Hoppa till innehållet
Avanet
Sophos Firewall v22: Översikt och alla nya funktioner

Sophos Firewall v22: Översikt och alla nya funktioner

Sophos Firewall v22 satsar på härdning, tydlig synlighet och stabila driftprocesser. Den moderniserade Xstream-arkitekturen, en härdad kernel och nya driftfunktioner hjälper till att minska attackytor och förenkla administrationen. I detta inlägg förklaras alla nyheter i SFOS v22.

Health Check

Health Check är den inbyggda konfigurationskontrollen i Sophos Firewall v22. Målet är att synliggöra felkonfigurationer tidigt, innan de blir ett säkerhets- eller driftproblem. Funktionen adresserar den växande hotbilden mot internetexponerad infrastruktur och följer Secure-by-Design-strategin enligt CISA-riktlinjer. Sophos har härdat brandväggen över flera releaser, förenklat patchning och förbättrat detektering under pågående angrepp. Ett tydligt särskiljande drag är Over-the-Air hotfixes utan nedtid samt Sophos aktiva övervakning av den installerade basen för att upptäcka tidiga attackindikatorer.

Vad Health Check är avsett för Den utvärderar dussintals inställningar mot CIS Benchmarks och etablerad best practice. Typiska kontrollområden är föråldrade eller osäkra TLS-ciphers, för breda administratörs- och användarpolicyer, oanvända eller överlappande regler, onödigt exponerade tjänster samt grundläggande härdning av tid, autentisering och loggning. Sophos Firewall v22 gör det därmed enklare att hålla hög policyhygien och eliminera oönskade sårbarheter.

Hur Health Check fungerar I Control Center visar en dashboard-widget statusen. Ett klick tar dig till detaljvyn, alternativt via huvudmenyn under “Firewall health check”. Resultaten är prioriterade, förklarade och länkade med drill-down till rätt inställningsvy. På så sätt kan avvikelser åtgärdas utan letande.

Sophos Firewall v22 - Health Check Dashboard Widget
Sophos Firewall v22 - Health Check Dashboard Widget

Hur man använder Health Check i drift Kör den före go-live, efter policyändringar, efter firmware-uppdateringar och därefter regelbundet. Den fungerar som objektiv validering i CAB-processer och ger audit-underlag för löpande policyhygien.

Health Check täcker konfigurationskvalitet, inte hårdvaruhälsa. Den kontrollerar inte om interna databaser är konsistenta eller om RAM eller SSD visar skrivfel. En synlig statusindikator i GUI skulle vara ett bra komplement här.

Health Check: kontrollområden i detalj

Sophos Firewall v22 - Health Check
Sophos Firewall v22 - Health Check

Health Check listar alla kontrollerade punkter i dashboarden, ungefär som en säkerhetsaudit. Varje punkt visar modul, standard, allvarlighetsgrad, status och en direkt åtgärd. Det gör att man snabbt ser vilka konfigurationer som avviker från best practice. Ett urval av de viktigaste kontrollerna:

  • Synchronized Application Control should be turned on.
  • NDR Essentials should be turned on and at least on one interface selected.
  • Sophos X-Ops should be turned on. An Action should be set to Log and drop.
  • MDR threat feeds should be turned on. An Action should be set to Log and drop.
  • A firewall rule should have Synchronized Security Heartbeat settings.
  • Security Heartbeat should be turned on.
  • Login disclaimer should be turned on.
  • Hotfix settings should be turned on.
  • Remote sessions should be signed out. Sign-ins should be blocked for the specified unsuccessful attempts.
  • Password complexity should be configured for users.
  • Password complexity should be configured for administrators.
  • DNS Protection should be configured and have an active status.
  • MFA should be configured for remote access VPN (IPsec and SSL VPN) sign-ins.
  • MFA should be configured for web admin console and VPN portal sign-ins.
  • The firewall’s connection with authentication servers should be encrypted.
  • Backups should be scheduled.
  • Public key authentication should be configured for SSH access to the firewall.
  • User portal shouldn’t be accessible from WAN.
  • Web admin console shouldn’t be accessible from WAN.
  • MFA should be configured for the default admin.
  • Notification emails should be configured for system and security events.
  • Automatic update should be turned on for pattern download and installation.
  • A Web policy should be selected in a firewall rule.
  • Zero-day protection should be selected in a firewall rule.
  • Intrusion prevention should be turned on. An IPS policy should be selected in a firewall rule.
  • An Application control policy should be selected in a firewall rule.
  • An SSL/TLS inspection rule should have Action set to Decrypt.
  • A firewall rule with Action set to Allow shouldn’t have all the network and service settings set to Any.
  • Sophos Central reporting should be turned on.
  • The firewall should send its backups to Sophos Central.
  • The firewall should be registered for Sophos Central management. Sophos Central management should be turned on.
  • NTP server should be configured.

Denna lista visar att Health Check täcker både tekniska konfigurationer och organisatoriska säkerhetsriktlinjer.

Vissa punkter är utan tvekan meningsfulla, andra kan ifrågasättas. Till exempel: “Login disclaimer should be turned on”. En sådan varningstext ökar säkerheten endast begränsat – ingen läser den egentligen, och i praktiken klickas den oftast bara bort. Den uppfyller dock juridiska krav i vissa miljöer, t.ex. som användarvillkor eller ansvarsfriskrivning. Ur ett rent tekniskt säkerhetsperspektiv är det knappast en skyddsmekanism, utan snarare en formell punkt avsedd att signalera säkerhetsmedvetenhet.

Man kan manuellt åsidosätta statusen för enskilda kontroller. Det gör att en punkt kan markeras som “Complies” även om den tekniskt sett inte uppfylls. Då visas dock en ⚠️-symbol som markerar den åsidosatta statusen. På så sätt behålls transparensen samtidigt som administrativt handlingsutrymme finns kvar.

Det är också märkbart att vissa kontrollpunkter har starka kopplingar till Sophos Central, MDR, NDR eller DNS Protection. Ur Sophos perspektiv är detta naturligtvis också en form av korsförsäljning, eftersom det betonar fördelen med den egna ekosystemintegrationen. Ändå ger många av dessa rekommendationer ett verkligt mervärde, t.ex. genom konsoliderad hantering eller automatiserad larmning.

Next-Gen Xstream Control Plane

Med Sophos Firewall v22 har Sophos vidareutvecklat Xstream-arkitekturen i grunden. Det ursprungliga konceptet introducerades i version 18 för att fullt ut utnyttja prestandan hos XGS-hårdvaran, men den nya generationen siktar på betydligt mer än bara prestanda: säkerhet, stabilitet och framtidssäkring står i centrum.

En ny grund för säkerhet och skalbarhet

Det omarbetade Control Plane har konstruerats om helt. I stället för ett monolitiskt system satsar Sophos nu på ett modulärt ramverk där centrala tjänster som IPS, webbfilter och SSL-inspektion körs isolerade från varandra. Varje tjänst fungerar som en egen app inuti brandväggen och kan hanteras eller startas om oberoende. Därför förblir andra funktioner stabila även om en modul reagerar felaktigt eller kraschar.

Ur en säkerhetsingenjörs perspektiv är detta ett avgörande steg: Denna arkitektur minimerar beroenden och minskar effekten av potentiella exploits på enskilda komponenter. Samtidigt skapar den grunden för en Zero Trust-isolering inuti systemet – ett koncept som tidigare var mer känt från moderna molnplattformar.

Oberoende av hårdvara och miljö

En stor fördel med den nya Xstream-arkitekturen är dess fullständiga oberoende av proprietär hårdvara. Till skillnad från många konkurrenter baseras Sophos Firewall v22 inte på speciella ASIC:er eller chips med fast funktion. Arkitekturen körs konsekvent på fysisk hårdvara, virtuella maskiner eller molnmiljöer. Detta säkerställer enhetligt beteende över alla plattformar och underlättar automatisering i drift.

Förbättrad hög tillgänglighet med självläkning

Nytt är också den självläkande logiken i HA-kluster. Control Plane övervakar kontinuerligt tillståndet för båda systemen och korrigerar avvikelser automatiskt. Om skillnader i konfiguration eller synkroniseringsstatus upptäcks, initierar brandväggen självständigt en korrigering. Detta minskar felsituationer, minskar underhållsinsatsen och förbättrar tillgängligheten märkbart. I praktiken innebär detta: färre oplanerade omstarter och stabilare klusterprestanda.

Tekniskt perspektiv och framtid

Den nya Xstream-arkitekturen lägger grunden för framtida funktioner som n-nodsklustring, helt containeriserade säkerhetstjänster och ett fullvärdigt REST-API för fjärrhantering och automatisering. Sophos Firewall v22 rör sig därmed tydligt mot en plattformsarkitektur som påminner om moderna molnprinciper – tjänstebaserad, dynamisk och säkerhetscentrerad.

Ur ett professionellt perspektiv är denna ombyggnad mer än en teknisk uppdatering. Den förändrar hur brandväggar kommer att utformas framöver: bort från monolitiska appliances och mot en flexibel, tjänsteorienterad infrastruktur som snabbt kan anpassas och hanteras automatiskt. För driftorganisationer med höga krav på upptid, compliance och skalbarhet är detta ett avgörande framsteg.

Jag håller helt med – inriktningen mot CPU-baserad bearbetning är tekniskt helt logisk. Alla XGS-appliances har inte en NPU som accelererar trafiken, och särskilt virtuella brandväggar har alltid varit missgynnade här. Med den nya arkitekturen flyttas prestandafokus tillbaka till moderna CPU:er, vilket ger ett enhetligt beteende över alla plattformar. I de äldre XGS Desktop-modellerna var kombinationen av CPU och NPU dessutom termiskt krävande, vilket ledde till högre ljudnivåer. De nya generationerna är betydligt tystare eftersom den dubbla processorlasten försvinner. Den som minns jämförelsen förstår varför steget tillbaka till CPU-optimering är rimligt både strategiskt och praktiskt.

Härdad kernel 6.6+

Sophos Firewall v22 använder en moderniserad Linux-kernel (v6.6+) för högre säkerhet, bättre prestanda och större skalbarhet. Centrala aspekter är striktare processisolering och omfattande mitigeringar mot sidokanalsattacker samt CPU-sårbarheter som Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed och Downfall. Dessutom är hardened usercopy, Stack Canaries och Kernel Address Space Layout Randomization (KASLR) aktiva. Det minskar möjligheten att utnyttja minnesfel, stabiliserar beteendet under drift och stärker grunden för Xstream-arkitekturen.

Remote Integrity Monitoring

Remote Integrity Monitoring i SFOS v22 kompletterar kernel-härdningen med kontinuerlig övervakning av systemintegriteten. Enkelt uttryckt kontrollerar funktionen i bakgrunden om något ändras på brandväggen som inte borde ändras. Den inbyggda Linux-sensorn för XDR registrerar säkerhetsrelevanta händelser på system- och tjänstenivå – till exempel om en okänd process startar, om konfigurationsfiler ändras eller regler exporteras, eller om kritiska filer manipuleras.

Denna information skickas till Sophos Central tillsammans med tid, användare och källa. Där kan de kopplas samman med andra data – till exempel från slutpunkter, e-postgateways eller identitetstjänster. Detta gör det möjligt för administratörer att upptäcka ovanligt beteende snabbare och reagera specifikt innan det blir ett större problem.

För en IT-administratörs vardag innebär detta: Om någon försöker ändra något på brandväggen obemärkt eller manipulera en fil, upptäcks och rapporteras detta. Funktionen hjälper alltså till att upptäcka tysta attacker eller felkonfigurationer tidigt utan att man ständigt måste kontrollera manuellt. Samtidigt stöder den Sophos i att centralt övervaka beteendet hos installerade brandväggar och därmed identifiera mönster eller potentiella säkerhetsproblem.

Active Threat Response (Threat Feeds för WAF och NAT)

Med feature request SFSW-I-2618 har ett länge efterfrågat beteende äntligen implementerats. Threat Feeds är dynamiska listor med kända skadliga IP-adresser som löpande uppdateras av Threat Intelligence-leverantörer som oss (Avanet Threat Feeds). De används för att proaktivt blockera attacker från internet innan de ens kommer i närheten av en tjänst.

Hittills användes dessa feeds dock uteslutande för att skydda Sophos-portaler. NAT- och WAF-regler förblev opåverkade – vilket ur ett praktiskt perspektiv såg mindre ut som en saknad funktion och mer som en bugg.

Med Sophos Firewall v22 har denna begränsning nu tagits bort. Threat Feeds tillämpas nu automatiskt även på NAT- och WAF-regler. Detta innebär: Så snart en anslutning från en IP-adress i en feed upptäcks, blockerar brandväggen den automatiskt – även för vidarebefordringar eller webbserverregler. Man behöver alltså inte längre underhålla separata regler eller lösningar.

Denna förändring är ett stort steg framåt eftersom Threat Feeds nu också skyddar produktiva tjänster som webbservrar och därmed direkt bidrar till attackdetektering och försvar. Brandväggen reagerar därmed i realtid på aktuella hot utan att manuell inblandning krävs. Det är en liten men tekniskt viktig detalj som tydligt höjer säkerhetsvärdet i Sophos Firewall v22.

NDR-förbättringar

För utgående trafik stöds matchning av käll-IP med NDR Essentials och externa feeds för att identifiera och blockera komprometterade, ohanterade enheter. NDR Essentials Threat Score visas direkt i loggarna. Dessutom kan man sedan SFOS v21.5 MR1 uttryckligen välja region för NDR Essentials Data Center. Som standard används regionen med lägst latens.

API Access-kontroll

Sophos Firewall v22 - API access settings
Sophos Firewall v22 - API access settings

Åtkomst till administrations-API:et kan begränsas till explicita IP-objekt. Upp till 64 poster möjliggör en tydlig separation mellan automation workers, management-nät och externa partneråtkomster. Under change windows kan listan tillfälligt utökas och därefter minskas igen. Rekommendation: tillåt endast åtkomst från dedikerade management-nät, aktivera loggning och granska åtkomsten regelbundet. Konfigurationen görs i SFOS v22 under Administration.

Firmware-uppdateringar via SSL med certificate pinning

SFOS v22 validerar uppdateringsservrar via SSL och certificate pinning. Det minskar risken för manipulerad uppdateringsinfrastruktur. I miljöer med strikta egress policies bör mål-FQDN:er läggas till i allowlists så att uppdateringar fungerar tillförlitligt.

HTTP/2 och TLS 1.3 för device access

Web Admin Console, VPN Portal och User Portal använder nu HTTP/2 och TLS 1.3. Dessa två teknologier säkerställer att anslutningar upprättas snabbare, körs stabilare och är bättre krypterade. Skillnaden märks särskilt vid inloggning och sidladdningar i Web Admin-gränssnittet, som reagerar märkbart snabbare.

HTTP/2 samlar flera förfrågningar i en anslutning, vilket minskar väntetiderna mellan klient och server. TLS 1.3 ger samtidigt modern kryptering med kortare handshake och högre säkerhet. I äldre nätverksmiljöer där gamla brandväggar eller proxysystem fortfarande används bör man kort kontrollera kompatibiliteten före aktivering.

Övervakning med sFlow och SNMP-hårdvaruvärden

sFlow möjliggör traffic sampling till centrala collectors för att upptäcka volymtoppar, oväntade flöden och anomalier i realtid. Standardvärdet för sampling rate är 400, minimum är 10. Upp till 5 collectors stöds. sFlow kan aktiveras på fysiska interface, alias och VLAN-interface. Obs: På monitoring-interface inaktiveras FastPath. Dessutom levererar SFOS v22 SNMP-hårdvarumätvärden som CPU- och NPU-temperatur, fläkthastigheter, nätaggregatsstatus från XGS 2100 och PoE-effektvärden för alla XGS-modeller med PoE, utom XGS 116(w). En MIB-fil kan laddas ner direkt i UI:t. Välj sampling- och pollingintervall så att centrala länkar förblir synliga utan att överbelasta collectorn.

Bättre användbarhet och sökfunktioner

Med SFOS v22 ska gränssnittet reagera betydligt snabbare. Vid byte mellan menyer och flikar behöver man inte längre vänta tills sidan laddats om helt.

I mina tester märktes ingen förbättring. Ändå är det glädjande att det arbetas på användargränssnittets hastighet. Det finns fortfarande stor potential här, särskilt när man sparar brandväggsregler eller laddar gränssnittsvyer, där det fortfarande finns märkbara fördröjningar.

XFRM-gränssnitt kan nu filtreras och sökas direkt i gränssnittet. Vid många poster delas de automatiskt upp i sidor, vilket avsevärt förbättrar översikten och hanteringen av stora IPsec-uppsättningar.

Även mindre förbättringar märks i vardagen: NTP-serverinställningarna är nu som standard inställda på “Use pre-defined NTP server”.

UTM-liknande funktioner i SFOS

För alla som ännu inte har bytt från SG UTM till SFOS tar version 22 med sig flera saknade funktioner. Hit hör MFA-stöd i WAF, moderna OTP-algoritmer som SHA-256 och SHA-512 samt Audit Trail-loggar med before/after-visning. Dessa utökningar stänger viktiga luckor jämfört med tidigare UTM och gör bytet betydligt enklare. Den som fortfarande tvekar med migreringen hittar nu nästan alla välbekanta funktioner i SFOS v22 – med modern teknik och bättre integration.

Audit Trail-loggar i detalj

Fas 1 registrerar varje ändring av brandväggsregler, objekt och interface. Loggarna kan laddas ner i menyn Diagnostics > Logs och visar tydligt exakt vad som ändrades – inklusive värdena före och efter justeringen. I framtida versioner kommer dessa ändringar att visas direkt i Log Viewer så att skillnader kan ses direkt utan export. Det förbättrar spårbarheten och sparar tid vid analys av ändringar.

Instant Web Category Alerts

Sophos Firewall v22 - Instant Web Category Alerts
Sophos Firewall v22 - Instant Web Category Alerts

Automatiska aviseringar kan konfigureras för begränsade webbkategorier. Dessa meddelanden informerar med korta intervall, till exempel var femte minut, om försök att komma åt blockerade webbplatser. Varje meddelande innehåller detaljer som tidpunkt, användare, kategori och anropad domän. Det ger mer transparens och underlättar uppföljning när otillåtna sidor besöks upprepade gånger. Särskilt i miljöer med tydliga riktlinjer, till exempel skolor eller organisationer med fasta internetregler, är funktionen användbar. Överträdelser dokumenteras automatiskt och kan följas upp vid behov.

Uppgradering till SFOS v22: vägar, tid och anmärkningar

SFOS v22 medför djupgående förändringar i systemarkitekturen. Därför kräver firmwaren något mer lagringsutrymme i root-partitionen. För de flesta enheter (cirka 98 procent) sker uppgraderingen automatiskt och utan ingrepp. Modeller från XGS 2100 och uppåt har redan tillräckligt med utrymme och uppdateras direkt.

För XGS Desktop-modeller och virtuella modeller med en mindre partition (1 GB) utökas utrymmet automatiskt under uppgraderingen. Därför tar processen lite längre tid, vanligtvis mellan två och tio minuter. Endast ett fåtal system – cirka tre procent – kräver manuell förberedelse, till exempel borttagning av gamla rapporter eller loggar för att frigöra tillräckligt med utrymme.

Enheter med äldre SSD-firmware måste först uppdatera den innan uppgraderingen till version 22 är möjlig. Mycket gamla virtuella installationer som fortfarande bygger på små hårddiskar eller äldre SFOS-versioner (före version 18) kräver ytterligare steg. I vissa fall krävs först en mellanliggande uppdatering till version 21 MR2 innan uppgraderingen lyckas. Om datadisken är för liten återstår bara ominstallation med en större disk.

Information om alla nödvändiga steg visas automatiskt i brandväggsgränssnittet via meddelanden i Control Center, via e-post och genom varningssymboler i Sophos Central. Dessa visar även en referenskod som länkar direkt till rätt Knowledge Base-artikel. Efter slutförd förberedelse försvinner varningen inom ungefär en timme. För diagnostik finns dessutom ytterligare CLI-kommandon.

Slutsats

Sophos Firewall v22 imponerar med en märkbart starkare säkerhetsbas, modulär struktur och stabilare drift. Health Check är ett genomtänkt verktyg som hjälper till att systematiskt kontrollera konfigurationer och följa bästa praxis. Det nya Control Plane säkerställer smidigare uppgraderingar och mer tillförlitlighet i pågående drift. Moderna protokoll och utökad telemetri gör analys och felsökning betydligt effektivare.

Vi gläds åt de tydliga framstegen i Sophos Firewall v22, men önskar fortfarande att Sophos arbetar vidare med kloning och gruppering av NAT-regler på samma sätt som för brandväggsregler. För cirka ett år sedan samlade och publicerade vi våra önskemål. Sedan dess har mycket förbättrats, men ur vår synvinkel saknas fortfarande några funktioner. Vi hoppas att de kommer i kommande versioner.

FAQ

När blir Sophos Firewall v22 tillgänglig som GA?

Early Access-fasen startade i oktober 2025. Som regel släpper Sophos GA-versionen några veckor efter EAP. Baserat på tidigare lanseringscykler kan GA-versionen förväntas i början av december 2025.

Vad är nya Health Check och vad används den till?

Health Check kontrollerar brandväggskonfigurationen för sårbarheter och avvikelser från bästa praxis. Den utvärderar inställningar som TLS-kryptering, lösenordskomplexitet, MFA, administratörsåtkomst eller uppdateringsstatus och visar dessa tydligt i instrumentpanelen. Målet är att upptäcka och åtgärda felkonfigurationer tidigt innan de blir säkerhetsproblem.

Vad har ändrats i Xstream Architecture?

Xstream Control Plane har byggts om helt. Centrala tjänster som IPS eller webbfilter körs nu isolerade från varandra. Detta ökar stabiliteten, eftersom en felaktig modul inte längre påverkar andra områden. Samtidigt skapar arkitekturen grunden för containertjänster, API-styrning och framtida skalfunktioner.

Varför är CPU-baserad bearbetning nu bättre än NPU-lösningen i den äldre XGS-serien?

Inte alla brandväggar har en dedikerad NPU. Den nya CPU-orienterade arkitekturen säkerställer konsekvent prestanda över alla plattformar – även i virtuella eller molninstallationer. Dessutom minskar borttagandet av NPU värmeutvecklingen och därmed ljudnivån, särskilt i mindre modeller.

Vilka fördelar ger den nya kerneln (version 6.6+)?

Den uppdaterade Linux-kerneln i Sophos Firewall v22 erbjuder förbättrade säkerhetsmekanismer mot attacker som Spectre, Meltdown och Retbleed. Den skyddar bättre mot minnesfel och stabiliserar driften genom ytterligare skyddsmekanismer som Stack Canaries och KASLR.

Vilka nyheter finns det för Threat Feeds?

Threat Feeds tillämpas nu även på NAT- och WAF-regler. Detta innebär att brandväggen automatiskt blockerar kända angripar-IP:er redan innan de når en intern tjänst. Denna funktion ökar skyddseffekten avsevärt, eftersom den inkluderar produktiva servrar och vidarebefordringar.

Hur fungerar uppgraderingen till SFOS v22?

För cirka 98 % av enheterna sker uppgraderingen automatiskt. System med en liten root-partition (1 GB) expanderar denna självständigt under processen, vilket kan ta några minuter längre. Endast äldre installationer eller enheter med föråldrad SSD-firmware kräver manuell förberedelse. Alla steg visas tydligt via GUI eller e-post.

Finns det nya övervakningsfunktioner?

Ja. Förutom SNMP-hårdvaruvärden (temperatur, fläktar, strömförsörjning, PoE) stöder Sophos Firewall v22 nu även sFlow för trafikanalys i realtid. Detta gör att ovanliga dataflöden eller belastningstoppar kan upptäckas omedelbart.

Ytterligare länkar

Källor

  1. Sophos Firewall OS v22 Key New Features
  2. Sophos Firewall v22 är nu tillgänglig i early access, Sophos News
  3. Sophos Firewall v22 EAP är nu tillgänglig, Sophos Community, 15.10.2025,
Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.