Hoppa till innehållet
Avanet
Sophos Firewall v20 MR1: Nya funktioner och förbättringar

Sophos Firewall v20 MR1: Nya funktioner och förbättringar

21. MAJ 2024

Sophos Firewall v20 MR1 ger en mängd nya funktioner och förbättringar som ytterligare förbättrar brandväggens säkerhet och prestanda. Här är de viktigaste innovationerna i detalj:

⚠️ Viktigt för alla RED 15 och RED 50 användare som ännu inte har uppdaterat till SD-RED 20 eller SD-RED 60. Meddelandet om att RED är End of Life har visats på brandväggen under en tid. Efter denna uppdatering kommer de gamla RED-modellerna fortfarande att vara synliga i WebAdmin, men kommer inte längre att ansluta till brandväggen.

Automatisk språkdetektering vid inloggning

Direkt efter start med den nya firmwaren Sophos Firewall v20 MR1 ser du den första förändringen. Om det är bra eller dåligt kan var och en avgöra själv, för min del snarare det senare.

Språket för administratörsportalen bestäms automatiskt baserat på webbläsarinställningarna. Detta sparas sedan också som en cookie.

Sophos Firewall v20 MR1 Admin Login-sida
Sophos Firewall v20 MR1 Admin Login-sida

Förbättrad brandväggssäkerhet och åtkomstkontroll

Med den nya versionen får du ännu finare kontroll över vilka tjänster som är tillgängliga i WAN. Detta förbättrar avsevärt säkerhetsställningen för din brandvägg. Det som inte syns kan inte attackeras.

Nya inställningsalternativ för IPsec VPN och RED har lagts till:

Sophos Firewall v20 MR1 Lokal tjänst ACL
Sophos Firewall v20 MR1 Lokal tjänst ACL

Nya tjänster i den lokala ACL-undantagslistan

Det kan dock fortfarande finnas mycket attackyta bakom en zon, och därför är det tillrådligt att definiera åtkomst ännu mer exakt i “Undantagsregel för lokal tjänst ACL”.

Följande tjänster har lagts till i undantagslistan: AD SSO, Captive Portal, RADIUS SSO, Klientautentisering, Trådlös, SMTP, RED, IPsec och sist men inte minst Chromebook, även om jag aldrig har sett en Chromebook förutom på YouTube 🤷‍♂️.

Sophos Firewall v20 MR1 Undantagsregler för lokal tjänst ACL
Sophos Firewall v20 MR1 Undantagsregler för lokal tjänst ACL

Mer flexibla undantag för åtkomstkontroll

Med den nya versionen av Sophos Firewall v20 MR1 förbättras flexibiliteten för undantag för åtkomstkontroll avsevärt och utökas med tre huvudobjekt.

  • Stöd för FQDN-värdar: Du kan nu använda fullständigt kvalificerade domännamn (FQDN) i undantagsregler. Detta möjliggör mer exakt kontroll över trafik genom att kontrollera åtkomst till specifika domäner baserat på deras namn istället för bara IP-adresser. Jag har sett fram emot den här funktionen (som fanns tillgänglig på UTM 🤐) under lång tid.
  • Värdgrupper: Möjligheten att definiera och använda värdgrupper erbjuder utökad flexibilitet vid hantering av åtkomstregler. Du kan gruppera flera värdar tillsammans och sedan använda den här gruppen i dina undantagsregler.
  • MAC-adresser: Förutom IP-adresser kan MAC-adresser nu också inkluderas i undantag för åtkomstkontroll. Detta ger ett ytterligare lager av kontroll, särskilt användbart i nätverk med många dynamiska eller föränderliga IP-adresser.

Zero-Touch Deployment

Zero-Touch Deployment är en avancerad funktion i Sophos Firewall v20 MR1.

I många fall byter vi på Avanet ut befintliga brandväggar 1:1 mot nya, och det är viktigt att detta sker snabbt och med minimala avbrott. Vanligtvis förkonfigurerar vi enheten på vårt kontor och skickar den sedan till kunden, där den bara behöver bytas ut.

Tidigare krävde Zero-Touch Deployment ett USB-minne för att överföra konfigurationsfilen till brandväggen. Med den nya versionen är detta dock inte längre nödvändigt, eftersom hela konfigurationen kan göras via Sophos Central.

Här är stegen och förbättringarna i detalj:

  1. Ange serienummer: Den nya brandväggens serienummer anges i Sophos Central. Detta tjänar till att identifiera och initialisera brandväggen.
  2. Definiera grundkonfiguration: En grundkonfiguration definieras som tillämpas när brandväggen startas för första gången. Detta inkluderar viktiga inställningar som tidszon, brandväggens värdnamn och nätverkskonfigurationer för LAN och WAN.
  3. Upprätta internetanslutning: Brandväggen ansluts helt enkelt till nätverket på plats, varvid den automatiskt ansluter till Sophos Central och laddar ner den fördefinierade konfigurationen.
  4. Aktivera brandväggshantering: Efter anslutning till Sophos Central konfigureras brandväggen automatiskt och är redo att användas. Administratörer kan sedan göra ytterligare inställningar och finjusteringar direkt via Sophos Central.

Denna metod minskar installationstiden och komplexiteten avsevärt. Dessutom kan brandväggen användas omedelbart så snart den är ansluten till Internet, vilket påskyndar hela processen.

Fördelar med Zero-Touch Deployment

  • Snabb driftsättning: Perfekt för platser där ingen IT-personal finns på plats. Brandväggen kan konfigureras och göras redo för användning omedelbart efter anslutning till nätverket.
  • Centraliserad hantering: Alla konfigurationssteg utförs via Sophos Central, vilket möjliggör enhetlig och konsekvent hantering.
  • Minimala avbrott: Eftersom konfigurationen är fördefinierad och tillämpas automatiskt är driftstoppen minimala, vilket är särskilt fördelaktigt i affärskritiska miljöer.
  • Enkel anpassning: Efter den initiala konfigurationen kan ytterligare justeringar och inställningar göras centralt utan att en tekniker behöver vara på plats.

Med Zero-Touch Deployment erbjuder Sophos en effektiv lösning för driftsättning och konfigurering av brandväggar som sparar tid och maximerar nätverkstillgängligheten.

Ladda ner loggfiler för felsökning

Med Sophos Firewall v20 MR1 är det nu möjligt att ladda ner enskilda loggfiler direkt från brandväggen. Denna funktion förenklar felsökning, eftersom du inte längre behöver komma åt brandväggen via en SSH-anslutning för att få nödvändiga data.

Under huvudmenyalternativet Diagnostics, hittar du alternativet Troubleshooting Logs. Här kan administratörer specifikt söka efter vissa loggar och välja flera loggar samtidigt. Sophos Firewall erbjuder sedan en ZIP-fil för nedladdning som innehåller alla valda loggar. Dessa filer kan öppnas och analyseras på en lokal klient.

Sophos Firewall v20 MR1 - Ladda ner loggar
Sophos Firewall v20 MR1 - Ladda ner loggar

Varje Site-to-Site IPsec-anslutning och enskild RED-anslutning får sin egen logg. Detta möjliggör detaljerad och specifik analys utan att behöva tillgripa besvärliga metoder. Detta gör hantering och underhåll av brandväggen effektivare och mer användarvänligt.

Sophos Firewall v20 MR1 - Loggar för IPsec S2S eller någon RED
Sophos Firewall v20 MR1 - Loggar för IPsec S2S eller någon RED

Beskrivningsfält för objekt

Alla objekt under “Host & Services” får nu ett beskrivningsfält. Detta inkluderar IP-värdar, IP-värdgrupper, MAC-adresser och andra nätverksobjekt. Möjligheten att lägga till en detaljerad beskrivning till varje objekt förbättrar dokumentationen avsevärt.

Denna funktion gör det möjligt att lagra viktig information direkt i brandväggen. Till exempel, när du skapar en ny IP-värd, kan du omedelbart lägga till en beskrivning som förklarar värdens syfte och användning. Detta är särskilt användbart när flera administratörer hanterar brandväggen eller när exakt dokumentation krävs.

Sophos Firewall v20 MR1 Objektbeskrivning
Sophos Firewall v20 MR1 Objektbeskrivning

En beskrivning kan också innehålla länkar till ytterligare information, till exempel en kunskapsbas eller ett PDF-dokument som ger specifika detaljer om objektet i fråga. Detta ökar spårbarheten och underlättar framtida administrativa uppgifter. Således kan en tjänstport som endast används för en specifik applikation direkt förses med relevant information och sammanhang, vilket avsevärt ökar effektiviteten och tydligheten i nätverkshanteringen.

Beskrivningen indexeras också för att möjliggöra sökning.

Generativ AI Brandväggsassistent

Idag är du helt enkelt inte cool som företag om du inte nämner AI. För några år sedan var det blockkedjan.

En ny generativ AI-driven Sophos Assistent är integrerad för att hjälpa dig hantera din brandvägg. Du kan ställa vilken fråga som helst till assistenten på enkelt språk och få instruktioner och länkar till användbara resurser.

Sophos Firewall v20 MR1 - Assistent med lite AI
Sophos Firewall v20 MR1 - Assistent med lite AI

Inte illa för en första version, men jag tror att vi föreställer oss AI annorlunda än bara en något bättre sökning?

OpenVPN-uppgradering till v2.6.0

OpenVPN-komponenten i Sophos Firewall har uppdaterats till version 2.6.0. Detta förbättrar säkerheten och prestandan för SSL VPN. Site-to-Site SSL VPN med äldre versioner stöds inte längre. Det rekommenderas att uppdatera till v20.0 MR1 eller använda alternativa VPN-lösningar som IPsec.

Dessutom kan den senaste versionen av Sophos Connect Client (v2.3) laddas ner via VPN-portalen:

Viktiga anteckningar om SSL VPN-kompatibilitet

På grund av uppgraderingen till OpenVPN 2.6.0 i denna version kommer SSL VPN-tunnlar inte längre att upprättas med följande klienter och brandväggsversioner:

  • SFOS v18.5 och tidigare versioner: Site-to-Site SSL VPN kan inte längre upprättas. Det rekommenderas att uppdatera alla relevanta brandväggar till v20.0 MR1 eller använda Site-to-Site IPsec- eller RED-tunnlar.
  • Föråldrad SSL VPN-klient: Remote Access SSL VPN-tunnlar kommer inte längre att upprättas med den föråldrade SSL VPN-klienten. Använd Sophos Connect Client eller tredjepartsklienter som OpenVPN Client.
  • UTM9 OS: Site-to-Site SSL VPN kan inte längre upprättas mellan UTM9 OS och SFOS v20.0 MR1. Det rekommenderas att migrera dessa enheter till v20.0 MR1 eller använda Site-to-Site IPsec- eller RED-tunnlar.

Förbättringar i SD-WAN och VPN

Den nya versionen av Sophos Firewall v20 MR1 ger viktiga förbättringar inom området SD-WAN och VPN, vilket avsevärt ökar både tillförlitlighet och prestanda.

  • Minimala trafikavbrott: Gateway-tillgängligheten under HA-failover och omstarter av enheter har förbättrats fyrfaldigt. Detta innebär att vid gatewayfel eller omstart av enheten minimeras avbrott i datatrafiken avsevärt, vilket leder till en mer stabil nätverksanslutning.
  • Ny OpenVPN 3.0 Client: Den nya OpenVPN 3.0 Client för Remote Access SSL VPN finns nu tillgänglig för nedladdning via VPN-portalen. Denna klient erbjuder förbättrade säkerhetsfunktioner och högre kompatibilitet med olika operativsystem, vilket förenklar installation och hantering av VPN-anslutningar och förbättrar användarupplevelsen.
  • IPsec Phase-1 IKEv2-stöd: Stöd för GCM- och Suite-B-chiffer har lagts till, vilket förbättrar interoperabilitet och genomströmning för IPsec-anslutningar. Dessa moderna krypteringsmetoder säkerställer säkrare och effektivare dataöverföring mellan nätverksenheter.
  • DHCP Busybox-förbättringar: Standardleasetiden för DHCP har ställts in på 30 sekunder för att eliminera WAN-anslutningsproblem. Kortare leasetider innebär att IP-adresser tilldelas och förnyas snabbare, vilket leder till en mer stabil och tillförlitlig nätverksanslutning, särskilt i miljöer med ofta föränderliga anslutningar.

Installera Sophos Firewall v20 MR1

För att installera den senaste firmwareversionen krävs en Enhanced Support-licens, såvida inte brandväggen precis har köpts ny och fortfarande har en utvärderingslicens: Sophos Firewall-uppdateringar inte längre gratis i framtiden

Denna guide beskriver hur du installerar den senaste versionen på din brandvägg och laddar ner bilden: Uppdatering av firmware på Sophos Firewall

Mer information om utgåvan finns i Sophos Community - Sophos Firewall OS v20 MR1 is Now Available

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.