Förstå Sophos Firewall Base License
Sophos Firewall Base License är grunden för en Sophos Firewall. Den besvarar däremot bara grundfrågan: Är denna firewall-instans i grunden registrerad och tilldelad licensmässigt? Det är inte samma sak som en supportlicens, ett Security Bundle eller en enskild skydds-Subscription.
Just denna skillnad är viktig i drift. En firewall kan ha en synlig Base License och ändå vara begränsad när det gäller firmwareuppdateringar, support, RMA, Sophos Central Firewall Management eller vissa säkerhetsfunktioner. Den här guiden förklarar hur man ska bedöma Base License, var man kontrollerar den och vilka punkter som inte bör förbises före uppdateringar, renewals, HA-planering eller supportärenden.
Vilken licensartikel passar?
Licensfrågor låter ofta lika, men leder till olika beslut. Den här artikeln passar när man behöver bedöma en synlig Base Firewall i licensvyn och förstå vad den innebär för support, firmware, HA, Central och Security-Subscriptions.
För angränsande frågor passar andra guider bättre: modellval och prestandaklass hör hemma i Sophos Firewall Sizing Guide, bundle-beslut i artikeln om Sophos Firewall Bundles, isolerade firewalls i processen för Air-Gap-licensiering och Pattern-Updates, kontobyten i artikeln om Sophos Central-transfer och hårdvarufrågor i genomgången av XG, XGS, EOL och migrering.
Den här uppdelningen förhindrar det viktigaste felantagandet: En synlig Base License bevisar inte automatiskt aktiv support, passande Security-Subscriptions, giltig lifecycle eller korrekt account ownership. För drift, renewal och supportärenden bör serienummer, konto, supportstatus, bundle, utgångsdatum och plattform alltid kontrolleras tillsammans.
Vad Base License är
Base License identifierar och berättigar den grundläggande Sophos Firewall-installationen. Utan passande licens- och serienummertilldelning kan en appliance eller virtuell instans inte drivas och hanteras korrekt som ett produktivt Sophos Firewall-system.
Viktig avgränsning:
- Base License: grund för firewall-installationen och grundläggande berättigande.
- Enhanced Support / Enhanced Plus Support: support- och uppdateringsberättigande beroende på licensmodell.
- Security-Subscription: skyddsmoduler som Network, Web, Email, Zero-Day eller andra licensierade funktioner.
- Serienummer: firewallens entydiga identitet för licens, support, RMA och kontotilldelning.
Base License bör därför inte förstås som “allt är licensierat”. Den besvarar bara en del av licensfrågan.
Den viktigaste kontrollvägen i SFOS är Administration > Licensing. Där ser man registrering, appliance-modell, serienummer, Base Firewall, supportstatus, bundles, enskilda Subscriptions och utgångsdatum. På en online-ansluten firewall synkroniserar SFOS normalt licenserna automatiskt med Sophos Central. För en aktuell vy kan man köra Synchronize där innan man drar fel slutsatser från en gammal visning.
Snabb driftbedömning
I vardagen hjälper en enkel bedömning. Base License besvarar bara frågan om firewallen i grunden är tilldelad som Sophos Firewall-instans. Därefter kommer den egentliga driftfrågan: Finns rätt berättigande för det man vill göra just nu?
Om firewallen bara ska routa, använda enkla regler eller tillhandahålla VPN är Base License startpunkten. Så snart firmwareuppgraderingar, tillverkarsupport, RMA, IPS, Web Protection, Zero-Day Protection, WAF, Central Firewall Management eller längre rapportering blir viktiga måste man kontrollera respektive support-, bundle- eller Security-Subscription separat.
För HA-kluster räcker det inte heller att titta på en enda licensrad. Roller, serienummer, plattformstyp, Subscription-synkronisering och supportmodell avgör tillsammans om failover, RMA och central hantering fungerar rent i ett skarpt läge. För virtuella och mjukvarubaserade firewalls tillkommer CPU-core-licensiering, instanstilldelning och restore-scenario.
Den här korta bedömningen ersätter ingen licenskontroll, men förhindrar det vanligaste felet: Man ser en giltig Base License och antar att support, skyddsmoduler och uppdateringsrätt därmed också är klara.
Vad som ingår i Base License
I den officiella licensvyn kopplar Sophos Base License till grundfunktionerna Stateful Firewall, VPN, Wireless, High Availability och Firewall RED. För praktiken är det viktigt vad det betyder: Firewallen kan i grunden drivas som router, firewall och VPN-gateway, men utan ytterligare Security-Subscriptions saknas många skydds- och supportfunktioner.
Typiska funktioner i Base License:
- Stateful Firewall: firewall-regler, zoner, tjänster, hosts, NAT och grundläggande policystyrning. Regeln kan tillåta eller blockera trafik. Skyddsmoduler som IPS, Web Protection eller Zero-Day Protection är därmed ännu inte automatiskt licensierade.
- Routing och nätverk: interfaces, VLAN, statiska routes, SD-WAN-routes, DHCP, DNS och grundläggande nätverkstjänster. Firewallen kan fungera som central nätverksrouter. Säkerhetskontroll av trafiken beror på ytterligare moduler.
- VPN: Site-to-Site IPsec, Remote Access IPsec och SSL VPN. VPN-funktionalitet är i grunden möjlig. MFA, portalåtkomst, Device Access och loggning bör ändå planeras separat och ordentligt.
- Firewall RED: här avses RED-funktioner i firewallen, särskilt Site-to-Site RED mellan Sophos Firewalls. Det är inte samma sak som SD-RED Device Management eller SD-RED-tunnlar till SD-RED-enheter.
- Wireless: hantering av kompatibla Sophos Access Points via firewallen. Det är inte samma sak som modern Sophos Central Wireless-arkitektur. Många miljöer använder i dag andra WLAN-system.
- High Availability: HA-drift av Sophos Firewall. Licensiering och roller måste kontrolleras separat och ordentligt i HA-kluster, särskilt vid Active-Passive och Subscription-synkronisering.
- Lokala loggar och rapporter: lokala händelser, Log Viewer och enkla rapporter. För längre lagring, central sökning eller rapportering behövs beroende på mål Sophos Central Reporting, syslog eller SIEM.
Därmed är Base License framför allt den tekniska driftgrunden. Den gör en appliance eller instans till en användbar Sophos Firewall, men inte till ett fullständigt licensierat skyddspaket.
Vad som inte ingår i Base License
Mycket ofta uppstår frågan om man med Base License också får firmwareuppdateringar, support eller alla säkerhetsfunktioner. Just det är inte fallet.
- Firmwareuppgraderingar utan supportberättigande: Sophos tillåter tre fria firmwareuppgraderingar. Därefter behövs ett giltigt support- respektive bundle-berättigande. Base License ensam är därför ingen tillförlitlig uppdateringsstrategi.
- Tillverkarsupport via Sophos Case, chatt eller telefon: support är knuten till Enhanced Support, Enhanced Plus Support eller ett passande bundle.
- SD-RED och Network Protection: SD-RED Device Management och SD-RED-tunnlar till SD-RED-enheter bör inte planeras som Base License-funktioner. De kräver rätt Network Protection Subscription.
- IPS / Network Protection: Intrusion Prevention, Sophos X-Ops Threat Feeds och Security Heartbeat kräver också Network Protection.
- Web Protection och Application Control: webbfilter, Application Control och web malware-kontroll är inte en ren Base License-funktion.
- Zero-Day Protection: sandboxing, Machine Learning och Threat Intelligence kräver en motsvarande licens.
- Email Protection: anti-spam, antivirus, DLP, kryptering och skydd mot mail malware licensieras separat.
- Webserver Protection / WAF: Web Application Firewall är en egen skyddsfunktion och ingår inte i Base License.
- Sophos Central Firewall Management endast med Base License: den rena Base Firewall-licensen räcker inte för Central Firewall Management. För det krävs en aktiv betald Subscription utanför Base License eller ett aktivt supportavtal.
- Längre central rapportering: Central Firewall Reporting beror på licens, lagring och retentionstid.
Särskilt firmwareuppgraderingar är en vanlig fallgrop: En firewall kan visa en giltig Base License och ändå sakna tillräckligt berättigande för ytterligare planerade firmwareuppgraderingar. Bakgrunden beskrivs i blogginlägget Sophos Firewall Updates zukünftig nicht mehr kostenlos.
Hardware Appliance
För en XGS Hardware Appliance är Base License kopplad till hårdvaran respektive serienumret. Hardware appliances har i grunden Base Firewall som enhetsbas. Ändå beror den praktiska användbarheten på lifecycle, support, bundle, utgångsdatum och kontotilldelning.
Serienumret är särskilt viktigt i drift eftersom licensstatus, support, RMA, kontotilldelning och dokumentation hänger på det.
Kontrollera:
- Är firewallen registrerad i rätt Sophos-konto?
- Stämmer serienumret med beställning, licensunderlag och enhet?
- Finns en aktiv support- eller bundle-licens?
- Är de nödvändiga Security-Subscriptions aktiva?
- Är det klart vilka firmwareuppdateringar som fortfarande är möjliga?
- Är själva hårdvaran fortfarande inom supported lifecycle?
Serienumret finns direkt i SFOS-dashboarden. Processen beskrivs i Hitta serienummer för Sophos Firewall.
Virtuella och mjukvarubaserade firewalls
För virtuella, mjukvarubaserade och cloud-baserade Sophos Firewall-instanser beror licensieringen mer på den tilldelade instansen och serienumret. Till skillnad från hårdvara finns inget fysiskt appliance-serienummer på en enhetsetikett. Licens- och instanstilldelningen måste därför dokumenteras särskilt ordentligt.
Viktigt:
- Serienummer och licensfil hör till den konkreta instansen.
- Kontotilldelningen måste stämma före produktiv drift.
- CPU-core-licensiering, Base Firewall och support måste kontrolleras separat.
- Backups ersätter inte ordentlig licens- och serienummerdokumentation.
- Vid nyinstallation, restore eller migrering måste det vara klart vilken instans som använder vilken licens.
Sedan 2025 är CPU-core-licensiering särskilt relevant för virtuella och mjukvarubaserade Sophos Firewall-instanser; RAM är inte längre den tidigare licensgränsen. Detaljerna sätts in i sitt sammanhang i artikeln Sophos Firewall VM & SW - Nur CPU zählt - Kein RAM Limit mehr. För det grundläggande plattformsbeslutet passar Sophos Firewall: Hardware, virtuell eller Cloud?.
För HA är skillnaden viktig: Vid Active-Passive-HA behöver endast Primary-instansen Base Firewall och de övriga licenserna för virtuella och mjukvarubaserade firewalls. Vid Active-Active-HA behöver båda enheterna respektive instanserna egna passande licenser. För Hardware-HA gäller dessutom RMA- och supportdetaljer som inte kan härledas ur Base License ensam. För Sophos Central Firewall Management räcker dessutom ren licenssynkronisering inte; firewalls måste vara registrerade för Firewall Management och ha en passande betald Subscription eller supportlicens.
Vad man inte bör härleda ur Base License
Base License säger inte automatiskt att alla önskade funktioner kan användas produktivt, stöds eller är uppdateringsberättigade. Många missförstånd uppstår eftersom flera saker står bredvid varandra i licensvyn.
Härled inte ur Base License:
- att firmwareuppdateringar är möjliga permanent utan support,
- att alla skyddsmoduler är aktiva,
- att Web Protection, Mail Protection, Zero-Day Protection eller andra Security Modules är licensierade,
- att support eller RMA omfattas,
- att firewallen ligger i rätt konto,
- att HA-licensiering och Subscription-synkronisering är korrekt.
För firmwareuppdateringar är viktigt: Sophos införde redan med SFOS v19 MR1 ett supportkrav för framtida firmwareuppgraderingar. Kunder utan support har tre fria firmwareuppgraderingar; därefter krävs en giltig Support-Subscription. Avanet har satt denna ändring i sammanhang i Sophos Firewall Updates zukünftig nicht mehr kostenlos.
Dessutom är ändringen från 2025 relevant, där Sophos begränsar firewalls utan giltig supportlicens mer. Översikten finns i Sophos Firewall: Viktig ändring för kunder utan supportlicens.
Kontrollera licensstatus ordentligt
I den lokala WebAdmin Console kan man kontrollera licensstatus under Administration > Licensing. Där ser man bland annat serienummer, registrerade licenser, löptider och information om utgångna eller saknade Subscriptions. Poängen är inte bara om det någonstans står Base Firewall. Avgörande är om de visade licenserna passar den planerade åtgärden.
Kontrollera:
- Logga in på Sophos Firewall.
- Öppna Administration > Licensing.
- Dokumentera serienummer och modell.
- Kontrollera Base Firewall / Base License.
- Kontrollera support- och Security-Subscriptions.
- Bedöm statusvärden som
Subscribed,Evaluating,Not subscribedellerExpired. - Dokumentera utgångsdatum och varningsmeddelanden.
- Kör vid behov Synchronize för att hämta aktuell status från Sophos Central.
- Aktivera vid behov licensnyckel eller Subscription.
Den praktiska processen för att aktivera en licensnyckel finns i Aktivera Sophos Firewall-licensnyckel.
Dokumentera licens- och supportstatus
Vid licens-, support- och renewal-frågor räcker en skärmbild av Base License sällan. För drift, supportärenden, RMA, restore eller account transfer bör en liten licensdatapost underhållas per firewall.
- Serienummer: kopplar licens, enhet, support, RMA och kontotilldelning.
- Modell och plattform: skiljer mellan XGS-hårdvara, virtuell firewall, Software Appliance eller Cloud Deployment.
- Sophos Account / Central Tenant: förhindrar felaktig licensaktivering eller problem vid account transfer.
- Base License Status: visar om firewallen i grunden är korrekt tilldelad.
- Support / Bundle: avgör update-, support- och renewal-frågor.
- Security-Subscriptions: visar vilka skyddsmoduler som faktiskt kan användas.
- Utgångsdatum: viktigt för renewal, budget och planerade firmwareuppgraderingar.
- Backup och Secure Storage Master Key: viktigt för restore, migrering och supportärenden.
Denna dokumentation bör inte skapas först när ett fel inträffar. Om en firewall överförs till ett annat konto passar Överför Sophos Firewall till ett annat Sophos Central-konto. Om restore, hårdvarubyte eller reimage är aktuellt bör man dessutom kontrollera artikeln Skapa eller återställ Sophos Firewall-backup.
Base License utgångsdatum

I licensvyn kan Base Firewall visas med ett utgångsdatum mycket långt fram i tiden. Det bör man inte förväxla med obegränsad support eller obegränsad uppdateringsrätt.
I praktiken betyder det:
- Base License kan fortsätta vara synlig långsiktigt som firewallens grund.
- Hårdvara, plattform och firmware har ändå egna lifecycle-gränser.
- Ytterligare firmwareuppgraderingar kan kräva giltigt supportberättigande.
- Säkerhetsfunktioner beror på aktiva Subscriptions.
- Support, RMA och renewal måste kontrolleras separat.
För cloud-, virtuella och mjukvarubaserade firewalls löper Base Firewall enligt Sophos uppgifter inte ut som en normal skydds-Subscription. För hardware appliances är Base Firewall-statusen däremot kopplad till hårdvarans lifecycle. Därför bör ett avlägset utgångsdatum aldrig bedömas isolerat: modell, EOL-status, SFOS-version, support och Security-Subscriptions hör alltid till samma kontroll.
När Base Firewall faktiskt löper ut
En utgången Base Firewall-status är ingen kosmetisk licensnotis. Konfigurationen förblir visserligen synlig och kan delvis fortfarande redigeras, men enforcement ändras kraftigt.
Sophos beskriver bland annat detta beteende för en utgången Base Firewall: firewall-regler behandlas inte längre, vissa LAN/DMZ-till-WAN- eller interna trafikflöden tillåts som på en enkel router, annan trafik förblir blockerad, VPN-tunnlar kan visserligen fortsätta existera men inte längre transportera nyttotrafik, och NAT-regler, Site-to-Site-RED-tunnlar, Remote Access Points samt Wireless Networks fungerar inte längre som avsett. Just därför bör man inte vänta till nästa renewal-samtal med att titta på en Base Firewall-varning.
Viktig avgränsning: En utgången säkerhetsmodul är inte samma sak som en utgången Base Firewall. Om exempelvis Web Protection, Zero-Day Protection eller Webserver Protection löper ut blir firewallen inte automatiskt utan all grundfunktionalitet, men den berörda skydds- eller enforcement-funktionen faller bort eller fungerar bara begränsat. Felsökningen börjar därför alltid med frågan vilken licens som faktiskt har löpt ut.
För admins betyder det praktiskt:
- Kontrollera licensstatus under Administration > Licensing.
- Kontrollera serienummer, Sophos Central-konto och kontotilldelning.
- Kontrollera om det handlar om ett normalt online sync-problem, ett Air-Gap-ämne, ett HA-problem eller en faktisk licensutgång.
- Starta support-, renewal- eller partnerprocessen direkt för produktiva system.
Om en firewall drivs isolerat passar inte den normala 24-timmars-synken som måttstock. Då hör Air-Gap-processen med licensfil, manuell uppladdning och Pattern-rutin till driftansvaret.
Vad som bör kontrolleras före updates och renewals
Före firmwareuppdateringar, renewal-samtal eller migreringar bör man inte bara titta ytligt på licensstatus. Bättre är en kort driftkontroll.
Först dokumenteras serienummer, modell, plattform, Sophos-konto och Base License. Därefter kontrollerar man support- eller bundle-licens, nödvändiga Security-Subscriptions, utgångsdatum och varningsmeddelanden. För HA-kluster hör båda noderna, rollerna och licenssynkroniseringen till kontrollen; för virtuella firewalls dessutom CPU-cores, instanstilldelning och restore-scenario.
Före en firmwareuppgradering bör man inte lita på att en synlig Base Firewall-post räcker. En rimlig kombination är aktuell backup, kontrollerad supportstatus, känd målversion, servicefönster och en kort fallback-plan. De fria firmwareuppgraderingarna utan support är som mest en övergångssituation, men ingen ren driftstrategi.
För större uppdateringar hjälper dessutom Kontrollera Sophos Firewall före SFOS 22-upgrade. För HA-miljöer är Konfigurera Sophos Firewall High Availability (HA) relevant eftersom licensiering och roller i klustret måste dokumenteras ordentligt.
Vanliga fel
Förväxla Base License med support
En synlig Base License betyder inte automatiskt att support och firmwareuppgraderingar omfattas. Supportstatus måste kontrolleras separat.
Inte kontrollera säkerhetsmoduler
Om en funktion inte fungerar eller inte går att konfigurera bör man inte bara titta på Base License. Avgörande är om rätt Subscription är aktiv och om funktionen också har konfigurerats.
Använda fel serienummer
Vid flera firewalls, HA-kluster, virtuella instanser eller account transfers uppstår snabbt förväxlingar. Serienummer, konto och licensunderlag måste passa ihop.
Dokumentera virtuell firewall ofullständigt
För virtuella firewalls bör man dokumentera licens, serienummer, instansnamn, hypervisor, CPU-cores, backup och ansvarigt konto tillsammans. Annars blir ett restore- eller supportärende onödigt svårt.