Realizar una actualización de firmware de Sophos Firewall
El artículo explica cómo realizar una actualización de firmware de Sophos Firewall de manera práctica a través de WebAdmin: obtener el firmware, cargar la imagen, iniciar la instalación y, si es necesario, volver a la versión anterior.
Para actualizaciones mayores, la ejecución técnica no debe confundirse con la planificación. La preparación real de la actualización con notas de la versión, ruta de actualización, respaldo, HA, espacio de almacenamiento, plan de pruebas y criterios de rollback se detalla en Actualización de firmware de Sophos Firewall: Preparación y mejores prácticas. Este artículo es el paso adecuado cuando está claro qué versión se debe instalar.
⚠️ Nota importante sobre dispositivos antiguos: SFOS 21.5 GA y versiones posteriores ya no son compatibles con los dispositivos XG y SG. Aquellos que aún operan un XG deben verificar primero si es necesaria una migración a XGS antes de cualquier actualización. Para ello, son útiles ¿Cuál es la diferencia entre un firewall XG y XGS? y el Calendario de ciclo de vida del producto de Sophos.
Información: La guía asume que se dispone de un dispositivo compatible con Enhanced Support válido o que el dispositivo aún se encuentra dentro de los tres firmware upgrades gratuitos. Antes de cada actualización, se debe crear primero un respaldo de Sophos Firewall. La actualización se instala en la partición de firmware inactiva y, normalmente, existe rollback como vía de retorno. Sin embargo, nunca se debe actualizar sin un respaldo.
Importante: Los firmware slots no son solo archivos. Sophos Firewall mantiene el firmware activo y el anterior con el estado de configuración correspondiente en particiones separadas. Un rollback no solo inicia el código SFOS anterior, sino también el estado de configuración anterior asociado.
Antes de una actualización a SFOS 22 o posterior, también se debe realizar la verificación de actualización de SFOS 22. Allí se revisan por separado los bloqueadores típicos de actualización como soporte de plataforma, espacio de almacenamiento, nombres de interfaces, estado de HA, STAS y acceso remoto IPsec heredado.
¿Preparación o ejecución?
Para los administradores, son importantes dos preguntas:
- ¿Está la firewall lista para la actualización? Entonces encaja Actualización de firmware de Sophos Firewall: Preparación y mejores prácticas.
- ¿Cómo se instala la imagen de firmware? Entonces esta guía es el punto de partida correcto.
- ¿Existen bloqueadores específicos de SFOS 22? Entonces conviene revisar primero Verificar Sophos Firewall antes de la actualización a SFOS 22.
- ¿Es necesario reinstalar completamente SFOS? Entonces encaja Reinstalar Sophos Firewall OS: Reimage con USB.
En firewalls productivos, primero se debe completar la preparación. Después, la instalación en sí suele ser la parte más corta de la ventana de mantenimiento.
Última verificación antes de cargar y arrancar
Justo antes de comenzar, se debe verificar nuevamente si todo está realmente listo para el reinicio. Esta breve verificación no reemplaza la planificación de la actualización, pero previene errores típicos en la ventana de mantenimiento.
- Backup disponible y SSMK conocido: Un rollback a la partición antigua no sustituye a un backup recuperable.
- Acceso después del reinicio aclarado: En ubicaciones remotas se necesita un camino de regreso si WAN, VPN o routing no vuelven de inmediato.
- Rol de HA y estado del clúster verificados: Una actualización en un clúster ya inestable aumenta innecesariamente el riesgo.
- VPNs críticas y uplinks WAN conocidos: Después del reinicio, se puede verificar específicamente si las conexiones más importantes están nuevamente activas.
- Criterio de rollback definido: En caso de error, debe estar claro cuándo volver y cuándo seguir analizando.
Especialmente en ubicaciones remotas, no se debe confiar solo en la sesión de WebAdmin. Si es posible, se debe preparar un segundo camino de acceso: contacto local, acceso fuera de banda, VPN de gestión, Sophos Central o una clara vía de escalación. De lo contrario, una ventana de firmware normal puede convertirse rápidamente en un problema de ubicación.
Descargar manualmente el firmware de SFOS
Antes de que se pueda instalar el nuevo firmware, debe obtenerse a través de Sophos Central, directamente en WebAdmin o desde la página de descarga de firmware. Para firewalls registrados, Sophos Central es el punto de partida más limpio: abrir el menú de perfil, seleccionar Licensing > Firewall licenses, desplegar la firewall y descargar el firmware adecuado en Downloads. Si la versión deseada no aparece directamente, Other downloads lleva a los instaladores, donde se selecciona el tipo de plataforma.
- Appliances de hardware: Imagen de firmware de SFOS para appliances de hardware compatibles.
SF300representa la serie XG,SF310la serie XGS. - Appliances de software y virtuales: Imágenes de firmware de SFOS para appliances de software.
- Cloud Appliances: Firmware de SFOS para Cloud Appliances.
Antes de la descarga, se deben documentar en el change la versión actual, la versión objetivo, la serie de appliance y la imagen prevista. Esto evita que durante la ventana de mantenimiento se cargue una imagen incorrecta o se reutilice una descarga antigua. En descargas manuales es especialmente importante que la imagen corresponda a la plataforma: hardware appliance, software/VM appliance y cloud appliance son rutas distintas.
Nota: Con Enhanced Support, en muchos casos se puede descargar el firmware más reciente directamente desde la GUI. Si ya se han usado los tres firmware upgrades gratuitos y no hay una support subscription adecuada activa, la instalación puede quedar bloqueada en la GUI. El método manual sigue siendo útil cuando se desea preparar, verificar o programar una actualización de manera específica.
Offline no es automáticamente Air-Gap: Este artículo describe la carga manual de una imagen de firmware de SFOS. En entornos estrictamente aislados, la conciliación de licencias y las actualizaciones de patrones son procesos operativos separados. Para ello, es adecuado Operar la licencia y las actualizaciones de patrones de Sophos Firewall Air-Gap.
Comprobar imagen y ruta de actualización
Antes de la carga no basta con revisar el nombre del archivo. Lo decisivo es si la imagen encaja con la appliance, la versión activa y la ruta objetivo prevista.
- XGS-Hardware: Usar la imagen de hardware para la serie de appliance adecuada y no planificar accidentalmente hardware XG/SG.
- Appliance virtual o software: Usar la imagen de software o VM y comprobar los requisitos de hypervisor y recursos.
- Cloud-Appliance: Revisar la imagen cloud y la ruta de plataforma, especialmente en deployments BYOL y Marketplace.
- Entorno Air-Gap: Planificar imagen de firmware, conciliación de licencia y Pattern-Updates como pasos separados.
- Major Release: Revisar upgrade path, release notes y known issues antes de la ventana de mantenimiento.
Si WebAdmin no ofrece un cambio de versión o si sería necesaria una ruta incompatible, no se debe continuar con una carga normal. Primero hay que aclarar si hace falta un paso intermedio, un reimage o una migración a hardware soportado.
Instalar manualmente el firmware de SFOS
El firmware descargado ahora se puede instalar en Sophos Firewall.
- Iniciar sesión en Sophos Firewall.
- Abrir
Backup & Firmwareen la navegación y comprobar la sección Firmware. - En la sección Firmware, seleccionar la versión deseada y hacer clic en el icono de carga.
- En la ventana
Firmware Upgrade/Downgrade, seleccionar el archivo de firmware desde el equipo. - Elegir
Upload Firmwaresi la imagen solo debe prepararse. - Elegir
Upload & Bootsi la ventana de mantenimiento está activa y la firewall debe arrancar directamente con la nueva versión.
Sophos Firewall muestra en el área Firmware un máximo de dos estados de firmware: la versión activa y una versión inactiva. La versión inactiva es la versión anterior para rollback o una imagen compatible cargada manualmente. Por eso, antes de cargar una nueva imagen conviene comprobar qué versión está actualmente en el segundo slot y si todavía se necesita como opción de retorno.
Si solo se elige Upload Firmware, la imagen queda en el slot inactivo. La firewall todavía no cambia a la nueva versión. Tampoco un reinicio no planificado posterior arranca automáticamente esta imagen. Solo Upload & Boot o Boot firmware image activa el cambio real, finaliza las sesiones existentes y reinicia la firewall.
Las siguientes capturas de pantalla muestran el diálogo de carga y la selección de la imagen de firmware.


Nota: La elección entre Upload Firmware y Upload & Boot debe hacerse conscientemente. Con Upload Firmware, solo se carga la imagen. Con Upload & Boot, la instalación se inicia directamente.
- Upload Firmware: Útil si la imagen debe prepararse antes de la ventana de mantenimiento. Riesgo: un administrador posterior puede iniciar una imagen cuyo contexto no está documentado.
- Upload & Boot: Útil cuando la ventana de mantenimiento está activa y backup, acceso y pruebas están preparados. Riesgo: la firewall reinicia de inmediato y las sesiones existentes se interrumpen.
- Boot firmware image: Útil si una imagen ya cargada debe iniciarse en un momento definido. Riesgo: se arranca la versión presente en el slot, no automáticamente la versión más reciente disponible.
Si solo se eligió Upload Firmware, se puede establecer el momento de la instalación más tarde. Para ello, en la sección Firmware, usar el icono con las dos flechas cuando el momento para la instalación sea adecuado.

Cluster HA durante el firmware update
Si hay un cluster HA configurado, el update se inicia en el dispositivo primary y el cluster ejecuta el proceso para ambas appliances. La appliance auxiliary no debería actualizarse por separado. La secuencia típica es: el primary inicia el proceso, primero se actualiza y reinicia el auxiliary, después se produce un cambio de rol y finalmente se actualiza el primary anterior. Si hay un Preferred Primary definido, al final puede producirse otro failback.
Incluso con HA se debe planificar una ventana de mantenimiento. Durante el cambio de rol pueden caer sesiones individuales, reconstruirse brevemente túneles VPN o perderse algunos pings. Después del update, comprobar conscientemente estado HA, roles, VPNs y conexiones centrales.
Un dispositivo HA en modo standalone es un caso especial y no debe actualizarse como un cluster sincronizado correctamente. Antes del update, estado HA, sincronización y roles deben estar claros. Para la preparación, ver Sophos Firewall HA cluster variants.
Pattern Updates y Hotfixes no son lo mismo que un firmware upgrade. En entornos HA, los Pattern Updates se actualizan en el primary y después se sincronizan; Sophos trata los Hotfixes por separado. Por eso, después de una ventana de firmware no solo se debe comprobar la versión SFOS, sino también el estado de Pattern, Hotfix y la sincronización HA.
Instalar automáticamente el firmware de SFOS
Si se dispone de una licencia de soporte mejorado válida, a menudo se puede descargar el firmware directamente en la GUI.
Nota: Si una nueva versión de firmware no aparece lo suficientemente rápido en la GUI o se quiere planificar una imagen concreta, se puede utilizar en cualquier momento la variante manual.
- Iniciar sesión en Sophos Firewall.
- Abrir
Backup & Firmwareen la navegación. - En Latest Available Firmware, usar Check for new firmware para buscar nuevas versiones.
- En la actualización listada, seleccionar
Download. Si en el Control center aparece un aviso de firmware en Messages, también lleva al área de firmware. - Después de completar la descarga, iniciar la instalación con
Install. La acción finaliza las sesiones existentes y reinicia la firewall con el nuevo firmware. - Tras el reinicio, iniciar sesión de nuevo y comprobar en la parte superior izquierda del Control center y en
Backup & Firmware > Firmwaresi la versión esperada está activa.


Planificar firmware a través de Sophos Central
Si la actualización no se planifica o inicia localmente en WebAdmin, sino a través de Sophos Central, se aplican algunos puntos adicionales. Sophos Central solo ofrece firmware upgrades para firewalls autorizados que ejecutan una versión de firmware GA soportada. Las actualizaciones programadas empiezan según la zona horaria de la firewall correspondiente, no según la zona horaria del navegador o del administrador.
El proceso es breve en la práctica: en Sophos Central, abrir la firewall afectada en My Products > Firewall Management > Firewalls, seleccionar el botón de descarga del upgrade disponible, abrir Schedule Upgrades, elegir la versión objetivo si hay varias versiones disponibles y definir fecha y hora. Como alternativa, el update puede iniciarse inmediatamente. Las actualizaciones programadas pueden editarse o cancelarse antes del inicio.
Después de la ventana de mantenimiento también se debe verificar la Cola de tareas de gestión de firewall de Sophos Central. Allí se puede ver si la tarea de Central se completó o si una tarea fallida bloquea más cambios. La comprobación local en WebAdmin sigue siendo obligatoria, porque el estado en Central y la versión de firmware realmente activa no deben tratarse como idénticos sin verificar.
Si falta una acción de update
Si falta una acción esperada en WebAdmin o Sophos Central, normalmente no es motivo para volver a cargar imágenes con prisa. Primero conviene comprobar qué requisito falta:
Installestá desactivado: comprobar la autorización de soporte. Después de los tres firmware upgrades gratuitos, los cambios normales de firmware requieren Enhanced Support o Enhanced Plus Support.- Central no muestra botón de descarga: comprobar si la firewall está online, gestionada en Sophos Central, ejecuta una versión de firmware GA y está autorizada para la versión objetivo.
- El upload se rechaza: comprobar tipo de plataforma, serie de appliance, versión activa, upgrade path compatible e integridad del archivo.
- La versión objetivo no encaja: revisar release notes y tabla de upgrades soportados. En cambios incompatibles, reimage o migración suele ser el camino correcto, no otro intento de upload.
- Muchos gateways o configuración especial: antes del cambio de versión, revisar si la versión objetivo contiene límites conocidos o notas de migración para la configuración propia.
Verificar después de la actualización
Después del reinicio, no se debe cambiar inmediatamente al siguiente cambio. Primero, debe quedar claro si el firewall realmente funciona de manera estable con el nuevo firmware y si las funciones operativas más importantes son accesibles.
Verificar directamente:
- Backup & Firmware > Firmware muestra la versión activa esperada.
- Centro de control no muestra nuevas advertencias críticas.
- Las interfaces, enlaces WAN, rutas SD-WAN y puerta de enlace predeterminada son plausibles.
- El estado y los roles de HA son correctos, si se utiliza un clúster.
- Las conexiones VPN de sitio a sitio, VPN de acceso remoto y RED se establecen.
- DNS, DHCP, NAT, WAF y reglas de firewall centrales funcionan con pruebas reales.
- La sincronización con Sophos Central y la gestión de firewall central están actualizadas.
- El monitoreo, Syslog o SIEM reciben datos nuevamente, si se utilizan.
Si después de la actualización las reglas, NAT o VPN no funcionan como se esperaba, primero se debe delimitar con Log Viewer, Policy Test, Packet Capture y los registros de servicios relevantes. Para una solución de problemas estructurada, son adecuados Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture y Solución de problemas de Sophos Firewall: Servicios y registros.
Si falla el upload o la instalación, no se debe cargar simplemente la misma imagen varias veces. Causas típicas son tipo de plataforma incorrecto, upgrade path no soportado, descarga dañada, espacio insuficiente, problema de sincronización HA o una migración de configuración que falla durante el upgrade. Desde SFOS 20.0, Sophos Firewall puede volver automáticamente a la versión anterior y al estado de configuración anterior en determinados errores de migración. Aun así, después hace falta un análisis limpio de la causa antes de iniciar de nuevo el update.
Si WebAdmin ya no está accesible por firmware dañado, ya no se trata de un cambio normal de firmware. En dispositivos XG/SG, SFLoader puede ser relevante según la situación; en dispositivos XGS, reimage suele ser el camino de recovery limpio para firmware dañado. El procedimiento adecuado está en Reinstalar Sophos Firewall OS: Reimage con USB.
Rollback a la versión anterior
Después de una actualización, puede ocurrir que algunas funciones no funcionen como se esperaba. En este caso, se puede volver a la partición de firmware anterior. Para ello, haga clic en el icono de rollback marcado junto a la versión actual. En un clúster HA, ambas appliances se inician con la versión seleccionada.
Un rollback no es lo mismo que un restore. La firewall vuelve a iniciar con la versión de firmware anterior y el estado de configuración de esa partición. Aun así, un backup recuperable, un Secure Storage Master Key conocido y un plan de recuperación claro siguen siendo necesarios. Los cambios de configuración realizados después del cambio de versión pueden perderse o comportarse de forma distinta al volver a un firmware anterior. Por eso no conviene hacer cambios secundarios innecesarios después de la actualización hasta que esté claro que la nueva versión funciona de forma estable.
Rollback y downgrade tampoco son lo mismo:
- Rollback: Cambio a la versión compatible instalada previamente en el segundo firmware slot.
- Downgrade: Cambio a una versión compatible anterior que no necesariamente es la versión inmediatamente anterior.
- Reimage: Nueva instalación de Sophos Firewall OS, normalmente con pérdida de datos en el dispositivo y restore posterior.
Antes de un rollback, se debe documentar brevemente por qué se está volviendo atrás. Los criterios razonables son, por ejemplo: la conexión WAN no se estabiliza, las VPN centrales permanecen inactivas a pesar de la verificación, HA no se sincroniza correctamente, las reglas de firewall críticas no se aplican o un error conocido afecta exactamente al entorno productivo. Si solo un servicio individual es problemático, primero puede ser más útil un troubleshooting específico que un rollback inmediato.
- WAN, HA o VPNs centrales fallan en la ventana de mantenimiento: El rollback es razonable si la causa no se puede estabilizar rápidamente. Si se ve un claro error de configuración, conviene analizar primero de forma específica.
- Una regla individual, NAT o publicación WAF parece incorrecta: Considerar rollback solo ante una interrupción amplia o un problema de firmware conocido. En caso contrario, revisar primero Log Viewer, Policy Test, Packet Capture y service logs.
- WebAdmin parece lento, pero el tráfico es estable: El rollback rara vez es la primera medida. Es mejor revisar carga, servicios, navegador, logs e indicaciones conocidas.
- El clúster HA queda desincronizado después de la actualización: El rollback es posible si el funcionamiento productivo está en riesgo. Pero primero deben revisarse roles HA, sync status, links y logs.
Antes de hacer clic, se deben documentar al menos la versión activa, la versión objetivo, la hora, el síntoma, los servicios afectados, el estado de HA y los puntos ya probados. En entornos HA, también debe estar claro qué nodo está activo y que al volver a cambiar pueden ocurrir interrupciones nuevamente en sesiones, VPNs o acceso de gestión.
Después del rollback, la verificación comienza de nuevo: controlar la versión de firmware activa, verificar el Centro de control, validar WAN, VPN, HA, reglas centrales, NAT, WAF, DNS, DHCP, sincronización con Central y registro con pruebas reales. Luego, no se debe simplemente permanecer en la versión antigua de forma permanente. Es mejor un breve plan de seguimiento: delimitar la causa, verificar indicaciones de soporte o de la versión, asegurar el respaldo y las pruebas, y solo volver a programar la actualización objetivo cuando se entienda el desencadenante.
