a picture is following

Soforthilfe

Academy

UTMshop

  1. Home
  2. Sophos Firewall 21.5 GA
a picture is following

11.07.2025 - General Availability

zum Author

Sophos Firewall 21.5 GA

Zu den Features Zu den Changes Zu den Bugfixes

Beschreibung

Mit der neuen Version 21.5 liefert Sophos eine Reihe praxisnaher Erweiterungen und Optimierungen, die auf konkreten Rückmeldungen von Kunden und Partnern basieren. Im Fokus stehen dabei die tiefgreifende Integration neuer Sicherheitsfunktionen wie Network Detection and Response (NDR), eine verbesserte Anbindung an Authentifizierungsdienste wie Entra ID sowie spürbare Vereinfachungen im täglichen Management. Die neue Firmware v21.5 steht allen Kunden mit gültigem Supportvertrag (Enhanced oder Enhanced Plus) kostenfrei zur Verfügung – und kann wie gewohnt über Sophos Central oder manuell installiert werden.

Features

NDR Essentials – Network Detection and Response direkt in der Firewall

Network Detection and Response (NDR) ist ab sofort vollständig in die Firewall integriert – ohne zusätzlichen Hardware-Aufwand. Sophos ist damit der erste Anbieter weltweit, der NDR direkt in einer Firewall bereitstellt.

Konkret bedeutet das:

  • Die Firewall erkennt verschlüsselte Bedrohungen, ohne den Datenverkehr entschlüsseln zu müssen
  • Analyse von TLS- und DNS-Metadaten direkt auf der Appliance
  • Verarbeitung und Bewertung erfolgt in der Sophos Cloud – kein Performanceverlust lokal
  • Erkennt Command-&-Control-Kommunikation, Domain Generation
  • Algorithms (DGA) sowie Zero-Day-Komprimittierungen
  • Keine Deep Packet Inspection nötig, ressourcenschonend durch Integration in den Xstream FastPath
  • Einfache Aktivierung über „Active Threat Response“
  • Verfügbar nur für XGS-Modelle mit Xstream Protection, ohne Zusatzkosten

Tipp: Nutzen Sie die offiziellen Demo-Videos zu:

NDR Essentials for Firewall

VPN mit Entra ID – Single Sign-On jetzt integriert

Ab sofort können sich Ihre Mitarbeiter mit ihrem Microsoft 365-Konto (Entra ID,
ehemals Azure AD) am Sophos Connect Client anmelden – sicher, zentral
verwaltet, ohne zusätzliche Anmeldedaten.

Details:

  • SSO via Entra ID für IPsec- und SSL-VPN
  • Authentifizierung per OAuth 2.0 / OpenID Connect
  • Unterstützt mit Sophos Connect ab Version 2.4
  • Keine lokalen Benutzerkonten mehr erforderlich

Rollout-freundlich, da zentral verwaltbarSsoTipp: Nutzen Sie die offiziellen Demo-Videos zu:

Entra ID SSO Integration for Remote Access VPN/ Sophos Connect Client

DNS-Schutz – Jetzt direkt in der Firewall-Oberfläche

Die Sophos DNS Protection wurde vollständig in die Oberfläche integriert und um
praktische Funktionen ergänzt:

• Neues Status-Widget im Dashboard
• Erweiterte Logging- und Benachrichtigungsfunktionen
• Geführte Einrichtung für einen schnellen Einstieg
• Automatisch aktiv für alle Kunden mit Xstream Protection

Tipp: Nutzen Sie die offiziellen Demo-Videos zu:

DNS Protection

VPN & Skalierbarkeit – Für verteilte Standorte gerüstet

  • Bis zu 3.000 route-based VPN-Tunnel
  • 1.000 Site-to-Site RED-Tunnel, bis zu 650 SD-RED-Geräte
  • Umbenennung zur besseren Übersicht:
           -  „Site-to-Site“ → richtlinienbasiert
           -  „Tunnel-Schnittstellen“ → routenbasiert
  • Strikte Profildurchsetzung bei IPsec-Profilen:
    Verbindliche Parameter werden erzwungen, um Fragmentierung und Tunnelaufbauprobleme zu vermeiden       
  • Erweiterte Validierung von IP-Pools (SSL, IPsec, L2TP, PPTP), um Adresskonflikte frühzeitig zu erkennen

Komfort für Admins – Verbesserungen im Alltag

  • Anpassbare Spaltenbreiten in NAT-, SD-WAN-, VPN- und Objekttabellen
    → Spaltenbreiten werden im Browser lokal gespeichert und bleiben beim nächsten Login erhalten
  • Erweiterte Freitextsuche in vielen Bereichen:
     •  Suche nach IP-Adressen, Domains, Routennamen, Objekten oder Objektwerten
     •  Inhalte von Objekten (z. B. IPs in Hostobjekten) werden ebenfalls durchsucht
  • Standardkonfiguration vereinfacht:
     •  Nur noch Netzwerkregel und MTA-Regeln bei Ersteinrichtung vorhanden
     •  Keine Standard-Regelgruppen mehr
  • Gateway-Prüfung für neue Gateways standardmäßig auf „Keine“ gesetzt
  • Neue Systemschriftart: klarer, schärfer, augenfreundlich

Tipp: Nutzen Sie die offiziellen Demo-Videos zu:
Quality of Life Enhancements/ Streamlined Management Enhancements

Changes

Weitere technische Verbesserungen im Überblick

  • WAF Upload-Limit erhöht: Scans von Dateien bis zu 1 GB
  • RAM-Limits aufgehoben:
     •  Für virtuelle, Software-, Home- und Cloud-Firewalls (BYOL)
     •  Begrenzung nun ausschließlich über CPU-Kerne
  • Secure by Design:
     •  Hash-basierte Echtzeit-Telemetrie erkennt Manipulationen an Betriebssystemdateien
  • IPv6-Verbesserungen:
     •  Unterstützung für /48–/64 Prefix Delegation
     •  DHCPv6 und RA sind jetzt standardmäßig aktiv
  • Path MTU Discovery:
     •  Optimiert TLS-Decryption und verhindert Fehler bei modernen KEM-Verfahren  (Kyber in Chrome)
  • NAT64-Unterstützung:
     •  IPv6-only Clients können über expliziten Proxy IPv4-Ziele erreichen
     •  Auch bei Verwendung eines IPv4-Upstream-Proxys funktionsfähig

Update & Verfügbarkeit

Sophos Firewall v21.5 ist für alle Kunden mit Enhanced oder Enhanced Plus
Support kostenlos verfügbar.

So erhalten Sie das Update:
•  Automatisch über Sophos Central (stufenweiser Rollout)

•  Manuell:

  1. Anmelden unter: https://central.sophos.com
  2. Navigieren zu: „Licensing“ → „Firewall Licenses“
  3. Gerät auswählen, Firmware herunterladen & installieren

Vorteile auf einen Blick

  • NDR ohne Performanceverlust

  • SSO für VPN mit Microsoft 365

  • DNS-Schutz direkt sichtbar & steuerbar

  • Massive VPN- und SD-RED-Skalierung 

  • Admin-Erleichterungen in vielen Bereichen

  • Stärkere Sicherheit ohne Zusatzkosten

Aktualisieren der Firmware und Wiederherstellen von Backups

Formfaktoren:

  • SFOS 21.5 GA ist für alle Formfaktoren verfügbar.

  • XG- und SG-Series werden nicht mehr unterstützt.

Achtung bei Schnittstellennamen

  • Wenn physische oder logische Schnittstellennamen mit zehn oder mehr Ziffern enden, erscheinen sie nicht in der Web-Oberfläche unter Netzwerk > Schnittstellen.

  • Die Funktionalität bleibt erhalten – nur die Anzeige ist betroffen.

  • Vor dem Upgrade: Schnittstellennamen prüfen und ggf. anpassen.

SSL VPN Inkompatibilitäten

  • Site-to-Site SSL VPNs funktionieren nicht mehr mit:

    •  SFOS 18.5 oder älter

    •  UTM9 OS 

    •  Legacy SSL VPN Client

  • Empfohlen:

    • Sophos Connect Client (ab Version 2.4 Windows / 1.4 MR-1 macOS)

    • Alternativ: IPsec- oder RED-Tunnel verwenden

RED-Geräte

  • RED 15, 15w und RED 50 werden nicht mehr unterstützt (EOL seit 2023).

Migration und Backup-Kompatibilität:

  • Nur freigegebene Versionen sollten als Zielversion genutzt werden.

  • Bei Inkompatibilität: Warnmeldung erscheint vor dem Neustart – Konfiguration geht verloren.

  • Sicherungen können nur wiederhergestellt werden, wenn Konfigurationsmigration unterstützt wird.

  • Migration von allen früheren Versionen auf 21.5 GA ist möglich.

Unterstützte Plattformen

  • Hardware: XGS-Serie

  • Software: Virtuelle Appliances, Software-Appliances, Cloud-Plattformen

Hinweise:

Unterstützte Firmware-Versionen

  • Wi-Fi-Firmware: bis Version 11.0.021

  • RED Firmware: bis Version 3.0.011

  • Sophos Connect:

    •  Windows: 2.4 oder früher

    •  macOS: 1.4 MR-1 oder früher

     

     

Bugfixes

Fixed issues, listed by ID, description, explanation and workaround.
Issue ID Component Description
NC-140436 ATR Framework Heartbeat endpoint switched to Red status even when threat feed is in logging mode.
NC-154639 Authentication CSD service didn't run for Chromebook SSO.
NC-146416 Authentication Guest user deletion didn't generate an admin event.
NC-144562 Authentication Couldn't add users to the MFA setting after a certain limit. Web admin console showed an error.
NC-141584 Authentication Access_server service didn't respond.
NC-141413 Authentication Authentication outage occurred because of unresponsive read_from_client.
NC-139018 Authentication Access-Request packet vulnerability associated with CVE-2024-3596.
NC-138431 Authentication MFA tokens didn't work for SSL VPN users after a firmware upgrade to 20.0 MR1.
NC-146046 CDB-CFR, CM Garner showed an error message on every appliance.
NC-141452 Certificates IPS service failed after an upgrade to 20.0 MR1.
NC-147793 Clientless Access Pattern update failure for SSL VPN.
NC-141997 Clientless Access Hardened XSS protection for the VPN portal.
NC-141686 Clientless Access Removed the notification on the VPN portal about moving VPN functionality from the user portal.
NC-140829 CM Intermittent internet connectivity issue.
NC-133133 CM CM Group configuration import from XG 86w failed.
NC-146950 Core Utils Alcatel USB modem stopped working after an upgrade to 21.0 GA on SG 115 with software image installed.
NC-143615 Core Utils USB keyboards weren't working with SFOS deployed on third-party hardware.
NC-135421 CSC Firewall rules stopped working after a power outage.
NC-135613 DDNS DDNS didn't show data on the web admin console.
NC-152919 Email Users couldn't release quarantine emails from the user portal.
NC-141753 Email Quarantine digest email showed incorrect dates in the subject field.
NC-140439 Email The subject column in the Japanese quarantine digest email showed corrupted characters.
NC-134038 Email Email wasn't delivered on Sophos Firewall when the subject had the "&" character, and SPX was turned on.
NC-133859 Email DKIM signatures didn't work as expected. Emails were quarantined.
NC-137779 Firewall User accounting was done for traffic going through network rule.
NC-131411 Firewall For connections through SATC, forwarded traffic didn't work randomly.
NC-123910 Firewall Kernel panic issue.
NC-152641 Firmware Management After an upgrade to 21.0 MR1 build 237, the device stopped processing traffic due to SWAP memory configuration changes.
NC-147895 Gateway Management DGD probing stopped in HA setup under a specific scenario.
NC-137215 HA TCP traffic didn't work in Active-Active HA with XFRM.
NC-144474 Interface Management Physical interfaces and expanded logical interfaces weren't visible after an upgrade to 21.0 GA.
NC-152817 IPS Engine IPS engine stopped responding after an upgrade to 21.5 EAP0.
a picture is following

Daniel

7 Jahre Technischer Support

Zertifizierung: Sophos MDR Sales Consultant, Sophos Firewall Sales Consultant, Sophos Central Sales Consultant, Sophos Central Engineer, Sophos Central Technician, Sophos Central Architect, Sophos Firewall Engineer, Sophos Firewall Technician, Sophos Firewall Architect

Spezialisierung: Einrichtung, Troubleshooting