Date: 2017.11.03
Home / UTM Firewall. / おうちでUTM F/W - Sophos XG Firewall SFOS v17 メジャーアップデート編
Sophos XG Firewall Home Editionのファームウェア、SFOSのv17メジャーバージョンが正式リリース(General Availability)されました。

v15からv16へのメジャーバージョンアップ時は管理コンソール上に出てこなかったんですが、今回は利用可能な最新ファームウェアに普通に現れました。
Sophos XG Firewall Home Edition v17アップデート 利用可能な最新ファームウェア

なので、マイナーリリース時と同じように基本的にダウンロードしてインストールするだけです。
バージョンは「SFOS 17.0.0 GA」になります。




また、HA構成時のメジャーバージョンアップはどうなんだろうと、思いつつ今回も後先考えずに適用を実行してみましたが、結果は前回のマイナーリリースアップデート時と流れは全く同じでした。
ただし、マイナー時はそんな事なかったんですが、Slave機側にまず適用された後、完全に起動しきる前にMaster側がスタンバイに移行して適用が始まっちゃいました。
なので完全に通信断が暫く続く事に。
さすがにメジャーアップデートで起動時間がかかったのかもですが、完全に上がりきったのを確認せずに進んでしまう辺りはやっぱりちょっと詰めが甘いなぁと。

とりあえず流れは上記の画面で「ダウンロード」を実行し、完了すると「インストール」を選ぶだけです。
Sophos XG Firewall Home Edition v17アップデート ダウンロード完了

機器のコンソールの方を眺めていると、Config Migrateが走っているのが分かるので、メジャーアップデート時は特にちゃんと「successfully」となっているのを確認しておいた方がいいかなと。
Sophos XG Firewall Home Edition v17アップデート Config Migrate

まあ、気長に待ってれば無事どちらもアップデート完了しました。
後は正常構成に戻すのに逆転したMasterとSlaveを入れ替えれば終わりです。
Sophos XG Firewall Home Edition v17アップデート アップデート後Control Center

ちなみに、メジャーアップデートと言いつつ、ほとんど変化はなさそう。
リリースノートは以下の通り。いまいち分かりづらいですが。

News

Feature Release.
New Features.
App Control Policy Enhancements and Smart Filters.
Central Management.
Email Greylisting.
Email Recipient Verification.
Email Smart Host.
Firewall Rule and Policy Test Simulator.
Firewall Rule Management.
How-to Guides.
Initial Setup Wizard.
IPS Policy Enhancements and Smart Filters.
Microsoft Azure High Availability.
New Hardware Support.
NAT Rule Enhancements.
Report Scheduling.
Security Audit Report (SAR).
Synchronized App Control.
Synchronized App Control Widget.
Synchronized Applications Report.
Synchronized Security in Discover (TAP) Mode Deployments.
Unified Log Viewer and More Granular Logging.
VPN IKEv2 Support.
VPN UI Enhancements.
Web Filtering Enhancements.
Web Keyword Content Report.
Web Keyword Monitoring and Enforcement.
Web Streaming Media Enhancements.
Wildcard Support for Domain Name Host Objects.

Bugs

NC-21736 [Base System] Upload of Azure firmware fails if up2date is larger than 300MB.
NC-21045 [CR-to-CN_Migration] Support migration from CR10.6.6 to SF v17.0.
NC-22582 [Firewall] NAT chain failed if DNAT rule configured using wildcard FQDN.
NC-22657 [Firewall] Cyberoam to SF v17 migration fails when virtual hosts with portforwarding and firewall rule with DNAT are used.
NC-22508 [IPS] Change button text from “Cancel” to “Don’t Upgrade Yet" in the firmware pop up.
NC-22664 [IPsec] IPSec local id validation always failes if another connection uses external cert with remote gateway *.
NC-22385 [Logging] Fix UI issues in new log viewer.
NC-22523 [Logging] "Firewall Rule ID" label is sometimes displayed wrong as "Policy ID" in Logviewer.
NC-22570 [Logging] "Copy_to Clipboard" text is added at the end of the log content copied.
NC-22571 [Logging] Platform column details are not displayed properly under IPS logs.
NC-22625 [Logging] Content match is not color coded if the match is a date.
NC-22655 [Logging] Special chars need to be handled in the log viewer filter .
NC-22656 [Logging] Results which match filter key are also highlighted.
NC-22685 [Logging] Web filter icon showing red color even log sub type is allowed in some case.
NC-22691 [Logging] In- and output interface show same name in logviewer standard view 'Firewall' log.
NC-22612 [Mail Proxy] Control Center widget does not reflect email sandstorm activities.
NC-22709 [Mail Proxy] SMTP connection issue with high latency mail servers.
NC-22782 [Network Services] Remove *.cloudefront.net wildcard FQDN host.
NC-21776 [Networking] MLM methods can be changed in HA via CLI from Auxiliary appliance.
NC-22619 [Networking] Unicast route is removed from routing table after interface update.
NC-22431 [nSXLd] Embedded URLs are categorized incorrectly.
NC-22536 [Reporting] Manual filter is not working for application contain "\ & \\".
NC-22699 [Reporting] App details are missing for blocked applications.
NC-22747 [Reporting] Report drill down stops working when using languages other than English.
NC-22043 [Synchronized App Control] It is not possible to add new apps to application filter without customization.
NC-22393 [Synchronized App Control] Synchronized Applications in reports doesn't display details for application.
NC-22542 [Synchronized App Control] Use filename instead of full path in app list.
NC-22719 [UI] Logviewer logs are not updated properly when switching between pages.
NC-22130 [WAF] Issue with TLS settings for virtual webserver.
NC-22610 [WAF] Logviewer does not show the affected entity name.
NC-22654 [Web] Captive portal redirection does not work for iOS mobile devices.
NC-22006 [Wireless] WPA2 KRACK vulnerability fixes.

ファイアウォールポリシーとログビューアだけは見た目がかなり変更に。
メジャーバージョンが変わる度にここは大きく変わりますね。
ポリシー画面はまだいいんですが、ログビューアはかなり見にくくなった。
特にトラフィックログで詳細を出さないとポート番号とかが見えないのは運用するとなるとちと困ると思うんですが。

他の追加機能として、ログビューアに「ポリシーテスト」機能が実装されました。
宛先や送信元等の条件を入力してテストするとどのポリシーにマッチしてどういった制御がされているかを確認できます。
これは便利かも。
Sophos XG Firewall Home Edition v17アップデート ポリシーテスト

他にWebポリシーでキーワード条件ができるっぽいけど、ヘルプにもまだ載っておらず実際にどう動くのかは未検証です。
また、UTMをTAPモードとして導入可能に。

それとFQDNホストにワイルドカード登録ができるようになりました。
ただ、勝手にホスト登録を大量にしてくれなくていいんですが。しかもあくまで海外ホストばかりだし。
Sophos XG Firewall Home Edition v17アップデート FQDNホスト

ちょっと期待していたんですが相変わらずアプリケーションベースのポリシー評価はできず・・・
(先に必ずサービスポート評価されてしまう。)
これはできるようになるといいんだけども。

※他にも追加はあるようですが、見つけきれなかったり使っていなかったりで未評価です。

【追記】
メンテナンスリリースのSFOS 17.0.1 MR-1がリリースされました。

【更に追記】
メンテナンスリリースのSFOS 17.0.2 MR-2がリリースされました。
ログの見にくさが以前のように戻り改善。

【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。


Secret

TrackBackURL
→https://000dandelion000.blog.fc2.com/tb.php/259-59ead3a4