Driva Sophos Firewall Air-Gap-licensiering och mönsteruppdateringar

En Sophos Firewall kan drivas i särskilt avskilda miljöer utan direkt internetåtkomst. Detta är inte ett normalt offline-läge, utan en medvetet planerad Air-Gap-drift med egen licenslogik, manuell synkronisering och separat uppdateringsprocess för mönster.

Det viktigaste: Air Gap är inte ett sätt att enkelt driva en brandvägg “utan internet” vid sidan av. Man behöver i förväg ett lämpligt godkännande, en registrerad hårdvarubrandvägg, en tydlig uppdateringsprocess och regelbunden kontroll av licens- och mönsterstatus. Annars kan brandväggen fortsätta fungera, men skyddsfunktioner förlorar sin aktualitet eller prenumerationer inaktiveras.

För den allmänna licenslogiken passar först Förstå Sophos Firewall Base License. Denna artikel fokuserar på specialfallet Air Gap.

När Air Gap är lämpligt

Air Gap passar endast för miljöer där brandväggen medvetet drivs utan internetanslutning. Typiska exempel är starkt reglerade nätverk, forskningsmiljöer, försvarsmiljöer, produktionssegment eller andra zoner där direkta moln- eller uppdateringsanslutningar inte är tillåtna.

Innan beslutet bör man skilja på tre frågor:

Fråga	Varför viktigt?
Får brandväggen verkligen inte ha internetåtkomst?	Om kontrollerad internetåtkomst är möjlig är normal licens- och mönstersynkronisering oftast enklare och säkrare.
Vem ansvarar för den manuella uppdateringsprocessen?	Air Gap skapar driftsarbete. Licensfiler och mönster måste medvetet underhållas.
Vilka funktioner försvinner eller blir svagare?	Vissa funktioner kräver onlinetjänster, rykte, Sophos Central eller extern upplösning.

Air Gap ökar inte automatiskt säkerheten. Det minskar en viss anslutningsyta, men flyttar ansvaret till processer: nedladdning, kontroll, överföring, uppladdning, dokumentation och övervakning.

Förutsättningar

Innan installationen bör man klargöra dessa punkter:

Brandväggen måste vara registrerad som en Air-Gap-brandvägg i Sophos Central.
Användningen av Air Gap måste godkännas av Sophos Account Manager.
Enligt Sophos är Air Gap avsett för hårdvarubrandväggar.
Miljön får inte bara vara tillfälligt offline, utan måste planeras som en isolerad miljö.
Brandväggen får inte drivas med MSP-Flex-licensiering i en olämplig modell.
Det behövs administratörsåtkomst till CLI och WebAdmin.
Det behövs en säker metod för att överföra licens- och mönsterfiler till den isolerade miljön.

Innan genomförandet bör man dokumentera serienummer, modell, Sophos Central-konto, licensstatus och ansvarig person. För serienummer och licensgrunder hjälper Aktivera Sophos Firewall-licensnyckel och Hitta serienummer för Sophos Firewall.

Översikt över processen

Air-Gap-processen består av flera separata steg. Om något av dessa saknas är brandväggen inte korrekt i Air-Gap-drift.

Steg	Plats	Resultat
Registrera brandvägg	Sophos Central	Brandväggen är tilldelad rätt konto
Klargöra Air-Gap-godkännande	Sophos Account Manager	Air-Gap-behörighet finns
Ladda ner Air-Gap-licens	Sophos Central	Licensfil finns tillgänglig
Aktivera Air Gap på brandväggen	CLI Device Console	Manuell licenssynkronisering blir synlig
Ladda upp licensfil	`Administration > Licensing`	Licensstatus uppdateras lokalt
Tillämpa mönsteruppdateringar	`Backup & firmware > Pattern updates`	Skyddsmönster uppdateras
Övervaka process och loggar	WebAdmin, Alerts, `licensing.log`	Inaktivering eller föråldrade mönster upptäcks tidigt

Ordningen är viktig. En licensfil räcker inte om Air Gap inte har aktiverats på brandväggen. Omvänt är CLI-kommandot värdelöst om ingen giltig Air-Gap-licensfil från rätt konto finns.

Ladda ner Air-Gap-licens

Licensfilen laddas ner i Sophos Central. Den typiska sökvägen är:

Sophos Central > Profilmeny > Licensing > Firewall licenses > Download airgap license

Licensfilen bör hanteras kontrollerat efter nedladdning och hör inte hemma i privata nedladdningar, meddelandetjänster eller oklara urklipp. En kort intern bekräftelse är lämplig:

Nedladdningsdatum
Sophos Central-konto
Berörd brandvägg eller brandväggsgrupp
Serienummer
Ansvarig person
Planerad uppladdningstidpunkt

Sophos anger att en nedladdad Air-Gap-licens måste tillämpas inom 30 dagar. Om filen används för sent bör en ny fil laddas ner.

Aktivera Air Gap på brandväggen

För att den manuella licenssynkroniseringen ska bli synlig i WebAdmin måste Air Gap aktiveras på brandväggen via CLI.

Förfarande:

Logga in på brandväggskonsolen eller via SSH.
Välj 4 för Device Console i Sophos-konsolen.
Kör kommandot:

system airgap enable

Därefter bör området Manual license synchronization vara synligt under Administration > Licensing.

Detta steg bör dokumenteras. I produktionsmiljöer hör det till samma ändring som uppladdningen av licensfilen, så att det senare är klart när Air Gap aktiverades och vilken licensfil som hörde till.

Ladda upp Air-Gap-licens

Efter aktivering laddas licensfilen upp i WebAdmin.

Förfarande:

Logga in på WebAdmin Console.
Öppna Administration > Licensing.
Välj Choose file i området Manual license synchronization.
Välj Air-Gap-licensfilen.
Tillämpa med Update license.
Kontrollera licensstatus och utgångsdatum.

Efter uppladdningen bör man kontrollera om de förväntade prenumerationerna är aktiva. En lyckad licenssynkronisering ersätter inte en funktionskontroll. Om Web Protection, IPS, Zero-Day Protection eller andra moduler används måste policy, mönsterstatus, loggning och tester stämma separat.

HA-kluster: Observera Initial Primary

Vid Active-Passive-HA är Air-Gap-licensiering särskilt känslig. Licensfilen bör endast laddas upp på Initial Primary. Denna enhet måste också vara den aktuella Primary vid uppladdningen.

Om licensen laddas upp på fel nod kan licensskillnader eller oväntat HA-beteende uppstå. För driften är det därför lämpligt:

Kontrollera System services > High availability före uppladdning.
Dokumentera Initial Primary och aktuell roll.
Sätt Initial Primary som Preferred primary device.
Ladda upp licensfilen på rätt Primary.
Kontrollera därefter HA-status och licensstatus.

För HA-grunder och rolllogik passar Ställ in Sophos Firewall High Availability. Vid Air Gap är detta förarbete inte valfritt, eftersom fel nod senare kan orsaka svårförståeliga licens- eller failover-symptom.

Tillämpa mönsteruppdateringar manuellt

Utan automatiska onlineuppdateringar måste mönster medvetet underhållas. Detta gäller signaturer, motorer, klienter och andra uppdateringskomponenter. I Air-Gap-miljöer laddas en mönsterfil ner och laddas upp i WebAdmin.

För SFOS 22.0 och senare hänvisar Sophos till Air-Gap-mönsterfilen:

https://airgap.u2d.sophos.com/sfos_pattern_updates_v2.tar

Förfarande:

Ladda ner mönsterfilen på ett avsett system.
Ta filen till den isolerade miljön via den godkända överföringsvägen.
Logga in på brandväggen.
Öppna Backup & firmware > Pattern updates > Manual pattern update.
Välj Choose file.
Ladda upp mönsterfilen.
Bekräfta uppladdningen och kontrollera uppdateringsstatus.

I HA-miljöer laddas mönster upp på Primary och synkroniseras sedan till Auxiliary. Därför bör även här HA-status kontrolleras först.

Kontrollera mönsterstatus

En Air-Gap-drift är bara så bra som rutinen bakom den. Nya mönster är regelbundet tillgängliga. Om brandväggen inte uppdateras på länge minskar värdet av IPS, Antivirus, Application Signatures och andra skyddsfunktioner.

Praktisk kontroll:

Kontroll	Plats
Aktuella mönsterversioner	`Backup & firmware > Pattern updates`
Senaste lyckade uppdatering	`Backup & firmware > Pattern updates`
Uppdateringsstatus	Ready to install, Downloading, Success eller Failed
Licensstatus	`Administration > Licensing`
Licens- och inaktiveringsmeddelanden	`licensing.log`

För en allmän driftskontroll passar även Använd Sophos Firewall Health Check korrekt. Där bör Air Gap inte förstås som ett undantag från uppdateringshygien, utan som en specialprocess för samma skyldighet: hålla skyddsfunktioner aktuella.

Licensutgång och Incommunicado-fönster

Vid normal licenssynkronisering är 90 dagar utan lyckad synkronisering kritiskt. För Air-Gap-licenser gäller ett längre fönster på 180 dagar. Därefter inaktiveras säkerhetsprenumerationer; Base Firewall och Enhanced Support förblir aktiva.

För driften innebär detta:

Senast från dag 160 bör en ny Air-Gap-licensfil förberedas.
Senast vid varningsmeddelanden måste uppladdningen planeras.
Efter 180 dagar utan ny Air-Gap-licens hotar inaktivering av skyddsprenumerationer.
Trafiken kan fortsätta, men utan de berörda skyddsfunktionerna.
Tillståndet bör kontrolleras via WebAdmin, Alerts och licensing.log.

licensing.log är särskilt viktigt vid licensproblem. En översikt över relevanta brandväggsloggar finns i Felsökning av Sophos Firewall: Tjänster och loggar.

Vad som är begränsat i Air-Gap-miljöer

Air Gap innebär att onlinetjänster inte fungerar som i en normalt ansluten brandvägg. Vissa funktioner stöds inte alls, andra förlorar en del av sin effekt.

Typiska begränsningar:

Område	Begränsning
Sophos Central Management	central hantering och Synchronized Security är inte användbara som i online-miljöer
Dynamic DNS	kräver internetanslutning
Extern NTP	fungerar endast om en tillgänglig intern tidsserver finns
FQDN	meningsfullt endast med intern DNS-upplösning
RED Online Provisioning	kräver online-provisionering
Web och URL-kategorisering	utan onlinetjänster endast begränsat med lokalt tillgängliga kategorier och signaturer
Zero-Day Protection	kräver molnanslutning och passar inte till klassisk Air Gap
Support Access	fjärrsupportåtkomst är inte tillgänglig i isolerade nätverk

Denna punkt underskattas ofta i projekt. En Air-Gap-brandvägg kan inte leverera samma molnbaserade skyddseffekt som en normalt ansluten brandvägg. Därför bör det beslutas före designen vilka skyddsfunktioner som är absolut nödvändiga och hur de saknade onlinetjänsterna ska kompenseras: interna DNS- och NTP-servrar, manuell mönsterrutin, Syslog, lokal dokumentation och tydlig supportprocess.

Fastställ driftrutin

För Air Gap behövs en fast rutin. Annars blir licens- och mönsteruppdateringar först märkbara när en varning visas eller en skyddsmodul inte längre är aktuell.

Lämplig rutin:

Intervall	Uppgift
Veckovis eller enligt internt riskbedömning	Kontrollera, ladda ner och tillämpa mönsterfil
Månadsvis	Dokumentera mönsterstatus, licensstatus, HA-status och varningar
Senast från dag 160	förbered ny Air-Gap-licensfil från Sophos Central
Efter varje uppladdning	Kontrollera licensstatus, mönsterstatus, relevanta skyddsmoduler och HA-synkronisering
Vid varje firmwarefönster	Planera Air-Gap-process, backup, mönster och återställning tillsammans

Firmwareuppdateringar förblir en egen process. För genomförandet passar Utför Sophos Firewall Firmware Update, för backup och återställning Skapa eller återställ Sophos Firewall Backup.

Vanliga fel

Klargöra Air Gap först efter installationen

Air Gap bör klargöras före inköp och installation. Om brandväggen redan körs produktivt isolerad, men inget lämpligt Air-Gap-godkännande eller licensfil finns, uppstår onödig press.

Behandla mönsteruppdateringar som valfria

Mönsteruppdateringar är inte mindre viktiga i Air-Gap-miljöer, utan mer arbetskrävande. Utan rutin blir skyddsfunktioner tysta föråldrade.

Ignorera HA-roll före licensuppladdning

Vid Active-Passive-HA måste Initial Primary vara den rätta aktuella Primary. Annars kan licensstatus bli oklar efter failover eller uppladdning.

Förutsätta molnfunktioner

Zero-Day Protection, Sophos Central Management, Online-Reputation, RED Online Provisioning eller Support Access bör inte tyst planeras in i Air-Gap-designs.

Hantera licensvarningar för sent

Air-Gap-licenser har visserligen ett 180-dagarsfönster, men processen bör inte börja sista dagen. Nedladdning, överföring, ändringsgodkännande och uppladdning tar tid.

Checklista

Air-Gap-godkännande klargjort med Sophos.
Brandvägg registrerad i rätt Sophos Central-konto.
Serienummer, modell och licensstatus dokumenterade.
Säker filöverföring till den isolerade miljön definierad.
system airgap enable utfört och dokumenterat.
Air-Gap-licens uppladdad under Administration > Licensing.
Vid HA: Initial Primary, aktuell Primary och Preferred Primary kontrollerade.
Mönsterfil nedladdad och tillämpad under Backup & firmware > Pattern updates.
Licensstatus, mönsterstatus och licensing.log kontrollerade.
Driftrutin för mönster, licensfil, HA-status och firmwarefönster fastställd.

FAQ

Vad är Sophos Firewall Air Gap?

Air Gap är en driftsmodell för isolerade Sophos-brandväggsmiljöer utan direkt internetåtkomst. Licensiering och mönsteruppdateringar underhålls manuellt eller via en separat Air-Gap-process.

Hur aktiverar man Air Gap på Sophos Firewall?

Man aktiverar Air Gap i Device Console med system airgap enable. Därefter visas området för manuell licenssynkronisering under Administration > Licensing.

Hur länge är en Air-Gap-licens giltig?

För Air-Gap-licenser gäller ett 180-dagarsfönster utan ny synkronisering. Därefter inaktiveras säkerhetsprenumerationer, medan Base Firewall och Enhanced Support förblir aktiva.

Måste man uppdatera mönster manuellt i Air-Gap-miljöer?

Ja, om ingen automatiserad Air-Gap-uppdateringslösning är inrättad. För SFOS 22.0 och senare laddas mönsterfilen ner och laddas upp under Backup & firmware > Pattern updates > Manual pattern update.

Vad är viktigt vid Air Gap och HA?

Vid Active-Passive-HA bör Air-Gap-licensen laddas upp på Initial Primary medan denna enhet också är aktuell Primary. Initial Primary bör sättas som Preferred Primary.

Fungerar alla Sophos-brandväggsfunktioner i Air-Gap-drift?

Nej. Funktioner med beroende av moln, online-rykte, Central eller fjärrsupport är inte eller endast begränsat användbara. Detta måste kontrolleras före designen.