Siamo lieti di annunciare la disponibilità di Sophos Firewall v20 MR1. Si tratta della nostra release di manutenzione più importante, che in termini di nuove funzionalità è in grado di competere con una versione principale del firewall.
Cosa c’è di nuovo
Sicurezza e accesso al firewall
- Gli aggiornamenti sull’accesso ai dispositivi forniscono un controllo più granulare su quali servizi sono accessibili sulla WAN, migliorando la sicurezza del firewall (per maggiori dettagli, vedere sotto).
- Nuovi servizi aggiunti all’elenco delle eccezioni ACL locali: AD SSO, captive portal, RADIUS SSO, autenticazione client, Chromebook, wireless, SMTP, RED e IPsec.
- Maggiore flessibilità nelle eccezioni alle regole di accesso con il supporto di host FQDN, gruppi di host e indirizzi MAC.
OpenVPN aggiornato alla versione 2.6.0
- Il modulo OpenVPN di Sophos Firewall è stato aggiornato alla versione 2.6.0 per migliorare la sicurezza e le prestazioni della VPN SSL. Per le incompatibilità e le soluzioni consigliate, consultare i dettagli riportati di seguito.
Miglioramenti SD-WAN e VPN
- SD-WAN scalabile con un’interruzione minima del traffico e un miglioramento di 4 volte del tempo di disponibilità del gateway durante gli eventi di failover HA e di riavvio dei dispositivi.
- L’accesso remoto SSL VPN offre ora un client OpenVPN 3.0 che gli utenti possono scaricare dal portale VPN.
- Supporto IPsec Phase-1 IKEv2 per GCM e Suite-B, per migliorare l’interoperabilità e il throughput.
- Miglioramenti a DHCP Busybox con un tempo di lease predefinito di 30 secondi per eliminare i problemi di disconnessione WAN
Implementazione zero-touch
- L’implementazione zero-touch di nuovi firewall è ora possibile tramite Sophos Central, senza la necessità di una risorsa in loco con una chiave USB (maggiori informazioni su come utilizzarla qui di seguito).
Altri miglioramenti
- Nuovo assistente Generative-AI per aiutare nella gestione del firewall (vedi esempio sotto)
- Rilevamento automatico della lingua di localizzazione al momento dell’accesso, in base alla selezione della lingua del browser
- Nuova opzione di download dei file di debug
- Nuovo campo di descrizione per gli oggetti IP, MAC, FQDN e servizi
- Miglioramento dell’aggiornamento del prefisso DHCP-PD IPv6
- Nuova opzione CLI per escludere il traffico generato dal sistema dalla VPN site-to-site IPsec in caso di criteri di corrispondenza “ Any ”.
- Nuovi aggiornamenti OpenVPN v2.6.0 e StrongSwan v5.9.11
Nota importante sulla compatibilità con SSL VPN
OpenVPN è stato aggiornato a 2.6.0 in questa versione. I firewall aggiornati alla v20 MR1 non potranno stabilire tunnel SSL VPN con i seguenti client e versioni di firewall:
- SFOS v18.5 e versioni precedenti (fine vita): Le VPN SSL site-to-site non verranno stabilite tra SFOS v18.5 o versioni precedenti e SFOS v20.0 MR1. Si consiglia di pianificare l’aggiornamento alla versione 20.0 MR1 per tutti i firewall interessati contemporaneamente. In alternativa, è possibile utilizzare tunnel IPsec o RED site-to-site.
- Client SSL VPN legacy (fine vita): I tunnel SSL VPN di accesso remoto non possono essere creati con il client SSL VPN legacy, che è già fuori produzione. È possibile utilizzare il client Sophos Connect o client di terze parti, come il client OpenVPN, oppure utilizzare tunnel IPsec per l’accesso remoto.
- UTM9 OS: Le VPN SSL site-to-site non verranno stabilite tra UTM9 OS e SFOS 2v0.0 MR1. Si consiglia di migrare questi dispositivi alla versione 20.0 MR1. In alternativa, è possibile utilizzare tunnel IPsec o RED site-to-site.
Come ottenere il firmware e la documentazione
Sophos Firewall OS v20 MR1 è un aggiornamento gratuito per tutti i clienti di Sophos Firewall con licenza e deve essere applicato a tutti i dispositivi firewall supportati il prima possibile, per assicurarsi di disporre di tutte le ultime correzioni in materia di sicurezza, affidabilità e prestazioni.
Questo rilascio del firmware seguirà il nostro processo di aggiornamento standard. È possibile scaricare manualmente SFOS v20 MR1 da Sophos Central e aggiornare in qualsiasi momento. Altrimenti, l’update verrà distribuito a tutti i dispositivi connessi nel corso delle prossime settimane. Quando l’aggiornamento è disponibile, sul dispositivo locale o sulla console di gestione Sophos Central apparirà una notifica che consentirà di programmarlo a proprio piacimento.
Sophos Firewall OS v20 MR1 è pienamente supportato da tutte le versioni precedenti della v20, v19.5 e v19.0. Per maggiori dettagli, consultare la scheda Informazioni nelle note di rilascio.
La documentazione completa è disponibile online e all’interno del prodotto stesso.
Ecco in dettaglio alcune delle nuove funzioni…
Sicurezza dell’accesso ai dispositivi
Assicuratevi di controllare i più recenti miglioramenti dell’accesso ai dispositivi e di limitare i servizi resi disponibili sulla WAN per migliorare la vostra sicurezza:
Novità:
- Nuovi servizi aggiunti: IPsec/RED
- La regola di eccezione ACL supporta nuovi tipi di host: host FQDN, gruppo di host FQDN, indirizzo MAC, elenco di indirizzi MAC.
- Le regole di eccezione ACL supportano ora nuovi servizi: AD SSO, captive portal, Radius SSO, autenticazione client, Chromebook, wireless, SMTP, SNMP, RED, IPsec
- Miglioramenti alla pagina di gestione dell’accesso ai dispositivi, con un nuovo gruppo di servizi VPN e l’aggiunta di informazioni per le regole di eccezione.
Nuovo deployment zero-touch dei firewall da Sophos Central
Ora è possibile predefinire, distribuire e completare la configurazione dei firewall remoti senza dover fare nulla in loco, se non collegarli. Non è più necessario un dispositivo USB!
Ecco come funziona:
- Inserire il numero di serie del dispositivo in Sophos Central
- Preconfigurare alcune impostazioni essenziali in Sophos Central, come il fuso orario, le impostazioni LAN, WAN e DHCP e le preferenze di protezione iniziali.
- Installare il firewall nella sede remota collegando i cavi di alimentazione e WAN e accenderlo. All’avvio il firewall si connetterà automaticamente a Sophos Central e scaricherà e applicherà la configurazione del punto 2.
- A questo punto è possibile gestire il firewall e completare la configurazione in Sophos Central.
Per maggiori dettagli, consultare la documentazione completa.
Assistente di AI generativa per il firewall
Per aiutarvi nella gestione del vostro firewall, è stato integrato un nuovo assistente AI generativo. È possibile porre all’assistente qualsiasi domanda in linguaggio semplice e l’assistente fornirà istruzioni e link a risorse utili.
Ad esempio, se si desidera assistenza per la configurazione del DNAT, è sufficiente chiedere:
Non solo riceverete una breve serie di istruzioni che vi guideranno, ma anche un elenco completo di risorse per approfondire l’argomento, se necessario.
Rilevamento automatico della lingua al momento dell’accesso
La lingua verrà selezionata automaticamente nella schermata di login in base alle preferenze del browser.
Nel complesso, questa release è un aggiornamento eccezionale per il vostro firewall e, come sempre, è gratuita per tutti i clienti di Sophos Firewall con licenza. Con Sophos, continuate a beneficiare di un enorme valore aggiunto con ogni release.
Mantenere il firmware aggiornato
Sophos Firewall integra un’innovativa funzionalità di hotfix che ci consente di inviare al firewall patch urgenti e importanti “via etere” per risolvere eventuali nuove vulnerabilità zero-day o altri problemi critici. Ciò consente di applicare rapidamente una correzione senza richiedere i tempi di inattività normalmente associati all’aggiornamento e al riavvio del firmware. Il vantaggio è che le correzioni importanti vengono applicate immediatamente senza alcuno sforzo manuale da parte dell’utente.
Tuttavia, è molto importante assicurarsi che il firmware del firewall sia sempre aggiornato, poiché le correzioni di sicurezza non urgenti sono spesso integrate nelle release di manutenzione. Dal momento che tutti gli aggiornamenti del firmware sono gratuiti per i clienti di Sophos Firewall con licenza, non c’è motivo di non approfittare di tutti gli importanti benefici di ogni release.