Alle Neuerungen im Überblick
Firewall-Sicherheit und -Zugriff:
- Gerätezugriffs-Updates ermöglichen eine detailliertere Kontrolle darüber, welche Dienste im WAN zugänglich sind. Dies erhöht die Sicherheit der Firewall (weitere Informationen siehe unten)
- Neue Dienste zur Liste der lokalen ZSL-Ausnahmen hinzugefügt: AD SSO, Captive Portal, RADIUS SSO, Client-Authentifizierung, Chromebook, Wireless, SMTP, RED und IPsec
- Mehr Flexibilität bei Ausnahmen von Zugriffsregeln durch Unterstützung von FQDN-Hosts, Hostgruppen und MAC-Adressen
OpenVPN auf v2.6.0 upgegradet:
- Das OpenVPN-Modul in der Sophos Firewall wurde auf v2.6.0 upgegradet. Dies sorgt für mehr Sicherheit und Performance für SSL VPN. Informationen zu Inkompatibilitäten und empfohlenen Lösungen finden Sie unten.
Verbesserungen bei SD-WAN und VPN:
- Skaliertes SD-WAN minimiert Datenverkehrsstörungen dank viermal besserer Gateway-Verfügbarkeit während HA Failover und Geräteneustarts
- Remote Access SSL VPN bietet nun einen OpenVPN 3.0 Client, den Benutzer vom VPN-Portal herunterladen können
- IPsec Phase-1 IKEv2-Unterstützung von CGM- und Suite-B-Chiffrierfolgen für bessere Interoperabilität und Durchsatz
- Verbesserungen der DHCP-BusyBox mit einer standardmäßigen Lease-Zeit von 30 Sekunden zur Minimierung von WAN-Verbindungsabbrüchen
Zero-Touch-Bereitstellung:
- Komplette Zero-Touch-Bereitstellung neuer Firewalls ist jetzt über Sophos Central möglich – ohne Ressource mit USB-Stick vor Ort (weitere Informationen dazu finden Sie unten)
Weitere Verbesserungen:
- Neuer Generative-AI-Assistent zur Unterstützung bei der Firewall-Verwaltung (siehe Beispiel unten)
- Automatische Erkennung der Lokalisierungssprache bei der Anmeldung basierend auf der Auswahl der Browsersprache
- Neue Option zum Herunterladen von Debug-Dateien
- Neues Beschreibungsfeld für IP-, MAC-, FQDN- und Serviceobjekte
- Verbessertes IPv6-DHCP-PD-Präfix-Update
- Neue CLI-Option zur Umgehung des systemgenerierten Datenverkehrs von IPsec-VPN zwischen Standorten im Falle von „beliebigen“ Übereinstimmungskriterien
- Neues OpenVPN v2.6.0 und StrongSwan v5.9.11 aktualisiert
Wichtiger Hinweis zur SSL-VPN-Kompatibilität
OpenVPN wurde in dieser Version auf 2.6.0 aktualisiert. Firewalls, die auf v20 MR1 aktualisiert wurden, richten keine SSL-VPN-Tunnel mit den folgenden Clients und Firewall-Versionen ein:
- SFOS v18.5 und frühere Versionen (End-of-Life): Zwischen SFOS v18.5 oder früheren Versionen und SFOS v20.0 MR1 werden keine Site-to-Site-SSL-VPNs eingerichtet. Wir empfehlen Ihnen, für alle relevanten Firewalls gleichzeitig ein Upgrade auf v20.0 MR1 zu planen. Alternativ können Sie Site-to-Site-IPsec- oder RED-Tunnel verwenden.
- Legacy SSL VPN Client (End-of-Life): Remote-Access-SSL-VPN-Tunnel werden nicht mit dem Legacy SSL VPN Client eingerichtet, da dieser das End-of-Life bereits erreicht hat. Sie können den Sophos Connect Client oder Clients von Drittanbietern (z. B. OpenVPN Client) oder IPsec-Tunnel für den Remote-Zugriff verwenden.
- UTM9 OS: Zwischen UTM9 OS und SFOS 2v0.0 MR1 werden keine Site-to-Site SSL VPNs eingerichtet. Wir empfehlen, diese Geräte auf v20.0 MR1 zu migrieren. Alternativ können Sie Site-to-Site-IPsec- oder RED-Tunnel verwenden.
Wie erhalte ich die Firmware und Dokumentation?
Das Upgrade auf Sophos Firewall OS v20 MR1 ist für alle lizenzierten Sophos-Firewall-Kunden kostenlos. Wir empfehlen Kunden und Partnern, das Update so bald wie möglich auf allen unterstützten Firewalls zu installieren, um die neuesten Verbesserungen bei Sicherheit, Stabilität und Funktionen zu erhalten.
Diese Firmware-Version folgt unserem regulären Update-Prozess. Sie bzw. Ihre Kunden können SFOS v20 MR1 jederzeit in Sophos Central herunterladen und upgraden. Andernfalls wird das Update in den nächsten Tagen auf allen verbundenen Appliances installiert. Damit Sie und Ihre Kunden das Update planen können, erscheint auf lokalen Geräten und in der Sophos Central Management-Konsole eine Benachrichtigung, wenn das Update verfügbar ist.
Sophos Firewall v20 MR1 ist ein voll unterstütztes Upgrade von allen früheren unterstützten Firmware-Versionen von v20, v19.5 und v19.0. Weitere Informationen entnehmen Sie bitte der Versionsinfo (Registerkarte „Upgrade-Informationen“).
Die vollständige Produktdokumentation ist sowohl online als auch im Produkt verfügbar.
Sehen Sie sich einige der spannenden neuen Funktionen im Detail an:
Sicherer Gerätezugriff
Informieren Sie sich über die neuesten Verbesserungen beim Gerätezugriff und darüber, wie sich der Sicherheitsstatus der über das WAN verfügbaren Dienste optimieren lässt:
Das ist neu:
- Neue Dienste: IPsec/RED
- ZSL-Ausnahmeregel unterstützt neue Hosttypen: FQDN-Host, FQDN-Hostgruppe, Mac-Adresse, Mac-Adressliste
- ZSL-Ausnahmeregeln unterstützen ab sofort neue Dienste: AD SSO, Captive Portal, Radius SSO, Client-Authentifizierung, Chromebook, Wireless, SMTP, SNMP, RED, IPsec
- Verbesserungen der Seite für die Gerätezugriffsverwaltung: Neue VPN-Servicegruppe und zusätzliche Informationen zu Ausnahmeregeln
Neue Zero-Touch-Bereitstellung der Firewall über Sophos Central
Ab sofort können Sie und Ihre Kunden Remote-Firewalls vordefinieren, bereitstellen und anschließend konfigurieren. Vor Ort muss die Firewall nur angeschlossen werden: Ein USB-Gerät ist nicht mehr erforderlich!
So funktioniert‘s:
- Seriennummer des Geräts in Sophos Central eingeben.
- Wichtige Einstellungen in Sophos Central, wie z. B. Zeitzone, LAN-, WAN- und DHCP-Einstellungen, sowie Einstellungen für den anfänglichen Schutz konfigurieren.
- Firewall durch Anschluss des Netz- und WAN-Kabels am Remote-Standort bereitstellen und einschalten. Die Firewall stellt beim Start automatisch eine Verbindung zu Sophos Central her und lädt dann die Konfiguration aus Schritt 2 herunter und wendet sie an.
- Sie bzw. Ihre Kunden können die Firewall jetzt verwalten und die Einrichtung in Sophos Central abschließen.
Weitere Informationen finden Sie in der vollständigen Dokumentation.
Generative AI Firewall Assistant
Ein neuer, auf Generative-AI basierender Sophos-Assistent erleichtert die Firewall-Verwaltung. Sie bzw. Ihre Kunden können dem Assistenten Fragen stellen und erhalten so Anweisungen und Links zu hilfreichen Ressourcen.
Wenn Sie beispielsweise Hilfe bei der Konfiguration von DNAT benötigen, können Sie einfach Fragen stellen:
Der Assistent stellt kurze Anleitungen sowie umfassende Ressourcen mit weiterführenden Informationen bereit.
Automatische Spracherkennung bei der Anmeldung
Ihre Sprache wird automatisch auf dem Anmeldebildschirm basierend auf Ihren Browser-Einstellungen ausgewählt.
Das Release-Update liefert zahlreiche neue Funktionen und Verbesserungen und ist für alle lizenzierten Sophos Firewall-Kunden wie immer kostenlos. Unsere Lösungen bieten Ihren Kunden mit jeder neuen Version einen enormen Mehrwert.
Firmware auf dem aktuellen Stand halten
Dank einer innovativen Hotfix-Funktion der Sophos Firewall senden wir dringende und wichtige Patches automatisch an die Firewall, um neue Zero-Day-Schwachstellen oder andere kritische Probleme zu beheben. So lassen sich Fixes schnell und ohne Ausfallzeiten für Firmware-Upgrades oder Neustarts bereitstellen. Wichtige Korrekturen werden sofort und ohne manuellen Aufwand angewendet.
Wir empfehlen jedoch dringend, die Firewall-Firmware immer auf dem neuesten Stand zu halten, da Maintenance Releases häufig weniger dringende Sicherheitskorrekturen umfassen. Alle Firmware-Updates sind für lizenzierte Sophos Firewall-Kunden kostenlos, sodass Sie und Ihre Kunden ganz ohne Zusatzkosten von den spannenden neuen Funktionen profitieren können.