Compreender a Sophos Firewall Base License
A Sophos Firewall Base License é a base de uma Sophos Firewall. No entanto, responde apenas à questão básica: esta instância de firewall está, em termos gerais, registada e atribuída do ponto de vista da licença? Isto não é o mesmo que uma licença de suporte, um Security Bundle ou uma subscrição de proteção individual.
Esta distinção é importante na operação. Uma firewall pode ter uma Base License visível e, ainda assim, estar limitada em updates de firmware, suporte, RMA, Sophos Central Firewall Management ou determinadas funções de segurança. Este guia explica como interpretar a Base License, onde a verificar e que pontos não devem ser esquecidos antes de updates, renewals, planeamento de HA ou casos de suporte.
Qual artigo de licenciamento se aplica?
As questões de licenciamento parecem muitas vezes semelhantes, mas levam a decisões diferentes. Este artigo é o correto quando se precisa de interpretar uma Base Firewall visível na vista de licenças e perceber o que isso significa para suporte, firmware, HA, Central e Security Subscriptions.
Para questões relacionadas, outros guias são mais adequados: a escolha do modelo e da classe de desempenho pertence ao Sophos Firewall Sizing Guide, decisões sobre bundles ao artigo sobre Sophos Firewall Bundles, firewalls isoladas ao processo de licenciamento Air-Gap e Pattern-Updates, mudanças de conta ao artigo sobre transferência para Sophos Central, e questões de hardware à classificação de XG, XGS, EOL e migração.
Esta separação evita o erro mais importante: uma Base License visível não comprova automaticamente suporte ativo, Security Subscriptions adequadas, lifecycle válido ou ownership correto da conta. Para operação, renewal e casos de suporte, número de série, conta, estado de suporte, bundle, datas de expiração e plataforma devem ser sempre verificados em conjunto.
O que é a Base License
A Base License identifica e autoriza a instalação básica da Sophos Firewall. Sem uma atribuição correta de licença e número de série, uma appliance ou instância virtual não pode ser operada e gerida corretamente como sistema Sophos Firewall produtivo.
A distinção é importante:
- Base License: base da instalação da firewall e autorização básica.
- Enhanced Support / Enhanced Plus Support: autorização de suporte e updates, consoante o modelo de licenciamento.
- Security Subscription: módulos de proteção como Network, Web, Email, Zero-Day ou outras funções licenciadas.
- Número de série: identidade única da firewall para licença, suporte, RMA e atribuição de conta.
A Base License não deve, por isso, ser entendida como “está tudo licenciado”. Ela responde apenas a uma parte da questão de licenciamento.
O caminho de verificação mais importante em SFOS é Administration > Licensing. Aí vê-se o registo, modelo da appliance, número de série, Base Firewall, estado de suporte, bundles, subscrições individuais e datas de expiração. Numa firewall ligada online, o SFOS sincroniza normalmente as licenças de forma automática com o Sophos Central. Para uma vista atualizada, pode executar-se Synchronize antes de tirar conclusões erradas a partir de uma indicação antiga.
A classificação rápida para operação
No dia a dia, uma classificação simples ajuda. A Base License responde apenas à pergunta se a firewall está, em princípio, atribuída como instância Sophos Firewall. Depois vem a verdadeira questão operacional: existe a autorização adequada para aquilo que se pretende fazer?
Se a firewall apenas tiver de encaminhar tráfego, aplicar regras simples ou disponibilizar VPN, a Base License é o ponto de partida. Assim que updates de firmware, suporte do fabricante, RMA, IPS, Web Protection, Zero-Day Protection, WAF, Central Firewall Management ou reporting mais prolongado se tornam importantes, a respetiva subscrição de suporte, bundle ou segurança tem de ser verificada separadamente.
Em clusters HA, olhar apenas para uma linha de licença também não chega. Funções, números de série, tipo de plataforma, sincronização de subscrições e modelo de suporte determinam em conjunto se failover, RMA e gestão central funcionam corretamente em caso real. Em firewalls virtuais e baseadas em software juntam-se ainda o licenciamento por CPU-Core, a atribuição da instância e o cenário de restore.
Esta decisão rápida não substitui uma verificação de licenças, mas evita o erro mais frequente: ver uma Base License válida e assumir que suporte, módulos de proteção e capacidade de update também estão esclarecidos.
O que está incluído na Base License
Na vista oficial de licenças, a Sophos associa a Base License às funções básicas Stateful Firewall, VPN, Wireless, High Availability e Firewall RED. Para a prática, o importante é o que isto significa: a firewall pode, em princípio, ser operada como router, firewall e gateway VPN, mas sem Security Subscriptions adicionais faltam muitas funções de proteção e suporte.
Funções típicas da Base License:
- Stateful Firewall: regras de firewall, zonas, serviços, hosts, NAT e controlo básico de policies. A regra pode permitir ou bloquear tráfego. Módulos de proteção como IPS, Web Protection ou Zero-Day Protection ainda não ficam automaticamente licenciados.
- Routing e rede: interfaces, VLANs, rotas estáticas, rotas SD-WAN, DHCP, DNS e serviços básicos de rede. A firewall pode funcionar como router central da rede. A inspeção de segurança do tráfego depende de módulos adicionais.
- VPN: Site-to-Site IPsec, Remote Access IPsec e SSL VPN. A funcionalidade VPN é, em princípio, possível. MFA, acesso ao portal, Device Access e logging devem, ainda assim, ser planeados separadamente de forma limpa.
- Firewall RED: refere-se às funções RED da firewall, sobretudo Site-to-Site RED entre Sophos Firewalls. Não é o mesmo que SD-RED Device Management ou túneis SD-RED para dispositivos SD-RED.
- Wireless: gestão de Sophos Access Points compatíveis através da firewall. Isto não é o mesmo que a arquitetura moderna Sophos Central Wireless. Muitas organizações usam hoje outros sistemas WLAN.
- High Availability: operação HA da Sophos Firewall. O licenciamento e as funções têm de ser verificados separadamente em clusters HA, sobretudo em Active-Passive e na sincronização de subscrições.
- Logs e reports locais: eventos locais, Log Viewer e reports simples. Para retenção mais longa, pesquisa central ou reporting, são necessários, consoante o objetivo, Sophos Central Reporting, Syslog ou SIEM.
Assim, a Base License é sobretudo a base técnica de operação. Transforma uma appliance ou instância numa Sophos Firewall utilizável, mas não num pacote de proteção totalmente licenciado.
O que não está incluído na Base License
Surge frequentemente a questão de saber se a Base License também inclui updates de firmware, suporte ou todas as funções de segurança. Não é esse o caso.
- Firmware upgrades sem autorização de suporte: a Sophos permite três firmware upgrades gratuitos. Depois disso, é necessária uma autorização válida de suporte ou bundle. A Base License, por si só, não é por isso uma estratégia fiável de updates.
- Suporte do fabricante através de Sophos Case, chat ou telefone: o suporte está ligado a Enhanced Support, Enhanced Plus Support ou a um bundle adequado.
- SD-RED e Network Protection: SD-RED Device Management e túneis SD-RED para dispositivos SD-RED não devem ser planeados como funções da Base License. Exigem a Subscription de Network Protection adequada.
- IPS / Network Protection: Intrusion Prevention, Sophos X-Ops Threat Feeds e Security Heartbeat também exigem Network Protection.
- Web Protection e Application Control: filtro web, Application Control e verificação de malware web não são uma função puramente da Base License.
- Zero-Day Protection: sandboxing, Machine Learning e Threat Intelligence requerem uma licença correspondente.
- Email Protection: Anti-Spam, Antivirus, DLP, encriptação e proteção contra malware de email são licenciados separadamente.
- Webserver Protection / WAF: Web Application Firewall é uma função de proteção própria e não faz parte da Base License.
- Sophos Central Firewall Management apenas com Base License: a licença Base Firewall pura não é suficiente para Central Firewall Management. Para isso é necessária uma subscrição paga ativa fora da Base License ou um contrato de suporte ativo.
- Reporting central mais prolongado: Central Firewall Reporting depende da licença, armazenamento e período de retenção.
Firmware upgrades são um obstáculo frequente: uma firewall pode apresentar uma Base License válida e, ainda assim, não ter autorização suficiente para outros firmware upgrades planeados. O contexto está descrito no artigo de blog Sophos Firewall Updates zukünftig nicht mehr kostenlos.
Hardware Appliance
Numa XGS Hardware Appliance, a Base License está associada ao hardware ou ao número de série. As hardware appliances têm a Base Firewall como base do dispositivo. Ainda assim, a utilização prática depende de lifecycle, suporte, bundle, datas de expiração e atribuição de conta.
O número de série é especialmente importante na operação, porque estado da licença, suporte, RMA, atribuição de conta e documentação dependem dele.
Verificar:
- A firewall está registada na conta Sophos correta?
- O número de série corresponde à encomenda, aos documentos de licença e ao equipamento?
- Existe uma licença de suporte ou bundle ativa?
- As Security Subscriptions necessárias estão ativas?
- Está claro que firmware updates ainda são possíveis?
- O próprio hardware ainda se encontra num lifecycle suportado?
O número de série encontra-se diretamente no dashboard do SFOS. O procedimento está em Encontrar o número de série da Sophos Firewall.
Firewalls virtuais e baseadas em software
Em instâncias Sophos Firewall virtuais, baseadas em software e cloud, o licenciamento depende mais da instância atribuída e do número de série. Ao contrário do hardware, não existe um número de série físico de appliance numa etiqueta do equipamento. Por isso, a atribuição da licença e da instância tem de ser documentada com especial cuidado.
Importante:
- O número de série e o ficheiro de licença pertencem à instância concreta.
- A atribuição da conta tem de estar correta antes da operação produtiva.
- Licenciamento por CPU-Core, Base Firewall e suporte têm de ser verificados separadamente.
- Backups não substituem uma documentação limpa de licença e número de série.
- Em reinstalação, restore ou migração, tem de estar claro que instância usa que licença.
Desde 2025, o licenciamento por CPU-Core é especialmente relevante em instâncias Sophos Firewall virtuais e baseadas em software; a RAM já não é o limite de licenciamento anterior. Os detalhes estão classificados no artigo Sophos Firewall VM & SW - Nur CPU zählt - Kein RAM Limit mehr. Para a decisão básica de plataforma, aplica-se Sophos Firewall: Hardware, virtuell oder Cloud?.
Para HA, a distinção é importante: em Active-Passive HA, nas firewalls virtuais e baseadas em software, apenas a instância Primary precisa da Base Firewall e das restantes licenças. Em Active-Active HA, ambos os equipamentos ou instâncias precisam de licenças próprias adequadas. Em Hardware HA aplicam-se adicionalmente detalhes de RMA e suporte que não podem ser deduzidos apenas da Base License. Para Sophos Central Firewall Management, além disso, a mera sincronização de licenças não chega; as firewalls têm de estar registadas para Firewall Management e ter uma subscrição paga adequada ou uma licença de suporte.
O que não se deve deduzir da Base License
A Base License não diz automaticamente que todas as funções desejadas podem ser usadas produtivamente, são suportadas ou têm direito a updates. Muitos mal-entendidos surgem porque várias coisas aparecem lado a lado na vista de licenças.
Não deduzir da Base License:
- que firmware updates são possíveis permanentemente sem suporte,
- que todos os módulos de proteção estão ativos,
- que Web Protection, Mail Protection, Zero-Day Protection ou outros Security Modules estão licenciados,
- que suporte ou RMA estão cobertos,
- que a firewall está na conta correta,
- que o licenciamento HA e a sincronização de subscrições estão corretos.
Para firmware updates é importante: a Sophos introduziu já com SFOS v19 MR1 um requisito de suporte para futuros firmware upgrades. Clientes sem suporte têm três firmware upgrades gratuitos; depois disso, é necessária uma Support Subscription válida. A Avanet classificou esta alteração em Sophos Firewall Updates zukünftig nicht mehr kostenlos.
Além disso, é relevante a alteração de 2025, na qual a Sophos restringe mais fortemente firewalls sem licença de suporte válida. A visão geral encontra-se em Sophos Firewall: Wichtige Änderung für Kunden ohne Support-Lizenz.
Verificar corretamente o estado da licença
Na WebAdmin Console local, pode verificar-se o estado da licença em Administration > Licensing. Aí veem-se, entre outros, número de série, licenças registadas, períodos de validade e avisos sobre subscrições expiradas ou em falta. O ponto não é apenas saber se aparece algures Base Firewall. O decisivo é se as licenças apresentadas correspondem ao procedimento planeado.
Verificar:
- Iniciar sessão na Sophos Firewall.
- Abrir Administration > Licensing.
- Documentar número de série e modelo.
- Verificar Base Firewall / Base License.
- Verificar suporte e Security Subscriptions.
- Interpretar estados como
Subscribed,Evaluating,Not subscribedouExpired. - Documentar datas de expiração e avisos.
- Se necessário, executar Synchronize para obter o estado atual do Sophos Central.
- Se necessário, ativar chave de licença ou subscrição.
O processo prático para ativar uma chave de licença está em Ativar chave de licença da Sophos Firewall.
Documentar o estado de licença e suporte
Em questões de licença, suporte e renewal, uma captura de ecrã da Base License raramente é suficiente. Para operação, caso de suporte, RMA, restore ou transferência de conta, deve manter-se um pequeno conjunto de dados de licença por firewall.
- Número de série: liga licença, equipamento, suporte, RMA e atribuição de conta.
- Modelo e plataforma: distingue XGS Hardware, firewall virtual, Software Appliance ou Cloud Deployment.
- Sophos Account / Central Tenant: evita ativação errada de licenças ou problemas na transferência de conta.
- Estado da Base License: mostra se a firewall está, em princípio, corretamente atribuída.
- Suporte / Bundle: decide questões de update, suporte e renewal.
- Security Subscriptions: mostra que módulos de proteção são realmente utilizáveis.
- Datas de expiração: importantes para renewal, orçamento e firmware upgrades planeados.
- Backup e Secure Storage Master Key: importantes para restore, migração e casos de suporte.
Esta documentação não deve nascer apenas em caso de erro. Se uma firewall for transferida para outra conta, aplica-se Transferir Sophos Firewall para outra conta Sophos Central. Se houver restore, substituição de hardware ou reimage em vista, o artigo Criar ou restaurar backup da Sophos Firewall também deve ser verificado.
Data de expiração da Base License

Na vista de licenças, a Base Firewall pode aparecer com uma data de expiração muito distante no futuro. Isto não deve ser confundido com suporte ilimitado ou capacidade ilimitada de updates.
Na prática, isto significa:
- A Base License pode continuar visível a longo prazo como base da firewall.
- Hardware, plataforma e firmware têm, ainda assim, limites próprios de lifecycle.
- Outros firmware upgrades podem exigir uma autorização de suporte válida.
- As funções de segurança dependem de subscrições ativas.
- Suporte, RMA e renewal têm de ser verificados separadamente.
Segundo a Sophos, em firewalls cloud, virtuais e baseadas em software, a Base Firewall não expira como uma subscrição de proteção normal. Em Hardware Appliances, pelo contrário, o estado da Base Firewall está ligado ao lifecycle do hardware. Por isso, uma data de expiração distante nunca deve ser avaliada isoladamente: modelo, estado EOL, versão SFOS, suporte e Security Subscriptions pertencem sempre à mesma verificação.
Quando a Base Firewall expira realmente
Um estado Base Firewall expirado não é uma indicação cosmética de licença. A configuração continua visível e pode, em parte, continuar a ser editada, mas a aplicação das regras muda de forma massiva.
A Sophos descreve, para uma Base Firewall expirada, entre outros, este comportamento: as regras de firewall deixam de ser processadas, determinadas direções de tráfego LAN/DMZ-para-WAN ou internas são permitidas como num router simples, outro tráfego permanece bloqueado, túneis VPN podem continuar estabelecidos mas deixam de transportar tráfego útil, e regras NAT, túneis Site-to-Site RED, Remote Access Points e Wireless Networks deixam de funcionar como previsto. É exatamente por isso que um aviso de Base Firewall não deve ser analisado apenas na próxima conversa de renewal.
A distinção é importante: um módulo de segurança expirado não é o mesmo que uma Base Firewall expirada. Se, por exemplo, Web Protection, Zero-Day Protection ou Webserver Protection expirar, a firewall não fica automaticamente sem qualquer função básica, mas a função de proteção ou aplicação afetada deixa de existir ou passa a trabalhar apenas de forma limitada. A análise de erro começa, por isso, sempre pela pergunta: que licença expirou realmente?
Para administradores, isto significa na prática:
- Verificar o estado da licença em Administration > Licensing.
- Controlar número de série, conta Sophos Central e atribuição de conta.
- Verificar se se trata de um problema normal de online sync, de um tema Air-Gap, de um problema HA ou de uma expiração real de licença.
- Em sistemas produtivos, iniciar imediatamente o processo de suporte, renewal ou parceiro.
Se uma firewall for operada de forma isolada, a sincronização normal de 24 horas não é a referência certa. Nesse caso, o processo Air-Gap com ficheiro de licença, upload manual e rotina de patterns faz parte da responsabilidade operacional.
O que deve ser verificado antes de updates e renewals
Antes de firmware updates, conversas de renewal ou migrações, não se deve olhar apenas superficialmente para o estado da licença. É melhor fazer uma breve verificação operacional.
Primeiro documentam-se número de série, modelo, plataforma, conta Sophos e Base License. Depois verificam-se licença de suporte ou bundle, Security Subscriptions necessárias, datas de expiração e avisos. Em clusters HA, ambos os nodes, funções e sincronização de licenças fazem parte da verificação; em firewalls virtuais, além disso, CPU-Cores, atribuição da instância e cenário de restore.
Antes de um firmware upgrade, não se deve confiar que uma entrada Base Firewall visível seja suficiente. Faz sentido combinar backup atual, estado de suporte verificado, versão de destino conhecida, janela de manutenção e um breve plano de reversão. Os firmware upgrades gratuitos sem suporte são, no máximo, uma situação transitória, mas não uma estratégia operacional limpa.
Para updates maiores, ajuda também Verificar a Sophos Firewall antes do upgrade para SFOS 22. Para ambientes HA, Configurar Sophos Firewall High Availability (HA) é relevante, porque licenciamento e funções no cluster têm de estar documentados corretamente.
Erros frequentes
Confundir Base License com suporte
Uma Base License visível não significa automaticamente que suporte e firmware upgrades estão cobertos. O estado de suporte tem de ser verificado separadamente.
Não verificar Security Modules
Se uma funcionalidade não funciona ou não pode ser configurada, não se deve olhar apenas para a Base License. O decisivo é saber se a subscrição adequada está ativa e se a função também foi configurada.
Usar o número de série errado
Com várias firewalls, clusters HA, instâncias virtuais ou transferências de conta, surgem rapidamente confusões. Número de série, conta e documentos de licença têm de corresponder.
Documentar a firewall virtual de forma incompleta
Em firewalls virtuais, devem ser documentados em conjunto licença, número de série, nome da instância, hypervisor, CPU-Cores, backup e conta responsável. Caso contrário, um restore ou caso de suporte torna-se desnecessariamente difícil.