Sophos Firewall (SFOS) v22 正式版发布 - 下一代防火墙

Sophos Firewall (SFOS) v22 正式版发布 - 下一代防火墙

Sophos Firewall | Next-gen firewall

请访问原文链接：https://sysin.org/blog/sfos-22/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

Sophos Firewall

2025 年 12 月 9 日

Sophos Firewall v22 现已发布

产品团队很高兴宣布 Sophos Firewall v22 已正式发布。此次更新带来了多项 “Secure by Design” 安全设计增强，以及许多用户最期待的功能。

Secure By Design（安全设计）

在过去几周里，Sophos 已经介绍了 Secure by Design 原则的重要性，以及为何需要安全产品与安全设计同样重要。Sophos Firewall v22 在前几版的安全和加固增强基础上，将 Secure by Design 提升到了全新水平。

新功能概览

Sophos 防火墙健康检查

强大的安全态势依赖于防火墙的最佳配置。Sophos 防火墙 v22 通过新增的健康检查功能，使评估和优化防火墙配置更加容易。该功能评估防火墙的数十项配置设置，并将其与 CIS 基准及其他最佳实践进行对比，即时提供潜在风险的洞察 (sysin)。它会标识所有高风险设置，并提供快速定位和处理的建议。

健康检查状态将在新的控制中心小部件中显示，完整报告可在“Firewall health check”主菜单中查看。

其他 Secure By Design 增强功能

• 下一代 Xstream 架构：
  • 引入全新控制平面架构，最大化安全性和可扩展性。
  • 新控制平面实现服务模块化、隔离和容器化，例如 IPS 可像“应用”一样运行在防火墙平台上。
  • 完全分离权限以增强安全性 (sysin)。
  • SFOS 现具备自愈能力，可持续监控系统状态并自动修复偏差。

• 加固内核：
  • Sophos 防火墙 OS 的下一代 Xstream 架构基于新加固内核（v6.6+），提供增强的安全性、性能和可扩展性，充分利用当前及未来硬件。
  • 新内核提供更严格的进程隔离，更好地防范侧信道攻击及 CPU 漏洞（Spectre、Meltdown、L1TF、MDS、Retbleed、ZenBleed、Downfall）。
  • 提供加固的 usercopy、堆栈保护 (stack canaries) 和内核地址空间布局随机化 (KASLR)。
• 远程完整性监控：
  • v22 集成 Sophos XDR Linux 传感器 (sysin)，实现系统完整性实时监控，包括未授权配置、规则导出、恶意程序执行尝试、文件篡改等。
  • 帮助安全团队更快速识别、调查和响应攻击。
  • 提供其他防火墙厂商未提供的额外安全能力。
• 全新反恶意软件引擎：
  • 集成最新 Sophos 反恶意软件引擎，通过全球声誉查询实现对新威胁的零日实时检测。
  • 利用 SophosLabs 海量云数据库，文件每 5 分钟或更短更新一次。
  • 引入 AI/ML 模型检测，并提供增强的遥测数据以加速新威胁分析。

其他安全性与可扩展性增强

• 主动威胁响应日志改进：为入站和出站流量增加细粒度日志控制，减少暴力破解等重复事件噪声；支持将入站转发流量与第三方威胁源、NDR Essentials 和 MDR 威胁源匹配，提高外部威胁检测。
• XML API 访问控制增强：API 配置移动到“Administration”主菜单，可按 IP、IP 范围和网络对象定义访问，支持最多 64 个对象（之前为 10 个 IP）。
• NDR Essentials 改进：
  • 日志威胁评分 - 主动威胁响应日志中包含分配的威胁评分，便于可视化、报告和分析。
  • 数据中心选择 - 可选择 NDR Essentials 流分析的数据中心区域，满足地域或数据驻留需求，默认选择最低延迟区域。
• 即时网页类别与搜索关键词告警：
  • 可根据浏览意图或行为触发即时告警。
  • 帮助学校从被动报告转向主动防护，保护学生安全，并符合最新数字标准。
• 设备访问支持 TLS1.3：Web 管理控制台、VPN 门户和用户门户现支持 TLS 1.3，加强加密。

简化管理与使用体验增强

• 导航性能优化：可直接访问任意菜单或标签，无需等待当前页面加载完成，加快 UI 导航速度。
• TLS1.3 支持：Web 管理控制台 (sysin)、VPN 门户和用户门户支持 TLS 1.3。
• 通过 SNMP 监控硬件：新增热门功能，支持下载 MIB 文件；监控指标包括 CPU 温度、NPU 温度、风扇转速、电源状态（XGS 2100 及以上）、以及所有支持 PoE 的 XGS 型号的 PoE 测量（XGS 116(w) 除外）。
• NTP 服务器设置：新安装默认设置为 “Use pre-defined NTP server”。
• XFRM 接口 UI 改进：增加分页支持，可搜索和筛选，大量 XFRM 接口管理更便捷。
• sFlow 监控：基于设置的采样率提供实时数据，支持任何物理接口及子接口（Alias、VLAN 等），最多 5 个采集器。
• 蜂窝 WAN：新增 CLI 命令 system cellular_wan show 检查信号强度。

SG UTM9 功能

随着 Sophos UTM 即将于 2026 年 7 月 30 日退役，一些迁移客户可受益于以下新增功能：

• WAF 多因素认证支持：为集成 Web 应用防火墙提供 MFA，增强安全性和功能一致性。
• WAF 安全性增强：会话由 SFOS 管理，而非客户端 cookie，更难被劫持；当无需认证转发时，可完全卸载到 SFOS，减少内部 WAF 服务器暴露。
• OTP 令牌 SHA 256/512 支持：提供给 Google 和 Sophos 应用及管理员用户的选项。
• 审计日志：提供全面审计日志，记录前后变化以满足最新 NIS2 标准。第一阶段支持防火墙规则、对象和接口的详细审计日志，可从 Diagnostics > Troubleshooting Logs > configuration-audit.log 下载，XML 用于标注前后变化。

下载地址

Sophos Firewall OS (SFOS) 22.0 GA (2025-12-09)

• 请访问：https://sysin.org/blog/sfos-22/
  • SFOS v22 Hardware Devices for XGS Series
  • SFOS v22 Software Appliances for bare metal machines
  • SFOS v22 Virtual Appliances for VMware/KVM/Xen/Hyper-v

更多：Firewall 产品链接汇总