trueNetLab ⚡️
Sophos Firewall v22 MR1: Naik taraf sekarang atau tunggu dulu?

Sophos Firewall v22 MR1: Naik taraf sekarang atau tunggu dulu?

8 min read
Network Sophos Security

Jadual kandungan

Dengan Sophos Firewall v22 MR1, maintenance release pertama untuk siri v22 akhirnya tiba pada 20 April 2026. Dan terus terang, inilah keluaran yang memang ramai pentadbir tunggu.

Sejak awal, v22 nampak sangat bercita-cita tinggi dari sudut teknikal. Secure by Design, Health Check, asas control plane yang lebih kukuh, kernel yang lebih ketat, dan audit depth yang lebih mendalam. Atas kertas, semuanya nampak bagus. Dalam amalan, permulaannya agak kasar. Saya sudah tulis tentang fasa itu sebelum ini dalam artikel saya tentang bug Sophos Firewall dari v21.5 ke v22 .

Sebab itu MR1 bukan sekadar “release seterusnya”. Inilah titik di mana banyak pasukan mula bertanya soalan yang lebih praktikal: adakah v22 kini akhirnya masuk akal sebagai calon naik taraf untuk production?

Jawapan ringkas saya: untuk sesetengah environment, ya. Tetapi bukan tanpa ujian.

Poin paling penting secara ringkas

  • v22 MR1 ialah Build 490 dan membetulkan banyak masalah dunia sebenar yang masih ada dalam v22 GA dan re-release Build 411.
  • Fix yang paling penting melibatkan policy-based IPsec, bridge routing selepas upgrade, stabiliti HA, edge case PPPoE, WAF, SSL VPN, dan beberapa isu authentication.
  • Pada masa yang sama, masih ada beberapa caveat upgrade yang jelas: legacy remote access IPsec sudah dibuang, semakan ruang disk masih penting, dan perkakasan XG/SG masih tidak disokong.
  • Jika anda sudah berada di v22 dan sedang berdepan masalah nyata, MR1 memang wajar diberi perhatian serius.
  • Jika 21.5 anda masih stabil, saya tetap akan uji dengan betul dahulu sebelum menekan butang upgrade pada hari pertama.

Mengapa MR1 begitu penting

Apabila vendor mengeluarkan major release, kemudian re-release, kemudian tidak lama selepas itu maintenance release pertama, biasanya itu sudah memberi isyarat tertentu. Dengan Sophos, itulah yang berlaku.

v22 GA Build 365 yang asal telah digantikan pada Januari 2026 oleh GA re-release Build 411. Pada waktu itu Sophos sudah pun membetulkan beberapa isu yang menyakitkan, termasuk akses WebAdmin melalui bridge, masalah DNAT dengan outbound interface tertentu, spam log CLI Invalid rule id or family for update, konfigurasi SNMP yang rosak, dan masalah dalam policy test. Itu penting, tetapi belum cukup untuk membuat keadaan terasa stabil.

MR1 terasa lebih seperti release yang mungkin ramai pentadbir harapkan daripada v22 sejak hari pertama: kurang marketing, lebih banyak pembersihan operasi.

Apa yang benar-benar bertambah baik dalam v22 MR1

Nilai sebenar MR1 bukan pada satu feature besar yang dramatik. Nilainya datang daripada pengurangan friction di beberapa kawasan penting serentak.

Policy-based IPsec akhirnya diberi perhatian sewajarnya

Jika anda menggunakan policy-based IPsec dalam production pada v22 GA, kemungkinan untuk berdepan masalah memang tinggi. Dalam release notes rasmi, Sophos menyenaraikan beberapa fix tepat dalam kawasan ini. Antaranya tunnel kelihatan up tetapi traffic tidak mengalir, diagnostics route lookup menunjukkan interface yang salah, traffic melalui MPLS mendapat SNAT IP yang salah, atau akses WebAdmin ke branch firewall rosak selepas upgrade melalui policy-based IPsec.

Bagi saya, ini ialah bahagian paling penting dalam MR1. Masalah VPN tidak pernah sekadar “detail kecil”. Apabila site-to-site, branch access atau laluan SD-WAN bergantung padanya, bug firmware cepat menjadi masalah operasi.

Bridge, routing dan firewall juga dirapikan

MR1 turut menyentuh beberapa isu yang terus terasa dalam rangkaian sebenar. Sophos menyebut antaranya:

  • komunikasi subnet melalui bridge interface menjadi tidak boleh dicapai selepas upgrade ke v22 GA
  • masalah ping melalui backup WAN dari diagnostics
  • pertukaran status HA yang tidak dijangka dan restart selepas itu
  • isu berkaitan PPPoE dalam policy test
  • masalah eksport firewall rules

Di atas kertas ia mungkin nampak seperti koleksi bug kecil. Tetapi dalam amalan, inilah jenis bug yang membuat change window menjadi lebih mahal dan lebih tegang daripada sepatutnya.

WAF, SSL VPN dan authentication juga menerima manfaat jelas

MR1 membawa fix dalam kawasan yang bagi banyak organisasi bukan sesuatu yang optional. Sophos menyebut antara lain:

  • penyahaktifan CAPTCHA untuk zon VPN yang tidak berfungsi dengan betul bagi pengguna SSL VPN dalam v22 GA
  • Azure AD SSO untuk user portal yang redirect ke halaman 404
  • isu berkaitan sijil OAuth dan API/MFA
  • restart berkala bagi service SSL VPN dalam senario tertentu
  • masalah memuat turun konfigurasi mobile IPsec akibat permission sijil yang salah

Jika anda mempunyai pengguna luaran, VPN client atau aplikasi yang diterbitkan melalui WAF, MR1 menghapuskan beberapa halangan operasi di sini juga.

HA dan storage masih sangat penting

Saya juga rasa penting bahawa Sophos terus bekerja pada kestabilan keseluruhan dalam kitaran MR1. Terdapat fix untuk recovery HA selepas bekalan kuasa terputus, pendaftaran HA dalam Sophos Central, system traffic melalui dedicated links, kegagalan upgrade pada passive device, dan beban sistem yang tinggi akibat logging atau isu disk.

Ini bukan marketing release yang glamor. Justeru itulah ia relevan.

Apa yang MR1 tidak selesaikan

Saya tetap tidak akan menjual naratif romantik bahawa semuanya tiba-tiba hijau selepas MR1. Ia tidak begitu. Release ini masih mempunyai beberapa perkara yang patut diperiksa dengan sedar sebelum upgrade.

Legacy remote access IPsec kini menjadi blocker keras

Ini mungkin amaran upgrade paling penting dalam release notes semasa. Sophos menyatakan dengan jelas bahawa varian lama legacy remote access IPsec tidak lagi disokong dalam SFOS 22.0 MR1. Lebih penting lagi, firewall yang masih mengandungi konfigurasi legacy ini tidak boleh di-upgrade ke MR1.

Jika anda masih membawa setup remote access IPsec lama bersama third-party clients, jangan sekadar lalu pandang. Semak secara aktif. Jika tidak, “malam ini kita buat MR cepat-cepat” boleh bertukar menjadi maintenance window yang jauh lebih panjang.

Ruang disk dan root resize masih relevan

Topik v22 kedua yang sudah dikenali juga masih ada: keperluan ruang tambahan. Sophos masih mengingatkan bahawa SFOS 22.0 dan versi selepasnya memerlukan lebih banyak ruang dan sesetengah appliance atau deployment virtual/software mungkin memerlukan persediaan manual sebelum upgrade.

Walaupun ruang mencukupi, proses upgrade boleh mengambil masa lebih lama kerana root partition dibesarkan. Menurut Sophos, ini boleh menambah dua hingga sepuluh minit. Untuk home office kecil, ini mungkin sekadar nota kaki. Untuk HA pair dalam production atau maintenance window yang ketat, ini ialah detail perancangan.

XG dan SG masih kekal di luar

Ini bukan perkara baru, tetapi masih perlu diulang dalam amalan: SFOS 22.0 GA dan versi lebih baharu, termasuk MR1, tidak lagi menyokong perkakasan XG dan SG. Jika anda masih ada perkakasan lama di lab atau site cawangan, anda tentu tidak mahu sedar tentang hal ini di tengah-tengah window upgrade sebenar.

Policy-based IPsec masih memerlukan berhati-hati

Tepat kerana MR1 membetulkan beberapa isu policy-based IPsec, saya juga melihatnya sebagai isyarat untuk lebih berhati-hati. Jika route production, MPLS, branch routing, peer pihak ketiga atau admin access anda menggunakan tunnel seperti ini, uji MR1 tepat pada bahagian itu.

Tunnel yang hijau sahaja tidak cukup. Yang penting ialah sama ada traffic sebenar, return path, tingkah laku SNAT, diagnostics, akses GUI dan failover benar-benar berfungsi seperti yang dijangkakan.

Penilaian praktikal saya

Jika saya ringkaskan kepada soalan yang ramai pasukan sedang tanya sekarang, inilah dia:

Adakah v22 MR1 calon upgrade pertama yang benar-benar munasabah bagi pasukan yang sengaja menangguhkan v22 kerana masalah pada GA dan Build 411?

Saya akan jawab: ya, dalam banyak kes.

Bukan kerana Sophos tiba-tiba menjadi sempurna. Tetapi kerana MR1 kini jelas membersihkan bahagian v22 yang paling menyakitkan dalam operasi harian: bridge, IPsec, HA, auth, WAF, SSL VPN, logging, dan beberapa sudut UI serta routing. Itu berbeza daripada maintenance release yang sekadar kosmetik.

Walau begitu, saya masih akan membezakan dua kumpulan dengan jelas.

Siapa yang wajar mula melihat upgrade

  • pasukan yang sudah menggunakan v22 Build 411 dan tersekat kerana bug sebenar
  • environment yang menunggu beberapa feature v22 tetapi tertahan kerana ketidakstabilan awal
  • pentadbir yang mahukan tingkah laku lebih baik dalam policy-based IPsec atau senario auth/portal tertentu

Siapa yang patut kekal di lab dahulu

  • instalasi 21.5 yang stabil tanpa tekanan feature yang segera
  • environment yang masih menggunakan legacy remote access IPsec
  • setup dengan rantaian WAF, MFA atau SSO yang sensitif
  • cluster HA yang memang sudah pernah rewel dalam fasa firmware terdahulu

Apa yang saya akan semak sebelum upgrade

Sebelum saya rollout MR1 ke production, saya akan semak perkara-perkara ini:

  • pastikan tiada lagi legacy remote access IPsec dalam konfigurasi
  • eksport backup dan fikirkan laluan restore dengan serius
  • sahkan ruang disk yang kosong dan semua amaran berkaitan resize
  • dalam setup HA, test failover dan jangan hanya percaya ikon status
  • untuk policy-based IPsec, sahkan traffic sebenar dan bukan sekadar status tunnel
  • untuk WAF, portal dan SSL VPN, uji login, MFA, redirect dan sijil dengan user sebenar
  • untuk PPPoE atau senario WAN khas, validasi policy test dan real flows

Dan satu perkara lagi: jika selama ini anda melihat v22 terutamanya melalui Health Check yang baharu, jangan campurkan technical layer dan operational layer. Health Check dalam v22 memang berguna, dan saya huraikan secara terperinci di sini: artikel saya tentang Sophos Firewall v22 Health Check . Tetapi Health Check yang hijau bukan pengganti kepada upgrade test yang serius.

Kesimpulan

Bagi saya, Sophos Firewall v22 MR1 ialah release pertama dalam siri v22 yang membuat seorang pentadbir berfikir, “ini patut dinilai dengan serius”, dan bukannya, “lebih baik tunggu dulu.”

Itu petanda yang baik. Tetapi ia bukan sihir.

Jika anda memang sedang bergelut dengan isu v22, MR1 wajar diberi perhatian dekat. Jika 21.5 anda stabil, jangan biarkan label “maintenance release” memberi rasa yakin yang palsu. Upgrade ini masih memerlukan persediaan, pengujian dan fallback plan yang sebenar.

Saya akan mengendalikannya tepat seperti itu: bukan emergency, bukan juga no-brainer, tetapi apa adanya. Calon upgrade pertama yang benar-benar menarik sejak permulaan v22 yang agak kasar.

Sampai jumpa lagi,
Joe

Sources

Related Posts

Sophos Firewall: Tiada CVE, Tetapi Penuh dengan Pepijat (v21.5 hingga v22)

Sophos Firewall: Tiada CVE, Tetapi Penuh dengan Pepijat (v21.5 hingga v22)

Anthropic Mythos dan Project Glasswing: apa yang menanti keselamatan IT

Anthropic Mythos dan Project Glasswing: apa yang menanti keselamatan IT

Operasi Epic Fury: Sophos Memberi Amaran Tentang Tindak Balas Siber Global

Operasi Epic Fury: Sophos Memberi Amaran Tentang Tindak Balas Siber Global

© 2026 trueNetLab

Cari