Aggiornamento firmware Sophos Firewall: preparazione e procedure consigliate
Gli aggiornamenti del firmware mantengono Sophos Firewall sicuro, stabile e supportato. Tuttavia, non dovresti trattarlo come un normale aggiornamento del pacchetto. Un aggiornamento SFOS può influenzare il comportamento di HA, tunnel VPN, certificati, protezione web, TLS Inspection, accesso remoto, integrazione centrale e routing.
Per il contesto generale di hardening, consultare l’hub Sophos Firewall Hardening: best practice per una configurazione sicura.
Questo articolo è l’elenco di controllo di pianificazione e funzionamento prima di un aggiornamento del firmware Sophos Firewall. L’installazione specifica tramite WebAdmin è descritta nell’articolo Eseguire l’aggiornamento del firmware Sophos Firewall.
⚠️ Importante: Prima di ogni aggiornamento del firmware, sono richiesti un backup aggiornato, la chiave master di archiviazione sicura appropriata e un piano di rollback testato. Per SFOS 22 o versioni successive, anche l’articolo Controllo Sophos Firewall prima dell’aggiornamento a SFOS 22 deve essere elaborato perché la piattaforma, lo spazio di archiviazione, i nomi delle interfacce, lo STAS e l’accesso remoto legacy IPsec vengono specificatamente controllati lì.
Quale articolo di aggiornamento è adatto?
Gli argomenti relativi al firmware si sovrappongono rapidamente. È quindi importante che gli amministratori scelgano innanzitutto il processo giusto:
- Preparare aggiornamenti, controllare i rischi e pianificare le finestre di manutenzione: Questo articolo
- Carica o installa l’immagine del firmware in WebAdmin: Sophos Firewall Esegui aggiornamento firmware
- Preparati all’aggiornamento a SFOS 22 o versione successiva: Controllare Sophos Firewall prima dell’aggiornamento SFOS 22
- Controlla backup, chiave master di archiviazione sicura e capacità di ripristino: Sophos Firewall Crea o ripristina backup
- Reinstallare completamente il sistema operativo Firewall o ripristinarlo dopo una nuova immagine: Reinstallare il sistema operativo Sophos Firewall: reimmaginare con la chiavetta USB
- Pianifica il cluster HA prima della manutenzione, del failover o dell’aggiornamento: Varianti quadro Sophos Firewall HA
- L’aggiornamento controllato centralmente o l’attività del firewall si blocca: Sophos Central Controlla coda attività di gestione firewall
- Valutare la piattaforma XG, SG o XGS prima di aggiornare: Sophos XG e XGS: differenze, EOL e migrazione
- Raccogli il numero di serie, lo stato della licenza o i dati di supporto per la modifica: Trova il numero di serie di Sophos Firewall
Questa separazione previene gli errori tipici. Un aggiornamento del firmware non equivale a una nuova immagine, un rollback non sostituisce un backup e un download riuscito non dimostra che il percorso di aggiornamento, l’idoneità del supporto, lo stato HA e il piano di ripristino corrispondano.
Quando è necessario preparare un aggiornamento
Un breve controllo è spesso sufficiente per piccole versioni di manutenzione. La preparazione strutturata è obbligatoria se si applica almeno uno di questi punti:
- Firewall produttivo con più uplink WAN, VPN, regole NAT o pubblicazioni WAF.
- Cluster HA o posizione remota senza facile accesso fisico.
- Salto di versione tra diverse versioni o passaggio a una nuova versione principale come SFOS 22.
- XG, SG, software, appliance virtuale o cloud con problemi di piattaforma o di licenza.
- Dipendenze critiche come Microsoft Entra ID, RADIUS, LDAP, certificati, DNS, DHCP, SD-WAN o Sophos Central.
- Problemi noti di prestazioni, spazio di archiviazione o SSD sull’appliance.
Quanto maggiore è la modifica, tanto più l’aggiornamento deve essere trattato come una modifica con un runbook, un piano di test e un rollback.
1. Controlla le note di rilascio e il percorso di aggiornamento
Prima dell’aggiornamento, chiarire innanzitutto se la versione di destinazione è adatta all’ambiente corrente.
- Controllare le Note sulla versione di Sophos per verificare se la versione di destinazione è stata rilasciata e se sono presenti note sul proprio ramo di rilascio.
- Controllare inoltre le note di rilascio ufficiali della versione di destinazione e i Problemi noti in modo che i problemi noti non diventino evidenti solo dopo l’aggiornamento.
- Documentare la versione esistente, la versione di destinazione e il percorso di aggiornamento supportato.
- Importante: seleziona solo i percorsi di aggiornamento supportati. Se il percorso di aggiornamento non è supportato, il firewall può essere ripristinato alle impostazioni di fabbrica dopo l’aggiornamento del firmware.
- Per SFOS 22, tenere presente che l’hardware XG e SG non è più supportato.
- Per molte interfacce VLAN, Bridge, LAG, RED o XFRM, verificare se i nomi delle interfacce con lunghi blocchi di numeri possono attivare un problema di visualizzazione WebAdmin.
- Per l’accesso remoto legacy IPsec, verificare se l’aggiornamento a SFOS 22 MR1 o versione successiva è bloccato.
- Per STAS e regole basate sull’utente, controlla se le note di aggiornamento note sono rilevanti per la tua configurazione.
- Per i firewall software, virtuali, Azure o AWS BYOL, chiarire se è necessario richiedere il firewall in Sophos Central prima dell’aggiornamento.
- In caso di salti di versione incompatibili, non pianificare un aggiornamento normale, ma preparare piuttosto un concetto di reimmagine.
Per le decisioni concrete sugli aggiornamenti non contano gli annunci, ma piuttosto le note di rilascio, i problemi noti, i percorsi di aggiornamento supportati e la pianificazione locale del firmware. Se un rilascio sembra interessante, ma il percorso di aggiornamento, la piattaforma, l’idoneità al supporto o il rollback non sono chiari, la modifica non dovrebbe essere ancora rilasciata.
2. Chiarire la licenza e l’idoneità al supporto
A partire da SFOS 19.0 MR1, è richiesto il supporto avanzato o il supporto avanzato Plus per ulteriori aggiornamenti del firmware dopo gli aggiornamenti iniziali gratuiti. Senza un’adeguata autorizzazione al supporto, è possibile che il firmware possa essere scaricato ma non installato.
Si applicano eccezioni, tra gli altri, agli aggiornamenti dei modelli, Hotfixes, Reimage, aggiornamenti firmware obbligatori e aggiornamenti firmware assistiti. Tuttavia, queste eccezioni non sostituiscono una corretta pianificazione degli aggiornamenti.
Prima di apportare la modifica è quindi opportuno verificare:
- Amministrazione > Licenze mostra la licenza valida e il diritto al supporto.
- Sophos Central mostra il firewall con il numero di serie corretto.
- L’accesso al supporto e le persone di contatto sono noti.
- È possibile scaricare la versione di destinazione.
- Se necessario, viene preparato l’accesso al supporto Avanet o Sophos.
Se vuoi che Avanet supporti il cambiamento, l’articolo Configurare l’accesso al supporto Avanet a Sophos Firewall è appropriato.
3. Preparare backup, SSMK e rollback
Un aggiornamento del firmware è installato su un secondo slot firmware. Spesso è quindi possibile tornare alla versione precedente. Tuttavia un rollback non sostituisce un backup poiché lo stato di configurazione, la compatibilità del ripristino e lo stato operativo devono essere controllati separatamente.
Prima dell’aggiornamento:
- Scarica il nuovo backup della configurazione.
- Controlla la chiave master di archiviazione protetta nel gestore delle password.
- Fornire password di backup e accesso amministratore.
- Documentare la versione firmware esistente e la versione di destinazione.
- Documentare la configurazione corrente, gli screenshot critici e l’ora della modifica.
- Per modifiche più grandi, controlla anche un backup centrale o un backup archiviato esternamente. Il processo di backup e ripristino è descritto in dettaglio in Sophos Firewall Creare o ripristinare il backup. Se una normale modifica del firmware non è possibile, l’articolo Reinstallare il sistema operativo Sophos Firewall: Reimmagine con chiavetta USB sarà di aiuto.
4. Prepara la prova della modifica
Per semplici versioni di manutenzione sono spesso sufficienti un backup, uno screenshot della pagina firmware e una breve nota di modifica. Per aggiornamenti più grandi, dovresti anche registrare quale configurazione era valida prima della finestra di manutenzione e quali modifiche sono state apportate durante il controllo successivo.
Questi strumenti rispondono a domande diverse:
- Backup: Quale stato di configurazione può essere ripristinato?
- Config Studio: Cosa cambia tra due stati di configurazione?
- Audit Trail: Chi ha effettuato quale modifica di configurazione supportata e quando?
Sophos Firewall Config Studio è utile se desideri confrontare gli stati di configurazione prima e dopo un aggiornamento. Ciò non sostituisce un backup, ma aiuta a risolvere la questione se regole, oggetti, interfacce o policy siano stati modificati inaspettatamente durante una finestra di manutenzione.
L’Audit Trail Sophos Firewall è adatto per la tracciabilità temporale. È particolarmente utile quando sono coinvolti più amministratori o quando una modifica controllata centralmente viene eseguita parallelamente all’aggiornamento del firmware. Se l’aggiornamento o una modifica della configurazione viene attivato tramite Sophos Central, anche la Sophos Central Coda attività di gestione firewall fa parte del controllo di follow-up.
5. Controlla lo spazio di archiviazione e l’integrità del sistema
Spazio di archiviazione insufficiente, vecchi registri o uno stato HA instabile possono rendere un aggiornamento inutilmente rischioso. Prima di un aggiornamento importante, dovresti controllare consapevolmente lo stato del sistema.
Nel WebAdmin:
- Controlla il Centro di controllo per eventuali avvisi.
- Apri Backup e firmware > Firmware e controlla le versioni disponibili.
- Controlla Diagnostica > Visualizzatore registro per errori di sistema ricorrenti.
- Controlla i Servizi di sistema e i servizi pertinenti.
- Per SFOS 22, guardare anche il firewall Health Check, se disponibile.
Lo spazio di archiviazione libero può essere controllato utilizzando SSH o Advanced Shell:
df -kh
Se una partizione è molto piena, non dovresti aggiornarla alla cieca. Innanzitutto chiarire se vecchi file locali, registri, report o dump di supporto occupano spazio. Se la causa non è chiara, una richiesta di supporto è più sicura che eliminare manualmente Advanced Shell. Il processo pratico è in Sophos Firewall Controllare lo spazio di archiviazione e gestire i report.
Se l’appliance è vecchia, scrive molti report locali o mostra già problemi di I/O o del database, anche lo stato dell’SSD tramite SMART dovrebbe essere controllato e documentato.
Risoluzione dei problemi di Sophos Firewall: Services e registri, Sophos Firewall Usa Packet Capture in WebAdmin e [Sophos Firewall] guida per l’analisi dello stato e del registro Come utilizzare Health Check correttamente](/it/kb/sophos-firewall-health-check/).
6. Pianifica il cluster HA separatamente
I cluster HA non devono essere trattati come firewall individuali. Sophos scrive che non è necessario disabilitare HA per l’aggiornamento del firmware. Tuttavia, un aggiornamento HA necessita di maggiore controllo perché sono interessati sia gli apparecchi, gli slot firmware, i ruoli e il comportamento di failover.
Prima dell’aggiornamento:- Controllare lo stato HA in WebAdmin.
- Identificare chiaramente gli apparecchi primari e ausiliari.
- Controllare il collegamento e la sincronizzazione HA.
- Garantire la stessa situazione iniziale del firmware su entrambi gli apparecchi.
- Pianifica anche le finestre di manutenzione per Active-Passive-HA.
- Comunicare la breve interruzione prevista in caso di cambio di ruolo.
Nello stato HA connesso, l’aggiornamento del firmware viene avviato sul dispositivo principale ed elaborato dal cluster per entrambi gli apparecchi. I ruoli vengono modificati durante il processo e, a seconda della configurazione HA, il primario preferito può diventare nuovamente attivo alla fine. L’apparecchio ausiliario non deve essere aggiornato separatamente. Gli aggiornamenti dei modelli e Hotfixes vengono applicati in modo indipendente ai dispositivi.

Per gli ambienti HA, è necessario leggere anche Sophos Firewall HA Cluster: attivo-passivo, attivo-attivo e dispositivo ausiliario.
7. Definire finestre di manutenzione e test
Una buona finestra di manutenzione include non solo il tempo di installazione ma anche test chiari successivi.
Impostato prima dell’aggiornamento:
- Ora di inizio, ultima ora di interruzione e decisione di rollback.
- Persona responsabile di firewall, rete, server, applicazioni e supporto.
- Elenco di test per Internet, DNS, DHCP, VLANs, NAT, VPN, WAF, posta, protezione Web e applicazioni critiche.
- Accessibilità tramite porta di gestione locale o accesso alternativo.
- Monitoraggio della modalità di pausa o manutenzione nel sistema di monitoraggio.
- Percorso di comunicazione se l’accesso remoto fallisce durante la modifica.
I test non dovrebbero consistere solo in ping. Per i firewall produttivi, i controlli reali della connessione sono più importanti: login VPN, accesso alle applicazioni interne, risoluzione DNS, accesso web, servizi pubblicati, flusso di posta, percorsi SD-WAN e autenticazione centrale.
8. Convalida dopo l’aggiornamento
Dopo il riavvio, la modifica non è ancora completata. Per prima cosa devi verificare se il firewall funziona davvero nello stato previsto.
Subito dopo l’aggiornamento:
- Verificare la versione SFOS attiva.
- Controlla lo stato di aggiornamento della licenza e del modello.
- Controllare i log di sistema e del kernel per eventuali errori evidenti.
- Controlla le interfacce, i percorsi SD-WAN, i tunnel VPN e lo stato HA.
- Convalida regole firewall, NAT, Web Protection, TLS Inspection e WAF con test reali.
- Sophos Central Controllare la sincronizzazione.
- Riattivare il monitoraggio.
- Aggiungere la documentazione delle modifiche con risultati, tempi e deviazioni.
Se un aggiornamento firmware è stato pianificato o attivato tramite Sophos Central, anche la Coda attività di gestione firewall Sophos Central fa parte del controllo di follow-up. Qui puoi verificare se l’attività centrale è stata completata correttamente o se un’attività non riuscita blocca le modifiche successive.
Se dopo l’aggiornamento si verificano errori imprevisti, è necessario innanzitutto ridurre la differenza tra problema di configurazione, bug del firmware, problema di licenza e problema del sistema esterno. Log Viewer, Packet Capture e i registri di servizio mirati sono più utili dei riavvii multipli immediati.
Errori tipici con gli aggiornamenti del firmware
- Aggiornamento senza nuovo backup: Il ripristino o il rollback diventa inutilmente rischioso; Controllare backup e SSMK prima della modifica
- Le note di rilascio vengono lette solo superficialmente: Bug noti, blocchi della piattaforma o percorsi di aggiornamento non supportati vengono trascurati; Documentare le note sulla versione di Sophos, i problemi noti e il percorso di aggiornamento supportato
- SFOS-22 controllo saltato: I blocchi di piattaforma, spazio di archiviazione, interfaccia, STAS o IPsec legacy vengono visualizzati solo nella finestra di manutenzione; Prima di SFOS 22 o versione successiva, completare il controllo di aggiornamento separato
- Si presuppone che HA sia privo di guasti: Il failover può interrompere sessioni e singole connessioni; Pianifica anche la finestra di manutenzione e il piano di test per HA
- Nessun accesso di emergenza locale: La modifica remota potrebbe rimanere bloccata sul problema VPN o WAN; Chiarire l’accesso fuori banda o l’opzione in loco
- Solo ping testato: I problemi relativi all’applicazione, al DNS, al TLS o allo VPN non vengono rilevati; Definire prove tecniche per servizio
- Il rollback è stato deciso troppo tardi: I tempi di inattività diventano più lunghi del necessario; Determinare in anticipo il tempo di terminazione e i criteri di rollback
Lista di controllo
- Versione di destinazione e percorso di aggiornamento controllati.
- Verifica delle note di rilascio di Sophos, delle note di rilascio ufficiali, dei problemi noti e del percorso di aggiornamento supportato.
- SFOS 22 Controllo di aggiornamento eseguito sugli aggiornamenti rilevanti, inclusi piattaforma, nomi di interfaccia, spazio di archiviazione, STAS e accesso remoto legacy IPsec.
- Licenza e supporto avanzato selezionati.
- Backup scaricato e SSMK disponibile.
- Prova di modifica preparata con Backup, Config Studio, Audit Trail o Central Task Queue se sono coinvolti più amministratori o Central.
- Spazio su disco e stato del sistema controllati.
- Stato HA e ruoli documentati.
- Definizione della finestra di manutenzione, del piano di test e dei criteri di rollback.
- File firmware o download della GUI preparato.
- Chiarito l’accesso alla gestione locale o alternativa.
- Versione controllata, servizi, VPN, NAT, WAF, registri, coda delle attività centrale e monitoraggio dopo l’aggiornamento.