Sophos Firewall v22 MR1: Ufanye upgrade sasa au usubiri?

Kwa Sophos Firewall v22 MR1, maintenance release ya kwanza kwa mstari wa v22 hatimaye ilitoka tarehe 20 Aprili 2026. Na kusema kweli, hii ndiyo release ambayo wasimamizi wengi walikuwa wakiisubiri.

Tangu mwanzo, v22 ilionekana kuwa na malengo makubwa ya kiufundi. Secure by Design, Health Check, msingi imara zaidi wa control plane, kernel iliyo ngumu zaidi, na audit depth iliyo kubwa zaidi. Kwenye karatasi, yote yalionekana vizuri. Kwa vitendo, mwanzo wake haukuwa laini. Nilishaandika kuhusu kipindi hicho katika makala yangu ya awali kuhusu bug za Sophos Firewall kutoka v21.5 hadi v22 .

Ndiyo maana MR1 si “release inayofuata” tu. Ni hatua ambayo timu nyingi zinaanza kuuliza swali la vitendo: je, v22 sasa imefika mahali pa kuzingatiwa kwa uzito kama production upgrade candidate?

Jibu langu fupi ni: kwa baadhi ya environment, ndiyo. Lakini si bila test.

Mambo muhimu kwa kifupi

• v22 MR1 ni Build 490 na inasahihisha matatizo mengi halisi yaliyobaki kwenye v22 GA na re-release Build 411.
• Fix muhimu zaidi ziko kwenye policy-based IPsec, bridge routing baada ya upgrade, uthabiti wa HA, edge cases za PPPoE, WAF, SSL VPN na baadhi ya matatizo ya authentication.
• Wakati huo huo, bado kuna caveats wazi za upgrade: legacy remote access IPsec imeondolewa, ukaguzi wa disk space bado ni muhimu, na hardware za XG/SG bado hazitumiki.
• Ikiwa tayari uko kwenye v22 na una matatizo ya moja kwa moja, MR1 inastahili kuangaliwa kwa makini.
• Ikiwa 21.5 yako iko stable, ningejaribu kwanza vizuri kabla ya kubonyeza upgrade siku ya kwanza.

Kwa nini MR1 ni muhimu sana

Mtoa huduma anapotoa major release, kisha re-release, na muda mfupi baadaye maintenance release ya kwanza, kawaida hiyo tayari inasema kitu. Ndivyo ilivyokuwa kwa Sophos.

v22 GA Build 365 ya awali ilibadilishwa Januari 2026 na GA re-release Build 411. Hapo Sophos tayari ilikuwa imerekebisha mambo kadhaa yaliyokuwa yanauma, kama bridge WebAdmin access, matatizo ya DNAT na outbound interface maalum, CLI log spam ya Invalid rule id or family for update, SNMP configuration iliyovunjika, na matatizo ya policy test. Hilo lilikuwa muhimu, lakini bado halikufanya hali ihisi tulivu.

MR1 inahisi zaidi kama release ambayo admins wengi pengine waliitarajia kutoka v22 tangu mwanzo: marketing kidogo, operational cleanup zaidi.

Kipi hasa kinakuwa bora kwenye v22 MR1

Thamani ya MR1 haiko kwenye feature moja kubwa inayovutia. Thamani yake iko kwenye kupunguza friction katika maeneo kadhaa muhimu kwa wakati mmoja.

Policy-based IPsec hatimaye imepewa uzito

Ikiwa ulitumia policy-based IPsec kwenye production katika v22 GA, nafasi ya kukutana na matatizo ilikuwa kubwa. Kwenye release notes rasmi, Sophos imetaja fix kadhaa hasa katika eneo hili. Mifano ni tunnel kuonekana up lakini traffic isipite, diagnostics route lookup kuonyesha interface isiyo sahihi, traffic ya MPLS kupata SNAT IP isiyo sahihi, au WebAdmin ya branch firewall kushindwa kupatikana baada ya upgrade kupitia policy-based IPsec.

Kwa mimi, hii ndiyo sehemu muhimu zaidi ya MR1. Matatizo ya VPN huwa si “detail ndogo”. Mara tu site-to-site, branch access au SD-WAN path zinapoyategemea, firmware bug hugeuka haraka kuwa tatizo la kiutendaji.

Bridge, routing na firewall pia zimeboreshwa

MR1 pia inagusa matatizo ambayo huumiza mara moja kwenye mitandao halisi. Sophos imetaja mambo kama:

• mawasiliano ya subnet kutofikika kupitia bridge interfaces baada ya upgrade kwenda v22 GA
• matatizo ya ping kupitia backup WAN kutoka diagnostics
• mabadiliko yasiyotegemewa ya state ya HA na restart zinazofuata
• matatizo yanayohusiana na PPPoE kwenye policy test
• matatizo ya export ya firewall rules

Kwenye karatasi, haya yanaweza kuonekana kama mkusanyiko wa bug ndogo. Kwa vitendo, ndiyo hasa aina ya bug zinazofanya change window kuwa ghali zaidi kuliko inavyopaswa kuwa.

WAF, SSL VPN na authentication pia zinanufaika

MR1 inaleta fixes kwenye maeneo ambayo kwa mashirika mengi si optional. Sophos imetaja, kati ya mambo mengine:

• kuzima CAPTCHA kwa VPN zone kutofanya kazi vizuri kwa SSL VPN users kwenye v22 GA
• Azure AD SSO kwa user portal kuelekeza kwenye ukurasa wa 404
• matatizo ya OAuth certificate na API/MFA
• restart za mara kwa mara za service ya SSL VPN katika hali fulani
• matatizo ya kupakua mobile IPsec configuration kwa sababu ya certificate permissions zisizo sahihi

Ikiwa una external users, VPN clients au apps zilizowekwa kupitia WAF, MR1 inaondoa vizuizi kadhaa vya kiutendaji hapa pia.

HA na storage bado ni mada muhimu

Pia ninaona ni muhimu kwamba Sophos inaendelea kufanya kazi juu ya stability ya jumla katika mzunguko wa MR1. Kuna fix za HA recovery baada ya umeme kukatika, HA registration ndani ya Sophos Central, system traffic kupitia dedicated links, upgrade failures kwenye passive devices, na system load ya juu inayosababishwa na logging/disk issues.

Hii si release marketing ya kuvutia macho. Na ndiyo maana hasa ina umuhimu.

Kile MR1 haimalizi

Bado singependa kusimulia hadithi ya kimapenzi kwamba kila kitu sasa kimekuwa kijani ghafla. Sivyo ilivyo. Release hii bado ina pointi ambazo zinapaswa kuangaliwa kwa makusudi kabla ya upgrade.

Legacy remote access IPsec sasa ni blocker wa moja kwa moja

Hili pengine ndilo onyo muhimu zaidi la upgrade katika release notes za sasa. Sophos inasema wazi kuwa legacy remote access IPsec ya zamani haitumiki tena katika SFOS 22.0 MR1. Muhimu zaidi: firewalls ambazo bado zina configuration hiyo legacy haziwezi kufanya upgrade kwenda MR1.

Ikiwa bado una setups za zamani za remote access IPsec pamoja na third-party clients, usipite tu haraka. Angalia kwa makusudi. Vinginevyo “tuweke MR leo usiku haraka” inaweza kuwa maintenance window ndefu isivyo lazima.

Disk space na root resize bado vina umuhimu

Mada ya pili inayojulikana katika v22 pia bado ipo: nafasi ya ziada. Sophos bado inasisitiza kuwa SFOS 22.0 na matoleo ya baadaye yanahitaji nafasi zaidi na appliances fulani au virtual/software deployments huenda zikahitaji maandalizi ya mkono kabla ya upgrade.

Hata kama nafasi ipo, upgrade inaweza kuchukua muda zaidi kwa sababu root partition inapanuliwa. Kulingana na Sophos, hii inaweza kuongeza dakika mbili hadi kumi. Kwa home office ndogo huo ni maelezo ya pembeni. Kwa production HA pair au maintenance window iliyo finyu, huo ni mpango muhimu.

XG na SG bado ziko nje

Hili si jambo jipya, lakini bado linahitaji kusemwa kwenye matumizi halisi: SFOS 22.0 GA na baadaye, pamoja na MR1, haiauni tena hardware za XG na SG. Ikiwa bado una vifaa vya zamani kwenye lab au remote sites, hutaki kugundua hilo katikati ya upgrade halisi.

Policy-based IPsec bado inahitaji tahadhari

Kwa sababu MR1 inarekebisha matatizo kadhaa ya policy-based IPsec, kwangu hilo pia ni ishara ya kuwa makini zaidi. Ikiwa route za production, MPLS, branch routing, third-party peers au admin access zinategemea tunnels hizi, basi test MR1 hasa hapo.

Tunnel kuwa green haitoshi. Cha maana ni kama traffic halisi, return path, SNAT behavior, diagnostics, GUI access na failover vinafanya kazi kama ulivyotarajia.

Mtazamo wangu wa kiutendaji

Nikifupisha hadi swali ambalo timu nyingi zinauliza sasa, ni hili:

Je, v22 MR1 ndiyo reasonable upgrade candidate ya kwanza kwa timu ambazo ziliahiri v22 kimakusudi kwa sababu ya GA na Build 411?

Ningesema: ndiyo, mara nyingi.

Siyo kwa sababu Sophos ghafla imekuwa perfect. Bali kwa sababu MR1 sasa inaonekana wazi kusafisha maeneo yale ya v22 yaliyokuwa yanaumiza kwenye kazi ya kila siku: bridge, IPsec, HA, auth, WAF, SSL VPN, logging, na baadhi ya corners za UI na routing. Hiyo ni tofauti na maintenance release ya cosmetic tu.

Hata hivyo, ningegawa makundi mawili kwa uwazi.

Wanaopaswa kuangalia upgrade

• timu ambazo tayari ziko kwenye v22 Build 411 na zimekwama kwa sababu ya bug halisi
• environment zinazongoja feature fulani za v22 lakini zilicheleweshwa na instability ya awali
• admins wanaohitaji tabia safi zaidi kwenye policy-based IPsec au auth/portal scenarios fulani

Wanaopaswa kubaki lab kwanza

• instalations za 21.5 zilizo stable bila feature pressure ya haraka
• environment ambazo bado zinatumia legacy remote access IPsec
• setups zenye chains nyeti za WAF, MFA au SSO
• HA clusters ambazo zimekuwa na tabia mbaya tayari kwenye firmware za awali

Ningeangalia nini kabla ya upgrade

Kabla sijafanya rollout ya MR1 kwenye production, ningepitia pointi hizi:

• kuthibitisha kama bado kuna legacy remote access IPsec kwenye configuration
• kufanya export ya backups na kufikiria restore path kwa uzito
• kuthibitisha free disk space na warnings zote zinazohusiana na resize
• kwenye HA setups, kufanya failover test badala ya kuamini icon za status
• kwa policy-based IPsec, kuthibitisha traffic halisi na si status ya tunnel tu
• kwa WAF, portals na SSL VPN, kujaribu login, MFA, redirects na certificates kwa users halisi
• kwa PPPoE au WAN scenarios maalum, ku-validate policy test pamoja na real flows

Na jambo moja zaidi: kama ulikuwa unaangalia v22 hasa kupitia Health Check mpya, usichanganye technical layer na operational layer. Health Check ya v22 ni ya msaada, na nimeiandika kwa kina hapa: makala yangu kuhusu Sophos Firewall v22 Health Check . Lakini Health Check ya kijani si mbadala wa upgrade test ya maana.

Hitimisho

Kwa mtazamo wangu, Sophos Firewall v22 MR1 ndiyo release ya kwanza katika mstari wa v22 inayomfanya admin afikiri, “hii sasa inastahili kuangaliwa kwa uzito”, badala ya “hebu tungoje kidogo zaidi”.

Hiyo ni ishara nzuri. Lakini si uchawi.

Ikiwa tayari unapambana na matatizo ya v22, MR1 inastahili kuangaliwa kwa makini. Ikiwa 21.5 yako iko stable, usiruhusu jina “maintenance release” likupe confidence ya uongo. Upgrade hii bado inahitaji maandalizi, testing na fallback plan ya kweli.

Ndivyo hasa ningeshughulikia: si kama emergency, si kama no-brainer, bali kama ilivyo. Calon upgrade ya kwanza ambayo kwa kweli inavutia tangu mwanzo mgumu wa v22.

Tutaonana tena wakati mwingine,
Joe

Sources

• Sophos Firewall release notes
• Sophos Firewall v22 MR1 is now available
• Sophos Firewall v22 GA re-release (Build 411) is now available
• Sophos Known Issues List