Vai al contenuto
Avanet

Eseguire l'aggiornamento del firmware di Sophos Firewall

L’articolo spiega come eseguire praticamente un aggiornamento del firmware di Sophos Firewall tramite il WebAdmin: ottenere il firmware, caricare l’immagine, avviare l’installazione e tornare alla versione precedente se necessario.

Per aggiornamenti più grandi, l’esecuzione tecnica non dovrebbe essere confusa con la pianificazione. La vera preparazione all’aggiornamento con note di rilascio, percorso di aggiornamento, backup, HA, spazio di archiviazione, piano di test e criteri di rollback è descritta in Aggiornamento del firmware di Sophos Firewall: preparazione e best practices. Questo articolo è il passo giusto quando è chiaro quale versione installare.

⚠️ Nota importante sui dispositivi obsoleti: SFOS 21.5 GA e versioni successive non supportano più le appliance hardware XG e SG. Chi utilizza ancora un XG dovrebbe verificare prima di ogni aggiornamento se è necessaria una migrazione a XGS. Utili a tal fine sono Qual è la differenza tra un firewall XG e XGS? e il Calendario del ciclo di vita dei prodotti Sophos.

Info: La guida presuppone che sia disponibile un dispositivo supportato con Enhanced Support valido o che il dispositivo sia ancora entro i tre firmware upgrade gratuiti. Prima di ogni aggiornamento, dovrebbe essere creato un backup di Sophos Firewall. L’aggiornamento viene installato sulla partizione firmware inattiva e di norma è disponibile un rollback. Tuttavia, non si dovrebbe mai aggiornare senza un backup.

Importante: i firmware slot non sono semplici file. Sophos Firewall conserva firmware attivo e precedente con il rispettivo stato di configurazione in partizioni separate. Un rollback quindi non avvia solo il codice SFOS precedente, ma anche lo stato di configurazione precedente associato.

Prima di un aggiornamento a SFOS 22 o versioni successive, dovrebbe essere eseguito anche il controllo di aggiornamento SFOS 22. Lì vengono controllati separatamente supporto della piattaforma, spazio di archiviazione, nomi delle interfacce, stato HA, STAS e IPsec di accesso remoto legacy come tipici blocchi di aggiornamento.

Preparazione o esecuzione?

Per gli amministratori sono importanti due domande:

Per le firewall in produzione, la preparazione dovrebbe essere completata per prima. Successivamente, l’installazione stessa è spesso la parte più breve della finestra di manutenzione.

Ultimo controllo prima di Upload & Boot

Direttamente prima dell’inizio, dovrebbe essere verificato ancora una volta se tutto è davvero pronto per il riavvio. Questo breve controllo non sostituisce la pianificazione dell’aggiornamento, ma previene errori tipici nella finestra di manutenzione.

  • Backup disponibile e SSMK noto: Un rollback alla vecchia partizione non sostituisce un backup ripristinabile.
  • Accesso dopo il riavvio chiarito: Nei siti remoti serve un percorso di ritorno se WAN, VPN o routing non tornano immediatamente.
  • Ruolo HA e stato del cluster verificati: Un aggiornamento in un cluster già instabile aumenta inutilmente il rischio.
  • VPN critiche e uplink WAN noti: Dopo il riavvio, è possibile verificare in modo mirato se le connessioni più importanti sono di nuovo attive.
  • Criterio di rollback definito: In caso di errore deve essere chiaro quando tornare indietro e quando continuare l’analisi.

Soprattutto nei siti remoti, non si dovrebbe fare affidamento solo sulla sessione WebAdmin. Se possibile, dovrebbe essere preparato un secondo percorso di accesso: contatto locale, accesso Out-of-Band, VPN di gestione, Sophos Central o un chiaro percorso di escalation. Altrimenti, una normale finestra di firmware può rapidamente diventare un problema del sito.

Scaricare manualmente il firmware SFOS

Prima che il nuovo firmware possa essere installato, deve essere ottenuto tramite Sophos Central, direttamente in WebAdmin o dalla pagina di download del firmware. Per firewall registrati, Sophos Central è il punto di partenza più pulito: aprire il menu profilo, selezionare Licensing > Firewall licenses, espandere la firewall e scaricare il firmware adatto in Downloads. Se la versione desiderata non è visibile direttamente, Other downloads porta agli installer, dove si seleziona il tipo di piattaforma.

Prima del download, documentare nel change versione attuale, versione target, serie dell’appliance e immagine pianificata. Questo evita di caricare un’immagine errata durante la finestra di manutenzione o di riutilizzare un vecchio download. Nei download manuali è particolarmente importante che l’immagine corrisponda alla piattaforma: appliance hardware, appliance software/VM e appliance cloud sono percorsi diversi.

Nota: Con Enhanced Support, il firmware più recente può spesso essere scaricato direttamente tramite la GUI. Se i primi tre firmware upgrade gratuiti sono già stati usati e non è attiva una support subscription adatta, l’installazione può essere bloccata nella GUI. Il metodo manuale rimane comunque utile quando un aggiornamento deve essere preparato, verificato o gestito temporalmente.

Offline non è automaticamente Air-Gap: Questo articolo descrive il caricamento manuale di un’immagine firmware SFOS. In ambienti strettamente isolati, la verifica delle licenze e gli aggiornamenti dei pattern rimangono processi operativi separati. Per questo si adatta Gestire la licenza Air-Gap e gli aggiornamenti dei pattern di Sophos Firewall.

Verificare immagine e percorso di aggiornamento

Prima dell’upload non bisogna controllare solo il nome del file. È decisivo che l’immagine sia adatta all’appliance, alla versione attiva e al percorso di destinazione pianificato.

  • Hardware XGS: Usare l’immagine hardware per la serie di appliance corretta e non pianificare per errore hardware XG/SG.
  • Appliance virtuale o software: Usare l’immagine software o VM e verificare requisiti di hypervisor e risorse.
  • Appliance cloud: Verificare immagine cloud e percorso della piattaforma, soprattutto per deployment BYOL e Marketplace.
  • Ambiente Air-Gap: Pianificare firmware image, sincronizzazione licenze e pattern updates come passaggi separati.
  • Major Release: Verificare percorso di upgrade, release notes e known issues prima della finestra di manutenzione.

Se nel WebAdmin non viene proposta una modifica di versione o servirebbe un percorso incompatibile, non si dovrebbe continuare con un normale upload. Va prima chiarito se serve un passaggio intermedio, un reimage o una migrazione su hardware supportato.

Installare manualmente il firmware SFOS

Il firmware scaricato può ora essere installato su Sophos Firewall.

  1. Accedere a Sophos Firewall.
  2. Aprire Backup & Firmware nella navigazione e controllare la sezione Firmware.
  3. Nella sezione Firmware, selezionare la versione desiderata e fare clic sull’icona di caricamento.
  4. Nella finestra Firmware Upgrade/Downgrade, selezionare il file del firmware dal proprio computer.
  5. Scegliere Upload Firmware se l’immagine deve solo essere preparata.
  6. Scegliere Upload & Boot se la finestra di manutenzione è attiva e la firewall deve avviarsi direttamente con la nuova versione.

Nella sezione Firmware, Sophos Firewall mostra al massimo due stati firmware: la versione attiva e una versione inattiva. La versione inattiva è la versione precedente per un rollback oppure un’immagine compatibile caricata manualmente. Prima dell’upload conviene quindi verificare quale versione si trova nel secondo slot e se serve ancora come opzione di ritorno.

Se viene scelto solo Upload Firmware, l’immagine viene salvata nello slot inattivo. La firewall non passa ancora alla nuova versione. Anche un riavvio non pianificato successivo non avvia automaticamente questa immagine. Solo Upload & Boot o Boot firmware image attiva il cambio reale, termina le sessioni esistenti e riavvia la firewall.

Gli screenshot seguenti mostrano il dialogo di caricamento e la selezione dell’immagine del firmware.

Dialogo di caricamento immagine firmware di Sophos Firewall
Nel dialogo di caricamento viene selezionata l’immagine firmware locale e preparata per l’installazione.
Selezionare immagine firmware di Sophos Firewall
Prima del caricamento, dovrebbe essere verificato che l’immagine corrisponda alla serie di appliance e al percorso di aggiornamento pianificato.

Nota: La scelta tra Upload Firmware e Upload & Boot dovrebbe essere fatta consapevolmente. Con Upload Firmware, l’immagine viene solo caricata. Con Upload & Boot, l’installazione viene avviata direttamente.

  • Upload Firmware: Utile se l’immagine deve essere preparata prima della finestra di manutenzione. Rischio: un amministratore successivo potrebbe avviare un’immagine il cui contesto non è documentato.
  • Upload & Boot: Utile quando la finestra di manutenzione è attiva e backup, accesso e test sono pronti. Rischio: la firewall si riavvia subito e le sessioni esistenti si interrompono.
  • Boot firmware image: Utile se un’immagine già caricata deve essere avviata in un momento definito. Rischio: viene avviata la versione presente nello slot, non automaticamente l’ultima versione disponibile.

Se è stata scelta solo Upload Firmware, il momento dell’installazione può essere deciso successivamente. Per farlo, utilizzare l’icona con le due frecce nella sezione Firmware quando il momento per l’installazione è adatto.

Azione di avvio immagine firmware di Sophos Firewall
Con l’azione di avvio, un’immagine firmware già caricata viene avviata in un momento successivo.

Cluster HA durante il firmware update

Se è configurato un cluster HA, l’update viene avviato sul dispositivo primary e il cluster esegue il processo per entrambe le appliance. L’appliance auxiliary non dovrebbe essere aggiornata separatamente. La sequenza tipica è: il primary avvia il processo, l’auxiliary viene aggiornato e riavviato per primo, poi avviene un cambio di ruolo e quindi viene aggiornato il primary precedente. Se è definito un Preferred Primary, alla fine può avvenire un ulteriore failback.

Anche con HA serve una finestra di manutenzione. Durante il cambio di ruolo, singole sessioni possono interrompersi, i tunnel VPN possono ricostruirsi brevemente o alcuni ping possono andare persi. Dopo l’update, controllare consapevolmente stato HA, ruoli, VPN e connessioni centrali.

Un dispositivo HA in modalità standalone è un caso speciale e non va aggiornato come un cluster sincronizzato correttamente. Prima dell’update devono essere chiari stato HA, sincronizzazione e ruoli. Per la preparazione, vedere Sophos Firewall HA cluster variants.

Pattern Updates e Hotfixes non sono la stessa cosa di un firmware upgrade. In ambienti HA, i Pattern Updates vengono aggiornati sul primary e poi sincronizzati; gli Hotfixes sono gestiti separatamente da Sophos. Dopo una finestra firmware, quindi, non va controllata solo la versione SFOS, ma anche lo stato dei Pattern, lo stato degli Hotfixes e la sincronizzazione HA.

Installare automaticamente il firmware SFOS

Se è presente una licenza Enhanced Support valida, il firmware può spesso essere scaricato direttamente nell’interfaccia grafica.

Nota: Se una nuova versione del firmware non appare abbastanza rapidamente nell’interfaccia grafica o se deve essere pianificata un’immagine specifica, può essere utilizzata in qualsiasi momento anche la variante manuale.

  1. Accedere a Sophos Firewall.
  2. Aprire Backup & Firmware nella navigazione.
  3. In Latest Available Firmware, usare Check for new firmware per cercare nuove versioni.
  4. Per l’aggiornamento elencato selezionare Download. Se nel Control center sotto Messages compare un avviso firmware, anche questo porta alla sezione firmware.
  5. Dopo il download completato, avviare l’installazione con Install. L’azione termina le sessioni esistenti e riavvia la firewall con il nuovo firmware.
  6. Dopo il riavvio, accedere di nuovo e verificare in alto a sinistra nel Control center e in Backup & Firmware > Firmware che la versione prevista sia attiva.
Scaricare firmware di Sophos Firewall nel WebAdmin
Con un’autorizzazione valida, il firewall può scaricare il firmware disponibile direttamente nel WebAdmin.
Installare nuova versione del firmware di Sophos Firewall
Dopo il download, la nuova versione del firmware viene offerta per l’installazione nella sezione firmware.

Pianificare il firmware tramite Sophos Central

Se l’aggiornamento non viene pianificato o avviato localmente nel WebAdmin, ma tramite Sophos Central, valgono alcuni punti aggiuntivi. Sophos Central offre firmware upgrade solo per firewall autorizzate che eseguono una versione firmware GA supportata. Gli aggiornamenti pianificati partono secondo il fuso orario della firewall interessata, non secondo quello del browser o dell’amministratore.

Il flusso è breve: in Sophos Central aprire la firewall interessata in My Products > Firewall Management > Firewalls, selezionare il pulsante di download dell’upgrade disponibile, aprire Schedule Upgrades, scegliere la versione target se sono disponibili più versioni e impostare data e ora. In alternativa, l’update può essere avviato subito. Gli aggiornamenti pianificati possono essere modificati o annullati prima dell’avvio.

Dopo la finestra di manutenzione dovrebbe essere controllata anche la Sophos Central Firewall Management Task Queue. Lì si può vedere se il task Central è stato completato o se un task fallito blocca ulteriori modifiche. Il controllo locale in WebAdmin resta comunque obbligatorio, perché stato Central e versione firmware effettivamente attiva non vanno considerati automaticamente identici.

Se manca un’azione di update

Se nel WebAdmin o in Sophos Central manca un’azione attesa, di solito non è un motivo per ricaricare immagini in fretta. Prima va verificato quale requisito manca:

  • Install è disattivato: verificare l’autorizzazione di supporto. Dopo i tre firmware upgrade gratuiti, per normali cambi firmware servono Enhanced Support o Enhanced Plus Support.
  • Central non mostra alcun pulsante di download: verificare che la firewall sia online, gestita in Sophos Central, su una versione firmware GA e autorizzata per la versione target.
  • L’upload viene rifiutato: verificare tipo di piattaforma, serie appliance, versione attiva, upgrade path compatibile e integrità del file.
  • La versione target non è adatta: controllare Release Notes e tabella degli upgrade supportati. In cambi incompatibili spesso il percorso giusto è reimage o migrazione, non un altro tentativo di upload.
  • Molti gateway o configurazione particolare: prima del cambio versione verificare se la versione target contiene limiti noti o note di migrazione per la configurazione locale.

Verificare dopo l’aggiornamento

Dopo il riavvio, non si dovrebbe passare immediatamente al prossimo cambiamento. Prima deve essere chiaro se il firewall funziona davvero stabilmente con il nuovo firmware e se le funzioni operative principali sono raggiungibili.

Verificare direttamente:

  • Backup & Firmware > Firmware mostra la versione attiva prevista.
  • Control center non mostra nuovi avvisi critici.
  • Interfacce, uplink WAN, rotte SD-WAN e gateway predefinito sono plausibili.
  • Stato HA e ruoli sono corretti, se viene utilizzato un cluster.
  • Le connessioni VPN site-to-site, VPN di accesso remoto e RED si stabiliscono.
  • DNS, DHCP, NAT, WAF e regole firewall centrali funzionano con test reali.
  • La sincronizzazione con Sophos Central e la gestione del firewall Central sono aggiornate.
  • Monitoraggio, Syslog o SIEM ricevono nuovamente dati, se utilizzati.

Se dopo l’aggiornamento regole, NAT o VPN non funzionano come previsto, dovrebbe essere prima delimitato con Log Viewer, Policy Test, Packet Capture e log dei servizi pertinenti. Per un troubleshooting strutturato si adattano Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture e Troubleshooting di Sophos Firewall: Servizi e Log.

Se l’upload o l’installazione fallisce, non bisogna semplicemente caricare più volte la stessa immagine. Cause tipiche sono tipo di piattaforma errato, upgrade path non supportato, download danneggiato, spazio insufficiente, problema di sincronizzazione HA o migrazione della configurazione che fallisce durante l’upgrade. Da SFOS 20.0, Sophos Firewall può tornare automaticamente alla versione precedente e allo stato di configurazione precedente in caso di determinati errori di migrazione. Dopo serve comunque una chiara analisi della causa prima di avviare di nuovo l’update.

Se WebAdmin non è più raggiungibile a causa di firmware danneggiato, non si tratta più di un normale cambio firmware. Su dispositivi XG/SG, SFLoader può essere rilevante a seconda della situazione; sui dispositivi XGS, per firmware danneggiato il reimage è solitamente il percorso di recovery più pulito. Il processo adatto è descritto in Reinstallare Sophos Firewall OS: Reimage con USB.

Rollback alla versione precedente

Dopo un aggiornamento, può capitare che alcune funzioni non funzionino come previsto. In questo caso, è possibile tornare alla partizione del firmware precedente. Per farlo, fare clic sull’icona di rollback accanto alla versione corrente. In un cluster HA, anche entrambe le appliance vengono avviate con la versione selezionata.

Un rollback non è lo stesso di un ripristino. Il firewall si avvia nuovamente con la versione firmware precedente e con lo stato di configurazione di quella partizione. Un backup ripristinabile, un Secure Storage Master Key noto e un piano di recupero chiaro rimangono comunque necessari. Le modifiche di configurazione effettuate dopo il cambio di versione possono andare perse o comportarsi diversamente quando si torna al firmware più vecchio. Per questo, dopo l’aggiornamento non bisognerebbe eseguire modifiche accessorie non necessarie finché non è chiaro che la nuova versione è stabile.

Rollback e downgrade non sono la stessa cosa:

  • Rollback: ritorno alla versione compatibile installata in precedenza nel secondo firmware slot.
  • Downgrade: passaggio a una versione compatibile precedente, non necessariamente la versione immediatamente precedente.
  • Reimage: reinstallazione di Sophos Firewall OS, normalmente con perdita dei dati sul dispositivo e successivo restore.

Prima di un rollback, si dovrebbe annotare brevemente perché si sta tornando indietro. Criteri sensati sono, ad esempio: la connessione WAN non si stabilisce in modo stabile, le VPN centrali rimangono inattive nonostante il controllo, HA non si sincronizza correttamente, le regole firewall critiche non funzionano o un bug noto colpisce esattamente l’ambiente produttivo. Se solo un singolo servizio è problematico, un troubleshooting mirato può essere più sensato di un rollback immediato.

  • WAN, HA o VPN centrali cadono nella finestra di manutenzione: il rollback è sensato se la causa non può essere stabilizzata rapidamente. Se è visibile un chiaro errore di configurazione, va prima analizzato in modo mirato.
  • Singola regola, NAT o pubblicazione WAF sembra errata: considerare il rollback solo in caso di disturbo ampio o problema firmware noto. Altrimenti verificare prima Log Viewer, Policy Test, Packet Capture e log dei servizi.
  • WebAdmin sembra lento, ma il traffico è stabile: il rollback raramente è la prima misura. Meglio controllare carico, servizi, browser, log e note note.
  • Cluster HA desincronizzato dopo l’aggiornamento: il rollback è possibile se l’operatività produttiva è a rischio. Prima però vanno verificati ruoli HA, stato di sincronizzazione, link e log.

Prima del clic, dovrebbero essere documentati almeno versione attiva, versione di destinazione, orario, sintomo, servizi interessati, stato HA e punti già testati. In ambienti HA, dovrebbe essere inoltre chiaro quale nodo è attivo e che durante il ritorno possono verificarsi nuovamente interruzioni nelle sessioni, VPN o accesso alla gestione.

Dopo il rollback, la verifica ricomincia da capo: controllare la versione del firmware attiva, verificare il Control center, WAN, VPN, HA, regole centrali, NAT, WAF, DNS, DHCP, sincronizzazione Central e logging con test reali. Successivamente, non si dovrebbe semplicemente rimanere permanentemente sulla vecchia versione. Meglio è un breve piano di follow-up: delimitare la causa, controllare i suggerimenti di supporto o di rilascio, salvare backup e prove e riprogrammare l’aggiornamento obiettivo solo quando il motivo è compreso.

Rollback di Sophos Firewall alla versione firmware precedente
Tramite l’icona di rollback, è possibile riavviare la partizione del firmware precedente.

FAQ

Un aggiornamento del firmware nel cluster HA è senza interruzioni?

Non garantito. I firewall vengono aggiornati uno dopo l’altro, ma durante il cambio di ruolo alcune sessioni possono interrompersi, i tunnel VPN possono essere ricostruiti brevemente o alcuni ping possono andare persi. Pertanto, anche con HA dovrebbe essere pianificata una finestra di manutenzione e dopo l’aggiornamento dovrebbero essere verificati stato HA, ruoli, VPN e connessioni importanti.

Perché gli aggiornamenti non sono più gratuiti?

Senza una support subscription sono consentiti tre firmware upgrade. Dopo servono Enhanced Support o Enhanced Plus Support per ulteriori normali cambi firmware. Pattern Updates, Hotfixes, Reimage, Mandatory Firmware Upgrades e Assistant Firmware Upgrades vanno considerati separatamente. Contesto: Gli aggiornamenti di Sophos Firewall non saranno più gratuiti in futuro

Cos'è una licenza Enhanced Support?

La licenza Enhanced Support offre accesso agli aggiornamenti e supporto tecnico. Questa licenza è inclusa in ogni pacchetto di licenze o può essere acquistata separatamente. Senza una licenza Enhanced Support valida, dopo i primi tre aggiornamenti gratuiti non possono essere installati ulteriori aggiornamenti, il che può comportare rischi per la sicurezza.