Sophos Firewall v21.5 est maintenant disponible

ProductsSFOS v21.5Sophos Firewall

Nous allons vous présenter les nouvelles innovations et les fonctionnalités les plus demandées de Sophos Firewall v20.

02 Juin 2025 Par

Après un programme d’accès anticipé (EAP) qui a rencontré un franc succès, l’équipe Sophos Firewall est heureuse d’annoncer que la version 21.5 est désormais disponible pour tous les partenaires et clients Sophos sous licence. Cette version apporte une innovation inédite dans notre secteur : l’intégration du NDR (Network Detection and Response), qui améliore la détection active des menaces sur votre réseau.

Présentation des nouveautés

Regardez cette vidéo, consultez notre Guide des nouveautés, ou consultez nos notes de publication :

 

Innovation inédite dans notre secteur : NDR Essentials

Sophos est le premier à intégrer une solution NDR à un pare-feu, étendant ainsi les avantages de Sophos Firewall aux cas d’usage de type XDR et MDR. Nous avons adopté une approche novatrice consistant à implémenter le NDR dans Sophos Cloud pour décharger le pare-feu de tout le traitement analytique, éliminant ainsi tout risque en matière de baisse de performance. Nous appelons cette fonctionnalité NDR Essentials, et il est important de souligner que nous l’activons pour tous les clients du pare-feu de la série XGS qui disposent du pack de licence Xstream Protection, et ce sans frais supplémentaires.

Comment fonctionne NDR Essentials ?

Sophos Firewall capture les métadonnées du trafic chiffré TLS et des requêtes DNS et envoie ces informations à NDR Essentials dans Sophos Cloud. Ensuite, les données sont analysées à l’aide de plusieurs moteurs IA.  Il peut détecter les charges virales chiffrées malveillantes sans effectuer de déchiffrement TLS. Cette capacité permet de traiter un énorme angle mort dans la plupart des entreprises où l’inspection TLS de type « man-in-the-middle » n’est pas utilisée pour des raisons de performances, de convivialité ou de sécurité.  En fait, dans de nombreux cas, NDR Essentials peut détecter de nouveaux domaines C2 avant même qu’ils ne soient enregistrés.

L’extraction des métadonnées est effectuée par un nouveau moteur léger implémenté au niveau de Xstream FastPath et, par conséquent, l’un des inconvénients de cette nouvelle capacité est qu’elle n’est disponible que sur les pare-feux matériels de la série XGS.  Les pare-feux virtuels, logiciels et Cloud pourront bénéficier de cette capacité d’intégration NDR à l’avenir, mais pas dans la version 21.5.

NDR Essentials est facile à configurer et à utiliser à partir de la section Réponse active aux menaces du produit.

 

Vidéos de démonstration :

Pour plus de détails, poursuivez votre lecture ou regardez ces vidéos de démonstration afin de mieux comprendre comment tirer le meilleur parti des nouvelles fonctionnalités et capacités majeures :

 

Autres améliorations et fonctionnalités les plus demandées

Authentification unique (SSO) Entra ID (Azure AD) pour le VPN d’accès à distance

L’une des fonctionnalités les plus demandées va faciliter l’utilisation du VPN d’accès à distance par les utilisateurs finaux, leur permettant ainsi d’utiliser leurs identifiants de réseau d’entreprise avec le client Sophos Connect et le portail VPN du pare-feu :

  • L’intégration de l’authentification unique (SSO) Entra ID (Azure AD) avec Sophos Connect et le portail VPN est désormais incluse dans SFOS v21.5.
  • Cette fonctionnalité offre une intégration Cloud-Native avec les protocoles standard du secteur OAuth 2.0 et OpenID Connect pour une expérience transparente.
  • Une prise en charge du client Sophos Connect 2.4 (et versions ultérieures) au niveau de Microsoft Windows est également disponible.
  • Autres améliorations au niveau du VPN et de l’évolutivité

 

Améliorations de l’interface utilisateur et de la convivialité

Les types de connexion ont été renommés en passant de « site-à-site » (site-to-site) à « basé sur des stratégies » (policy-based), et les interfaces de tunnel ont été renommées en utilisant désormais le terme « basé sur le routage » (route-based) pour les rendre plus intuitives.

  • Validation améliorée du pool d’allocation d’adresses IP : accès VPN à distance via SSLVPN, IPsec, L2TP et PPTP pour éliminer les conflits IP potentiels.
  • Application stricte du profil : au niveau des profils IPsec qui excluent les valeurs par défaut pour garantir un handshake réussi, éliminant ainsi la fragmentation potentielle des paquets et les tunnels qui ne parviennent pas à s’établir correctement.
  • Évolutivité du VPN basée sur le routage : la capacité VPN basée sur le routage est doublée avec une prise en charge pouvant atteindre jusqu’à 3 000 tunnels.
  • Évolutivité de la solution SD-RED : Les solutions Sophos Firewall prennent désormais en charge jusqu’à 1 000 tunnels RED site à site et jusqu’à 650 périphériques SD-RED.

 

Sophos DNS Protection

L’année dernière, nous avons lancé notre service de protection DNS et l’avons rendu gratuit pour tous les clients de pare-feu sous licence Xstream Protection. Avec cette version, Sophos DNS Protection bénéficie d’une intégration plus poussée avec Sophos Firewall :

  • Nouveau widget du centre de contrôle pour indiquer l’état de sécurité du service.
  • Nouvelles informations en matière de dépannage via le logging et les notifications.
  • Nouveau tutoriel pas à pas sur la façon de configurer facilement Sophos DNS Protection.

 

Améliorations en matière de gestion optimisée et de convivialité

Comme pour chaque nouvelle version de Sophos Firewall, cette édition comprend des améliorations en matière de convivialité qui optimisent la gestion au quotidien :

  • Colonnes de tableau redimensionnables : une fonctionnalité demandée depuis longtemps, de nombreux écrans d’état et de configuration du pare-feu prennent désormais en charge des largeurs de colonne redimensionnables qui sont conservées dans la mémoire du navigateur pour les visites ultérieures. De nombreux écrans tels que SD-WAN, NAT, SSL, hôtes et services, et VPN site à site, bénéficient tous de cette nouvelle fonctionnalité.
  • Recherche en texte libre étendue : les routes SD-WAN permettent désormais de rechercher par nom de route, ID, objets et valeurs d’objet comme les adresses IP, les domaines ou d’autres critères. Les règles ACL locales prennent désormais également en charge la recherche par nom d’objet et valeur d’objet, notamment la recherche basée sur le contenu.
  • Configuration par défaut : à la demande générale, les règles de pare-feu et le groupe de règles par défaut précédemment créés lors de la configuration d’un nouveau pare-feu ont été supprimés, seules la règle réseau par défaut et les règles MTA étant fournies lors de la configuration initiale. Le groupe de règles de pare-feu par défaut et les sondes de la passerelle par défaut pour les passerelles personnalisées sont tous deux définis sur « Aucun » (None) par défaut.
  • Nouvelle police : l’interface utilisateur de Sophos Firewall arbore désormais une nouvelle police plus claire, plus propre et plus nette pour une meilleure lisibilité et des performances améliorées.

 

Autres améliorations

  • Licences virtuelles, logicielles et Cloud : au cas où vous l’auriez manqué, toutes les licences virtuelles, logicielles et Cloud (BYOL) de Sophos Firewall n’ont plus de limites de RAM. Les licences sont désormais strictement limitées par le nombre de cœurs et n’ont aucune restriction en termes de RAM.
  • Limite de taille de fichier plus grande dans le WAF : prise en charge d’une limite de taille de fichier de requête (upload) configurable pour le WAF (Web Application Firewall), qui peut désormais analyser des fichiers jusqu’à 1 Go.
  • La sécurité dès la conception (Secure by design) : nous améliorons continuellement la sécurité de Sophos Firewall et, dans cette version, nous ajoutons une collecte de télémétrie en temps réel pour signaler toute modification inattendue des fichiers principaux du système d’exploitation à l’aide d’une validation de hachage sécurisée. Cette possibilité permettra à nos équipes de surveillance d’identifier de manière proactive les incidents de sécurité potentiels avant qu’ils ne deviennent un véritable problème.
  • Assouplissement de la délégation du préfixe DHCP : prise en charge désormais des préfixes /48 à /64, améliorant ainsi l’interopérabilité avec les FAI. Les annonces de routeur (RA : Router Advertisements) et le serveur DHCPv6 sont désormais également activés par défaut.
  • Détection du chemin MTU : cette fonctionnalité résoudra les erreurs de déchiffrement TLS dues à la dernière prise en charge de l’échange de clés ML-KEM (Kyber) dans les navigateurs. Le moteur d’inspection approfondie des paquets (DPI) de Sophos Firewall détectera et ajustera désormais automatiquement le MTU pour chaque flux, garantissant des performances optimales en fonction des conditions spécifiques du réseau.
  • NAT64 (trafic IPv6 vers IPv4) : NAT64 est pris en charge pour le trafic IPv6 vers IPv4 en mode proxy explicite. Dans ce mode, les clients IPv6 uniquement peuvent accéder aux sites Web IPv4. Le pare-feu prend en charge également un proxy amont IPv4 uniquement pour les clients Ipv6.

 

Comment obtenir la v21.5 ?

Comme pour chaque version de pare-feu, Sophos Firewall v21.5 est une mise à niveau gratuite pour les clients Sophos Firewall bénéficiant d’un support Enhanced ou Enhanced Plus et doit être appliquée à tous les pare-feux pris en charge, et ce dès que possible. Cette version contient non seulement d’excellentes fonctionnalités et améliorations en matière de performances, mais également des correctifs de sécurité importants.

Cette version du firmware suivra notre processus de mise à jour standard.

Vous pouvez soit attendre que la notification de mise à jour du firmware apparaisse dans Sophos Central ou dans la console de votre appareil local, soit télécharger manuellement le dernier firmware de Sophos Firewall depuis Sophos Central à tout moment.

Voici un petit rappel pour obtenir le dernier firmware depuis Sophos Central :

  1. Connectez-vous à votre compte Sophos Central et sélectionnez « Licences » dans le menu déroulant sous le nom de votre compte en haut à droite de la console Sophos Central.
  2. Sélectionnez « Licences de pare-feu » en haut à gauche de cet écran.
  3. Sélectionnez le périphérique pare-feu que vous souhaitez mettre à jour en cliquant sur le « > » pour afficher les licences et les mises à jour du firmware disponibles pour ce dernier.
  4. Cliquez sur la version du firmware que vous souhaitez télécharger (notez qu’il existe actuellement un problème avec les téléchargements effectués depuis Safari, veuillez donc utiliser un autre navigateur tel que Chrome, par exemple).
  5. Vous pouvez également cliquer sur « Autres téléchargements » dans la même case ci-dessus pour accéder aux programmes d’installation initiaux et aux mises à jour du firmware de la plateforme logicielle.

Le nouveau firmware v21.5 sera progressivement déployé sur tous les appareils connectés au cours des prochaines semaines. Une notification apparaîtra sur votre appareil local ou sur la console d’administration Sophos Central lorsque la mise à jour sera disponible, vous permettant ainsi de la planifier à votre convenance.

Sophos Firewall v21.5 est une mise à niveau entièrement prise en charge à partir de toute version du firmware Sophos Firewall déjà prise en charge.

 

Merci !

Un grand merci à tous nos partenaires et clients dévoués, en particulier à ceux qui ont contribué à faire de cette version la meilleure possible en participant au programme d’accès anticipé… Merci !

À propos de l’auteur

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.