Hoppa till innehållet
Avanet
Sophos Firewall v20 MR1: Nya funktioner och förbättringar

Sophos Firewall v20 MR1: Nya funktioner och förbättringar

Sophos Firewall v20 MR1 innehåller en rad nya funktioner och förbättringar som ytterligare stärker brandväggens säkerhet och prestanda. Här går vi igenom de viktigaste nyheterna i detalj:

⚠️ Viktigt för alla RED 15- och RED 50-användare som ännu inte har uppgraderat till SD-RED 20 eller SD-RED 60. Meddelandet om att RED-enheterna är End of Life har visats i brandväggen sedan en tid tillbaka. Efter den här uppdateringen syns de gamla RED-modellerna fortfarande i WebAdmin, men de ansluter inte längre till brandväggen.

Automatisk språkdetektering vid inloggning

Direkt efter uppstart med den nya Sophos Firewall v20 MR1-firmwaren syns den första förändringen. Om det är bra eller dåligt får var och en avgöra själv; för min del lutar det åt det senare.

Språket för administratörsportalen identifieras automatiskt utifrån webbläsarinställningarna. Valet sparas sedan också som en cookie.

Sophos Firewall v20 MR1 Admin Login-sida
Sophos Firewall v20 MR1 Admin Login-sida

Förbättrad brandväggssäkerhet och åtkomstkontroll

Med den nya versionen får du ännu mer detaljerad kontroll över vilka tjänster som är åtkomliga via WAN. Det förbättrar brandväggens säkerhetsnivå avsevärt. Det som inte är synligt kan inte heller angripas.

Nya inställningsalternativ har lagts till för IPsec VPN och RED:

Sophos Firewall v20 MR1 Local service ACL
Sophos Firewall v20 MR1 Local service ACL

Nya tjänster i den lokala ACL-undantagslistan

Bakom en zon kan det fortfarande finnas en stor angreppsyta. Därför är det klokt att definiera åtkomsten ännu mer exakt i “Local service ACL exception rule”.

Följande tjänster har lagts till i undantagslistan: AD SSO, Captive Portal, RADIUS SSO, Client Authentication, Wireless, SMTP, RED, IPsec och sist men inte minst Chromebook, även om jag aldrig har sett en Chromebook någon annanstans än på YouTube 🤷‍♂️.

Sophos Firewall v20 MR1 Local service ACL exception rules
Sophos Firewall v20 MR1 Local service ACL exception rules

Mer flexibla undantag för åtkomstkontroll

Med den nya versionen av Sophos Firewall v20 MR1 förbättras flexibiliteten i åtkomstkontrollundantagen avsevärt och utökas med tre viktiga objekt.

  • Stöd för FQDN-hosts: Du kan nu använda fullständigt kvalificerade domännamn (FQDN) i undantagsregler. Det ger mer exakt kontroll över trafiken genom att du styr åtkomst till specifika domäner baserat på deras namn i stället för enbart på IP-adresser. Den här funktionen (som fanns i UTM 🤐) har jag sett fram emot länge.
  • Host-grupper: Möjligheten att definiera och använda host-grupper ger större flexibilitet vid hantering av åtkomstregler. Du kan samla flera hosts i en grupp och sedan använda gruppen i dina undantagsregler.
  • MAC-adresser: Utöver IP-adresser kan nu även MAC-adresser användas i åtkomstkontrollundantag. Det ger ytterligare ett kontrollager, särskilt i nätverk med många dynamiska eller ofta växlande IP-adresser.

Zero-Touch Deployment

Zero-Touch Deployment är en utökad funktion i Sophos Firewall v20 MR1.

I många fall byter vi på Avanet ut befintliga brandväggar 1:1 mot nya, och det är viktigt att detta sker snabbt och med minimala avbrott. Vanligtvis förkonfigurerar vi enheten på vårt kontor och skickar den sedan till kunden, där den bara behöver ersätta den gamla.

Tidigare krävde Zero-Touch Deployment ett USB-minne för att överföra konfigurationsfilen till brandväggen. Med den nya versionen är detta dock inte längre nödvändigt, eftersom hela konfigurationen kan göras via Sophos Central.

Här är stegen och förbättringarna i detalj:

  1. Ange serienummer: Serienumret för den nya brandväggen anges i Sophos Central. Det används för att identifiera och initiera brandväggen.
  2. Definiera grundkonfiguration: En grundkonfiguration definieras och tillämpas när brandväggen startas första gången. Den omfattar viktiga inställningar som tidszon, brandväggens hostname och nätverkskonfigurationer för LAN och WAN.
  3. Upprätta internetanslutning: Brandväggen ansluts helt enkelt till nätverket på plats. Därefter ansluter den automatiskt till Sophos Central och laddar ner den fördefinierade konfigurationen.
  4. Aktivera Firewall Management: Efter anslutningen till Sophos Central konfigureras brandväggen automatiskt och är redo att användas. Administratörer kan sedan göra ytterligare inställningar och finjusteringar direkt via Sophos Central.

Den här metoden minskar installationstiden och komplexiteten avsevärt. Dessutom kan brandväggen användas direkt när den är ansluten till internet, vilket snabbar upp hela processen.

Fördelar med Zero-Touch Deployment

  • Snabb driftsättning: Perfekt för platser där ingen IT-personal finns på plats. Brandväggen kan konfigureras och göras klar för drift direkt efter anslutningen till nätverket.
  • Central hantering: Alla konfigurationssteg utförs via Sophos Central, vilket möjliggör enhetlig och konsekvent hantering.
  • Minimala avbrott: Eftersom konfigurationen är fördefinierad och tillämpas automatiskt är driftstoppen minimala, vilket är särskilt fördelaktigt i affärskritiska miljöer.
  • Enkel anpassning: Efter den initiala konfigurationen kan ytterligare justeringar och inställningar göras centralt utan att en tekniker behöver vara på plats.

Med Zero-Touch Deployment erbjuder Sophos en effektiv lösning för driftsättning och konfigurering av brandväggar som sparar tid och maximerar nätverkstillgängligheten.

Ladda ner loggfiler för felsökning

Med Sophos Firewall v20 MR1 går det nu att ladda ner enskilda loggfiler direkt från brandväggen. Funktionen förenklar felsökningen eftersom du inte längre behöver ansluta till brandväggen via SSH för att få fram nödvändiga data.

Under huvudmenypunkten Diagnostics hittar du alternativet Troubleshooting Logs. Här kan administratörer söka efter specifika loggar och välja flera loggar samtidigt. Sophos Firewall erbjuder sedan en ZIP-fil för nedladdning som innehåller alla valda loggar. Filerna kan öppnas och analyseras på en lokal klient.

Sophos Firewall v20 MR1 - Ladda ner loggar
Sophos Firewall v20 MR1 - Ladda ner loggar

Varje Site-to-Site IPsec-anslutning och varje enskild RED-anslutning får en egen logg. Det möjliggör detaljerad och specifik analys utan omständliga metoder. Därmed blir hantering och underhåll av brandväggen effektivare och mer användarvänligt.

Sophos Firewall v20 MR1 - Loggar för IPsec S2S eller varje RED
Sophos Firewall v20 MR1 - Loggar för IPsec S2S eller varje RED

Beskrivningsfält för objekt

Alla objekt under “Host & Services” får nu ett beskrivningsfält. Det omfattar IP-hosts, IP-host-grupper, MAC-adresser och andra nätverksobjekt. Möjligheten att lägga till en detaljerad beskrivning för varje objekt förbättrar dokumentationen avsevärt.

Funktionen gör det möjligt att spara viktig information direkt i brandväggen. När du till exempel skapar en ny IP-host kan du samtidigt lägga till en beskrivning som förklarar hostens syfte och användning. Det är särskilt användbart när flera administratörer hanterar brandväggen eller när noggrann dokumentation krävs.

Sophos Firewall v20 MR1 Objektbeskrivning
Sophos Firewall v20 MR1 Objektbeskrivning

En beskrivning kan också innehålla länkar till vidare information, till exempel en Knowledge Base eller ett PDF-dokument med specifika detaljer om det aktuella objektet. Det ökar spårbarheten och förenklar framtida administrativa uppgifter. En serviceport som bara används för en viss applikation kan därmed direkt förses med relevant information och kontext, vilket tydligt ökar effektiviteten och översikten i nätverkshanteringen.

Beskrivningen indexeras också för att möjliggöra sökning.

Generativ AI Firewall Assistant

I dag är man som företag helt enkelt inte cool om man inte nämner AI. För några år sedan var det Blockchain.

En ny generativ AI-stödd Sophos Assistant är integrerad för att hjälpa dig hantera din brandvägg. Du kan ställa vilken fråga som helst till assistenten på enkelt språk och får instruktioner och länkar till användbara resurser.

Sophos Firewall v20 MR1 - Assistent med lite AI
Sophos Firewall v20 MR1 - Assistent med lite AI

Inte illa för en första version, men jag tror att vi föreställer oss AI som något annat än bara en lite bättre sökfunktion?

OpenVPN-uppgradering till v2.6.0

OpenVPN-komponenten i Sophos Firewall har uppdaterats till version 2.6.0. Det förbättrar säkerheten och prestandan för SSL VPN. Site-to-Site SSL VPN med äldre versioner stöds inte längre. Rekommendationen är att uppdatera till v20.0 MR1 eller använda alternativa VPN-lösningar som IPsec.

Dessutom kan den senaste versionen av Sophos Connect Client (v2.3) laddas ner via VPN-portalen:

Viktig information om SSL VPN-kompatibilitet

På grund av uppgraderingen till OpenVPN 2.6.0 i den här versionen kommer SSL VPN-tunnlar inte längre att upprättas med följande klienter och brandväggsversioner:

  • SFOS v18.5 och tidigare versioner: Site-to-Site SSL VPN kan inte längre upprättas. Det rekommenderas att uppdatera alla berörda brandväggar till v20.0 MR1 eller använda Site-to-Site IPsec- eller RED-tunnlar.
  • Legacy SSL VPN Client: Remote Access SSL VPN-tunnlar upprättas inte längre med den äldre SSL VPN Client. Använd Sophos Connect Client eller tredjepartsklienter som OpenVPN Client.
  • UTM9 OS: Site-to-Site SSL VPN kan inte längre upprättas mellan UTM9 OS och SFOS v20.0 MR1. Det rekommenderas att migrera dessa enheter till v20.0 MR1 eller använda Site-to-Site IPsec- eller RED-tunnlar.

Förbättringar i SD-WAN och VPN

Den nya versionen av Sophos Firewall v20 MR1 ger viktiga förbättringar inom SD-WAN och VPN, vilket tydligt höjer både tillförlitlighet och prestanda.

  • Minimala trafikavbrott: Gateway-tillgängligheten vid HA-failover och omstarter av enheter har förbättrats fyrfaldigt. Det innebär att trafikavbrott vid gatewayfel eller omstart av en enhet minimeras tydligt, vilket ger en stabilare nätverksanslutning.
  • Ny OpenVPN 3.0 Client: Den nya OpenVPN 3.0 Client för Remote Access SSL VPN finns nu att ladda ner via VPN-portalen. Klienten erbjuder förbättrade säkerhetsfunktioner och högre kompatibilitet med olika operativsystem, vilket förenklar installation och hantering av VPN-anslutningar och förbättrar användarupplevelsen.
  • IPsec Phase-1 IKEv2-stöd: Stöd för GCM- och Suite-B-chiffer har lagts till, vilket förbättrar interoperabilitet och datagenomströmning för IPsec-anslutningar. Dessa moderna krypteringsmetoder ger säkrare och effektivare dataöverföring mellan nätverksenheter.
  • DHCP Busybox-förbättringar: Standardleasetiden för DHCP har satts till 30 sekunder för att eliminera problem med WAN-anslutningar. Kortare leasetider innebär att IP-adresser tilldelas och förnyas snabbare, vilket ger en stabilare och mer tillförlitlig nätverksanslutning, särskilt i miljöer med anslutningar som ofta ändras.

Installera Sophos Firewall v20 MR1

För att installera den senaste firmwareversionen krävs en Enhanced Support-licens, såvida brandväggen inte nyligen har köpts och fortfarande har en utvärderingslicens: Sophos Firewall-uppdateringar blir inte längre kostnadsfria framöver

Den här guiden beskriver hur du installerar den senaste versionen på din brandvägg och laddar ner imagefilen: Uppdatering av firmware på Sophos Firewall

Mer information om releasen finns i Sophos Community - Sophos Firewall OS v20 MR1 is Now Available

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.