trueNetLab ⚡️
Sophos Firewall v22 MR1:现在升级,还是再等等?

Sophos Firewall v22 MR1:现在升级,还是再等等?

4 min read
Network Sophos Security

目录

随着 Sophos Firewall v22 MR1 的发布,v22 这一条线终于在 2026 年 4 月 20 日迎来了第一个 maintenance release。老实说,很多管理员等的就是这个版本。

从一开始看,v22 在技术上就很有野心。Secure by Design、Health Check、更强的 control plane 基础、更硬的 kernel,以及更深的审计能力。放在纸面上,这一切都很好看。但在实际环境里,起步并不顺。我之前已经在 那篇关于 Sophos Firewall 从 v21.5 到 v22 的 bug 文章里 写过这一阶段。

所以,MR1 不只是“下一个版本”。它更像是一个分水岭:很多团队现在会开始认真问一个实际问题,v22 现在是不是终于可以被视为一个比较靠谱的生产升级候选?

我的简短答案是:对部分环境来说,是的。但绝不是闭着眼睛直接升。

最重要的几点

  • v22 MR1 是 Build 490,修复了 v22 GA 和重新发布的 Build 411 中遗留的许多真实问题。
  • 最值得关注的修复集中在 policy-based IPsec、升级后的 bridge routing、HA 稳定性、PPPoE 边缘场景、WAF、SSL VPN,以及部分 authentication 问题。
  • 同时,升级层面的 caveat 依然存在:legacy remote access IPsec 已被彻底移除,disk space 检查仍然重要,XG/SG hardware 依旧不受支持。
  • 如果你已经在用 v22,并且卡在一些具体问题上,MR1 很值得认真评估。
  • 如果你现在的 21.5 很稳定,我仍然建议先测试,不要在第一天就直接点升级。

为什么 MR1 这么重要

当一个厂商先发布 major release,接着又发布 re-release,随后不久再推出第一个 maintenance release,这通常本身就说明了一些问题。Sophos 这里正是这样。

最初的 v22 GA Build 365 在 2026 年 1 月被 GA re-release Build 411 取代。当时 Sophos 已经修掉了一些很痛的点,比如 bridge 上的 WebAdmin access、特定 outbound interface 相关的 DNAT 问题、Invalid rule id or family for update 这类 CLI log spam、损坏的 SNMP 配置,以及 policy tester 的问题。这些修复很重要,但还不足以让整个版本线真正“安静下来”。

MR1 更像是很多管理员原本以为 v22 第一版就应该呈现出来的样子:少一点 marketing,多一点真正的运维层面清理。

v22 MR1 到底改善了什么

MR1 的价值不在某一个特别耀眼的新功能上,而在于它同时减少了多个关键位置的运维摩擦。

Policy-based IPsec 终于被认真对待了

如果你在 v22 GA 上把 policy-based IPsec 用在生产环境里,那么遇到问题的概率并不低。Sophos 在官方 release notes 里列出了多项与这一块直接相关的修复。比如 tunnel 显示为 up 但 traffic 不走、diagnostics route lookup 显示错误的 interface、MPLS 流量拿到错误的 SNAT IP,或者升级后通过 policy-based IPsec 访问 branch firewall 的 WebAdmin 失效。

对我来说,这是 MR1 最关键的一部分。VPN 问题从来都不是“一个小细节”。一旦 site-to-site、branch access 或 SD-WAN 路径依赖它,firmware bug 很快就会变成真正的运维事故。

Bridge、routing 和 firewall 行为也被明显收紧了

MR1 还处理了多项在真实网络里会立刻让人头疼的问题。Sophos 明确提到的包括:

  • 升级到 v22 GA 之后,bridge interface 上的 subnet communication 不可达
  • 从 diagnostics 走 backup WAN 时 ping 异常
  • 意外的 HA 状态切换以及随后的 restart
  • policy test 中与 PPPoE 相关的问题
  • firewall rules 导出问题

放在纸面上,这看起来像一堆小 bug。但在实际环境里,恰恰就是这一类问题会让 change window 变得又贵又烦。

WAF、SSL VPN 和 authentication 也有明显收益

MR1 也修复了很多在真实企业环境里几乎不算 optional 的部分。比如:

  • v22 GA 中,VPN zone 的 CAPTCHA 关闭对 SSL VPN users 并不能正常生效
  • user portal 的 Azure AD SSO 会跳转到 404 页面
  • OAuth certificate 以及 API/MFA 相关问题
  • 某些场景下 SSL VPN service 周期性重启
  • 因 certificate permissions 错误导致 mobile IPsec configuration 无法下载

如果你的 firewall 上承载了外部用户、VPN clients 或 WAF 发布的应用,那么 MR1 会移走不少实际的绊脚石。

HA 和 storage 依然是重点

我也认为很重要的一点是,Sophos 在 MR1 周期里继续在整体稳定性上补课。这里面包括断电后的 HA recovery、HA 在 Sophos Central 中的 registration、通过 dedicated links 的 system traffic、passive device 上的 upgrade failures,以及 logging/disk 问题导致的高系统负载。

这不是那种好看的 release marketing。正因为如此,它才真正重要。

MR1 没有解决什么

我依然不会把 MR1 讲成一个“从此一切都绿了”的浪漫故事。事情并不是这样。这个版本里仍然有一些点,升级前必须有意识地检查。

Legacy remote access IPsec 现在是硬阻塞项

这大概是当前 release notes 里最重要的升级提醒。Sophos 明确写道,旧版的 legacy remote access IPsec 在 SFOS 22.0 MR1 中已经不再受支持。更重要的是:如果 firewall 配置里还保留着这类 legacy 配置,就无法升级到 MR1。

如果你现在还背着带 third-party clients 的旧 remote access IPsec setup,这一项千万不要扫一眼就算了。要主动去查。否则“今晚顺手把 MR 上了”很容易变成一个过长的 maintenance window。

Disk space 和 root resize 依然重要

v22 的第二个已知主题也还在:额外的空间需求。Sophos 仍然提醒,SFOS 22.0 及之后的版本需要更多空间,一些 appliances 或 virtual/software deployments 在升级前可能需要手动准备。

即便空间足够,升级本身也可能需要更长时间,因为 root partition 会被扩展。按照 Sophos 的说法,这会额外增加 2 到 10 分钟。对小型 home office 来说这只是脚注;但对 production HA pairs 或紧张的 maintenance windows 来说,这是实打实的规划细节。

XG 和 SG 依然不在支持范围内

这不是新消息,但在实践中仍然需要反复提醒:SFOS 22.0 GA 以及之后的版本,包括 MR1,都不再支持 XG 和 SG hardware。如果你的 lab 或 remote site 里还有老设备,你肯定不希望在实际升级窗口里才注意到这件事。

Policy-based IPsec 依然值得谨慎对待

也正因为 MR1 一口气修了不少 policy-based IPsec 问题,所以我反而把这看作一个提醒:更要认真测试。如果你的 production routes、MPLS、branch routing、third-party peers 或 admin access 依赖这些 tunnels,那么 MR1 就必须在那里重点验证。

Tunnel 变绿并不够。真正要看的,是 real traffic、return path、SNAT behavior、diagnostics、GUI access 和 failover 是否都按预期工作。

我的实际判断

如果把问题压缩成当前很多团队正在问的一句话,那就是:

对于那些因为 GA 和 Build 411 的问题而刻意跳过 v22 的团队来说,v22 MR1 是不是第一个真正合理的升级候选?

我的回答是:很多情况下,是。

不是因为 Sophos 突然变得 flawless 了,而是因为 MR1 终于在那些日常运维里最痛的地方做了明显清理:bridge、IPsec、HA、auth、WAF、SSL VPN、logging,以及一些 UI 和 routing 的边角问题。这和那种 purely cosmetic 的 maintenance release 完全不是一回事。

不过,我仍然会明确区分两类人。

更适合开始看 upgrade 的场景

  • 已经在 v22 Build 411 上,并且被具体 bug 卡住的团队
  • 需要某些 v22 feature,但之前因为早期不稳定而观望的 environment
  • 希望 policy-based IPsec 或 auth/portal 行为更干净的 admins

更适合继续留在 lab 先观察的场景

  • 没有紧迫 feature 压力、运行稳定的 21.5 安装
  • 仍在使用 legacy remote access IPsec 的环境
  • WAF、MFA 或 SSO chain 比较敏感的 setup
  • 过去几个 firmware 阶段里本来就比较容易出毛病的 HA clusters

升级前我会检查什么

在把 MR1 rollout 到生产环境之前,我会把这些点一项项过掉:

  • 检查配置里是否还残留 legacy remote access IPsec
  • 导出 backups,并且认真想清楚 restore path
  • 确认可用 disk space 以及所有 resize-related warnings
  • 在 HA 环境里,不要只看状态图标,要实际做 failover test
  • 对 policy-based IPsec,验证的不是 tunnel status,而是真实 traffic
  • 对 WAF、portals 和 SSL VPN,用真实用户去测 login、MFA、redirects 和 certificates
  • 对 PPPoE 或特殊 WAN 场景,同时验证 policy test 和 real flows

还有一点:如果你目前看 v22 主要是从新的 Health Check 出发,那么不要把 technical layer 和 operational layer 混为一谈。v22 的 Health Check 的确有帮助,我也在这里做过详细说明: Sophos Firewall v22 Health Check 的完整文章 。但一个绿色的 Health Check,绝不等于一次严肃的 upgrade test。

结论

在我看来,Sophos Firewall v22 MR1 是 v22 这一线里第一个会让管理员开始觉得“这个版本可以认真看看了”的 release,而不再只是“还是再等等”。

这是一个好信号。但它不是魔法。

如果你已经在和 v22 的问题作斗争,那么 MR1 值得认真看。如果你现在的 21.5 很稳定,不要让“maintenance release”这个名字给你虚假的安全感。这个 upgrade 依然需要准备、测试,以及一套真正可执行的 fallback plan。

我会把它当成它本来的样子:不是 emergency,也不是 no-brainer,而是 v22 在那个并不平顺的开局之后,第一个真正值得关注的升级候选。

下次见,
Joe

Sources

Related Posts

Sophos Firewall:没有 CVE,但漏洞百出(v21.5 到 v22)

Sophos Firewall:没有 CVE,但漏洞百出(v21.5 到 v22)

Anthropic Mythos 与 Project Glasswing:IT 安全将面临什么

Anthropic Mythos 与 Project Glasswing:IT 安全将面临什么

Epic Fury 行动:Sophos 警告全球网络报复

Epic Fury 行动:Sophos 警告全球网络报复

© 2026 trueNetLab

搜索