Sophos XG Firewall v18 – die Besonderheiten der neuen Version

Am Montag dieser Woche hat Sophos nach einer dreigeteilten BETA-Phase die neue Version des SF-OS freigegeben.

Das SF-OS ist das Betriebssystem der XG Firewall und nun in der Version v18 verfügbar.

Was ist an der neuen Version besonders?

Sophos hat aus den Lehren der vorhergehenden SF-OS Versionen gelernt und weitere Funktionen hinzugefügt. Komplett neu ist die Xstream Architektur. Die Architektur verbindet eine optimierte Paketverarbeitung mit der Möglichkeit, tiefgreifende Analysen des Datenverkehrs durchzuführen.

Innerhalb der Architektur gibt es eine neue SSL Inspection Engine, eine neue DPI Engine und eine überarbeitete Paketverarbeitung (FastPath). Alle Module sind als eigenständig und unabhängige Module umgesetzt, um die Paketbearbeitung zu optimieren. Die SSL Inspection Engine unterstützt das Offloading von TLS 1.3 und erkennt neben den genutzten SSL Versionen auch die Verschlüsselungsalgorithmen. Ähnlich wie bei PaloAlto können granulare Konfigurationen vorgenommen werden, die bestimmen, welche Algorithmen beziehungsweise SSL Versionen erlaubt oder verboten werden.

Das DPI Engine Modul kann über die Konfiguration hinzukonfiguriert werden. Einzelne Teilmodule, wie zum Beispiel AV-Scan oder IPS, können separat und unabhängig der vorangegangenen Module angesprochen werden. Bisher mussten Pakete alle Schutzmodule nacheinander durchlaufen, ohne dass einzelne Module komplett umgangen werden konnten, selbst wenn diese nicht innerhalb der Konfiguration aktiviert wurden.

Komplett neu ist das FastPath Modul, das implementiert wurde, um die Paketbearbeitung zu optimieren. Hier werden grundlegend die Datenpakete auf Layer 2 und Layer 3 bearbeitet. Abhängig von den jeweilig aktivierten Schutzmodulen werden die Pakete aus dem FastPath an das Schutzmodul übergeben und nach der Bearbeitung wieder in den FastPath zurückgegeben.

Zukünftig ist geplant den FastPath auch hardwareseitig in Form von dedizierten Chipsätzen innerhalb der Firewalls abzubilden .

Weitere neu hinzugekommene Funktionen sind

  • Authentifizierung am WebProxy mit NTLM bzw. Kerberos
  • eigenständige und granular definierbare NAT Regeln
  • DKIM und BATV Check im SMTP Proxy
  • granluare Konfigurationsmöglichkeiten für Benachrichtigungen
  • Freischaltung der Verwaltung aus Sophos Central (u.a. zentrale Regelkonfiguration, zentrales Reporting, Gruppierung von Firewalls)
  • Erweiterung der Sandstormanalyse (inklusion von Machine Learning / Deep Learning)

Neue Anforderungen an die Hardware

Mit dem neuen Release gibt es neue Anforderungen an die Hardware. Das SF-OS benötigt mindestens 4 GB Arbeitsspeicher. Deshalb werden die Hardwaremodelle XG85(w), XG105(w) und XG105(w) nicht mehr unterstützt. Alle anderen Hardwaremodelle der SG und XG Serien werden durch das SF-OS in der Version 18 supportet.

Mit dem Release der Version 18.5 werden ausschließlich die aktuell verfügbaren Hardwaremodelle (s. Sophos Retirement Calendar) unterstützt. Aktuell avisiert Sophos den Release der neuen Hardware für das Q4 2020 (XG Serien 100 – 600), Q1 2021 (komplette SG Hardware) bzw. Q2 2021 (XG Serie 700 und NEU 800). Diese Releasedaten sind ohne Gewähr und dienen als Ausblick in die Planung.

Parallel zum SO-OF sind auch erweiterte Verwaltungsfunktionen in Sophos Central Firewall freigeschaltet worden. Die Funktionen umfassen die zentrale Konfiguration von Regeln, die Gruppierung von Firewalls in Gruppen sowie neue Reportingfunktionen.

CEMA Webinar!

Sophos XG-Firewall v18 – Änderungen im Überblick

06. März 2020 | 11 Uhr!

Jetzt anmelden!