Sophos Firewall v19.5 - Alla nya funktioner i denna uppdatering
Det har gått några månader sedan jag senast hade tid att skriva en artikel om SFOS-uppdateringen. I framtiden kommer det att bli bättre igen. Därför är jag desto gladare att presentera de nya funktionerna och förbättringarna i SFOS 19.5.
Uppdateringen är för alla Sophos brandväggar i SG-, XG- och XGS-serien samt de virtuella enheterna eller instanserna på molnplattformar som Azure eller AWS.
Följande modeller kommer inte att få uppdateringen eftersom de inte har 4 GB RAM: XG 85(w), XG 105(w), SG 105(w)
Säkerhetsluckan CVE-2022-3236 stängs
En sårbarhet för kodinjektion i användarportalen och i WebAdmin tillåter en angripare att köra kod i Sophos Firewall, version v19.0 MR1 och äldre. CVE-2022-3236
Hosts och Services Sök
I SFOS v19 förbättrades objektsökningen i brandväggsreglerna massivt. Men på vissa ställen saknades fortfarande sökfunktionen, till exempel för Hosts och Services-objekt. Här är det möjligt att söka efter namn, portar eller IP-adresser, vilket också förenklar att hitta dubbla objekt.
Att sedan radera dubbla objekt om de fortfarande används är fortfarande inte så lätt, eftersom man inte får någon information om var objektet används.
Azure AD SSO för Webadmin-inloggning
Azure AD har funnits på Sophos Central under en längre tid. Med v19.5 kommer integrationen av Azure Active Directory (Azure AD) nu till Sophos Firewall för Single Sign-on (SSO) på Webadmin-konsolen.
Azure AD-integrationen möjliggör också dynamisk roll- och gruppåtkomsthantering. Det är alltså möjligt att skapa egna rättighetsprofiler på brandväggen eller att använda befintliga och sedan tilldela dem till en användare på Azure AD.
Azure AD-integrationen för Webadmin-inloggning är säkert en bra början. Det blir spännande när även fjärråtkomstanvändare (SSLVPN eller IPsec) och användarportalen fungerar med den.
Förbättringar för hög tillgänglighet
Det finns också verkligt bra förbättringar för HA-kluster. En liten nyhet är t.ex. att det vid skapandet av klustret indikeras att licensen måste finnas på Primary Device eller, vid ett Active-Active-kluster, vilket vi faktiskt nästan aldrig använder, att licensen måste finnas på båda enheterna.
Det är nu möjligt att konfigurera flera HA-länkar, och detta inte längre bara via en direktanslutning, utan även via LAG:er och VLAN:er.
VLAN-gränssnitt kan nu också läggas till i gränssnittsövervakningen.
Statussidan ger nu betydligt mer viktig information. Det syns på vilken nod licensen är aktiverad. Datum och tid för när klustrets senaste statusändring inträffade. Man kan tilldela ett namn och behöver inte längre komma ihåg serienumret.
Widgeten i kontrollcentret har flyttats upp till höger och visar också mer information om klustret. Fliknamnet visar nu också vilken nod du ansluter till, även om jag hellre skulle se brandväggens värdnamn här, eftersom jag ändå aldrig loggar in på Nod2.
SD-WAN Lastbalansering
Sedan v19 finns SD-WAN och i profilerna i den nya versionen är det möjligt att skapa lastbalansering. Metoderna som finns är Round Robin eller Session Persistence.
Round Robin
Anslutningarna fördelas mellan de valda anslutningarna utifrån viktning. I skärmdumpen har båda gatewayerna för närvarande en viktning på 1, vilket resulterar i en jämn fördelning över båda gatewayerna.
Session Persistence
Med Session Persistence kan man definiera om trafiken ska delas upp per käll-IP, destinations-IP, båda samtidigt eller per anslutning.
Denna nyhet gäller för SD-WAN-profilen. Man kan naturligtvis skapa flera profiler och använda dem enligt routingstrategins krav baserat på applikation, källa, destination eller tjänst.
Mer prestanda för alla Sophos XGS brandväggar
Varje Sophos XGS Appliance har en dubbelprocessorarkitektur. Sophos accelererade vid marknadslanseringen av XGS-serien vissa anslutningar med det dubbla jämfört med XG-serien. Det meddelades att med kommande programuppdateringar skulle processer flyttas från CPU till NPU för att förbättra prestandan. Med version 19.5 behandlas ytterligare processer av Xstream Flow-processorn och accelereras därmed. I denna version har tack vare denna utveckling antalet IPsec VPN-tunnlar i XGS-modellerna helt enkelt fördubblats.
På modellerna XGS 4300, 4500, 5500 och 6500 accelereras TLS-krypterade anslutningar på FastPath, vilket gör djup paketinspektion ännu mer prestandastark.
Ytterligare små förbättringar i v19.5
OSPFv3
Den nya dynamiska routingsmotorn erbjuder stöd för OSPFv3. Bland nyheterna i OSPFv3 finns bland annat stöd för IPv6, mindre headstorlek och att MD5 inte längre används för autentisering. OSPFv3 avstår helt från eget autentiseringsstöd och förlitar sig istället på IPv6:s mer flexibla IPsec-ramverk.
Logg
Förbättrad lagring av loggfiler möjliggör detaljerad felsökning.
Maskinvarusupport
Förbättrad support för 40G-gränssnitt med automatisk detektering av utökade portkonfigurationer på modellerna XGS 5500 och 6500.
Hårdvarusupporten för 5G-modulerna, som listades i EAP, ingår inte längre i den slutliga v19.5-versionen. Jag antar därför att modulerna kommer lite senare än förväntat.
Video om innovationerna i Sophos Firewall OS v19.5
Ni ser redan, Sophos lägger numera stor vikt vid att visa de nya funktionerna i videor, vilket vi tycker är väldigt coolt. Ofta fanns det nya funktioner som gick obemärkta förbi i release notes och som bara ett fåtal upptäckte. Förutom videon om enskilda funktioner som infogats ovan, finns det också en video om Sophos Firewall 19.5 som helhet.
Uppdateringar är inte längre gratis under lång tid
Kanske har informationen inte nått alla: Sophos Firewall-uppdateringar kommer inte längre att vara gratis i framtiden
Nu har vi alltså den första uppdateringen sedan version 19.0 MR1 och räknaren för gratis uppdateringar startar på tre. Efter installationen, mer exakt när den nya firmwarebilden 19.5 laddas upp, kommer den att stå på två.
Om man nu tittar på innovationerna i denna uppdatering, som visserligen är en större uppdatering, ser man redan att många nya funktioner kommer som gör Sophos Firewall ännu bättre. Denna utveckling måste betalas, och som man känner till från smartphone-appar, går många utvecklare över till prenumerationsmodellen för att få denna utveckling betald.
Följaktligen, om firmware-räknaren står på noll, krävs en Enhanced Support-licens, som ingår individuellt eller i ett licenspaket som Standard Protection, Xstream Protection eller Epic Protection.
