trueNetLab ⚡️
Sophos Firewall v22 MR1: الترقية الآن أم الانتظار؟

Sophos Firewall v22 MR1: الترقية الآن أم الانتظار؟

7 min read
Network Sophos Security

جدول المحتويات

مع Sophos Firewall v22 MR1، صدر أخيرًا في 20 أبريل 2026 أول Maintenance Release لسلسلة v22. وبصراحة، هذا هو الإصدار الذي كان كثير من مسؤولي الأنظمة ينتظرونه.

منذ البداية بدا v22 طموحًا تقنيًا. Secure by Design، وHealth Check، وأساس أقوى للـ control plane، ونواة أكثر صلابة، وعمق أكبر في التدقيق. على الورق بدا ذلك جيدًا. لكن في الواقع، كانت البداية متعثرة. وقد كتبت عن هذه المرحلة سابقًا هنا: مقالتي السابقة عن أخطاء Sophos Firewall من v21.5 إلى v22 .

ولهذا السبب، MR1 ليس مجرد “الإصدار التالي”. بل هو النقطة التي تبدأ عندها فرق كثيرة بطرح السؤال العملي: هل أصبح v22 الآن مرشحًا جديًا للترقية في البيئات الإنتاجية؟

إجابتي القصيرة هي: نعم لبعض البيئات. لكن ليس بشكل أعمى وبدون اختبار.

أهم النقاط بسرعة

  • v22 MR1 هو Build 490 ويعالج عددًا كبيرًا من المشاكل الواقعية التي بقيت في v22 GA وفي إعادة الإصدار Build 411.
  • أكثر الإصلاحات أهمية تتعلق بـ policy-based IPsec وbridge routing بعد الترقية واستقرار HA وحالات PPPoE الطرفية وWAF وSSL VPN وبعض مشاكل المصادقة.
  • في الوقت نفسه، ما زالت هناك تحذيرات واضحة قبل الترقية: legacy remote access IPsec انتهى دعمه، وفحص مساحة القرص ما زال مهمًا، وأجهزة XG/SG ما زالت غير مدعومة.
  • إذا كنت أصلًا على v22 وتتعامل مع مشاكل ملموسة، فـ MR1 يستحق اهتمامًا جديًا.
  • إذا كنت مستقرًا على 21.5، فأنا ما زلت أرى أن الاختبار الجيد أهم من الضغط على زر الترقية في اليوم الأول.

لماذا MR1 مهم إلى هذه الدرجة

عندما يطرح المورّد إصدارًا رئيسيًا، ثم إعادة إصدار، وبعدها بسرعة أول Maintenance Release، فهذا يقول الكثير غالبًا. وهذا بالضبط ما حدث مع Sophos.

الإصدار الأصلي v22 GA Build 365 تم استبداله في يناير 2026 بإعادة الإصدار GA Build 411. وهناك أصلحت Sophos بالفعل بعض المشاكل المزعجة، مثل الوصول إلى WebAdmin عبر bridge، ومشاكل DNAT مع outbound interfaces محددة، وضوضاء سجلات CLI برسالة Invalid rule id or family for update، ومشاكل SNMP، ومشاكل أداة Policy Test. كان ذلك مهمًا، لكنه لم يكن كافيًا ليجعل السلسلة تبدو مستقرة.

MR1 يبدو أقرب إلى الإصدار الذي كان كثيرون يتوقعونه أصلًا من v22: أقل تسويقًا، وأكثر تنظيفًا تشغيليًا حقيقيًا.

ما الذي يتحسن فعليًا في v22 MR1

قيمة MR1 لا تكمن في ميزة دعائية واحدة كبيرة، بل في إزالة الاحتكاك من عدة أماكن مهمة في آن واحد.

policy-based IPsec حصل أخيرًا على اهتمام حقيقي

كل من استخدم policy-based IPsec على v22 GA كانت لديه فرصة جيدة لمواجهة مشاكل. في release notes الرسمية، تذكر Sophos عدة إصلاحات في هذا المجال تحديدًا. من الأمثلة: أن يظهر الـ tunnel على أنه up بينما لا يمر الترافيك، أو أن تعرض أدوات التشخيص interfaces خاطئة، أو أن يحصل الترافيك عبر MPLS على SNAT IP خاطئ، أو أن يتوقف الوصول إلى WebAdmin لفروع بعيدة بعد الترقية عبر policy-based IPsec.

وهذا بالنسبة لي هو أهم جزء في MR1. لأن مشاكل VPN ليست أبدًا مجرد “تفصيل”. ما إن تعتمد عليها فروع أو site-to-site أو مسارات SD-WAN، حتى يتحول bug في الـ firmware إلى مشكلة تشغيلية حقيقية.

bridge وrouting وfirewall أصبحت أكثر استقرارًا

MR1 يعالج أيضًا عدة مشاكل تؤلم فورًا في الشبكات الحقيقية. Sophos تذكر مثلًا:

  • عدم القدرة على الوصول بين subnets عبر bridge interfaces بعد الترقية إلى v22 GA
  • مشاكل ping عبر backup WAN من التشخيص
  • تغييرات غير متوقعة في حالة HA يتبعها restarts
  • مشاكل مرتبطة بـ PPPoE في Policy Test
  • مشاكل عند تصدير firewall rules

على الورق تبدو هذه كأنها مجموعة bugs صغيرة. لكن عمليًا، هي بالضبط نوع المشاكل الذي يجعل نافذة التغيير أغلى وأكثر توترًا من اللازم.

WAF وSSL VPN والمصادقة استفادت أيضًا

MR1 يجلب إصلاحات في مجالات ليست اختيارية تقريبًا في البيئات الحقيقية. من بين ما ذكرته Sophos:

  • تعطيل CAPTCHA لمنطقة VPN لم يكن يعمل بشكل صحيح لمستخدمي SSL VPN في v22 GA
  • Azure AD SSO لبوابة المستخدم كان يعيد التوجيه إلى صفحة 404
  • مشاكل متعلقة بشهادات OAuth وAPI/MFA
  • restarts دورية لخدمة SSL VPN في بعض السيناريوهات
  • مشاكل في تنزيل إعدادات mobile IPsec بسبب صلاحيات شهادات خاطئة

إذا كان لديك مستخدمون خارجيون أو VPN clients أو تطبيقات منشورة عبر WAF، فـ MR1 يزيل هنا أيضًا عدة عقبات تشغيلية.

HA وstorage ما زالا ملفين مهمين

وأرى أيضًا أن من المهم أن Sophos تواصل العمل على الاستقرار العام في دورة MR1. هناك إصلاحات تخص HA بعد انقطاع الكهرباء، وتسجيل HA داخل Sophos Central، وترافيك النظام عبر dedicated links، وفشل الترقية على الأجهزة passive، والحمولة العالية الناتجة عن logging ومشاكل الأقراص.

هذا ليس marketing جذابًا. ولهذا بالضبط هو مهم.

ما الذي لا يحله MR1

مع ذلك، لا أريد أن أبيع قصة رومانسية تقول إن كل شيء أصبح أخضر فجأة. هذا لم يحدث. فما زال هناك عدد من النقاط التي يجب فحصها بوعي قبل الترقية.

legacy remote access IPsec أصبح blocker حقيقيًا

هذا على الأرجح أهم تحذير قبل الترقية في release notes الحالية. Sophos تذكر صراحة أن النسخة القديمة من remote access IPsec لم تعد مدعومة في SFOS 22.0 MR1. والأهم من ذلك: أي firewall ما زالت تحتوي هذا الإعداد legacy لا يمكن ترقيتها إلى MR1.

إذا كنت ما زلت تحمل إعدادات remote access قديمة مع third-party clients، فلا تمر عليها بسرعة. افحصها فعلًا. وإلا فإن “سننفذ MR الليلة بسرعة” قد تتحول إلى نافذة صيانة أطول من اللازم.

مساحة القرص وتوسيع root ما زالا مهمين

الموضوع الثاني المعروف في v22 ما زال قائمًا أيضًا: الحاجة إلى مساحة إضافية. ما زالت Sophos تشير إلى أن SFOS 22.0 والإصدارات الأحدث تحتاج مساحة أكبر، وأن بعض الأجهزة أو البيئات الافتراضية أو البرمجية قد تتطلب تحضيرًا يدويًا قبل الترقية.

وحتى إذا كانت المساحة متوفرة، فقد تستغرق الترقية وقتًا أطول لأن root partition يتم توسيعها. وبحسب Sophos، قد يضيف ذلك من دقيقتين إلى عشر دقائق. في مكتب صغير قد تكون هذه مجرد ملاحظة. أما في HA production أو في maintenance windows ضيقة، فهي تفصيل تخطيطي مهم.

XG وSG ما زالا خارج اللعبة

هذا ليس جديدًا، لكنه ما زال يحتاج إلى تكرار. SFOS 22.0 GA وما بعده، بما في ذلك MR1، لا يدعم أجهزة XG وSG بعد الآن. إذا كان لديك أجهزة قديمة في labs أو remote sites، فلا تريد اكتشاف ذلك أثناء نافذة الترقية الفعلية.

policy-based IPsec ما زالت تحتاج حذرًا

وبالتحديد لأن MR1 يصلح عدة مشاكل في policy-based IPsec، فأنا أرى ذلك أيضًا سببًا للحذر. إذا كنت تستخدم عبر هذه الـ tunnels مسارات إنتاجية خاصة أو MPLS أو branch routing أو third-party peers أو حتى admin access، فاختبر MR1 هناك بشكل مقصود.

مجرد أن يكون الـ tunnel أخضر لا يكفي. المهم هو: هل يعمل الترافيك الحقيقي، والـ return path، وسلوك SNAT، والتشخيص، والوصول إلى الـ GUI، والـ failover كما تتوقع؟

تقييمي العملي

إذا اختصرت السؤال الذي تطرحه فرق كثيرة الآن، فهو هذا:

هل v22 MR1 هو أول مرشح ترقية منطقي للفرق التي تجاهلت v22 عمدًا بسبب مشاكل GA وBuild 411؟

إجابتي: نعم، في كثير من الحالات.

ليس لأن Sophos أصبحت فجأة بلا أخطاء. بل لأن MR1 ينظف الآن بشكل واضح تلك الجوانب من v22 التي أزعجت العمل اليومي: bridge وIPsec وHA وauth وWAF وSSL VPN وlogging وبعض زوايا الـ UI والrouting. وهذه درجة مختلفة عن Maintenance Release تجميلي.

ومع ذلك، سأفصل بوضوح بين مجموعتين.

من الأفضل أن يفكر في الترقية

  • الفرق الموجودة أصلًا على v22 Build 411 وتعاني من bugs ملموسة
  • البيئات التي تنتظر ميزات محددة في v22 لكنها تأخرت بسبب عدم الاستقرار المبكر
  • المدراء الذين يحتاجون سلوكًا أفضل في policy-based IPsec أو في بعض سيناريوهات المصادقة والبوابات

من الأفضل أن يبقى في المختبر أولًا

  • تثبيتات 21.5 المستقرة من دون ضغط ميزات فوري
  • البيئات التي ما زالت تستخدم legacy remote access IPsec
  • الإعدادات الحساسة التي تعتمد على WAF أو MFA أو SSO
  • عناقيد HA التي كان لديها تاريخ سيئ مع تحديثات الـ firmware

ما الذي سأفحصه قبل الترقية

قبل نشر MR1 في الإنتاج، سأراجع هذه النقاط:

  • التأكد من عدم وجود legacy remote access IPsec في الإعداد الحالي
  • تصدير النسخ الاحتياطية والتفكير فعليًا في مسار الاستعادة
  • التحقق من المساحة الحرة وأي تحذيرات مرتبطة بالـ resize
  • في HA، اختبار failover بدل الاكتفاء بالأيقونات الخضراء
  • في policy-based IPsec، التحقق من الترافيك الحقيقي وليس حالة الـ tunnel فقط
  • في WAF والبوابات وSSL VPN، اختبار login وMFA وredirects والشهادات مع مستخدمين حقيقيين
  • في PPPoE أو سيناريوهات WAN الخاصة، التحقق من Policy Test ومن التدفقات الحقيقية

ونقطة إضافية: إذا كنت تنظر إلى v22 أساسًا من زاوية Health Check الجديد، فلا تخلط بين الطبقة التقنية والطبقة التشغيلية. Health Check في v22 مفيد، وشرحت ذلك بالتفصيل هنا: مقالتي عن Sophos Firewall v22 Health Check . لكن Health Check أخضر لا يساوي اختبار ترقية جاد.

الخلاصة

من وجهة نظري، Sophos Firewall v22 MR1 هو أول إصدار في سلسلة v22 يدفعك كمسؤول نظام للتفكير: “هذا يستحق التقييم الجدي” بدلًا من “الأفضل أن ننتظر قليلًا”.

وهذه إشارة جيدة. لكنها ليست سحرًا.

إذا كنت تتعامل أصلًا مع مشاكل v22، فـ MR1 يستحق نظرة دقيقة جدًا. وإذا كنت مستقرًا على 21.5، فلا تدع اسم “Maintenance Release” يمنحك ثقة زائفة. هذه الترقية ما زالت تحتاج إلى تحضير واختبار وخطة رجوع حقيقية.

وهكذا بالضبط سأتعامل معها: ليست حالة طوارئ، وليست no-brainer، بل ما هي عليه فعلًا. أول مرشح ترقية مثير للاهتمام حقًا منذ البداية المتعثرة لـ v22.

إلى اللقاء في المرة القادمة،
Joe

Sources

Related Posts

Sophos Firewall: لا توجد CVEs، ولكنها مليئة بالأخطاء البرمجية (من v21.5 إلى v22)

Sophos Firewall: لا توجد CVEs، ولكنها مليئة بالأخطاء البرمجية (من v21.5 إلى v22)

Anthropic Mythos وProject Glasswing: ما الذي ينتظر أمن المعلومات

Anthropic Mythos وProject Glasswing: ما الذي ينتظر أمن المعلومات

عملية Epic Fury: شركة Sophos تحذر من انتقام سيبراني عالمي

عملية Epic Fury: شركة Sophos تحذر من انتقام سيبراني عالمي

© 2026 trueNetLab

بحث