XG Firewall v18.5 MR1の更新

投稿日 編集日 カテゴリ

XG Firewall v18.5 MR-1

XG Firewall v18.5 MR1が2021年8月9日に発表されました。主としてTLSインスペクションの高速化が行われています。これまでv18を利用してきたユーザーは今後発表されるであろうv18 MR-6以降へのアップデート、或いは、今回のv18.5へのアップデートとを選択する事になるようです。なお、XG Firewallの最新パッチについては、「VMware ESXiの仮想マシンをバックアップする」の関連リンクを参照してください。

主なエンハンスの内容

  • DPI モードでの TLS トラフィックのネットワーク パフォーマンスの向上など、v18.5 GA に含まれるパフォーマンスの向上の恩恵を受けることができます。
  • ソフォス DDNS (myfirewall.com) は廃止され、新しい登録はサポートされなくなります。2022年1月31日から予定されています。詳細については、KBA-41764を参照してください。

    https://support.sophos.com/support/s/article/KB-000041764?language=en_US&c__displayLanguage=ja

なお、XGのメニューには ゼロデイ対策という項目が加えられていますが、個別のサブスクリプションライセンスが必要です。

v18.5 MR-1の詳細な説明はSophos Communityを参照してください。可能な限り迅速にアップグレードするように推奨されています。

https://community.sophos.com/sophos-xg-firewall/b/blog/posts/sophos-firewall-v18-5-mr1-is-now-available

Upgrade as soon as possible

While we always encourage you to keep your firewalls up to date with the latest firmware, over the next few months we are recommending you rapidly apply maintenance releases to ensure you have all the important security, performance, and feature enhancements applied as soon as possible.

ファイアウォールを最新のファームウェアで最新の状態に保つことを常に推奨していますが、今後数ヶ月間は、重要なセキュリティ、パフォーマンス、機能強化のすべてを可能な限り早く適用できるように、メンテナンスリリースを迅速に適用することをお勧めします。

XGのアップデート

XGのv17からのアップデートは、 v17.5 MR14以降から可能です。XGv18はMR-3以降から可能です。
XGの管理画面にログイン後、左ペインメニューのバックアップ&ファームウェアファームウェアの確認ではただちに全てのユーザーにアップデートの案内が来るわけでは無いようなので、アップデートにはMySophosにログインし、バージョンアップの差分モジュールをダウンロードします。

  1. Sophosのサイトの右上のプルダウンメニューから、ライセンスとアカウントをクリックします。

    https://www.sophos.com/ja-jp.aspx

  2. Sophos IDをお持ちでなければIDを作成します。
  3. ログイン後、Network Protectionをクリックします。
  4. ファームウェアの更新をクリックします。
  5. 「製品名/OSを使った検索」で”ファイアーウォール”を選択し、その後現れるプルダウンは”ソフトウェア”を選択します。
  6. 選択可能なダウンロードを表示ボタンをクリックします。
  1. 上記画面で”SFOS 18.5.1 MR1-Build326”というアップデータが表示されますのでダウンロードします。
  2. MY Sophosはここで終了してXGの管理画面にログインし、左ペインメニューのバックアップ&ファームウェアファームウェアのタブメニューから以下の画面に赤丸で囲った矢印のアイコンをクリックし、ダウンロードしたモジュールをアップロードします。

アップロード&再起動ボタンをクリックし、v18.5へのアップグレードを完了させます。

SophosダイナミックDNSの提供終了

残念ながらmyfirewall.coのDDNSは2022年1月末をもってサービス提供終了となります。また、このv18.5から新たに”myfirewall.co”でDDNSを新規登録できないようになっています。一旦myfirewall.coのDDNSを削除してしまうと追加できない事になります。代替のDDNSは以下の通りです。

  • DynDNS
  • ZoneEdit
  • EasyDNS
  • DynAccess
  • No-IP
  • DNS-O-Matic
  • Google DNS
  • Namecheap
  • FreeDNS

No-IPの無償ユーザーで確認してみましたが定期的にDNSの更新が行われています。No-IPの無償ユーザーは毎月ユーザーが実際にNo-IPのサイトにログインして利用継続を確認する必要があります。XGのVPN(IP-Sec,SSL-VPN)については設定ファイルのホスト名を修正できます。例えばNASをお持ちの方であればDDNSが提供されているケースもあり、NASのメーカーが提供するDDNS名に置き換え、XG上のDDNSは使わないという方法もあります。

TLS/SSLインスペクションのパフォーマンス

体感的には通販サイトなど細かな画像ファイルが多く読み込まれるケースで高速化したかな?と感じてはいます。SSLインスペクション、IPS、アプリケーションフィルタ、Webフィルタを有効にした状態で下記のスループットとなっており、十分高速ではあります。

ネット回線: auひかり5Gbps

  • XGのマシンスペック: Core i7メモリ16Gbyte
  • 仮想環境: ESXi6.7
  • ネットワークカード: intel X550-T2
  • クライアントPC: CeleronG3900という5年前の一般的なクライアントに5GbpsのNIC(Aquantia AQtion 5G Network Adapter)を組み込んだもの
  • iPhone11(iOS14.7.1)、Wi-Fi6(11ax)

仮想環境(ESXi)上にXGをインストールされている方はアップグレードの前に、「VMware ESXiの仮想マシンをバックアップする」を参考に、XGのバックアップを確保される事をお勧めします。