trueNetLab ⚡️
Sophos Firewall v22 - Ciri Baharu, Pengukuhan dan Apa yang Diharapkan

Sophos Firewall v22 - Ciri Baharu, Pengukuhan dan Apa yang Diharapkan


Sophos Firewall v22 (SFOS v22) ialah kemas kini besar yang memberi tumpuan kepada pengukuhan keselamatan, keterlihatan yang lebih baik dan operasi yang lebih stabil. Seni bina Xstream yang dimodenkan, kernel yang diperkuat dan fungsi pengurusan baharu membantu mengurangkan permukaan serangan dan memudahkan rutin pentadbir. Artikel ini memberikan gambaran keseluruhan tentang ciri terpenting dalam SFOS v22, menilai secara kritikal dan menunjukkan apa yang berubah untuk pentadbir Sophos.

Sophos Firewall v22

Ciri utama dalam SFOS v22

Pengenalan

Sejak Oktober 2025, fasa Early Access untuk SFOS v22 telah bermula, dan versi akhir (GA) dijangka pada awal Disember. Matlamat keluaran ini jelas: menjadikan firewall kurang terdedah, lebih mudah dikonfigurasi dan lebih mantap dalam operasi. Versi baharu ini membawa konsep Secure-by-Design, telemetri mendalam dan banyak fungsi yang telah lama diminta.

Secure-by-Design: Pengukuhan pada Pelbagai Tahap

Ciri Health Check baharu menyemak konfigurasi firewall terhadap amalan terbaik dan penanda aras CIS. Ia menunjukkan:

  • Tetapan mana yang kritikal (contohnya MFA tiada, akses WAN terbuka)
  • Di mana ralat berlaku (termasuk pautan ke bahagian berkenaan)
  • Cara membetulkannya

Widget pada papan pemuka menunjukkan status keseluruhan, dan paparan terperinci membolehkan penyelesaian sasaran. Sangat berguna: penilaian “High Risk”, “Medium Risk”, “Low Risk” dan “Pass” memudahkan keutamaan.

Topik ini begitu meluas sehingga saya telah menulis artikel khas: Sophos Firewall v22 Health Check - Gambaran Lengkap

Seni Bina Xstream Baharu: Modulariti dan Pemulihan Kendiri

Control Plane telah dibina semula sepenuhnya:

  • Perkhidmatan seperti IPS atau Webfilter berjalan secara terasing dalam kontena
  • Ralat dalam satu modul tidak lagi menyebabkan keseluruhan sistem tergendala
  • HA-Clustering memantau dirinya dan membetulkan penyimpangan secara automatik
  • Asas untuk integrasi kluster dan API pada masa hadapan
  • Langkah awal ke arah Firewall-Services-on-Demand (contohnya perkhidmatan DPI boleh skala)

Seni bina ini lebih sejajar dengan prinsip microservice moden dan memisahkan fungsi dengan jelas. Untuk persekitaran HA, pemulihan kendiri yang dipertingkat adalah penting: masalah penyegerakan yang disebabkan oleh perkhidmatan tergantung kini dikesan dan diperbetulkan secara automatik.

Lebih stabil, kurang ralat dan langkah jelas ke arah seni bina firewall berasaskan perkhidmatan.

Kernel 6.6+: Lebih Pengasingan dan Perlindungan Eksploitasi

Dengan naik taraf kepada kernel Linux 6.6, peningkatan keselamatan penting diperkenalkan:

  • Perlindungan terhadap Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed, Downfall
  • Stack Canaries, KASLR, usercopy hardening
  • Namespaces lanjutan untuk pengasingan proses berkeistimewaan
  • Skalabiliti lebih baik untuk CPU berbilang teras

Kernel kini setanding dengan sistem Linux moden dan memberikan perlindungan lebih baik terhadap serangan tahap rendah. Pengasingan proses yang lebih mendalam juga meningkatkan keselamatan terhadap serangan saluran sisi yang baru-baru ini kembali menyasarkan sistem tertanam.

Remote Integrity Monitoring: Firewall Mengawasi Dirinya Sendiri

Ciri unik lain:

  • Sensor XDR kini terbina dalam firewall
  • Mengesan eksport peraturan, permulaan proses, manipulasi fail
  • Amaran dihantar ke Sophos Central
  • Mengenal pasti manipulasi dalaman atau arahan CLI
  • Setiap kejadian dilog dengan cap masa, pengguna dan asal

Satu langkah ke arah “Host-based Intrusion Detection pada firewall”. Untuk audit atau laporan pematuhan, data ini boleh dihubungkan dengan MDR atau SIEM. Ini memberikan keterlihatan terhadap aktiviti pentadbir mencurigakan atau penyimpangan dasar.

Next-Gen Xstream Control Plane

  • Asas baharu untuk keselamatan dan skalabiliti: Control Plane dimodularisasi dan memisahkan perkhidmatan utama (IPS, Web, TLS). Setiap perkhidmatan berjalan secara terasing dan boleh dimulakan semula tanpa kehilangan fungsi.
  • Bebas daripada perkakasan dan persekitaran: Dioptimumkan untuk CPU berbilang teras moden. Prestasi konsisten pada perkakasan, VM dan awan.
  • Ketersediaan tinggi dengan pemulihan kendiri: Dalam HA, sistem memantau keadaan drift dan sync dan membetulkan secara automatik – dengan pemisahan jelas antara laluan data dan kawalan.
  • Perspektif teknikal dan masa depan: Bersedia untuk kluster berbilang nod, kontena sepenuhnya dan REST API automasi.
  • Pengesanan dan tindak balas yang dipertingkatkan:
  • Threat Feeds untuk NAT dan WAF: Threat Feeds Sophos kini meliputi peraturan DNAT dan WAF. IP berbahaya disekat di pintu masuk firewall, sama ada untuk pelayan dalaman atau portal pengguna, mengurangkan permukaan serangan dengan ketara.

ATR-Logging: Kurang Bunyi, Maklumat Lebih Jelas

  • Serangan brute-force boleh ditapis dengan tepat
  • Kejadian dikategorikan oleh Threat Feed, NDR, MDR
  • Log menunjukkan dengan jelas: “Serangan dikesan, disekat, sebab X”
  • Skor daripada NDR Essentials kini muncul dalam log

Pentadbir mendapat konteks dengan cepat tanpa beralih antara platform. Sangat membantu untuk insiden cepat seperti credential stuffing.

NDR Essentials: Skor Ancaman dalam Log, Wilayah Boleh Dipilih

  • Skor ancaman NDR muncul terus dalam log
  • Pusat data untuk analisis boleh dipilih (contohnya EU)
  • Konfigurasi privasi untuk pematuhan GDPR

Ini mengurangkan halangan bagi syarikat kecil yang sebelum ini mengelak NDR kerana kebimbangan privasi.

Integrasi dengan XDR/MDR: Lebih Keterlihatan

  • Data integriti firewall dihantar ke Sophos Central
  • Dihubungkan dengan telemetri endpoint/cloud
  • Asas untuk Managed Detection & Response
  • Pengesanan awal pergerakan lateral penyerang

Sophos kini mengintegrasikan firewall lebih dalam ke dalam konsep Detection & Response, menjadikannya komponen aktif pertahanan.

Pentadbiran dan Pemantauan: Lebih Selesa

  • SNMP: Suhu CPU/NPU, PoE, PSU boleh dipantau, termasuk MIB rasmi
  • sFlow: sehingga 5 kolektor, pensampelan boleh dikonfigurasi
  • WebAdmin lebih pantas: pertukaran halaman tidak lagi menyekat UI
  • Antara muka VPN: carian/penapisan untuk banyak XFRM
  • Akses API: sehingga 64 IP/objek dibenarkan, boleh dikonfigurasi di bawah “Administration”
  • TLS 1.3: WebAdmin, VPN Portal dan User Portal kini menggunakan penyulitan terkini
  • Instant Web Category Alerts: pemberitahuan apabila kategori laman tertentu dicapai (contohnya persekitaran sekolah)
  • Paginasi lebih baik: berguna untuk senarai panjang (contohnya peraturan firewall)

Kawalan Akses API

Akses ke API pentadbiran boleh dihadkan kepada alamat IP, julat atau objek rangkaian (sehingga 64 entri). Disyorkan: benarkan hanya rangkaian pengurusan, aktifkan log dan semak akses secara berkala.

Kemas Kini Firmware melalui SSL dengan Certificate Pinning

Titik akhir kemas kini disahkan melalui SSL dengan pinning sijil. Dalam persekitaran dengan dasar egress ketat, tambahkan FQDN sasaran ke senarai benarkan.

HTTP/2 dan TLS 1.3 untuk Akses Peranti

WebAdmin, User dan VPN Portal kini menyokong HTTP/2 dan TLS 1.3 untuk handshake lebih pantas dan cipher moden.

Peningkatan dialu-alukan terutamanya untuk pemasangan besar atau persekitaran MSP.

Fungsi Seperti UTM dalam SFOS

  • WAF kini boleh menguatkuasakan MFA
  • OTP melalui SHA-256/512
  • Audit log dengan eksport Sebelum/Selepas (XML)
  • Pengurusan sesi WAF dipertingkat (pengendalian ID sesi melalui firewall)
  • Serasi dengan token perkakasan OTP sedia ada

Audit Trail Logs Secara Terperinci

Fasa 1 merekodkan perubahan pada peraturan, objek dan antara muka firewall dengan status Sebelum/Selepas. Muat turun di Diagnostics > Logs (configuration-audit.log). Dalam masa depan, akan dapat dilihat terus dalam Log Viewer.

Ini penting untuk pelanggan yang berpindah dari UTM 9. Roadmap penggantian SG-UTM kini semakin kukuh. Menjelang Julai 2026, masa semakin singkat – v22 menghapuskan beberapa halangan migrasi terakhir.

Naik Taraf ke SFOS v22: Laluan, Tempoh dan Petua

  • EAP tersedia, GA dijadualkan Disember 2025
  • Naik taraf memeriksa saiz cakera dan mengembangkan partition root secara automatik (boot pertama mungkin lebih lama)
  • Laluan biasa: keluaran v20/21 → v22 terus; pemasangan lama mungkin perlu dikemas kini ke MR disokong dahulu
  • Sebelum naik taraf: buat sandaran, sediakan kluster HA dengan betul, rancang tetingkap perubahan
  • Selepas naik taraf: jalankan Health Check dan keutamakan dapatan

Penting: sandaran adalah wajib, terutama untuk HA, SD-WAN dan konfigurasi multi-partition.

Pemerhatian Peribadi Selepas 1 Minggu

  • Health Check: Memberi dapatan berguna dengan cepat. Dalam kedua-dua tetapan, ia mendedahkan tetapan lalai lemah dan konfigurasi lama yang dilupakan. Pautan terus menjimatkan masa.
  • Seni bina Xstream: Modul boleh dipantau secara berasingan dan beroperasi stabil. Dalam makmal HA tiada tindakan manual diperlukan.
  • Logging/ATR/NDR: Bidang konteks tambahan dalam log memudahkan korelasi dengan Central. Skor NDR dalam log sangat berguna.
  • SNMP/sFlow: MIB SNMP berfungsi lancar dengan sistem pemantauan sedia ada. sFlow memberi cukup pandangan tanpa beban PCAP penuh.
  • Threat Feeds (NAT/WAF): IP jahat disekat dengan berkesan, juga dalam peraturan port-forwarding dan WAF. Dalam ujian makmal saya, penyekatan berfungsi, tetapi log hit masih belum muncul – menunggu EAP2 atau GA untuk ujian lanjut.

Kesimpulan

SFOS v22 bukan sekadar kemas kini kosmetik, tetapi peningkatan seni bina menyeluruh. Asas Xstream baharu, Health Check dan pengembangan API menjadikan firewall lebih kukuh dan bersedia untuk masa depan.

Bagi pengguna Sophos XGS, v22 sangat disyorkan – ia meningkatkan keselamatan dan memudahkan kerja harian pentadbir.

Dalam jangka panjang, Sophos menetapkan arah ke arah seni bina firewall yang terkontena, berintegriti dan automatik. Ini langkah yang betul dalam era di mana firewall mesti melakukan lebih daripada sekadar menyekat trafik.

Namun, beberapa kelemahan lama masih wujud. Antara muka masih terasa perlahan di beberapa bahagian, terutamanya semasa menukar peraturan firewall. Lajur dalam pandangan senarai (contohnya firewall atau IPsec) masih tidak boleh disembunyikan secara individu, menjadikan pandangan kurang jelas. Log Viewer kehilangan tetapan penapisan selepas setiap but semula, dan peraturan NAT tidak boleh diklon atau dikumpulkan. Statistik atau penunjuk kestabilan untuk sambungan IPsec juga masih tiada.

Bagi saya, isu-isu ini patut menjadi keutamaan Sophos dalam kemas kini besar seterusnya untuk memperbaiki pengalaman pengguna dan memudahkan operasi harian pentadbir.

jumpa lagi

Joe

© 2025 trueNetLab