Réinstaller Sophos Firewall OS : reimage USB
Un reimage réinstalle entièrement Sophos Firewall OS. Cette procédure est prévue pour les situations de recovery, les systèmes de lab, un changement de modèle ou une réinstallation propre. Pour un changement de version normal, une mise à jour firmware via l’interface WebAdmin est généralement le meilleur choix.
⚠️ Important : un reimage écrase complètement la firewall. La configuration, les logs locaux, les certificats, les rapports et les données de compte enregistrées ne sont plus présents sur l’appareil ensuite. Avant de commencer, il faut disposer d’une sauvegarde actuelle et du Secure Storage Master Key (SSMK) correspondant si des données de configuration chiffrées doivent être restaurées plus tard.
Reimage, mise à jour firmware ou Factory Reset ?
| Procédure | Objectif | Utilisation typique |
|---|---|---|
| Mise à jour firmware | Mettre SFOS à jour vers une autre version | Maintenance normale via Backup & Firmware > Firmware |
| Rollback | Revenir à une version firmware installée précédemment | Problème après une mise à jour, tant que l’ancien firmware est encore disponible |
| Factory Reset | Réinitialiser la configuration | L’appareil reste sur la version SFOS installée, la configuration est perdue |
| Reimage | Réinstaller SFOS depuis une clé USB | Système défectueux, réinstallation propre, changement de version incompatible ou recovery |
Pour une mise à jour normale, il faut d’abord consulter Sophos Firewall : effectuer une mise à jour firmware SFOS. Un Factory Reset n’est pas non plus la même chose qu’un reimage : il réinitialise la configuration, mais ne supprime pas toutes les données locales comme une réinstallation complète. Le Secure Storage Master Key n’est pas non plus supprimé lors d’un Factory Reset. Si la firewall doit vraiment revenir à un état par défaut propre, y compris les logs, rapports et données d’exploitation locales, le reimage est la méthode la plus adaptée. Pour les appliances XGS dont le firmware est endommagé, Sophos renvoie à la procédure de reimage, car SFLoader n’est pas disponible pour XGS.
Quand ne pas lancer de reimage
Le reimage est la variante de recovery la plus radicale. Si un accès d’administration normal est encore possible, il faut d’abord vérifier si une méthode moins invasive suffit.
| Situation | À vérifier d’abord |
|---|---|
| WebAdmin ne répond plus, mais le trafic continue | Redémarrer WebAdmin GUI de manière ciblée |
| Un seul service ne répond pas | Redémarrer les services Sophos Firewall en sécurité |
| Une mise à jour firmware est prévue | Plan de mise à jour firmware et de rollback au lieu d’un reimage |
| La configuration doit être supprimée | Factory Reset peut suffire si SFOS lui-même est sain |
| L’espace disque ou les rapports posent problème | Vérifier l’espace disque, les rapports et les logs |
| Un cas support est encore ouvert | Sauvegarder d’abord les logs, les archives support et les erreurs actuelles |
Le reimage est pertinent si le système d’exploitation est endommagé, si une reconstruction propre est souhaitée ou si Sophos Support ou le plan de recovery prévoit cette voie. Pour une maintenance normale, un problème isolé de GUI ou des problèmes de performance non clarifiés, c’est généralement trop tôt.
Sauvegarder avant le reimage
Avant un reimage en production, il faut préparer ces points :
- Télécharger une sauvegarde de configuration actuelle et la stocker en lieu sûr.
- Documenter le Secure Storage Master Key si la sauvegarde contient des données de compte chiffrées.
- Vérifier l’état de licence, le numéro de série et l’association Sophos Central.
- Documenter le modèle, la révision, la version SFOS actuelle, le build, la version cible et la version de sauvegarde.
- Noter séparément les données WAN, VLAN, routes statiques, paramètres VPN et informations HA particulières.
- Planifier une fenêtre de maintenance, car la firewall ne protège pas et ne traite aucun trafic pendant le reimage.
- Garantir l’accès local à l’appliance, à l’alimentation, au port USB et au port de management.
- Vérifier le déroulement de la restauration à l’avance, surtout pour les clusters HA et les sites VPN critiques.
- Sauvegarder les logs ou archives support si la cause doit encore être analysée.
Les bases correspondantes sont décrites dans Sophos Firewall : créer et restaurer une sauvegarde, Sophos Firewall : contrôle de mise à niveau SFOS 22 et Cluster HA Sophos Firewall : Active-Passive, Active-Active et Auxiliary Appliance.
Si le reimage fait partie d’un scénario RMA ou HA, cette documentation devient encore plus importante. Dans ce cas, ce n’est pas seulement la version principale qui compte, mais aussi le build. Un appareil de remplacement doit correspondre à la firewall saine ou être amené volontairement à la version cible avant de commencer la restauration, le transfert de licence et la reconfiguration HA.
Clarifier la compatibilité de restauration
La partie la plus importante d’un reimage n’est pas l’écriture de la clé USB, mais la restauration réussie ensuite. Une sauvegarde ne devrait pas être évaluée pour la première fois après la réinstallation.
À clarifier avant :
| Point | Pourquoi c’est important |
|---|---|
| Version de sauvegarde | Une sauvegarde ne peut pas être restaurée librement vers n’importe quelle version SFOS plus ancienne ou plus récente. |
| Modèle cible | Le nombre de ports, les noms d’interfaces et la classe de modèle influencent la restauration et le port mapping. |
| Secure Storage Master Key | Sans SSMK correspondant, les données de compte protégées manquent après la restauration. |
| Licence et compte | Après un reimage ou un changement de modèle, la firewall doit être de nouveau correctement licenciée et associée. |
| Rôle HA | Dans les clusters, il faut savoir si l’on reconstruit l’Initial Primary ou l’Auxiliary. |
| Configuration legacy | Les anciens paramètres Remote Access IPsec ou les bloqueurs de mise à niveau doivent être connus avant la restauration. |
En cas de remplacement matériel, de migration XG vers XGS ou de restauration sur un autre modèle, il faut aussi vérifier si le Backup-Restore Assistant est disponible et si l’affectation des ports est correcte avant la restauration finale. Le déroulement est décrit dans Sophos Firewall Backup et Restore.
Pour HA et RMA, la règle pratique est la suivante : la version firmware et le build des appareils concernés sont vérifiés avant la restauration. Si l’ancienne version firmware nécessaire ne peut plus être téléchargée normalement, il ne faut pas improviser, mais intégrer Sophos Support ou le processus de support existant.
Prérequis
- Sophos Firewall Appliance ou appliance logicielle/virtuelle adaptée.
- Clé USB avec au moins 4 Go d’espace.
- Ordinateur Windows, macOS ou Linux pour créer la clé USB bootable.
- Outil d’écriture de l’image ISO, par exemple balenaEtcher.
- Accès local à l’appliance.
- Optionnel : câble USB vers Micro-USB ou adaptateur RJ45-COM pour les messages d’état et le dépannage via console série.
Le reimage lui-même ne nécessite pas de droit Enhanced Support. Pour les mises à jour firmware régulières, les conditions de licence et de support correspondantes s’appliquent toutefois.
1. Télécharger l’image d’installation SFOS correcte
L’image d’installation se télécharge depuis la page officielle Sophos :
- Ouvrir Sophos Firewall Installer. Le téléchargement direct est aussi possible.
- Sous Hardware Installers, choisir la version SFOS souhaitée pour les appliances matérielles Sophos.
- Accepter les conditions de licence et télécharger l’image ISO.
Pour les appliances matérielles, on utilise généralement une image avec le préfixe HW. Les appliances logicielles et virtuelles utilisent d’autres types d’images. Ce qui compte, c’est que la plateforme, la version cible et le plan de restauration soient cohérents. Une image incorrecte n’est pas un simple détail esthétique, elle peut bloquer le processus de recovery.
Nom de fichier de l’image d’installation
Exemple : HW-22.0.1_MR-1-490.iso
| Élément | Signification |
|---|---|
HW | Installer pour appliances matérielles Sophos |
22.0.1 | Version SFOS |
MR-1 | Maintenance Release 1 |
490 | Numéro de build |
.iso | Image ISO pour clé USB ou installation logicielle |
Les éléments les plus importants du nom de fichier :
Plateforme ou type d’appliance
- HW : image ISO pour appliances matérielles Sophos. Pour le reimage d’une appliance XGS, c’est généralement cette variante qui est nécessaire.
- SW : image ISO pour Sophos Firewall comme appliance logicielle.
- VI : paquet d’image pour Sophos Firewall comme appliance virtuelle.
- AMI : image pour Amazon AWS.
- AZU : image pour Microsoft Azure.
Plateforme de virtualisation pour les fichiers VI
- HYV : Microsoft Hyper-V.
- KVM : KVM.
- VMW : VMware Hypervisor.
- XEN : Xen.
Type de version
- GA : General Availability. Il s’agit d’une version principale ou intermédiaire généralement disponible, souvent avec de nouvelles fonctions.
- MR : Maintenance Release. Un MR contient surtout des corrections, des améliorations de stabilité et des adaptations de sécurité dans une version existante.
Extension de fichier
- .iso : image ISO à écrire sur une clé USB ou à utiliser pour des appliances logicielles.
- .zip : archive avec fichiers d’image pour appliances virtuelles.
- .sig : image signée pour certains modèles d’appliance ou scénarios de mise à jour.
Pour les systèmes de production, le MR actuel d’une version supportée est le plus souvent préférable à une version GA tout juste publiée. Si un reimage fait partie d’un recovery ou d’un cas support, la version cible doit toutefois toujours correspondre à la sauvegarde disponible, à l’état de licence et à la restauration prévue.
Pour un reimage XGS, un fichier comme HW-22.0.1_MR-1-490.iso est donc normalement pertinent. SW, VI, AMI ou AZU sont prévus pour d’autres plateformes et ne doivent pas être utilisés pour une appliance matérielle.

2. Créer une clé USB bootable
La clé USB est formatée lors de l’écriture de l’image ISO. Toutes les données présentes sur la clé USB sont perdues.
- Insérer une clé USB d’au moins 4 Go dans l’ordinateur.
- Télécharger et démarrer balenaEtcher.
- Avec
Flash from file, sélectionner l’image ISO SFOS téléchargée. - Sous
Select target, sélectionner la bonne clé USB. - Avec
Flash!, écrire l’image ISO sur la clé USB.
Après l’écriture, la clé USB doit être éjectée proprement. Si macOS ou Windows indique ensuite que la clé n’est pas lisible, ce n’est pas forcément une erreur, car l’image a été écrite pour le processus de boot de l’appliance.

3. Réinstaller SFOS sur la firewall
Le reimage s’exécute directement sur l’appliance. Pendant ce temps, l’appareil ne doit pas être éteint.
- Éteindre complètement la firewall.
- Préparer éventuellement l’écran, le LCD ou la console série si l’état d’installation doit être observé.
- Insérer la clé USB préparée dans la firewall.
- Allumer la firewall.
- Attendre que Sophos Firmware Installer démarre depuis la clé USB.
- Surveiller l’état d’installation selon le modèle d’appliance.
- Après installation réussie, retirer la clé USB.
- Si l’installer demande ensuite une confirmation, redémarrer avec
y.
État sur les appliances XGS Desktop
De nombreux modèles XGS Desktop n’ont pas de connecteur VGA, SVGA ou HDMI pour un écran. L’état du reimage est donc indiqué par la LED de statut à l’avant. Si plus de détails sont nécessaires, on utilise la console série via le port COM.
| Famille de modèles | Connecteur écran | État du reimage |
|---|---|---|
| XGS 87 / 87w / 107 / 107w | Pas de VGA, SVGA ou HDMI | LED de statut et console série optionnelle |
| XGS 116 / 116w / 126 / 126w / 136 / 136w | Pas de VGA, SVGA ou HDMI | LED de statut et console série optionnelle |
| XGS 88 / 88w / 108 / 108w | Pas de VGA, SVGA ou HDMI | LED de statut et console série optionnelle |
| XGS 118 / 118w / 128 / 128w / 138 | Pas de VGA, SVGA ou HDMI | LED de statut et console série optionnelle |
| État LED | Signification |
|---|---|
| 🔴 Rouge clignotant | Reimage en cours |
| 🟢 Vert fixe | Reimage réussi |
| 🔴 Rouge fixe | Reimage échoué |
Le reimage n’est terminé que lorsque la LED reste verte fixe. Tant que la LED clignote en rouge, la procédure est encore en cours.
État sur les appliances XGS Rack
Les appliances rack affichent l’état sur l’écran intégré. Les messages typiques sont Installation in progress, Installation successful, Installation failed ou Failsafe mode.
État via console série
Pour un diagnostic supplémentaire, une console peut être connectée. Sur les appliances XGS Desktop actuelles, il ne s’agit généralement plus d’un ancien connecteur RS-232 classique sur l’ordinateur portable, mais d’un câble USB vers Micro-USB branché au port COM Micro USB de la firewall. L’appliance fournit malgré tout une console série via ce port. Sur l’ordinateur d’administration, elle apparaît comme port COM sous Windows ou comme périphérique tty sous macOS et Linux.
C’est particulièrement utile lorsqu’il n’y a pas de connecteur écran, lorsque la LED reste rouge fixe, lorsque le boot depuis la clé USB n’est pas clair ou lorsque les messages de l’installer et d’erreur doivent être consultés directement. De nombreux modèles XGS disposent aussi d’un port RJ45-COM. Ce port RJ45-COM est un port console, pas un port réseau normal. Si Micro-USB et RJ45-COM sont connectés en même temps, Micro-USB a la priorité.
Outils typiques :
- Windows : PuTTY, Windows Terminal ou autre client terminal série.
- macOS : Terminal avec
screen, par exemplescreen /dev/tty.usbserial-XXXX 38400. - Linux :
screen,minicomoupicocom.
Paramètres série :
| Paramètre | Valeur |
|---|---|
| Baudrate | 38400 |
| Bits de données | 8 |
| Parité | Aucune |
| Bits d’arrêt | 1 |
4. Accéder à la firewall après le reimage
Après le reimage, la firewall démarre avec la configuration par défaut. Le premier accès se fait généralement via Port 1 :
- IP de management :
https://172.16.16.16:4444 - Connexion : connecter l’ordinateur directement au Port 1 de la firewall
- IP de l’ordinateur : définir une IP statique adaptée dans le réseau
172.16.16.0/24si l’accès n’est pas possible
Ensuite, on effectue la configuration de base ou la restauration d’une sauvegarde existante. Lors de la restauration, le Secure Storage Master Key correspondant doit être saisi si la sauvegarde contient des données de compte protégées.
Après la restauration, il faut au minimum vérifier ces points :
- Interfaces, zones et VLANs.
- Default Gateway, routes statiques et routes SD-WAN.
- Règles firewall, règles NAT et protection de serveurs web.
- Connexions VPN et certificats.
- État de licence et synchronisation avec Sophos Central.
- État HA si la firewall fait partie d’un cluster.
- Logging, destinations syslog et reporting.
Pour les firewalls gérées dans Central, connecter Sophos Firewall à Sophos Central est utile. Pour les changements de modèle ou les anciens appareils, Sophos XG ou XGS Firewall : choisir la bonne appliance est pertinent.
Ne pas traiter HA et RMA comme un appareil isolé
Avec un seul appareil de lab, un reimage est généralement linéaire : écrire l’image, installer, restaurer la sauvegarde, tester. En HA et en RMA, le déroulement est plus sensible. Il faut savoir à l’avance quel appareil est sain, quel rôle il a, quelle version firmware et quel build il exécute, et si Sophos Central ou le transfert de licence doivent d’abord être nettoyés.
Dans les environnements Active-Passive, il ne faut pas simplement raccorder un appareil de remplacement au cluster avec tous les câbles. Un déroulement contrôlé est plus typique : vérifier le niveau firmware, accéder localement à l’appareil de remplacement via Port 1, connecter le WAN uniquement pour l’enregistrement ou le transfert de licence, restaurer la sauvegarde appropriée, reconstruire HA de manière consciente, puis seulement ensuite déplacer les câbles de production. L’ordre exact dépend du remplacement du Primary ou de l’Auxiliary.
Test d’acceptation après reimage et restauration
Après une connexion réussie, un simple coup d’œil au dashboard ne suffit pas. La firewall doit de nouveau traiter correctement les chemins de production importants.
Ordre utile :
- Vérifier l’état de licence, le numéro de série, le modèle et la version firmware.
- Contrôler interfaces, état de lien, VLANs et zones.
- Vérifier WAN gateway, DNS, NTP et connexion Sophos Central.
- Valider règles firewall, règles NAT et Log Viewer avec un client de test.
- Tester les VPN site-to-site et Remote Access avec de vraies destinations.
- Vérifier l’état HA et les rôles si un cluster est impliqué.
- Contrôler syslog, Central Reporting, sauvegardes et rapports planifiés.
- Supprimer les anciens accès temporaires, comptes admin locaux ou exceptions de recovery.
Si une restauration a réussi mais que le trafic ne passe pas, il ne faut pas relancer immédiatement un reimage. Les causes fréquentes sont l’interface mapping, le routing, NAT, Device Access, l’état de licence ou le chemin retour du pair. Pour l’analyse, utiliser tester une règle firewall avec Log Viewer, Policy Test et Packet Capture, comprendre NAT sur Sophos Firewall et Sophos Firewall IPsec VPN Troubleshooting.
Problèmes fréquents
La firewall ne démarre pas depuis la clé USB
Le plus souvent, la clé USB n’a pas été écrite correctement, la mauvaise image a été choisie ou l’appliance ne démarre pas depuis le port USB attendu. Dans ce cas, écrire à nouveau l’ISO avec balenaEtcher, tester une autre clé USB et observer le démarrage via écran, LCD, LED de statut ou console série.
La LED reste rouge fixe
Une LED de statut rouge fixe signifie que le reimage a échoué. Il ne faut alors pas continuer en production à l’aveugle : vérifier la clé USB, le type d’image, le modèle cible et le message d’installation. En cas d’erreur répétée, la console série et Sophos Support sont plus utiles que plusieurs tentatives identiques.
La restauration de sauvegarde échoue
Les causes typiques sont une version cible inadaptée, une sauvegarde endommagée, un SSMK manquant ou une restauration sur un autre modèle sans affectation propre des ports. Vérifier d’abord la version de sauvegarde, la version SFOS cible, le build, la plateforme et le SSMK. Ensuite, clarifier si un Restore Assistant, une étape intermédiaire via une autre version SFOS ou le support est nécessaire.
WebAdmin n’est pas joignable après le reimage
Après le reimage, la configuration par défaut s’applique à nouveau. On connecte l’ordinateur directement au Port 1, on définit une IP adaptée dans le réseau 172.16.16.0/24 et on ouvre https://172.16.16.16:4444. Si cela ne fonctionne pas, vérifier d’abord l’état du lien, l’IP locale du client, l’avertissement de certificat du navigateur et éventuellement l’état du boot.
HA ne démarre pas proprement après la restauration
En HA, le problème n’est souvent pas le reimage lui-même, mais le rôle, le niveau firmware, le build, l’Initial Primary, l’association Central ou l’ordre de restauration. Il ne faut donc pas réactiver HA automatiquement, mais documenter d’abord l’état des deux appareils et le comparer au déroulement HA prévu.
Le trafic ne passe pas après la restauration
Si la configuration a été restaurée mais que le trafic ne fonctionne pas, les causes fréquentes sont l’interface mapping, les zones, le routing, NAT, Device Access, l’état de licence ou les chemins de retour. Log Viewer, Rule ID, NAT ID, Route Lookup et Packet Capture aident alors davantage qu’un nouveau reimage.
Licence ou connexion Central manquante
Après un reimage, un RMA ou un changement de modèle, le numéro de série, l’association du compte, le transfert de licence, DNS, gateway et la connexion Sophos Central doivent de nouveau être corrects. Ce n’est qu’une fois la firewall correctement en ligne que l’on peut en déduire un état de production fiable.
Check-list
- Sauvegarde téléchargée.
- Secure Storage Master Key disponible.
- Version de sauvegarde et version SFOS cible documentées.
- Build firmware et révision du modèle vérifiés, surtout en HA ou RMA.
- Numéro de série, état de licence et association Central vérifiés.
- Image d’installation SFOS correcte sélectionnée.
- Clé USB écrite avec succès.
- Fenêtre de maintenance et accès local clarifiés.
- Appliance non éteinte pendant le reimage.
- WebAdmin atteint via Port 1 après redémarrage.
- Sauvegarde restaurée et SSMK saisi.
- Réseau, VPN, licence, Central et HA vérifiés.
- Tests de règles, NAT, routing et VPN effectués avec de vrais clients.
- Accès temporaires de recovery et notes nettoyés.