Software-update: Sophos Firewall OS 19.0

Sophos heeft onlangs een nieuwe versie vrijgegeven van haar Firewall met 19.0 GA als versienummer. Deze software wordt geleverd op fysieke hardware, in een soft-appliance voor VMware, Hyper-V, Xen en KVM, of via de cloud marketplaces van AWS, Azure of Nutanix. Naast de betaalde varianten voor bedrijven biedt Sophos deze firewall voor thuisgebruik zonder kosten aan, zoals op deze pagina te lezen is. Voor de verschillende image- en updatebestanden kun je terecht op het MySophos-portaal. De lijst met veranderingen van deze uitgave ziet er als volgt uit:

Sophos Firewall OS v19 is Now Available

Networking has evolved substantially over the last few years with more users working remotely, networks becoming more distributed, and cloud application usage exploding. Sophos is ensuring you keep pace with new products like ZTNA for remote workers, and now an extremely powerful and helpful Sophos Firewall release with Xstream SD-WAN.

SFOS v19 delivers greatly enhanced SD-WAN, VPN, and networking capabilities, enabling you to easily meet your networking goals, while making day-to-day management even easier.

SFOS v19 Highlights:
  • Xstream SD-WAN utilizing the powerful performance of the Xstream Flow Processors in all XGS Series appliances to put IPsec traffic on the FastPath resulting in up to a 5x VPN performance improvement
  • Performance-Based Link Selection ensures your most important traffic is routed over your best performing WAN connection, based upon latency, jitter, or packet loss
  • Zero-Impact Transitions between WAN links ensures end-user applications are not impacted by ISP outages or disruption
  • SD-WAN Orchestration in Sophos Central enables you to quickly and easily setup complex site-to-site VPN overlay networks with just a few clicks
  • VPN Enhancements make it much easier and more intuitive to manage your site-to-site and remote-access VPN connections including a new AWS VPC import tool
  • New Search Capabilities allow you to quickly find exactly what you’re looking for, both in the product, and in your networking objects when building rules
The full list of new features is available in the What’s New PDF and you can take a quick tour of the new features in this video.

How to Get the Firmware, Documentation and Training

As usual, Sophos Firewall OS v19 is a free upgrade for all licensed Sophos Firewall customers and should be applied to all supported firewall devices as soon as possible as it not only contains great features and performance enhancements, but also important security fixes.

You can manually download SFOS v19 from Licensing Portal and update anytime. Otherwise, it will be rolled out to all connected devices over the coming weeks. A notification will appear on your local device or Sophos Central management console when the update is available allowing you to schedule the update at your convenience.

Sophos Firewall OS v19 is a fully supported upgrade from v17.5 MR14 and later, v18 MR3 and later and all previous versions of v18.5 including v18.5 MR3. Please refer to the Upgrade information tab in the release notes for more details.

Check out the SFOS v19 release notes for full details.

Update training (for v18.5 to v19) is available on the Sophos Training Portal.
Versienummer 19.0 GA
Releasestatus Final
Website Sophos
Download http://www.sophos.com/MySophos?cmp=26058
Licentietype Freeware/Betaald

Reacties (17)

Wijzig sortering
Gewoon uit pure interesse maar waarom dit boven bijvoorbeeld Opnsense.
Voor bedrijven kan misschien de support een reden zijn maar wat is het USP voor home users?
Het is allemaal ouderwetse marketing en marges.

Sophos heeft echt geen voordeel in de standaard firewall zaken of doorvoer. Sterker nog, ze leggen het vaak volledig af tegen de hardware van OPNSense zelf.

Maar op open-source maak je geen marge als verkoper. Daarom drukken ze Sophos, Zyxel, Watchguard of een ander 'groot' merk naar binnen. Die merken hebben wel kleine voordelen zoals site-nodes (zoals
Sophos RED) die minder configuratie nodig hebben maar dat is het prijsverschil naar mijn mening nog nooit waard geweest. Zeker niet de dure 'support' contracten waardoor je niet eens kunt updaten als je geen support contract hebt.

Persoonlijk heb ik het nog nooit gesnapt dat klanten niet eens een Google zoektocht doen over wat ze kopen. Ik denk dat ze vooral hun geweten af willen kopen. De verkoper gaf aan dat dit de beste van de beste was dus dan hoef ik er niet meer naar om

Uiteindelijk is Sophos zeker niet slecht maar ik ken niemand die het ooit in een businesscase heeft kunnen uitleggen waarom dit nu de beste keuze was. In het datacenter gebruikt men over het algemeen gewoon PFSense.

In moderne netwerken (SDN) zit firewall functionaliteit standaard verwerkt en zijn we hopelijk af van deze rare opzet.
Dat is kort door de bocht. In mijn ervaring zijn commerciele firewalls een pak beter in antivirus- en malware filtering in vergelijking met opensource firewalls, en dat is ook waar je voor betaald (dat zit meestal mee in het support contract).

Opensource firewalls maken nogal dikwijls gebruik van opensource anti-malware tools zoals ClamAV, die echt heel laat zijn met anti-malware definities. Waar commerciele providers dikwijls binnen enkele uren nodig hebben om hun definities te updaten, duurt het soms dagen voor dit bij ClamAV het geval is. Ik heb indertijd ClamAV getest als anti-virus oplossing op een mail-gateway: nieuwe virussen konden nog dagenlang passeren alvorens ze werden opgepikt. Dit wil je echt niet in een bank of enterprise-omgeving.

En ja, er zal hier en daar wel iemand zijn dat hij een opensource security-oplossing heeft geinstalleerd bij een KMO en dat het daar allemaal wel goed werkt, en in dat geval: goed voor jou. De realiteit is echter dat grote bedrijven liever geld geven voor snelle dienstverlening, dan het liever allemaal op te zetten , te onderhouden, en afhankelijk te zijn van vrijwilligers voor antivirus-updates.

Heeft een commerciele firewall meerwaarde tegenover een opensource firewall voor enterprise-omgeving? Zeker en vast.
Heeft het voor een thuisgebruiker meerwaarde? Waarschijnlijk niet.
Dit dus.

Firewalls zoals OPN-Sense zijn prima, als je iemand on-site hebt die verstand van zaken heeft. Commerciële producten zoals die van Sophos bieden een relatief eenvoudig beheerbare firewall met goed ondersteunde software.

Ik kan een firewall die voor zijn AV-detectie puur op ClamAV vertrouwt moeilijk als een serieuze oplossing zien. Het is prima als aanvulling, maar ik zou daar nooit op kunnen vertrouwen. Zelfde geld voor anti-spam, IDS/IPS en zaken zoals VPN Clients.
Bij firewalls zoals PFSense en OPN-Sense heb je vaak gewoon open-vpn, dan moet je bij je mobiele apparaten de open-vpn client installeren en het profiel importeren. Dat werkt prima, maar het kan makkelijker.

Bij Sophos krijg je bijvoorbeeld een user portal, daar kun je inloggen met je domein user/pass waarna je de Sophos clients (open-vpn gebaseerd) kunt downloaden. Kant-en-klaar met profiel en al.

Daarnaast heb je dan ook nog eens de rapportages. Commerciële producten hebben vaak uitgebreide rapportagemogelijkheden welke duidelijk aangeven wie wanneer toegang gehad heeft tot welk diensten. Een must als je met audits te maken krijgt.
Firewalls zoals OPN-Sense zijn prima, als je iemand on-site hebt die verstand van zaken heeft. Commerciële producten zoals die van Sophos bieden een relatief eenvoudig beheerbare firewall met goed ondersteunde software.
Persoonlijk denk ik dat als je iemand hebt die er geen verstand van heeft, je deze persoon ook niet aan een commerciële firewall moet laten zitten, maar wie ben ik :+
Verder vindt ik PFSense of OPNSense (of IPTables) net zo eenvoudig als commerciële oplossingen. Sterker nog, commerciële oplossingen hebben vaak een eigen complexe manier om iets te doen. Ik weet nog goed wat voor enorm steile leercurve de Cisco ASA had. Ook herinner ik mij goed dat Sophos SG uitbracht. Heel de community was het niet eens en er zijn nog steeds genoeg mensen die niet van Sophos UTM af willen stappen, puur vanwege de 'rare' interface en layout van zaken. Maar dat zal uiteraard volledig persoonlijke voorkeur zijn.

Ik kan een firewall die voor zijn AV-detectie puur op ClamAV vertrouwt moeilijk als een serieuze oplossing zien. Het is prima als aanvulling, maar ik zou daar nooit op kunnen vertrouwen.
Je kunt er ook nooit op vertrouwen, het is een aanvullende laag in je netwerk. Eentje die nogal discutabel is in de wereld waar 99% van het verkeer SSL versleuteld is en die firewall virusscanner helemaal niets doet.

Bij Sophos krijg je bijvoorbeeld een user portal, daar kun je inloggen met je domein user/pass waarna je de Sophos clients (open-vpn gebaseerd) kunt downloaden. Kant-en-klaar met profiel en al.
Dit is ook weer een voorbeeld van een erg klein voordeel. In OPNSense kun je ook gewoon de configuratie exporteren voor de gebruiker. Kleine moeite om die even door te sturen?
Dus ook hier moet ik mij afvragen of dat nu al die extra kosten waard is. Client VPN is daarnaast, naar mijn mening, toch al een security no-go voor normale gebruikers en is heel lang geleden al opgevolgd door remote desktop oplossingen die weer opgevolgd zijn door de moderne werkplek. Persoonlijk gebruik ik VPN enkel nog bij twee 'traditionele' omgevingen (en beide zijn openVPN waarbij de config los kreeg aangeleverd :+ ). Ik vraag beide partijen al heel lang om MFA in te schakelen op mijn accounts maar hun 'Enterprise' firewalls hebben daar geen ondersteuning voor (ze zullen het wel gewoon niet weten).

Daarnaast heb je dan ook nog eens de rapportages. Commerciële producten hebben vaak uitgebreide rapportagemogelijkheden welke duidelijk aangeven wie wanneer toegang gehad heeft tot welk diensten. Een must als je met audits te maken krijgt.
Dit kan inderdaad een voordeel zijn maar hoe geldig is deze 'feature' nog in een moderne werkplek. De ene keer zit de gebruiker thuis en de andere keer in een shared workplace of starbucks. Die auditor weet dit ook wel en zijn vragen zullen zich niet beperken tot de firewall op de zaak. Ook hebben al die 'features' best een invloed op je doorvoer. Ga je dan zo'n feature inschakelen terwijl je weet dat de data niet volledig is?

Let even op dat ik je verhaal echt niet af wil kraken. Ik heb alleen zelf heel veel firewalls weggezet bij klanten (waaronder Sophos UTM en XG) maar er was altijd maar 1 reden waarom een merk of model gekozen werd: marge maken. Er werd nooit geluisterd naar wat de klant nou echt wou, er werden geen metingen gedaan zodat er een goede schaling was en de klant werd alleen maar lekker gemaakt met features die hij nooit gebruikt.
Bedankt voor je volledige reactie, het is altijd mooi om te zien hoe anderen met bepaalde zaken om gaan.

Ik denk dat we beide in andere werelden werken. De meeste plekken waar ik kom is op afstand werken niet echt mogelijk. Vaak vanwege vertrouwelijkheid, maar ook omdat de werkzaamheden gewoon on-site uitgevoerd moeten worden. Alles moet ook zowat vastgelegd worden. Als er een logfunctie is dan moet deze ingeschakeld zijn en vastgelegd worden.

Antivirus op de firewall zal nooit een vervanging zijn voor endpoint bescherming. En ik sta 100% achter je opmerking dat AV op de firewall nutteloos is als je geen SSL-Interception doet. Maar echter is ook hier weer de ellende die compliance heet, als je verplicht bent om al het netwerkverkeer te monitoren en vast te leggen ontkom je niet aan ssl interception en dat is beter uitgewerkt bij commerciële producten.

VPN gebruiken we voornamelijk om met mobiele apparaten remote in te loggen om gegevens uit te lezen, je komt dan in een apart LAN terecht waarmee je met software wel de gegevens kunt inzien, maar je niet bij de bedrijfsdata kunt. Het is net wat makkelijker om met een app op je iPhone/iPad de resultaten in te zien en wat zoekopdrachten uit te voeren dan dat je een remote sessie moet openen.

Bottomline zal zijn dat het per usecase verschilt wat een goede keuze is. Ik denk niet dat marge maken de enige reden is. Producten van merken zoals Sophos en Cisco besparen ons gewoon tijd. Maar op basis van jou verhaal denk ik niet dat deze producten iets toevoegen wat je niet met OPNSense kunt doen.
Maar echter is ook hier weer de ellende die compliance heet, als je verplicht bent om al het netwerkverkeer te monitoren en vast te leggen ontkom je niet aan ssl interception en dat is beter uitgewerkt bij commerciële producten.
Goed punt, ik had hier vroeger inderdaad ook wel eens discussies over met klanten. Uiteindelijk moet je natuurlijk hieraan voldoen dus dat is een gegronde reden om voor een commerciële oplossing te kiezen.

Bottomline zal zijn dat het per usecase verschilt wat een goede keuze is. Ik denk niet dat marge maken de enige reden is. Producten van merken zoals Sophos en Cisco besparen ons gewoon tijd.
Misschien is dat laatste nog wel de belangrijkste reden om voor een product te gaan, tegenwoordig. IT-ers met kennis van zaken krijgen is het lastigste en als je een geïntegreerde oplossing kan bouwen, dan kan dat zeker meerwaarde hebben.

Bottomline zal zijn dat het per usecase verschilt wat een goede keuze is. Ik denk niet dat marge maken de enige reden is.
Goede punten en ik ben het ook met jouw argumenten eens! Ik zou alleen graag zien dat eindgebruikers wat beter nadenken over hun netwerk opzet... Dat en ik ben een groot fan van OPNSense gezien het open-source en Nederlands is. Dus ik ben ook best biased ;)
Dat is kort door de bocht. In mijn ervaring zijn commerciele firewalls een pak beter in antivirus- en malware filtering in vergelijking met opensource firewalls, en dat is ook waar je voor betaald (dat zit meestal mee in het support contract).
Ik ben inderdaad te kort door de bocht want ik skip de diepe discussie hieromtrent. Daarom vat ik het samen als 'maar dat is het prijsverschil naar mijn mening nog nooit waard geweest'

In mijn ervaring zijn commerciele firewalls een pak beter in antivirus- en malware filtering in vergelijking met opensource firewalls, en dat is ook waar je voor betaald (dat zit meestal mee in het support contract).
Geloof je de marketing? Is de AV van Sophos inderdaad zoveel beter dan een open-source variant zoals ClamAV? Ik heb hier nog nooit bewijs van gezien maar ik weet wel dat iedere AV leverancier dit claimt (allemaal zonder concreet bewijs). In XTM gebruikte sophos zelfs ClamAV voor virusscanning... Is dat je die dure support contracten waard?

En dan komen we nog op het nut van Antivirus op een firewall...
99% van alle client verbindingen lopen via HTTPS. Dat wil zeggen dat de firewall totaal geen 'inzicht' heeft in die connectie of wat er over heen gaat. Dus die virusscanner is best wel overbodig. En nee, SSL terminatie op de firewall is een heel slecht idee en veel sites werken daar uiteraard niet mee.
Dit zijn juist van die dingen die ik bedoel. Men doet voor dat er een groot verschil is maar in de praktijk zijn deze 'features' vrijwel nutteloos.

Opensource firewalls maken nogal dikwijls gebruik van opensource anti-malware tools zoals ClamAV, die echt heel laat zijn met anti-malware definities.
Dit is jouw ervaring maar dat maakt het nog geen feit. Dit is ook niet iets wat echt te bewijzen valt (als je daar wel bewijs voor hebt, dan zou ik dat graag willen zien). ClamAV is trouwens tegenwoordig van Cisco dus ik denk dat die het er ook niet mee eens zijn ;)

De realiteit is echter dat grote bedrijven liever geld geven voor snelle dienstverlening, dan het liever allemaal op te zetten , te onderhouden, en afhankelijk te zijn van vrijwilligers voor antivirus-updates.
Ik weet niet wat je als 'grote bedrijven' beschouwt maar vrijwel (zo niet alle) grote ISP's draaien Postfix, Exim of een andere open-source MTA en je kan wel nagaan welke AV engine daarbij draait. Andere 'grote bedrijven' zitten in Microsoft Office 365 of Google Workspace die hun email filtert. In mijn. eigen ervaring zijn mailfiltering MTA's het eerste wat vervangen wordt door een cloudoplossing. Maar we praten hier natuurlijk over Firewall's, niet over mailfiltering (en nee, grote bedrijven draaien hun mailfitlering nooit op de firewall, dat heeft een veel te grote impact op performance).

Heeft een commerciële firewall meerwaarde tegenover een opensource firewall voor enterprise-omgeving?
Ik heb nog steeds niet echt een reden gehoord waarom een commerciële firewall meerwaarde heeft? Snellere 'AV' updates is volgens mij niet echt een ding (of te bewijzen) en ja, ook voor open-source firewall's kun je gewoon support kopen. Sterker nog, OPNSense is nederlands je kan ook gewoon met ze bellen.
Mijn bedrijf heeft een aantal datacenters en in geen een daar van word een open source firewall gebruikt. Ik denk niet dat wij hier een bijzonder bedrijf in zijn.
Heeft Opnsense dan actieve filtering op bad urls etc? Ik dacht dat het enkel de classic port firewall was etc qua bescherming?
L7 firewalling en filtering.

Ik heb 'm een tijdje gedraaid, en je kan er wel leuke dingen mee, zoals QoS op basis van urls. Het was bvb vrij makkelijk om NetFlix een gegarandeerde bandbreedte te geven, zodat die geen last heeft als anderen op je netwerk traffic-intensieve dingen aan het doen zijn ;)
Home Edition is limited to 4 cores and 6 GB of RAM. The computer can have more than this, but XG Firewall Home Edition will not be able to utilize it.
Wat in principe wel genoeg is, tenminste hier bij mij thuis. Ik draai zowel de UTM als XG. Beide werken prima waar ik nog steeds het 'logging' stukje van de UTM toch een stuk beter/overzichtelijker vind. Nadeel van de UTM is weer dat hij max 50 ip-adressen door laat, wat weer wat lastig kan zijn als je thuis een netwerkje hebt draaien. Die 50 geld dan ook weer voor alle WIFI apparaten die verbinding met internet nodig hebben (de reden voor mij om ook XG te gaan draaien).
Zit de limitatie van het aantal endpoints er nog op (gratis versie)?

[Reactie gewijzigd door Theone098 op 16 mei 2022 07:30]

Neen, bij XG zijn de limitieten 4 cores en 6gb RAM. Normaal voldoende voor thuis gebruik.
Er staat freeware/betaald maar ik kan dit niet gratis vinden op de Sophos site? Is er wel een gratis optie?

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee