Effectuer une mise à jour du firmware Sophos Firewall
Cet article explique comment effectuer pratiquement une mise à jour du firmware Sophos Firewall via le WebAdmin : obtenir le firmware, télécharger l’image, lancer l’installation et revenir à la version précédente si nécessaire.
Pour les mises à jour importantes, l’exécution technique ne doit pas être confondue avec la planification. La préparation réelle de la mise à jour avec les notes de version, le chemin de mise à niveau, la sauvegarde, HA, l’espace de stockage, le plan de test et les critères de rollback se trouve dans Mise à jour du firmware Sophos Firewall : préparation et meilleures pratiques. Cet article est l’étape appropriée lorsque la version à installer est claire.
⚠️ Remarque importante pour les anciens appareils : SFOS 21.5 GA et les versions ultérieures ne prennent plus en charge les appliances matérielles XG et SG. Ceux qui exploitent encore une XG doivent d’abord vérifier avant chaque mise à niveau si une migration vers XGS est nécessaire. Les ressources utiles sont Quelle est la différence entre un pare-feu XG et XGS ? et le Calendrier du cycle de vie des produits Sophos.
Info : Les instructions supposent qu’un appareil pris en charge avec Enhanced Support valide est disponible ou que l’appareil est encore dans les trois firmware upgrades gratuits. Avant chaque mise à jour, une sauvegarde du Sophos Firewall doit être créée. La mise à jour est installée sur la partition firmware inactive et un rollback est généralement disponible comme retour arrière. Cependant, il ne faut jamais mettre à jour sans sauvegarde.
Point important : les firmware slots ne sont pas de simples fichiers. Sophos Firewall conserve le firmware actif et le firmware précédent avec l’état de configuration correspondant dans des partitions séparées. Un rollback ne redémarre donc pas seulement l’ancien code SFOS, mais aussi l’ancien état de configuration associé.
Avant une mise à niveau vers SFOS 22 ou une version ultérieure, le contrôle de mise à niveau SFOS 22 doit également être effectué. Il vérifie séparément les blocages typiques de mise à niveau tels que la prise en charge de la plateforme, l’espace de stockage, les noms d’interface, l’état HA, STAS et l’accès à distance IPsec hérité.
Préparation ou exécution ?
Pour les administrateurs, deux questions sont importantes :
- La firewall est-elle prête pour la mise à jour ? Dans ce cas, Mise à jour du firmware Sophos Firewall : préparation et meilleures pratiques est le bon article.
- Comment installer l’image du firmware ? Dans ce cas, ce guide est le bon point d’entrée.
- Existe-t-il des blocages spécifiques à SFOS 22 ? Dans ce cas, commencer par Vérifier Sophos Firewall avant la mise à niveau SFOS 22.
- SFOS doit-il être complètement réinstallé ? Dans ce cas, Réinstaller Sophos Firewall OS : Reimage avec clé USB est approprié.
Pour les firewalls en production, la préparation doit d’abord être terminée. Ensuite, l’installation elle-même est généralement la partie la plus courte de la fenêtre de maintenance.
Dernière vérification avant Upload & Boot
Juste avant de commencer, il faut vérifier une dernière fois que tout est vraiment prêt pour le redémarrage. Ce contrôle rapide ne remplace pas la planification de la mise à jour, mais prévient les erreurs typiques pendant la fenêtre de maintenance.
- Sauvegarde disponible et SSMK connu : un rollback sur l’ancienne partition ne remplace pas une sauvegarde récupérable.
- Accès après redémarrage clarifié : pour les sites distants, un retour est nécessaire si WAN, VPN ou routage ne revient pas immédiatement.
- Rôle HA et statut du cluster vérifiés : une mise à jour dans un cluster déjà instable augmente inutilement le risque.
- VPN critiques et liaisons montantes WAN connues : après le redémarrage, il est possible de vérifier spécifiquement si les connexions les plus importantes sont rétablies.
- Critère de rollback défini : en cas de problème, il doit être clair quand revenir en arrière et quand continuer l’analyse.
Surtout pour les sites distants, il ne faut pas se fier uniquement à la session WebAdmin. Si possible, un deuxième chemin d’accès doit être préparé : contact local, accès hors bande, VPN de gestion, Sophos Central ou un chemin d’escalade clair. Sinon, une fenêtre de firmware normale peut rapidement devenir un problème de site.
Télécharger manuellement le firmware SFOS
Avant que le nouveau firmware puisse être installé, il doit être obtenu via Sophos Central, directement dans WebAdmin ou depuis la page de téléchargement du firmware. Pour les firewalls enregistrés, Sophos Central est le point de départ le plus propre : ouvrir le menu de profil, sélectionner Licensing > Firewall licenses, déplier le firewall et télécharger le firmware adapté sous Downloads. Si la version souhaitée n’y est pas visible directement, Other downloads mène aux installateurs, où le type de plateforme est sélectionné.
- Appliances matérielles : Image du firmware SFOS pour les appliances matérielles prises en charge.
SF300représente la série XG,SF310la série XGS. - Appliances logicielles et virtuelles : Images du firmware SFOS pour les appliances logicielles.
- Appliances cloud : Firmware SFOS pour les appliances cloud.
Avant le téléchargement, la version actuelle, la version cible, la série d’appliance et l’image prévue doivent être documentées dans le change. Cela évite de charger une mauvaise image pendant la fenêtre de maintenance ou de réutiliser un ancien téléchargement. Pour les téléchargements manuels, il est particulièrement important que l’image corresponde à la plateforme : appliance matérielle, appliance software/VM et appliance cloud utilisent des chemins différents.
Remarque : Avec Enhanced Support, le firmware le plus récent peut souvent être téléchargé directement via l’interface graphique. Si les trois firmware upgrades gratuits ont déjà été utilisés et qu’aucune support subscription adaptée n’est active, l’installation peut être bloquée dans la GUI. La méthode manuelle reste néanmoins utile lorsque la mise à jour doit être préparée, vérifiée ou programmée.
Hors ligne n’est pas automatiquement Air-Gap : Cet article décrit le téléchargement manuel d’une image de firmware SFOS. Dans les environnements strictement isolés, la vérification des licences et les mises à jour des modèles restent des processus opérationnels séparés. Pour cela, consultez Exploitation de la licence Air-Gap et des mises à jour des modèles Sophos Firewall.
Vérifier l’image et le chemin de mise à niveau
Avant l’upload, il ne faut pas seulement vérifier le nom du fichier. L’important est que l’image corresponde à l’appliance, à la version active et au chemin cible prévu.
- Matériel XGS : utiliser l’image hardware pour la série d’appliances appropriée et ne pas planifier par erreur du matériel XG/SG.
- Appliance virtuelle ou logicielle : utiliser l’image software ou VM et vérifier les exigences hyperviseur/ressources.
- Appliance cloud : vérifier l’image cloud et le chemin de plateforme, surtout pour les déploiements BYOL et Marketplace.
- Environnement Air-Gap : planifier l’image firmware, la synchronisation de licence et les Pattern Updates comme des étapes séparées.
- Major Release : vérifier le chemin de mise à niveau, les Release Notes et les Known Issues avant la fenêtre de maintenance.
Si un changement de version n’est pas proposé dans le WebAdmin ou qu’un chemin incompatible serait nécessaire, il ne faut pas continuer avec un upload normal. Il faut d’abord clarifier si une étape intermédiaire, un reimage ou une migration vers du matériel pris en charge est nécessaire.
Installer manuellement le firmware SFOS
Le firmware téléchargé peut maintenant être installé sur le Sophos Firewall.
- Connectez-vous au Sophos Firewall.
- Ouvrez
Backup & Firmwaredans la navigation et vérifiez la section Firmware. - Sous la rubrique Firmware, sélectionnez la version souhaitée et cliquez sur l’icône de téléchargement.
- Dans la fenêtre
Firmware Upgrade/Downgrade, sélectionnez le fichier firmware depuis votre ordinateur. - Choisissez
Upload Firmwaresi l’image doit seulement être préparée. - Choisissez
Upload & Bootsi la fenêtre de maintenance est active et si le firewall doit démarrer directement avec la nouvelle version.
Sophos Firewall affiche au maximum deux versions dans la zone Firmware : la version active et une version inactive. La version inactive est soit la version précédente pour un rollback, soit une image compatible uploadée manuellement. Avant l’upload, il faut donc vérifier quelle version se trouve actuellement dans le second slot et si elle est encore nécessaire comme option de retour.
Si seule l’option Upload Firmware est choisie, l’image arrive dans le slot inactif. Le firewall ne bascule pas encore vers la nouvelle version. Même un redémarrage imprévu ultérieur ne démarre pas automatiquement cette image. Seuls Upload & Boot ou Boot firmware image déclenchent le changement réel, terminent les sessions existantes et redémarrent le firewall.
Les captures d’écran suivantes montrent le dialogue de téléchargement et la sélection de l’image du firmware.


Remarque : Le choix entre Upload Firmware et Upload & Boot doit être fait consciemment. Avec Upload Firmware, l’image est seulement téléchargée. Avec Upload & Boot, l’installation démarre directement.
- Upload Firmware : utile si l’image doit être préparée avant la fenêtre de maintenance. Risque : un administrateur ultérieur démarre éventuellement une image dont le contexte n’est pas documenté.
- Upload & Boot : utile lorsque la fenêtre de maintenance est active et que backup, accès et tests sont prêts. Risque : la firewall redémarre immédiatement et les sessions existantes sont interrompues.
- Boot firmware image : utile lorsqu’une image déjà uploadée doit être démarrée à un moment défini. Risque : c’est la version présente dans le slot qui est démarrée, pas automatiquement la version la plus récente disponible.
Si seule l’option Upload Firmware a été choisie, le moment de l’installation peut être fixé ultérieurement. Pour cela, utilisez l’icône avec les deux flèches sous la rubrique Firmware lorsque le moment de l’installation est approprié.

Cluster HA lors d’un firmware update
Si un cluster HA est configuré, l’update est lancé sur l’appareil primary et le cluster exécute le processus pour les deux appliances. L’appliance auxiliary ne doit pas être mise à jour séparément. Le déroulement typique est le suivant : le primary lance le processus, l’auxiliary est d’abord mis à jour et redémarré, puis un changement de rôle a lieu, avant la mise à jour de l’ancien primary. Si un Preferred Primary est défini, un nouveau failback peut se produire à la fin.
Même avec HA, il faut prévoir une fenêtre de maintenance. Lors du changement de rôle, des sessions individuelles peuvent tomber, des tunnels VPN peuvent se reconstruire brièvement ou quelques pings peuvent être perdus. Après l’update, vérifier consciemment le statut HA, les rôles, les VPN et les connexions centrales.
Un appareil HA en mode standalone est un cas particulier et ne doit pas être mis à jour comme un cluster proprement synchronisé. Avant l’update, le statut HA, la synchronisation et les rôles doivent être clairs. Pour la préparation, voir Sophos Firewall HA cluster variants.
Les Pattern Updates et les Hotfixes ne sont pas la même chose qu’un firmware upgrade. Dans les environnements HA, les Pattern Updates sont appliquées sur le primary puis synchronisées ; les Hotfixes sont traités séparément par Sophos. Après une fenêtre firmware, il faut donc vérifier non seulement la version SFOS, mais aussi le statut des Pattern, le statut des Hotfixes et la synchronisation HA.
Installer automatiquement le firmware SFOS
Si une licence de support amélioré valide est disponible, le firmware peut souvent être téléchargé directement dans l’interface graphique.
Remarque : Si une nouvelle version du firmware n’apparaît pas assez rapidement dans l’interface graphique ou si une image précise doit être planifiée, la méthode manuelle peut toujours être utilisée.
- Connectez-vous au Sophos Firewall.
- Ouvrez
Backup & Firmwaredans la navigation. - Sous Latest Available Firmware, utilisez Check for new firmware pour rechercher les nouvelles versions.
- Sélectionnez
Downloadpour la mise à jour listée. Si une indication firmware apparaît dans le Control center sous Messages, elle mène également à la section firmware. - Après le téléchargement terminé, lancez l’installation avec
Install. L’action termine les sessions existantes et redémarre le firewall avec le nouveau firmware. - Après le redémarrage, reconnectez-vous et vérifiez en haut à gauche du Control center ainsi que sous
Backup & Firmware > Firmwareque la version attendue est active.


Planifier le firmware via Sophos Central
Si la mise à jour n’est pas planifiée ou déclenchée localement dans WebAdmin, mais via Sophos Central, quelques points supplémentaires s’appliquent. Sophos Central ne propose des firmware upgrades que pour les firewalls éligibles qui exécutent une version firmware GA prise en charge. Les mises à jour planifiées démarrent selon le fuseau horaire du firewall concerné, pas selon celui du navigateur ou de l’administrateur.
En pratique, le flux est court : dans Sophos Central, ouvrir le firewall concerné sous My Products > Firewall Management > Firewalls, sélectionner le bouton de téléchargement de l’upgrade disponible, ouvrir Schedule Upgrades, choisir la version cible si plusieurs versions sont disponibles, puis définir la date et l’heure. L’update peut aussi être lancé immédiatement. Les mises à jour planifiées peuvent être modifiées ou annulées avant leur démarrage.
Après la fenêtre de maintenance, la file d’attente des tâches de gestion du firewall Sophos Central doit aussi être vérifiée. Vous y verrez si la tâche Central est terminée ou si une tâche échouée bloque d’autres modifications. Le contrôle local dans WebAdmin reste obligatoire, car le statut Central et la version firmware réellement active ne doivent pas être considérés comme identiques sans vérification.
Si une action de mise à jour manque
Si une action attendue manque dans WebAdmin ou Sophos Central, ce n’est généralement pas une raison de recharger des images dans la précipitation. Il faut d’abord vérifier quelle condition préalable manque :
Installest grisé : vérifier le droit au support. Après les trois firmware upgrades gratuits, les changements firmware normaux nécessitent Enhanced Support ou Enhanced Plus Support.- Central n’affiche pas de bouton de téléchargement : vérifier si le firewall est en ligne, géré dans Sophos Central, sur une version firmware GA et éligible pour la version cible.
- L’upload est refusé : vérifier le type de plateforme, la série d’appliance, la version active, le chemin de mise à niveau compatible et l’intégrité du fichier.
- La version cible ne convient pas : vérifier les Release Notes et le tableau des upgrades pris en charge. Pour les changements incompatibles, reimage ou migration est souvent la bonne voie, pas une nouvelle tentative d’upload.
- Nombreux gateways ou configuration particulière : avant le changement de version, vérifier si la version cible contient des limites connues ou des notes de migration pour la configuration locale.
Vérifier après la mise à jour
Après le redémarrage, il ne faut pas passer immédiatement au changement suivant. Il faut d’abord s’assurer que le firewall fonctionne vraiment de manière stable sur le nouveau firmware et que les fonctions opérationnelles principales sont accessibles.
Vérifiez directement :
- Backup & Firmware > Firmware affiche la version active attendue.
- Control center n’affiche pas de nouvelles alertes critiques.
- Les interfaces, les liaisons montantes WAN, les routes SD-WAN et la passerelle par défaut sont plausibles.
- Le statut HA et les rôles sont corrects, si un cluster est utilisé.
- Les VPN site-à-site, les VPN d’accès à distance et les connexions RED se rétablissent.
- DNS, DHCP, NAT, WAF et les règles de firewall centrales fonctionnent avec des tests réels.
- La synchronisation Sophos Central et la gestion du firewall Central sont à jour.
- La surveillance, le Syslog ou le SIEM reçoivent à nouveau des données, si utilisés.
Si après la mise à jour, les règles, NAT ou VPN ne fonctionnent pas comme prévu, il faut d’abord délimiter avec Log Viewer, Policy Test, Packet Capture et les journaux de service pertinents. Pour un dépannage structuré, consultez Tester une règle de firewall avec Log Viewer, Policy Test et Packet Capture et Dépannage Sophos Firewall : Services et journaux.
Si l’upload ou l’installation échoue, il ne faut pas simplement charger plusieurs fois la même image. Les causes typiques sont un mauvais type de plateforme, un chemin de mise à niveau non pris en charge, un téléchargement corrompu, un espace de stockage insuffisant, un problème de synchronisation HA ou une migration de configuration qui échoue pendant l’upgrade. Depuis SFOS 20.0, Sophos Firewall peut revenir automatiquement à la version précédente et à l’état de configuration précédent lors de certaines erreurs de migration. Ensuite, une analyse propre de la cause reste nécessaire avant de relancer l’update.
Si WebAdmin n’est plus joignable à cause d’un firmware endommagé, il ne s’agit plus d’un changement firmware normal. Sur les appareils XG/SG, SFLoader peut être pertinent selon la situation ; sur les appareils XGS, le reimage est généralement la voie de recovery propre en cas de firmware endommagé. La procédure adaptée est décrite dans Réinstaller Sophos Firewall OS : Reimage avec clé USB.
Rollback vers l’ancienne version
Après une mise à jour, il peut arriver que certaines fonctions ne fonctionnent pas comme prévu. Dans ce cas, vous pouvez revenir à la partition de firmware précédente. Pour cela, cliquez sur l’icône de rollback marquée à côté de la version actuelle. Dans un cluster HA, les deux appliances seront également démarrées avec la version sélectionnée.
Un rollback n’est pas la même chose qu’une restauration. Le firewall redémarre avec la version de firmware précédente et l’état de configuration de cette partition. Une sauvegarde récupérable, une clé maître de stockage sécurisé connue et un plan de récupération clair restent néanmoins nécessaires. Les modifications de configuration effectuées après le changement de version peuvent être perdues ou se comporter différemment lors du retour à l’ancien firmware. Il faut donc éviter les changements annexes inutiles après la mise à jour tant que la nouvelle version n’est pas confirmée stable.
Rollback et downgrade ne sont pas non plus la même chose :
- Rollback : retour à la version compatible précédemment installée dans le second slot firmware.
- Downgrade : passage à une version compatible plus ancienne qui n’est pas forcément la version précédente directe.
- Reimage : réinstallation de Sophos Firewall OS, généralement avec perte des données sur l’équipement puis Restore.
Avant un rollback, il faut brièvement noter pourquoi vous revenez en arrière. Des critères raisonnables sont par exemple : la connexion WAN ne se stabilise pas, les VPN centraux restent inactifs malgré vérification, HA ne se synchronise pas correctement, les règles de firewall critiques ne s’appliquent pas ou un bug connu affecte exactement l’environnement de production. Si un seul service est affecté, un dépannage ciblé peut être plus judicieux qu’un rollback immédiat.
- WAN, HA ou VPN centraux tombent en panne pendant la fenêtre de maintenance : le rollback est pertinent si la cause ne peut pas être stabilisée rapidement. Si une erreur de configuration claire est visible, il faut d’abord analyser de manière ciblée.
- Une règle, NAT ou publication WAF semble incorrecte : envisager un rollback uniquement en cas de perturbation large ou de problème firmware connu. Sinon, vérifier d’abord Log Viewer, Policy Test, Packet Capture et les service logs.
- WebAdmin semble lent, mais le trafic est stable : le rollback est rarement la première mesure. Mieux vaut vérifier charge, services, navigateur, logs et indications connues.
- Le cluster HA est désynchronisé après la mise à jour : le rollback est possible si l’exploitation productive est menacée. Il faut toutefois vérifier d’abord les rôles HA, le statut de synchronisation, les liens et les logs.
Avant de cliquer, les éléments suivants doivent être documentés : version active, version cible, heure, symptôme, services affectés, statut HA et points déjà testés. Dans les environnements HA, il doit également être clair quel nœud est actif et que lors du retour, des interruptions de sessions, VPN ou accès de gestion sont à nouveau possibles.
Après le rollback, la vérification recommence : contrôlez la version de firmware active, vérifiez le Control center, WAN, VPN, HA, règles centrales, NAT, WAF, DNS, DHCP, synchronisation Central et journalisation avec des tests réels. Ensuite, il ne faut pas simplement rester sur l’ancienne version de manière permanente. Il est préférable d’avoir un plan de suivi court : délimiter la cause, vérifier les indications de support ou de version, sécuriser la sauvegarde et les preuves et ne reprendre la mise à jour cible que lorsque le déclencheur est compris.
