Sophos XG Firewall 17 – Was ist neu bzw. hat sich alles geändert?

Sophos hat kürzlich eine neue Version ihrer Firmware für die XG Firewalls veröffentlicht. Wir möchten Ihnen einen Überblick über die neuen Features und Änderungen geben.

Ersteinrichtungsassistent

Ein neuer Ersteinrichtungsassistent ermöglicht ein schnelles und einfaches Einrichten. Neben einem neuen benutzerfreundlichen Einrichtungsassistenten ermöglicht der neue Prozess auch die Umgehung des anfänglichen Lizenzregistrierungsprozesses während der Ersteinrichtung. Der Assistent wurde mit Sorgfalt erstellt, um neuen XG-Firewall-Kunden maximale Unterstützung zu bieten, ohne dass eine Dokumentation erforderlich ist. Gleichzeitig können erfahrene Benutzer den Einrichtungsprozess schnell und effizient durchlaufen. Er enthält auch eine Option zum Aktualisieren der Firmware auf die neueste Version als Teil des Einrichtungsprozesses, wodurch sichergestellt wird, dass die Kunden bei der Bereitstellung über die neueste und beste Firmware verfügen.

Synchronisiertes App-Steuerungs-Widget

Ein neues Widget im Control Center aus der Zuordnung der neuen Synchronized App Control-Funktion zeigt auf einen Blick die nicht identifizierten Anwendungen an, die entdeckt wurden.

Anleitungen

Eine neue Option bietet am oberen Rand jedes Bildschirms, mit nur einem Mausklick, Zugriff auf die XG Firewall-Anleitungsbibliothek, mit Videos und Anleitungen zur Ausführung gängiger Aufgaben in der XG Firewall.

Synchronisierte App-Steuerung

Synchronized App Control ist ein Durchbruch in der Netzwerk-Sichtbarkeit. Sie kann zuvor im Netzwerk aktive und unbekannte Anwendungen mithilfe der synchronisierten Sicherheit identifizieren, klassifizieren und kontrollieren, um Informationen vom Endpoint über Anwendungen zu erhalten, die keine Signaturen haben oder generische HTTP - oder HTTPS-Verbindungen verwenden. Dies löst ein signifikantes Problem, das die signaturbasierte App-Kontrolle auf allen Firewalls heutzutage beeinflusst, wo viele Anwendungen beispielsweise als "unbekannt", "nicht klassifiziert", "generisches HTTP" oder "SSL" klassifiziert werden.
Die XG Firewall kann jetzt alle Anwendungen eindeutig identifizieren, die auf Sophos Endpoints verwendet werden. Wenn möglich, klassifiziert die XG Firewall die Anwendung automatisch und verwaltet diese mithilfe vorhandener Richtlinien für die App-Steuerung. Administratoren können erkannten Anwendungen auch manuell Kategorien zuweisen, um die App-Steuerungserzwingung zu aktivieren. Dies ist enorm nützlich, denn die Anwendung kann so nach Bedarf blockiert oder priorisiert werden. Erkannte Anwendungen können auch direkt zu vorhandenen App Control Richtlinien hinzugefügt werden.

Web-Keyword-Überwachung und Durchsetzung

Web-Richtlinien enthalten jetzt die Option, Richtlinien zu Schlüsselwortlisten zu protokollieren und zu überwachen oder sogar durchzusetzen.
Schlüsselwortbibliotheken können als zusätzliche Kriterien in die Firewall hochgeladen und auf alle Webfilterrichtlinien angewendet werden. Dies geschieht mit Aktionen zum Protokollieren und Überwachen oder zum Blockieren von Suchergebnissen oder Websites mit den relevanten Keywords.

IPS-Richtlinienverbesserungen und intelligente Filter

Das Erstellen benutzerdefinierter IPS-Richtlinien wird durch einen leistungsstarken, aber intuitiven neuen Richtlinieneditor erheblich vereinfacht, der eine schnelle und einfache Auswahl der gewünschten IPS-Muster nach Kategorie, Schweregrad, Plattform und Zieltyp mit Unterstützung für dauerhafte intelligente Filterlisten ermöglicht.
Zum Beispiel kann eine speziell zum Schutz von Linux-Servern und -Geräten entwickelte IPS-Richtlinie einfach durch Auswahl von "Linux" für die "Plattform" erstellt werden. Sobald neue Muster hinzugefügt werden, um neu entdeckte Schwachstellen in Linux zu beheben, schützt die Firewall automatisch die Linux Geräte.

Erweiterungen der Webfilterung

Als Teil des Web-Schutzes ist jetzt eine Option verfügbar, um zu verhindern, dass potenziell unerwünschte Anwendungen heruntergeladen werden.
Die SafeSearch-Durchsetzung wurde für Bing, Google und YouTube (eingeschränkter Modus) verbessert, um einen DNS-Erzwingungsmechanismus zu verwenden. Dieser ermöglicht nun die Durchsetzung während SSL-verschlüsselter Browsersitzungen, auch wenn HTTPS nicht entschlüsselt wird.
Endbenutzerblockseiten haben ein neues Design und zusätzliche Details, wodurch Benutzer und Administratoren die Gründe für blockierte Inhalte besser verstehen können.

Firewall-Regelverwaltung

Die Firewall-Regelverwaltung ist in Version 17 leistungsfähiger und effizienter, wodurch die Arbeit mit Firewall-Regeln erleichtert wird. Dies macht sich insbesondere in Umgebungen mit einer großen Anzahl von Firewall-Regeln bemerkmar.
Firewall-Regeln sind jetzt kompakter und bieten mehr Informationen auf einen Blick - mehr als doppelt so viele Regeln können jetzt gleichzeitig angezeigt werden. Regeln können nun einfach gruppiert und als einzelnes Objekt zusammengeführt, erweitert und verschoben werden.

Firewall-Regel und Richtlinientest-Simulator

Eine brandneue Funktion in XG Firewall v17 ist der neue Firewall-Regel- und Richtlinientest-Simulator, der die sofortige und mühelose Simulation von Firewall-Regeln und Webfilter-Richtlinien basierend auf Benutzer, Protokoll, Quelle, Ziel und Tageszeit ermöglicht. Dieses Tool bietet eine schnelle und einfache Möglichkeit, um zu überprüfen, ob eine Richtlinie oder Regel wie erwartet funktioniert. Das kann ein wertvolles Tool zur Fehlerbehebung sein, wenn Benutzer oder Datenverkehr unerwartet blockiert werden.
Die Ergebnisse des Richtlinien- oder Regelsimulationstests geben an, ob der Datenverkehr zugelassen oder blockiert ist und geben die Regel oder Webrichtlinie für den zu steuernden Datenverkehr an.

IKEv2-Unterstützung

IPSec-VPN-Verbindungen unterstützen jetzt Internet Key Exchange (IKE) v2 und ermöglichen eine bessere Interoperabilität mit anderen Systemen. Ein IKEv2-IPsec-Profil ist aus praktischen Gründen enthalten und ermöglicht eine schnelle Einrichtung von IKEv2-IPsec-VPN-Verbindungen.

VPN-Benutzeroberflächenerweiterungen

Sowohl die Setup-Bildschirme für die IPsec-Profilkonfiguration als auch die IPsec-Verbindung wurden um ein intuitiveres Layout und eine automatische Prüfung der Feldvalidierung erweitert, um die Einrichtung zu optimieren und Fehler zu reduzieren.

Greylisting

Mehr Spam am Gateway mit Greylisting blockieren. Da die meisten Spam-Mails und Viren nur einmal die Zustellung einer Nachricht versuchen, verweigert Greylisting vorübergehend den ersten Versuch und weist den sendenden Mail-Server an, es erneut zu versuchen. Beim nächsten Versuch wird die Nachricht wie gewohnt angenommen und gescannt. Wenn ein Mailserver diesen Test oft genug bestanden hat, wird er automatisch zur Whitelist hinzugefügt. Alternativ kann der Administrator Whitelist-Datensätze manuell aktualisieren oder integrierte Voreinstellungen für allgemeine Absender verwenden.

Empfängerüberprüfung

Reduzieren Sie die Belastung der E-Mail-Verarbeitung der XG-Firewall und informieren Sie Absender, einschließlich Kunden und geschätzte Partner, bei Eingabe einer falschen E-Mail-Adresse mit einer sofortigen Antwort. Mithilfe der Empfängerüberprüfung kann die XG-Firewall den Verzeichnisdienst des Empfängers über SMTP abfragen und so kann überprüft werden, ob ein gültiges Postfach vorhanden ist. Wenn dies der Fall ist, wird die Nachricht, wie gewohnt, für Spam und Viren verarbeitet. Andernfalls wird die E-Mail abgelehnt und eine Rückmeldung an den Absender gesendet.

Microsoft Azure-Hochverfügbarkeit

Microsoft Azure bietet Flexibilität und globale Skalierbarkeit, die Kunden sofortige Redundanz- und Business Continuity-Vorteile bietet. In Version 17 können Kunden von diesen Funktionen profitieren, indem sie XG in Hochverfügbarkeitsszenarien in Azure implementieren.