sophos-firewall
Produits et Services PRODUITS & SERVICES

Sophos Firewall v21.5 est maintenant disponible

Nous allons vous présenter les nouvelles innovations et les fonctionnalités les plus demandées de Sophos Firewall v21.5.
Texte écrit par
3 juin 2025
Products & Services

Après un programme d’accès anticipé (EAP) qui a rencontré un franc succès, l’équipe Sophos Firewall est heureuse d’annoncer que la version 21.5 est désormais disponible pour tous les partenaires et clients Sophos sous licence.

Cette version apporte une innovation inédite dans notre secteur : l’intégration du NDR (Network Detection and Response), qui améliore la détection active des menaces sur votre réseau.

Présentation des nouveautés

Regardez cette courte vidéo pour découvrir cette dernière version :

Pour en savoir plus

Regardez les différentes vidéos de démonstration présentées ci-dessous afin d’avoir un aperçu plus approfondi pour exploiter au maximum les principales nouvelles fonctionnalités ou bien consultez la série d’articles concernant cette dernière version :

De plus, vous pouvez aussi consulter le Guide des nouveautés, les notes de version ou poursuivre votre lecture pour obtenir plus de détails.

Aperçu complet et détaillé

Innovation inédite dans notre secteur : NDR Essentials

Sophos est le premier à intégrer une solution NDR à un pare-feu, étendant ainsi les avantages de Sophos Firewall aux cas d’usage de type XDR et MDR.

Nous avons adopté une approche novatrice consistant à implémenter le NDR dans Sophos Cloud pour décharger le pare-feu de tout le traitement analytique, éliminant ainsi tout risque en matière de baisse de performance.

Nous appelons cette fonctionnalité NDR Essentials, et il est important de souligner que nous l’activons pour tous les clients du pare-feu de la série XGS qui disposent du pack de licence Xstream Protection, et ce sans frais supplémentaires.

Comment fonctionne NDR Essentials ?

Sophos Firewall capture les métadonnées du trafic chiffré TLS et des requêtes DNS et envoie ces informations à NDR Essentials dans Sophos Cloud. Ensuite, les données sont analysées à l’aide de plusieurs moteurs IA.

Il peut détecter les charges virales chiffrées malveillantes sans effectuer de déchiffrement TLS. Cette capacité permet de traiter un énorme angle mort dans la plupart des entreprises où l’inspection TLS de type “man-in-the-middle” n’est pas utilisée pour des raisons de performances, de convivialité ou de sécurité.

De plus, le moteur DGA (Domain Generation Algorithm) de NDR Essentials détecte les domaines nouveaux et suspects générés par des malwares qui sont souvent un indicateur clé de compromission. En fait, dans de nombreux cas, NDR Essentials peut détecter de nouveaux domaines C2 avant même qu’ils ne soient enregistrés.

L’extraction des métadonnées est effectuée par un nouveau moteur léger implémenté au niveau de Xstream FastPath et, par conséquent, l’un des inconvénients de cette nouvelle capacité est qu’elle n’est disponible que sur les pare-feu matériels de la série XGS.  Les pare-feu virtuels, logiciels et Cloud pourront bénéficier de cette capacité d’intégration NDR à l’avenir, mais pas dans la version 21.5.

sophos-firewall

NDR Essentials est facile à configurer et à utiliser à partir de la section Active Threat Response (Réponse active aux menaces) du produit.

Autres améliorations et fonctionnalités les plus demandées

Authentification unique (SSO) Entra ID (Azure AD) pour le VPN d’accès à distance

L’une des fonctionnalités les plus demandées va faciliter l’utilisation du VPN d’accès à distance par les utilisateurs finaux, leur permettant ainsi d’utiliser leurs identifiants de réseau d’entreprise avec le client Sophos Connect et le portail VPN du pare-feu :

  • L’intégration de l’authentification unique (SSO) Entra ID (Azure AD) avec Sophos Connect et le portail VPN est désormais incluse dans SFOS v21.5.
  • Cette fonctionnalité offre une intégration Cloud-Native avec les protocoles standard du secteur OAuth 2.0 et OpenID Connect pour une expérience transparente.
  • Une prise en charge du client Sophos Connect 2.4 (et versions ultérieures) au niveau de Microsoft Windows est également disponible.
  • Autres améliorations au niveau du VPN et de l’évolutivité.

Améliorations de l’interface utilisateur et de la convivialité

Les types de connexion ont été renommés en passant de “site-à-site” (site-to-site) à “basé sur des stratégies” (policy-based), et les interfaces de tunnel ont été renommées en utilisant désormais le terme “basé sur le routage” (route-based) pour les rendre plus intuitives.

  • Validation améliorée du pool d’allocation d’adresses IP : accès VPN à distance via SSLVPN, IPsec, L2TP et PPTP pour éliminer les conflits IP potentiels.
  • Application stricte du profil : au niveau des profils IPsec qui excluent les valeurs par défaut pour garantir un handshake réussi, éliminant ainsi la fragmentation potentielle des paquets et les tunnels qui ne parviennent pas à s’établir correctement.
  • Évolutivité du VPN basée sur le routage : la capacité VPN basée sur le routage est doublée avec une prise en charge pouvant atteindre jusqu’à 3 000 tunnels.
  • Évolutivité de la solution SD-RED : les solutions Sophos Firewall prennent désormais en charge jusqu’à 1 000 tunnels RED site à site et jusqu’à 650 périphériques SD-RED.

Sophos DNS Protection

L’année dernière, nous avons lancé notre service DNS Protection et l’avons rendu gratuit pour tous les clients de pare-feu sous licence Xstream Protection. Avec cette version, Sophos DNS Protection bénéficie d’une intégration plus poussée avec Sophos Firewall.

  • Nouveau widget du centre de contrôle (Control Center) pour indiquer l’état de sécurité du service.
  • Nouvelles informations en matière de dépannage (troubleshooting) via la journalisation (logging) et les notifications.
  • Nouveau tutoriel pas à pas sur la façon de configurer facilement Sophos DNS Protection.

Améliorations en matière de gestion optimisée et de convivialité

Comme pour chaque nouvelle version de Sophos Firewall, cette édition comprend des améliorations en matière de convivialité qui optimisent la gestion au quotidien.

  • Colonnes de tableau redimensionnables : fonctionnalité demandée depuis longtemps, de nombreux écrans d’état et de configuration du pare-feu prennent désormais en charge les largeurs de colonnes redimensionnables qui sont conservées dans la mémoire du navigateur pour les visites ultérieures. De nombreux écrans tels que SD-WAN, NAT, SSL, hôtes et services, et VPN site à site, bénéficient tous de cette nouvelle fonctionnalité.
  • Recherche en texte libre étendue : les routes SD-WAN permettent désormais de rechercher par nom de route, ID, objets et valeurs d’objets comme les adresses IP, les domaines ou d’autres critères. Les règles ACL locales prennent désormais également en charge la recherche par nom et valeur d’objet, y compris la recherche basée sur le contenu.
  • Configuration par défaut : à la demande générale, les règles de pare-feu par défaut et le groupe de règle précédemment créés lors de la configuration d’un nouveau pare-feu ont été supprimés, seules la règle réseau par défaut et les règles MTA étant fournies lors de la configuration initiale. Le groupe de règle de pare-feu par défaut et la sonde de passerelle par défaut pour les passerelles personnalisées sont tous deux définis sur “Aucun (none)” par défaut.
  • Nouvelle police : l’interface utilisateur de Sophos Firewall arbore désormais une nouvelle police plus claire plus propre et plus nette pour une meilleure lisibilité et des performances améliorées

Autres améliorations

  • Licences virtuelles, logicielles et Cloud : au cas où vous l’auriez manqué, toutes les licences virtuelles, logicielles et Cloud (BYOL) de Sophos Firewall n’ont plus de limites de RAM. Les licences sont désormais strictement limitées par le nombre de cœurs et n’ont aucune restriction en termes de RAM.
  • Limite de taille de fichier plus grande dans le WAF : prise en charge d’une limite de taille de fichier au niveau de la requête (upload) configurable pour le WAF (Web Application Firewall), qui peut désormais analyser des fichiers jusqu’à 1 Go.
  • La sécurité dès la conception (Secure by design) : nous améliorons continuellement la sécurité de Sophos Firewall et, dans cette version, nous ajoutons une collecte de télémétrie en temps réel pour signaler toute modification inattendue des fichiers principaux du système d’exploitation à l’aide d’une validation de hachage sécurisée. Cette possibilité permettra à nos équipes de surveillance d’identifier de manière proactive les incidents de sécurité potentiels avant qu’ils ne deviennent un véritable problème.
  • Assouplissement de la délégation du préfixe DHCP : prise désormais en charge des préfixes /48 à /64, améliorant ainsi l’interopérabilité avec les FAI. Les annonces de routeur (RA : Router Advertisements) et le serveur DHCPv6 sont désormais également activés par défaut.
  • Détection du chemin MTU : cette fonctionnalité résoudra les erreurs de déchiffrement TLS dues à la dernière prise en charge de l’échange de clés ML-KEM (Kyber) dans les navigateurs. Le moteur d’inspection approfondie des paquets (DPI : Deep Packet Inspection) de Sophos Firewall détectera et ajustera désormais automatiquement le MTU pour chaque flux, garantissant des performances optimales en fonction des conditions spécifiques du réseau.
  • NAT64 (trafic IPv6 vers IPv4) : NAT64 est pris en charge pour le trafic IPv6 vers IPv4 en mode proxy explicite. Dans ce mode, les clients IPv6 uniquement peuvent accéder aux sites Web IPv4. Le pare-feu prend en charge également un proxy amont IPv4 uniquement pour les clients Ipv6.

Comment obtenir la v21.5 ?

Comme pour chaque version de pare-feu, Sophos Firewall v21.5 est une mise à niveau gratuite pour les clients Sophos Firewall bénéficiant d’un support Enhanced ou Enhanced Plus et doit être appliquée à tous les pare-feu pris en charge, et ce dès que possible. Cette version contient non seulement d’excellentes fonctionnalités et améliorations en matière de performances, mais également des correctifs de sécurité importants.

Sophos Firewall v21.5 est une mise à niveau entièrement prise en charge à partir de toute version du firmware Sophos Firewall déjà prise en charge.

Cette version du firmware suivra notre processus de mise à jour standard. Le nouveau firmware v21.5 sera progressivement déployé sur tous les appareils connectés au cours des prochaines semaines. Une notification apparaîtra sur votre appareil local ou sur la console d’administration Sophos Central lorsque la mise à jour sera disponible, vous permettant ainsi de la planifier à votre convenance.

Vous pouvez soit attendre que la notification de mise à jour du firmware apparaisse dans Sophos Central ou dans la console de votre appareil local, soit télécharger manuellement le dernier firmware de Sophos Firewall depuis Sophos Central à tout moment.

Voici un petit rappel pour obtenir le dernier firmware depuis Sophos Central :

  1. Connectez-vous à votre compte Sophos Central et sélectionnez “Licences” (Licensing) dans le menu déroulant sous le nom de votre compte en haut à droite de la console Sophos Central.

sophos-firewall

2. Sélectionnez les “Licences” Firewall (Firewall licenses) en haut à gauche de cet écran.

sophos-firewall

3. Développez le périphérique de pare-feu que vous souhaitez mettre à jour en cliquant sur le symbole  “>” pour afficher les licences et les mises à jour du firmware disponibles pour ce dernier.

sophos-firewall

4. Cliquez sur la version du firmware que vous souhaitez télécharger (notez qu’il existe actuellement un problème avec les téléchargements effectués depuis Safari, veuillez donc utiliser un autre navigateur tel que Chrome, par exemple).

5. Vous pouvez également cliquer sur “Autres téléchargements” dans la même case ci-dessus pour accéder aux programmes d’installation initiaux et aux mises à jour du firmware de la plateforme logicielle.

Encore une fois, le nouveau firmware v21.5 sera progressivement déployé sur tous les appareils connectés au cours des prochaines semaines. Une notification apparaîtra sur votre appareil local ou sur la console d’administration Sophos Central lorsque la mise à jour sera disponible, vous permettant ainsi de la planifier à votre convenance.

Billet inspiré de Sophos Firewall v21.5 is now available, sur le Blog Sophos.

À propos de l’auteur

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.

Lire des articles similaires