Support-Portal
·

Sophos Firewall v19 GA (Build 317)

Beschreibung

Bemerkungen

Features

SD-WAN-Profile
  • Xstream SD-WAN-Profile unterstützen Routingstrategien für mehrere WAN-Links, inklusive VDSL, DSL, Kabel, LTE/Cellular und MPLS. Sie können mehr als zwei Gateways konfigurieren und ihre Routingstrategie entsprechend der ersten verfügbaren Verbindung oder nach Leistungskriterien anpassen.
  • Leistungsbasierte SLAs wählen anhand von Jitter, Latenz oder Paketverlust automatisch den besten WAN-Link aus. SLAs können entweder auf bester Leistung oder auf eigens eingestellten Vorgaben basieren.
  • Zero-Impact-Rerouting behält Anwendungssitzungen offen, auch wenn die Link-Leistung unter die Grenzwerte fällt und schiebt Sitzungen auf einen besser arbeitenden WAN-Link.
  • SD-WAN Überwachungsgraphen unter Diagnose –> SD-WAN Leistung erlauben Echtzeit-Einblicke in Jitter, Latenz oder Paketverlust für alle WAN-Links.
  • Logs enthalten SD-WAN-Routing-Informationen. Ein neues SD-WAN-Logmodul. Ein neues SD-WAN-Logmodul erlaubt Ihnen den Fokus auf Logeinträge spezifisch für SD-WAN-ROuting und Health. Log-Einträge enthalten die SD-WAN-Regel-ID und -Name für Routenanfragen und Antwortanweisungen
Xstream FastPath Acceleration

IPsec-Beschleunigung: Xstream FastPath Acceleration für IPsec-Verkehr platziert IPsec-VPN-Verkehr automatisch auf den Xstream FastPath Prozessor, wo der Verkehr von den Krypto-Fähigkeiten der Prozessor-Hardware profitiert. Die rechenintensive Verarbeitung die für IPsec-Tunnel notwendig ist, wie ESP-Verkapselung, Entkapselung und Entschlüsselung wird so auf dem Xstream Flow Processor ausgelagert, was zusätzliche CPU-Kapazitäten schafft und die Leistung verbessert.

Xstream FastPath Acceleration funktioniert für Site-to-Site-Tunnel (sowohl Richtlinienbasiert als auch Routenbasiert) und Fernzugriffs-VPN. Beachten Sie, dass Verkehr mit schwachem Cipher oder Authentifizierungsalgorithmen nicht auf den FastPath gesetzt wird (DES, 3DES, BlowFish, MD5).

Web

Per-Connection Authentifizierung: Im expliziten Proxy-Modus kann die Webauthentifizierung jetzt mehrere verschiedene Benutzer verarbeiten, die von derselben Quelladresse kommen. Dies ist nützlich bei der Authentifizierung für Terminaldienste, Windows-Remotedesktop oder Direktzugriffssysteme.

Die Mandantenbeschränkungsfunktion von O365, die verwendet wird, um die Domänen einzuschränken, bei denen sich ein Benutzer anmelden kann, indem Header zu ausgehenden HTTPS-Anforderungen hinzugefügt werden, ist in Webrichtlinien verfügbar. Dadurch kann Microsoft Azure AD Beschränkungen erzwingen, die normalerweise verwendet werden, um persönliche Konten daran zu hindern, über durch die Sophos Firewall geschützte Netzwerke auf Office 365 zuzugreifen.

 

VPN

User Experience: Das Interface wurde überarbeitet, um das erstellen von VPN-Verbindungen intuitiver zu gestalten

Funktionsverbesserungen: Unterstützung für selbst erstellte Richtlinien hinzugefügt

Routenbasierte VPN (RBVPN): Unterstützung von statischen Multicast-Routen hinzugefügt. Sie können Traffic-Selektoren für routenbasierte VPNs mit automatischer Konfiguration der XFRM-Schnittstelle und Routenverwaltung für die ausgewählten Hosts angeben. Nur Datenverkehr, der mit den konfigurierten Paaren aus lokalen und Remote-Adressen übereinstimmt, tritt in den Tunnel ein.

GCM und Suite-B Cipher Suite Unterstützung für IPsec

Zahlreiche Verbesserungen für SSL VPN: OPenVPN und OpenSSL wurden geupgradet, Standardmäßige TLS 1.3 Unterstützung, GCM Verschlüsselungsunterstützung, stark verbesserte Performance durch Einführung von Multi-Instanz-Unterstützung

VPN-Logging

AWS VPC

 

Betroffene Produktgruppen

Bugfixes

  • NC-89079: fwcm-eventd agent isn't listening to the IP address availability event.
  • NC-87798: Upgraded Apache to 2.4.53+.
  • NC-87665: Fixed pre-auth RCE (CVE-2022-1040).
  • NC-87165: Fixed OpenSSL DoS vulnerability (CVE-2022-0778).
  • NC-85549: SFOS becomes unresponsive after a restart if time-based SSID is configured.
  • NC-85412 : Two PPPoE links with different passwords in 18.5 MR2.
  • NC-85339: Resolved multiple XSS vulnerabilities through company name (CVE-2021-25268).
  • NC-84951: Fixed Diagnostics > Tools > Route lookup.
  • NC-84281 : Status column isn't visible on Authentication > Users.
  • NC-84218 : Can't turn on OTP for admin user whose user ID isn't 3.
  • NC-84158: Sophos Central signing admin out of the firewall console when they click Add user.
  • NC-84101: Corrected a typo in Spanish on the Control center.
  • NC-83662: Updated the number of administrator accounts unprotected by MFA shown in the alert on Authentication > Users.
  • NC-83584: IPS segfault in libnsg_tcphold_preproc disconnecting live users after a limit.
  • NC-83581: Corrected the typo in CLI command to session-persistence.
  • NC-83470: Unable to handle kernel NULL pointer dereference at 0000000000000003 in XG750 during connection rate test.
  • NC-83430: RED causing massive network traffic after upgrading to SF 18.0 MR6 or SF 18.5 MR2.
  • NC-83392: Backup isn't generated when the backup name contains [].
  • NC-83366: Unable to turn off captcha for VPN zone for route-based VPN with SD-WAN routing.
  • NC-83347: Unable to add lx63.hoststar.hosting to email server under notification settings.
  • NC-83177: Unable to turn IPS switch on or off in 18.5 MR2.
  • NC-83065: Ping: sendto: operation not permitted when upgraded from 18.0 MR3 to later firmware on directly connected network.
  • NC-82566: Kernel crash after update to 18.5 MR2.
  • NC-82332: Kernel panic because kernel NULL pointer ip_route_me_harder wasn't handled.
  • NC-82215: Device freeze issue.
  • NC-81974: Snort soft lockup and device restart.
  • NC-81956: HTTP and HTTPS traffic to internal server on 8080 is dropped by IPS tcphold.
  • NC-81768: Couldn't restore backup because of duplicated key.
  • NC-81517: Policy test for firewall not showing correct results.
  • NC-81069: Import fails for the entity MtaBlockedSenders.
  • NC-80660 : DHCP IP lease issue.
  • NC-79468: Outdated users shown in Live Users.
  • NC-79417: SSL/TLS rules can't be seen on the web admin console.
  • NC-78563: WAF not redirecting page to proper domain when there are multiple domains listed in the WAF rule.
  • NC-74847: Snort crashing with a segfault due to a blank conf file.
  • NC-74228: Can't show quarantine due to \x1E? in the subject.
  • NC-73975: FP fw_fp_track_conn and fw_fp_reclaim_conn errors seen during httperf conn rate test - (flow 2.
  • NC-71761: Resolved multiple XSS vulnerabilities (CVE-2021-25267).
  • NC-71379: MTA doesn't provide the full certificate chain.
  • NC-69997: Notification test mail has wrong encoded subject when web admin console's language is set to Traditional Chinese or Simplified Chinese.
  • NC-66163: Report received with garbled characters.
  • NC-51929 : DDNS doesn't apply to some generic top-level domains.