Actualización de firmware Sophos Firewall: preparación y mejores prácticas
Las actualizaciones de firmware mantienen un Sophos Firewall seguro, estable y con soporte. Aun así, no deben tratarse como una actualización de paquete normal. Un upgrade de SFOS puede afectar al comportamiento de HA, túneles VPN, certificados, Web Protection, TLS Inspection, Remote Access, integración con Central y routing.
Para el contexto general de hardening, sirve el hub Sophos Firewall Hardening: buenas prácticas para una configuración segura.
Este artículo es la lista de planificación y operación antes de una actualización de firmware de Sophos Firewall. Ayuda a decidir si una actualización puede aprobarse ahora, qué dependencias deben revisarse antes de la ventana de mantenimiento y cuándo un rollback es más razonable que seguir haciendo troubleshooting. La instalación concreta desde WebAdmin se describe en Realizar la actualización del firmware de Sophos Firewall.
⚠️ Importante: Antes de cada actualización de firmware, se requiere una copia de seguridad actual, la clave maestra de almacenamiento seguro adecuada y un plan de reversión probado. Para SFOS 22 o posterior, el artículo Sophos Firewall check before SFOS 22 update también debe procesarse porque la plataforma, el espacio de almacenamiento, los nombres de las interfaces, STAS y el acceso remoto heredado IPsec se verifican específicamente allí.
¿Qué artículo de actualización encaja?
Los temas de firmware se superponen rápidamente. Por lo tanto, es importante que los administradores elijan primero el proceso correcto:
- Preparar el update, revisar riesgos y planificar la ventana de mantenimiento: Este artículo.
- Subir o instalar la imagen de firmware en WebAdmin: Realizar firmware update en Sophos Firewall.
- Preparar la actualización a SFOS 22 o superior: Comprobar Sophos Firewall antes de actualizar a SFOS 22.
- Comprobar backup, Secure Storage Master Key y capacidad de restore: Crear o restaurar backup de Sophos Firewall.
- Reinstalar Firewall OS por completo o restaurar tras un reimage: Reinstalar Sophos Firewall OS: reimage con memoria USB.
- Evaluar un clúster HA antes de mantenimiento, failover o upgrade: Variantes de clúster HA de Sophos Firewall.
- Update controlado por Central o tarea de firewall bloqueada: Comprobar Sophos Central Firewall Management Task Queue.
- Evaluar plataforma XG, SG o XGS antes del upgrade: Sophos XG vs. XGS: diferencias, EOL y migración.
- Recopilar número de serie, estado de licencia o datos de soporte para el cambio: Encontrar el número de serie de Sophos Firewall.
Esta separación evita errores típicos. Una actualización de firmware no es lo mismo que un reimage, un rollback no sustituye a un backup y una descarga correcta no demuestra que la ruta de upgrade, el derecho de soporte, el estado de HA y el plan de recuperación encajen. Este artículo de planificación no pretende repetir cada clic de la instalación, sino dejar clara la decisión de aprobación.
Cuándo es necesario preparar una actualización
Una breve comprobación suele ser suficiente para pequeñas versiones de mantenimiento. La preparación estructurada es obligatoria si se aplica al menos uno de estos puntos:
- Firewall productivo con múltiples enlaces ascendentes WAN, VPN, reglas NAT o publicaciones WAF.
- Clúster HA o ubicación remota sin fácil acceso físico.
- La versión salta sobre varias versiones o cambia a una nueva versión principal como SFOS 22.
- XG, SG, software, dispositivo virtual o en la nube con problemas de plataforma o licencia.
- Dependencias críticas como Microsoft Entra ID, RADIUS, LDAP, Certificados, DNS, DHCP, SD-WAN o Sophos Central.
- Problemas conocidos de rendimiento, espacio de almacenamiento o SSD en el dispositivo.
Cuanto mayor sea el cambio, más se debe tratar la actualización como un cambio con un runbook, un plan de prueba y una reversión.
1. Consulte las notas de la versión y la ruta de actualización
Antes de actualizar, primero aclare si la versión de destino se ajusta al entorno actual.
- Consulte las Notas de la versión de Sophos para ver si la versión de destino está publicada y si hay notas en su propia rama de versión.
- Consulte además las notas de la versión oficial de la versión de destino y los Problemas conocidos para que los problemas conocidos no solo se vuelvan evidentes después de la actualización.
- Documentar la versión existente, la versión de destino y la ruta de actualización admitida.
- Importante: seleccione únicamente rutas de actualización compatibles. Si la ruta de actualización no es compatible, el firewall se puede restablecer a la configuración de fábrica después de la actualización del firmware.
- Para SFOS 22, tenga en cuenta que el hardware XG y SG ya no es compatible.
- Para SFOS 21.5, tenga en cuenta que no todos los caminos de destino conducen automáticamente a SFOS 22 GA. Las Release Notes de la versión de destino concreta son determinantes.
- Para muchas interfaces VLAN, puentes, LAG, RED o XFRM, verifique si los nombres de interfaz con bloques largos de números pueden desencadenar un problema de visualización del WebAdmin.
- Para Legacy Remote Access IPsec, verifique si está bloqueada una actualización a SFOS 22 MR1 o posterior.
- Para STAS y reglas basadas en usuarios, verifique si las notas de actualización conocidas son relevantes para su propia configuración.
- Para firewalls de software, virtuales, Azure o AWS BYOL, aclare si es necesario reclamar el firewall en Sophos Central antes de actualizar.
- Si hay saltos de versión incompatibles, no planifique una actualización normal, sino más bien prepare un concepto de reimagen.
Para decisiones de actualización concretas no cuentan los anuncios, sino las Release Notes, Known Issues, la ruta de upgrade soportada y la planificación local del firmware. Si una versión parece interesante, pero la ruta de upgrade, la plataforma, el derecho de soporte o el rollback no están claros, el cambio todavía no debería aprobarse.
En la práctica conviene dejar una decisión breve directamente en el cambio: versión actual, versión de destino, ruta soportada, bloqueadores conocidos, plataforma afectada y camino de retorno previsto. Así queda claro más tarde por qué se instaló exactamente esa versión y no simplemente “la más nueva”.
2. Aclarar la elegibilidad para la licencia y el soporte
Desde SFOS 19.0 MR1, se requiere soporte mejorado o soporte mejorado Plus para futuras actualizaciones de firmware después de las actualizaciones iniciales gratuitas. Sin la autorización de soporte adecuada, es posible que el firmware se pueda descargar pero no instalar.
Se aplican excepciones, entre otras, a actualizaciones de patrones, Hotfixes, reimagen, actualizaciones de firmware obligatorias y actualizaciones de firmware auxiliares. Sin embargo, estas excepciones no reemplazan la planificación adecuada de las actualizaciones.
Por lo tanto, antes de realizar el cambio debes comprobar:
- Administración > Licencias muestra una licencia válida y derecho de soporte.
- Sophos Central muestra el firewall con el número de serie correcto.
- Se conocen el acceso al soporte y las personas de contacto.
- Es posible descargar la versión de destino.
- Si es necesario, se prepara el acceso al soporte de Avanet o Sophos.
Si desea que Avanet admita el cambio, el artículo Configuración del acceso de soporte de Avanet a Sophos Firewall es apropiado.
3. Preparar copia de seguridad, SSMK y reversión
Se instala una actualización de firmware en una segunda ranura de firmware. Por lo tanto, a menudo es posible volver a la versión anterior. Sin embargo, una reversión no reemplaza una copia de seguridad porque el estado de configuración, la compatibilidad de restauración y el estado operativo deben verificarse por separado.
El punto más importante suele subestimarse: Sophos Firewall mantiene el firmware activo y el anterior con su estado de configuración correspondiente en particiones separadas. Un rollback no solo vuelve al código SFOS anterior, sino también al estado de configuración anterior. Los cambios realizados después del upgrade pueden faltar o comportarse de otro modo.
Antes de la actualización:
- Descargue una copia de seguridad de la configuración nueva.
- Verifique la clave maestra de almacenamiento seguro en el administrador de contraseñas.
- Proporcionar contraseña de respaldo y acceso de administrador.
- Documentar la versión de firmware existente y la versión de destino.
- Documentar la configuración actual, capturas de pantalla críticas y hora de cambio.
- Para cambios mayores, comprobar además un backup de Central o un backup guardado externamente.
El proceso de backup y restore se describe en detalle en Crear o restaurar backup de Sophos Firewall. Si no es posible un cambio normal de firmware, ayuda Reinstalar Sophos Firewall OS: reimage con memoria USB.
Desde SFOS 20.0, el firewall puede volver automáticamente a la versión y al estado de configuración anteriores en determinados problemas durante la migración de configuración. Es una función de seguridad, pero no una autorización para actualizar sin preparación. Después de un rollback automático, hay que aclarar la causa antes del siguiente intento.
4. Prepare la prueba de cambio
Para versiones de mantenimiento simples, suele ser suficiente una copia de seguridad, una captura de pantalla de la página del firmware y una breve nota de cambio. Para actualizaciones más grandes, también debe registrar qué configuración era válida antes de la ventana de mantenimiento y qué cambios se realizaron durante la verificación de seguimiento.
Estas herramientas responden a preguntas diferentes:
- Backup: ¿Qué estado de configuración puede restaurarse?
- Config Studio: ¿Qué diferencias hay entre dos estados de configuración?
- Audit Trail: ¿Quién realizó qué cambio de configuración soportado y cuándo?
Sophos Firewall Config Studio es útil si desea comparar los estados de configuración antes y después de una actualización. Esto no reemplaza una copia de seguridad, pero ayuda con la pregunta de si las reglas, objetos, interfaces o políticas se cambiaron inesperadamente durante una ventana de mantenimiento.
El Sophos Firewall Audit Trail es adecuado para la trazabilidad temporal. Es particularmente útil cuando participan varios administradores o cuando se ejecuta un cambio controlado centralmente en paralelo a la actualización del firmware. Si la actualización o un cambio de configuración se activa a través de Sophos Central, la Cola de tareas de administración de firewall Sophos Central también forma parte de la verificación de seguimiento.
5. Verifique el espacio de almacenamiento y el estado del sistema
El espacio de almacenamiento insuficiente, los registros antiguos o un estado inestable del HA pueden hacer que una actualización sea innecesariamente riesgosa. Antes de realizar una actualización importante, debe comprobar conscientemente el estado del sistema.
En WebAdmin:
- Consulte el Centro de control para ver advertencias.
- Abra Copia de seguridad y firmware > Firmware y verifique las versiones disponibles.
- Marque Diagnóstico > Visor de registros para ver errores recurrentes del sistema.
- Verifique Servicios del sistema y servicios relevantes.
- Para SFOS 22, mirar también el firewall Health Check, si está disponible.
El espacio de almacenamiento libre se puede verificar usando SSH o Advanced Shell:
df -kh
Si una partición está muy llena, no debes actualizar a ciegas. Primero aclare si los archivos locales, registros, informes o volcados de soporte antiguos están ocupando espacio. Si la causa no está clara, un caso de soporte es más seguro que eliminar manualmente el Advanced Shell. El proceso práctico se encuentra en Sophos Firewall Verificar espacio de almacenamiento y administrar informes.
Si el dispositivo es antiguo, escribe muchos informes locales o ya muestra problemas de E/S o de base de datos, también se debe verificar y documentar el estado del SSD a través de SMART.
Sophos Firewall Solución de problemas: Services y registros, Sophos Firewall Utilice Packet Capture en WebAdmin y [Sophos Firewall] ayuda para el análisis de estado y registros Cómo utilizar Health Check correctamente](/es/kb/sophos-firewall-health-check/).
6. Planifique el clúster HA por separado
Los clústeres HA no deben tratarse como firewalls individuales. Sophos escribe que no es necesario desactivar HA para la actualización del firmware. Sin embargo, una actualización de HA necesita más control porque tanto los dispositivos como las ranuras de firmware, las funciones y el comportamiento de conmutación por error se ven afectados.
Antes de la actualización:- Verificar el estado de HA en WebAdmin.
- Identificar claramente los aparatos primarios y auxiliares.
- Verificar enlace y sincronización HA.
- Asegurar la misma situación inicial de firmware en ambos dispositivos.
- Planificar también ventanas de mantenimiento para Activo-Pasivo-HA.
- Comunicar la breve interrupción esperada al cambiar de roles.
En estado HA conectado, la actualización de firmware se inicia en el dispositivo Primary y el clúster la procesa para ambos appliances. Normalmente se actualiza y reinicia primero el Auxiliary appliance, después se produce un cambio de rol y, a continuación, se actualiza el antiguo Primary. Según la configuración de HA, el Primary preferido puede volver a quedar activo al final. El Auxiliary appliance no debe actualizarse por separado. Pattern Updates y Hotfixes se aplican de forma independiente en los dispositivos.

Para entornos HA, también se debe leer Clúster Sophos Firewall HA: dispositivo activo-pasivo, activo-activo y auxiliar.
7. Definir ventanas y pruebas de mantenimiento.
Una buena ventana de mantenimiento incluye no sólo el tiempo de instalación sino también pruebas claras posteriores.
Establecer antes de la actualización:
- Hora de inicio, última hora de cancelación y decisión de reversión.
- Responsable de firewall, red, servidores, aplicaciones y soporte.
- Lista de pruebas para Internet, DNS, DHCP, VLANs, NAT, VPN, WAF, Correo, Protección Web y aplicaciones críticas.
- Accesibilidad mediante puerto de gestión local o acceso alternativo.
- Monitoreo en modo pausa o mantenimiento en el sistema de monitoreo.
- Ruta de comunicación si falla el acceso remoto durante el cambio.
Las pruebas no deberían consistir sólo en pings. Para firewalls productivos, las comprobaciones de conexión reales son más importantes: inicio de sesión VPN, acceso a aplicaciones internas, resolución DNS, acceso web, servicios publicados, flujo de correo, rutas SD-WAN y autenticación central.
Si la actualización de firmware se planifica desde Sophos Central, la zona horaria del firewall pertenece al cambio. Sophos Central inicia upgrades planificados según la zona horaria del firewall correspondiente. En ubicaciones distribuidas internacionalmente, por tanto, no cuenta la hora local del navegador del administrador, sino la hora válida para el firewall.
Además, Sophos Central solo muestra upgrades de firmware para firewalls adecuados. Si en Central falta un botón de descarga o planificación, no conviene asumir de inmediato un error de UI. Primero revisar: si el firewall está en una versión GA, está online, está correctamente gestionado en Central, tiene licencia/soporte adecuados y la versión de destino está aprobada para esa plataforma.
8. Validar después de la actualización
Después del reinicio, el cambio aún no se ha completado. Primero debe comprobar si el firewall realmente se está ejecutando en el estado esperado.
Inmediatamente después de la actualización:
- Verificar versión activa SFOS.
- Verificar si está activo el firmware slot esperado y si se ha producido un rollback automático.
- Consultar el estado de actualización de licencia y patrón.
- Verifique los registros del sistema y del kernel para detectar errores notables.
- Verificar interfaces, rutas SD-WAN, túneles VPN y estado de HA.
- Validar reglas de firewall, NAT, Protección Web, TLS Inspection y WAF con pruebas reales.
- Sophos Central Comprobar sincronización.
- Reactivar el seguimiento.
- Agregar documentación de cambios con resultados, tiempos y desviaciones.
Si se planificó o activó una actualización de firmware a través de Sophos Central, la Cola de tareas de administración de firewall Sophos Central también forma parte de la verificación de seguimiento. Allí puede comprobar si la tarea central se completó con éxito o si una tarea fallida está bloqueando cambios posteriores.
Si se producen errores inesperados después de la actualización, primero se debe reducir la diferencia entre problema de configuración, error de firmware, problema de licencia y problema del sistema externo. Log Viewer, Packet Capture y los registros de servicios específicos son más útiles que los reinicios múltiples inmediatos.
Un rollback no debe ejecutarse por nerviosismo, pero tampoco demasiado tarde. Si WAN, HA, VPN centrales o publicaciones críticas no pueden estabilizarse dentro de la ventana de análisis definida, el camino de retorno planificado suele ser más limpio que aplicar cada vez más correcciones durante una caída en curso. Si solo destaca una regla, un objeto o un servicio externo, Log Viewer, Packet Capture y los service logs suelen dar una mejor respuesta.
Errores típicos con actualizaciones de firmware
- Actualización sin copia de seguridad nueva: Restaurar o revertir se vuelve innecesariamente riesgoso; Verifique la copia de seguridad y SSMK antes del cambio
- Las notas de la versión solo se leen superficialmente: Se pasan por alto errores conocidos, bloqueadores de plataforma o rutas de actualización no compatibles; Documente las notas de la versión de Sophos, los problemas conocidos y la ruta de actualización admitida
- Verificación SFOS-22 omitida: Los bloqueadores de plataforma, espacio de almacenamiento, interfaz, STAS o IPsec heredados solo se notan en la ventana de mantenimiento; Antes de SFOS 22 o posterior, complete la verificación de actualización por separado
- Se supone que HA está libre de fallas: La conmutación por error puede interrumpir sesiones y conexiones individuales; Planifique también la ventana de mantenimiento y el plan de prueba para HA
- Sin acceso de emergencia local: El cambio remoto puede atascarse en el problema VPN o WAN; Aclarar acceso fuera de banda u opción presencial
- Ping probado únicamente: Los problemas de aplicaciones, DNS, TLS o VPN no se detectan; Definir pruebas técnicas por servicio
- La reversión se decidió demasiado tarde: El tiempo de inactividad se hace más largo de lo necesario; Determine de antemano el tiempo de terminación y los criterios de reversión
Lista de verificación
- Versión de destino y ruta de actualización marcadas.
- Se verificaron las notas de la versión de Sophos, las notas de la versión oficiales, los problemas conocidos y la ruta de actualización admitida.
- SFOS 22 Verificación de actualización realizada en actualizaciones relevantes, incluida la plataforma, los nombres de las interfaces, el espacio de almacenamiento, STAS y el acceso remoto heredado IPsec.
- Licencia y soporte mejorado marcados.
- Copia de seguridad descargada y SSMK disponible.
- Prueba de cambio preparada con Backup, Config Studio, Audit Trail o Central Task Queue si varios administradores o Central están involucrados.
- Se verifica el espacio en disco y el estado del sistema.
- Estado y roles de HA documentados.
- Definición de ventana de mantenimiento, plan de pruebas y criterios de reversión.
- Archivo de firmware o descarga de GUI preparada.
- Se aclara el acceso a la gestión local o alternativa.
- Versión comprobada, servicios, VPNs, NAT, WAF, registros, cola de tareas central y seguimiento tras la actualización.