista mostra que o Health Check cobre tanto configurações técnicas como diretrizes de segurança organizacionais.

Alguns pontos são, sem dúvida, úteis; outros podem ser discutidos. Por exemplo: “Login disclaimer should be turned on”. Um aviso deste tipo aumenta a segurança apenas de forma limitada - quase ninguém o lê realmente e, na prática, é geralmente apenas fechado com um clique. Ainda assim, cumpre requisitos legais em determinados ambientes, por exemplo como termos de utilização ou exclusão de responsabilidade. Do ponto de vista puramente técnico, dificilmente é um mecanismo de proteção; é antes um ponto formal que sinaliza consciência de segurança.

É possível substituir manualmente o estado de verificações individuais. Assim, um ponto pode ser marcado como “Complies” mesmo que tecnicamente não esteja cumprido. Nesse caso, aparece um símbolo ⚠️ que assinala o estado substituído. A transparência mantém-se, ao mesmo tempo que se preserva alguma margem administrativa.

Também chama a atenção que alguns pontos de verificação estejam fortemente ligados ao Sophos Central, MDR, NDR ou DNS Protection. Do ponto de vista da Sophos, isto é naturalmente também uma forma de cross-selling, porque sublinha o valor da integração no próprio ecossistema. Ainda assim, muitas dessas recomendações trazem valor real, por exemplo através de gestão consolidada ou alertas automatizados.

Next-Gen Xstream Control Plane

Com a Sophos Firewall v22, a Sophos desenvolveu profundamente a Xstream Architecture. Enquanto o conceito original foi introduzido na versão 18 para explorar todo o desempenho do hardware XGS, a nova geração aponta para muito mais do que performance: segurança, estabilidade e capacidade de evolução estão no centro.

Uma nova fundação para segurança e escalabilidade

O Control Plane revisto foi completamente redesenhado. Em vez de um sistema monolítico, a Sophos aposta agora num framework modular no qual serviços centrais como IPS, Web Filter ou SSL Inspection correm isolados uns dos outros. Cada serviço funciona como uma aplicação própria dentro da firewall e pode ser gerido ou reiniciado de forma independente. Assim, outras funções permanecem estáveis mesmo que um módulo responda incorretamente ou falhe.

Do ponto de vista de um security engineer, este é um passo decisivo: esta arquitetura minimiza dependências e reduz o impacto de potenciais exploits em componentes individuais. Ao mesmo tempo, cria a base para um isolamento Zero Trust dentro do sistema - um conceito até agora mais conhecido de plataformas cloud modernas.

Independente de hardware e ambiente

Uma grande vantagem da nova arquitetura Xstream é a sua total independência de hardware proprietário. Ao contrário de muitos concorrentes, a Sophos Firewall v22 não depende de ASICs especiais nem de chips de função fixa. A arquitetura funciona de forma consistente em hardware físico, máquinas virtuais ou ambientes cloud. Isto garante um comportamento uniforme em todas as plataformas e facilita a automação na operação.

Alta disponibilidade melhorada com autocura

Também é nova a lógica de autorreparação em clusters HA. O Control Plane monitoriza continuamente o estado de ambos os sistemas e corrige desvios automaticamente. Se forem detetadas diferenças na configuração ou no estado de sincronização, a firewall inicia autonomamente uma correção. Isto reduz situações de erro, diminui o esforço de manutenção e melhora visivelmente a disponibilidade. Na prática, significa menos reinícios não planeados e uma performance de cluster mais estável.

Perspetiva técnica e futuro

A nova arquitetura Xstream lança as bases para funcionalidades futuras como clustering de n nós, serviços de segurança totalmente contentorizados e uma API REST completa para gestão remota e automação. A Sophos Firewall v22 move-se assim claramente em direção a uma arquitetura de plataforma que lembra princípios cloud modernos - baseada em serviços, dinâmica e centrada na segurança.

De uma perspetiva profissional, esta reestruturação é mais do que uma atualização técnica. Altera a forma como as firewalls serão concebidas no futuro: menos appliances monolíticas, mais infraestrutura flexível e orientada para serviços, capaz de ser adaptada rapidamente e gerida de forma automatizada. Para operadores com requisitos elevados de uptime, compliance e escalabilidade, este é um avanço decisivo.

Concordo plenamente - a mudança para processamento baseado em CPU faz todo o sentido técnico. Nem todas as appliances XGS têm uma NPU para acelerar o tráfego, e as firewalls virtuais estavam aqui sempre em desvantagem. Com a nova arquitetura, a capacidade volta a ser transferida mais fortemente para CPUs modernas, o que garante um comportamento consistente em todas as plataformas. Nos modelos XGS Desktop mais antigos, a combinação de CPU e NPU também era exigente do ponto de vista térmico, o que resultava em níveis de ruído mais elevados. As novas gerações são significativamente mais silenciosas graças à eliminação desta carga dupla de processamento. Quem ainda conhece a comparação percebe porque o regresso à otimização por CPU faz sentido tanto estrategicamente como na prática.

Kernel reforçado 6.6+

A Sophos Firewall v22 utiliza um kernel Linux modernizado (v6.6+) para mais segurança, desempenho e escalabilidade. Os pontos centrais são um isolamento de processos mais rigoroso e mitigações abrangentes contra ataques de canal lateral, bem como vulnerabilidades de CPU como Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed e Downfall. Também estão ativos hardened usercopy, Stack Canaries e Kernel Address Space Layout Randomization (KASLR). Isto reduz a explorabilidade de erros de memória, estabiliza o comportamento em runtime e reforça a base da arquitetura Xstream.

Remote Integrity Monitoring

Remote Integrity Monitoring no SFOS v22 complementa o hardening do kernel com monitorização contínua da integridade do sistema. Em termos simples: verifica em segundo plano se algo muda na firewall que não deveria mudar. O sensor Linux integrado para XDR regista eventos relevantes para a segurança ao nível do sistema e dos serviços - por exemplo, se é iniciado um processo desconhecido, se ficheiros de configuração são alterados ou regras exportadas, ou se ficheiros críticos são manipulados.

Esta informação é enviada para o Sophos Central juntamente com hora, utilizador e origem. Aí, pode ser correlacionada com outros dados - por exemplo, de endpoints, gateways de e-mail ou serviços de identidade. Isto permite aos administradores detetar comportamentos invulgares mais rapidamente e reagir de forma direcionada antes que surja um problema maior.

Para o dia a dia de um administrador de TI, isto significa: se alguém tentar alterar algo na firewall sem ser notado ou manipular um ficheiro, isso é detetado e reportado. A função ajuda, portanto, a descobrir ataques silenciosos ou configurações incorretas numa fase inicial, sem ter de verificar tudo manualmente em permanência. Ao mesmo tempo, ajuda a Sophos a monitorizar centralmente o comportamento das firewalls instaladas e a identificar padrões ou potenciais problemas de segurança.

Active Threat Response (Threat Feeds para WAF e NAT)

Com o feature request SFSW-I-2618, foi finalmente implementado um comportamento pedido há muito tempo. Threat Feeds são listas dinâmicas de endereços IP maliciosos conhecidos, atualizadas continuamente por fornecedores de Threat Intelligence como nós (Avanet Threat Feeds). Servem para bloquear proativamente ataques vindos da Internet antes mesmo de chegarem perto de um serviço.

Até agora, estes feeds eram utilizados exclusivamente para proteger os portais da Sophos. As regras NAT e WAF não eram abrangidas - o que, do ponto de vista prático, parecia menos uma funcionalidade em falta e mais um bug.

Com a Sophos Firewall v22, esta limitação foi agora removida. Os Threat Feeds passam a ser aplicados automaticamente também às regras NAT e WAF. Isto significa: assim que é detetada uma ligação a partir de um endereço IP presente num feed, a firewall bloqueia-a automaticamente - também em port forwards ou regras de web server. Assim, deixa de ser necessário manter regras separadas ou workarounds.

Esta alteração é um grande avanço, porque os Threat Feeds passam também a proteger serviços produtivos, como servidores web, contribuindo diretamente para a deteção e defesa contra ataques. A firewall reage assim em tempo real a ameaças atuais, sem intervenção manual. É um detalhe pequeno, mas tecnicamente significativo, que aumenta mais uma vez de forma clara o valor de segurança da Sophos Firewall v22.

Melhorias de NDR

Para tráfego de saída, são suportadas correspondências por IP de origem com NDR Essentials e feeds externos, para identificar e bloquear dispositivos comprometidos e não geridos. O Threat Score do NDR Essentials aparece diretamente nos logs. Além disso, desde o SFOS v21.5 MR1, a região do Data Center NDR Essentials pode ser escolhida explicitamente; por predefinição, é usada a região com a menor latência.

Controlo de acesso à API

Sophos Firewall v22 - Definições de acesso à API
Sophos Firewall v22 - Definições de acesso à API

O acesso à API de gestão pode ser restringido a objetos IP explícitos. Até 64 entradas permitem uma separação limpa entre workers de automação, redes de gestão e acessos de parceiros externos. Em janelas de mudança, o acesso pode ser alargado temporariamente e depois novamente reduzido. Recomendação: permitir apenas a partir de redes de gestão dedicadas, ativar logging e rever os acessos regularmente. A configuração é feita no SFOS v22 em Administração.

Atualizações de firmware via SSL com certificate pinning

O SFOS v22 valida os servidores de atualização via SSL e certificate pinning. Isto reduz o risco de uma infraestrutura de atualização manipulada. Em ambientes com políticas de egress rigorosas, os FQDNs de destino devem ser incluídos em allowlists para que as atualizações funcionem de forma fiável.

HTTP/2 e TLS 1.3 para Device Access

A Web Admin Console, o VPN Portal e o User Portal usam agora HTTP/2 e TLS 1.3. Estas duas tecnologias garantem que as ligações são estabelecidas mais rapidamente, funcionam de forma mais estável e são melhor encriptadas. A diferença nota-se sobretudo no login e nos carregamentos de páginas na interface Web Admin, que respondem visivelmente mais depressa.

O HTTP/2 agrupa vários pedidos numa única ligação, reduzindo tempos de espera entre cliente e servidor. O TLS 1.3 oferece em paralelo encriptação moderna com um handshake mais curto e maior segurança. Em ambientes de rede mais antigos, onde ainda existam firewalls ou sistemas proxy antigos, convém verificar a compatibilidade antes da ativação.

Monitorização com sFlow e valores de hardware SNMP

O sFlow permite amostragem de tráfego para coletores centrais, a fim de detetar picos de volume, fluxos inesperados e anomalias em tempo real. A taxa de amostragem padrão é 400, com mínimo de 10. São suportados até 5 coletores. O sFlow pode ser ativado em interfaces físicas, alias e interfaces VLAN. Nota: na interface de monitorização, o FastPath é desativado. Além disso, o SFOS v22 fornece métricas de hardware via SNMP, como temperatura de CPU e NPU, velocidade das ventoinhas, estado da fonte de alimentação a partir do XGS 2100, bem como valores de potência PoE para todos os modelos XGS com PoE, exceto XGS 116(w). Um ficheiro MIB pode ser descarregado diretamente na UI. Os intervalos de amostragem e polling devem ser escolhidos de forma a manter os links principais visíveis sem sobrecarregar o coletor.

Melhor operação e funções de pesquisa

Com o SFOS v22, a interface deve reagir significativamente mais depressa. Ao alternar entre menus e separadores, já não é necessário esperar que a página seja totalmente recarregada.

Nos meus testes, não foi percetível qualquer melhoria. Ainda assim, é positivo ver trabalho na velocidade da interface de utilizador. Continua a haver muito potencial, especialmente ao guardar regras de firewall ou ao carregar vistas de interfaces, onde ainda existem atrasos notáveis.

As interfaces XFRM podem agora ser filtradas e pesquisadas diretamente na interface. Quando existem muitas entradas, são automaticamente paginadas, o que melhora significativamente a visão geral e a gestão de grandes setups IPsec.

Também há pequenas melhorias percetíveis no dia a dia: as definições de servidor NTP passam agora a estar em “Use pre-defined NTP server” por defeito.

Funções próximas da UTM no SFOS

Para todos os que ainda não migraram da SG UTM para o SFOS, a versão 22 traz funcionalidades que faltavam. Incluem suporte MFA na WAF, algoritmos OTP modernos como SHA-256 e SHA-512, bem como Audit Trail Logs com apresentação before/after. Estas extensões fecham lacunas importantes face à UTM anterior e tornam a migração claramente mais simples. Quem ainda hesita em migrar encontra agora no SFOS v22 quase todas as funcionalidades familiares - com tecnologia moderna e melhor integração.

Audit Trail Logs em detalhe

A Fase 1 regista cada alteração a regras de firewall, objetos e interfaces. Os logs podem ser descarregados no menu Diagnostics > Logs e mostram claramente o que foi alterado - incluindo os valores antes e depois do ajuste. Em versões futuras, estas alterações serão apresentadas diretamente no Log Viewer, para que as diferenças possam ser vistas imediatamente sem exportação. Isto facilita a rastreabilidade e poupa tempo na análise de alterações.

Instant Web Category Alerts

Sophos Firewall v22 - Alertas instantâneos de categoria web
Sophos Firewall v22 - Alertas instantâneos de categoria web

Podem ser configuradas notificações automáticas para categorias web restritas. Estas mensagens informam em intervalos curtos, por exemplo a cada cinco minutos, sobre tentativas de acesso a sites bloqueados. Cada mensagem contém detalhes como hora, utilizador, categoria e domínio acedido. Isto traz mais transparência e facilita o acompanhamento quando páginas não autorizadas são acedidas repetidamente. A função é particularmente útil em ambientes com diretrizes claras, como escolas ou organizações com regras de Internet fixas. As violações são automaticamente documentadas e podem ser rastreadas, se necessário.

Upgrade para SFOS v22: caminhos, duração e notas

O SFOS v22 traz alterações profundas à arquitetura do sistema. Para isso, o firmware precisa de um pouco mais de espaço de armazenamento na partição raiz. Na maioria dos dispositivos (cerca de 98 por cento), o upgrade decorre automaticamente e sem intervenção. Modelos a partir do XGS 2100 já têm espaço suficiente e atualizam diretamente.

Nos modelos XGS Desktop e virtuais com uma partição menor (1 GB), o espaço é aumentado automaticamente durante o upgrade. Como resultado, o processo demora um pouco mais, geralmente entre dois e dez minutos. Apenas poucos sistemas - cerca de três por cento - requerem preparação manual, por exemplo apagar reports ou logs antigos para criar espaço suficiente.

Dispositivos com firmware SSD mais antigo têm de o atualizar primeiro antes que o upgrade para a versão 22 seja possível. Instalações virtuais muito antigas, ainda baseadas em discos pequenos ou versões SFOS antigas (anteriores à versão 18), requerem passos adicionais. Em alguns casos, é primeiro necessário um update intermédio para a versão 21 MR2 para que o upgrade resulte. Se o suporte de dados for demasiado pequeno, resta apenas a reinstalação com um disco maior.

As indicações sobre todos os passos necessários aparecem automaticamente na interface da firewall através de mensagens no Control Center, por e-mail e através de símbolos de aviso no Sophos Central. Também mostram um código de referência que aponta diretamente para o artigo adequado da Knowledge Base. Após uma preparação bem-sucedida, o aviso desaparece dentro de cerca de uma hora. Para diagnóstico, estão também disponíveis comandos CLI adicionais.

Conclusão

A Sophos Firewall v22 convence com uma base de segurança visivelmente mais forte, estrutura modular e operação mais estável. O Health Check é uma ferramenta bem pensada que ajuda a verificar configurações de forma sistemática e a cumprir best practices. O novo Control Plane garante upgrades mais suaves e maior fiabilidade em operação contínua. Protocolos modernos e telemetria alargada tornam a análise e o troubleshooting significativamente mais eficientes.

Ficamos satisfeitos com o progresso claro da Sophos Firewall v22, mas continuamos a desejar trabalho na clonagem e no agrupamento de regras NAT, como já existe nas regras de firewall. Há cerca de um ano, recolhemos e publicámos os nossos desejos. Desde então, muita coisa melhorou, mas do nosso ponto de vista ainda faltam algumas funções. Esperamos que sejam implementadas em versões futuras.

FAQ

A partir de quando estará a Sophos Firewall v22 disponível como GA?

A fase Early Access começou em outubro de 2025. Regra geral, a Sophos publica a versão GA algumas semanas após o EAP. Com base nos ciclos de lançamento anteriores, é expectável o GA Release no início de dezembro de 2025.

O que é o novo Health Check e para que é usado?

O Health Check verifica a configuração da firewall em busca de vulnerabilidades e desvios face a best practices. Avalia definições como encriptação TLS, complexidade de palavras-passe, MFA, acessos de administrador ou estado de atualização e apresenta-as claramente no dashboard. O objetivo é detetar e corrigir configurações incorretas numa fase inicial, antes que se tornem problemas de segurança.

O que mudou na Xstream Architecture?

O Xstream Control Plane foi completamente reconstruído. Serviços centrais como IPS ou Web Filter passam a correr isolados uns dos outros. Isto aumenta a estabilidade, porque um módulo com falhas deixa de afetar outras áreas. Ao mesmo tempo, a arquitetura cria a base para serviços em containers, controlo via API e futuras funções de escalabilidade.

Porque é que o processamento baseado em CPU é agora melhor do que a solução NPU da série XGS mais antiga?

Nem todas as firewalls possuem uma NPU dedicada. A nova arquitetura orientada para CPU garante desempenho consistente em todas as plataformas - também em instalações virtuais ou cloud. Além disso, a eliminação da NPU reduz a geração de calor e, consequentemente, o nível de ruído, especialmente em modelos mais pequenos.

Quais as vantagens do novo kernel (versão 6.6+)?

O kernel Linux atualizado na Sophos Firewall v22 oferece mecanismos de segurança melhorados contra ataques como Spectre, Meltdown e Retbleed. Protege melhor contra erros de memória e estabiliza a operação através de mecanismos de proteção adicionais, como Stack Canaries e KASLR.

Que novidades existem nos Threat Feeds?

Os Threat Feeds passam agora também a ser aplicados às regras NAT e WAF. Isto significa que a firewall bloqueia automaticamente IPs de atacantes conhecidos antes mesmo de estes chegarem a um serviço interno. Esta função aumenta significativamente o efeito de proteção, porque inclui servidores produtivos e reencaminhamentos.

Como funciona a atualização para o SFOS v22?

Em cerca de 98% dos dispositivos, o upgrade é automático. Sistemas com uma partição raiz pequena (1 GB) expandem-na autonomamente durante o processo, o que pode demorar alguns minutos adicionais. Apenas instalações mais antigas ou dispositivos com firmware SSD desatualizado requerem preparação manual. Todos os passos são apresentados claramente através da GUI ou por e-mail.

Existem novas funções de monitorização?

Sim. Além dos valores de hardware SNMP (temperatura, ventoinhas, fontes de alimentação, PoE), a Sophos Firewall v22 suporta agora também sFlow para análise de tráfego em tempo real. Isto permite detetar imediatamente fluxos de dados invulgares ou picos de carga.

Fontes

  1. Principais novas funcionalidades do Sophos Firewall OS v22
  2. Sophos Firewall v22 está agora disponível em Early Access, Sophos News
  3. Sophos Firewall v22 EAP está agora disponível, Sophos Community, 15.10.2025,
Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.