Firewall Health Check

Der neue Gesundheitscheck bewertet Dutzende Einstellungen anhand von CIS Benchmarks und Best Practices,
identifiziert Risiken und liefert sofort umsetzbare Empfehlungen.

• Umfassende Bewertung der gesamten Firewall-Konfiguration
• Hervorhebung risikoreicher Einstellungen
• Direkte Handlungsempfehlungen mit Drill‑down
• Schneller Sprung zur betroffenen Konfiguration

Secure by Design – neue Xstream Architektur

Ein vollständig neues Control Plane mit Fokus auf Sicherheit, Skalierbarkeit und Zukunftsfähigkeit.

• Modularisierung, Isolation und Containerisierung – Dienste (z. B. IPS) laufen wie Apps
• Strikte Trennung von Berechtigungen
• Selbstheilende Mechanismen zur kontinuierlichen Statusüberwachung

Gehärteter Kernel (v6.6+)

Verbesserte Sicherheit, Performance und Skalierbarkeit auf moderner Kernel‑Basis.

• Stärkere Isolation und Schutz gegen CPU‑Schwachstellen (Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed, Downfall)
• Hardened usercopy, Stack Canaries und KASLR

Remote Monitoring & neue Anti‑Malware Engine

• Integration des Sophos XDR Sensors für Linux zur Echtzeit‑Integritätsprüfung
• Erkennung unautorisierter Konfigurationsänderungen, Regel‑Exporte, verdächtiger Programme und Dateimanipulation
• Neue Anti‑Malware Engine mit Zero‑Day‑Schutz, Cloud‑Reputation sowie KI/ML‑Detektion
• Updates im 5‑Minuten‑Takt und erweiterte Telemetrie für SophosLabs

Sicherheits- & Skalierungsverbesserungen

Active Threat Response

• Integration von Taegis XDR und MDR zur netzwerkweiten Blockierung
• Granulare Logging‑Kontrollen für ein rauschärmeres Ereignisbild
• Verbesserte Erkennung extern initiierter Bedrohungen (WAF, DNAT, MDR/NDR/3rd‑Party‑Feeds)

NDR Essentials

• Threat Score in Active‑Threat‑Response‑Logs
• Regionale Auswahl des Rechenzentrums für Flow‑Analysen
• device_name in Syslog für klare Quell‑Zuordnung

Weitere Highlights

• Großes AD‑SSO‑Upgrade (bessere Windows Server 2025‑Kompatibilität; veraltete Verschlüsselungen entfernt)
• XML API: Zugriff jetzt nach IP‑Hosts (Adressen, Ranges, Netze) – bis zu 64 Einträge
• Sofort‑Benachrichtigungen für Webkategorien & Keywords (E‑Mail‑Reports in Echtzeit)
• TLS 1.3 für Web Admin, VPN‑Portal und User‑Portal
• SSH Public‑Key‑Verwaltung nur durch Admin‑Defaultaccount
• FastPath/DPDK‑Optimierungen für XGS 87/87w, 107/107w, 116/116w

Verwaltung & Quality‑of‑Life

• Schnellere Navigation ohne Wartezeiten beim Seitenwechsel
• XFRM: Pagination, Suche und Filter
• Automatische getrennte Regeln (Incoming/Outgoing) für Site‑to‑Site IPsec
• Default‑NTP: „Use pre‑defined NTP server“ bei Neuinstallationen
• SNMP: neue Hardware‑Metriken (CPU/NPU‑Temp, Lüfter, PSU, PoE je nach Modell), Community‑String‑Handling
• sFlow für Echtzeit‑Traffic‑Einblicke (bis zu 5 Collector)
• Automatische XFRM‑MTU‑Berechnung zur Vermeidung von Fragmentierung
• Backup‑E‑Mail‑Betreff: Hostname, Firmware, Seriennummer, Modell zur schnellen Zuordnung

Sicherheits- & Audit‑Funktionen

• MFA für WAF zur zusätzlichen Absicherung
• Sicherere WAF‑Sitzungen (Server‑seitig, weniger Angriffsfläche; vollständiges Offloading möglich)
• SHA‑256 & SHA‑512 für OTP (inkl. Intercept X, Google Authenticator, DUO)
• NIS2‑konforme Audit‑Trail‑Logs mit Vorher/Nachher‑Vergleich (Phase 1: Regeln, Interfaces, Hosts & Services)