Reinstallare Sophos Firewall OS: reimage via USB
Una reimmagine reinstalla completamente il sistema operativo Sophos Firewall. Il processo è destinato a situazioni di ripristino, sistemi di laboratorio, modifiche al modello o una reinstallazione pulita. Per le normali modifiche alla versione, un aggiornamento del firmware tramite l’interfaccia di amministrazione web è solitamente la scelta migliore.
⚠️ Importante: una reimmagine sovrascrive completamente il firewall. Configurazione, registri locali, certificati, report e dati dell’account salvati non sono più disponibili sul dispositivo. Prima di iniziare, sono necessari un backup corrente e la Secure Storage Master Key (SSMK) appropriata se i dati di configurazione crittografati devono essere ripristinati in seguito.
Reimmagine, aggiornamento firmware o ripristino dati di fabbrica?
| Procedura | Scopo | Uso tipico |
|---|---|---|
| Aggiornamento firmware | Aggiorna SFOS a una versione diversa | Manutenzione normale tramite Backup e firmware > Firmware |
| Ripristino | Ripristinare una versione firmware precedentemente installata | Errore dopo un aggiornamento mentre è ancora presente il firmware precedente |
| Ripristino delle impostazioni di fabbrica | Ripristina configurazione | Il dispositivo rimane sulla versione SFOS installata, la configurazione viene persa |
| Riimmagine | Reinstallare SFOS dalla chiavetta USB | Sistema danneggiato, reinstallazione pulita, modifica o ripristino di versione incompatibile |
Per un aggiornamento normale, consultare prima l’articolo Sophos Firewall: eseguire l’aggiornamento del firmware SFOS. Anche un Factory Reset non è la stessa cosa di un reimage: ripristina la configurazione, ma non rimuove tutti i dati locali come una reinstallazione completa. Anche la Secure Storage Master Key non viene cancellata durante un Factory Reset. Se il firewall deve davvero tornare a uno stato predefinito pulito, inclusi log, report e dati operativi locali, il reimage è la strada più adatta. Per le appliance XGS con firmware danneggiato, Sophos fa riferimento alla procedura di reimage poiché SFLoader non è disponibile per XGS.
Quando non reimmaginare
Una reimmagine è la variante di ripristino hardware. Se è ancora possibile il normale accesso amministrativo, è opportuno verificare innanzitutto se è sufficiente una modalità meno invasiva.
| Situazione | Meglio controllare prima |
|---|---|
| WebAdmin si blocca, ma il traffico continua | Riavviare specificamente la GUI WebAdmin |
| Servizio singolo non risponde | Riavviare in sicurezza Sophos Firewall Services |
| Aggiornamento firmware in sospeso | Aggiornamento del firmware e piano di rollback invece di reimmagine |
| La configurazione deve essere eliminata | Il ripristino delle impostazioni di fabbrica può essere sufficiente se SFOS stesso è integro |
| Il problema è lo spazio di archiviazione o i report | Controlla lo spazio di archiviazione, i report e i registri |
| Il caso di supporto è ancora in corso | Eseguire preventivamente il backup dei registri, degli archivi di supporto e degli errori attuali |
La reimmagine è utile se il sistema operativo è danneggiato, si desidera una ricostruzione pulita oppure se il supporto Sophos o il piano di ripristino specificano questo percorso. Di solito è troppo presto per la normale manutenzione, problemi individuali della GUI o problemi di prestazioni inspiegabili.
Backup prima della reimmagine
Prima di una reimmagine produttiva, dovresti preparare questi punti:
- Scarica il backup della configurazione corrente e archivialo in modo sicuro.
- Documenta la chiave master di archiviazione sicura se il backup contiene dati dell’account crittografati.
- Controllare lo stato della licenza, il numero di serie e l’associazione a Sophos Central.
- Documentare modello, revisione, versione SFOS attuale, build, versione di destinazione e versione del backup.
- Annotare separatamente i dati WAN, VLAN, percorsi statici, parametri VPN e informazioni speciali HA.
- Pianificare le finestre di manutenzione poiché il firewall non proteggerà ed elaborerà il traffico durante la reimmagine.
- Garantire l’accesso locale all’apparecchio, all’alimentatore, alla porta USB e alla porta di gestione.
- Controllare preventivamente il processo di ripristino, in particolare per i cluster HA e le posizioni VPN critiche.
- Eseguire il backup dei registri o degli archivi di supporto se la causa deve essere analizzata in seguito.
Le nozioni di base pertinenti sono reperibili in Sophos Firewall: Creazione e ripristino di un backup, Sophos Firewall: verifica dell’upgrade a SFOS 22 e Cluster HA di Sophos Firewall: attivo-passivo, attivo-attivo e dispositivo ausiliario.
Se il reimage fa parte di uno scenario RMA o HA, questa documentazione diventa ancora più importante. In quel caso non conta solo la versione principale, ma anche la build. Un dispositivo sostitutivo dovrebbe corrispondere al firewall sano oppure essere portato consapevolmente alla versione di destinazione prima di iniziare backup, trasferimento licenza e riconfigurazione HA.
Chiarire in anticipo il ripristino della compatibilità
La parte più importante di una reimmagine non è la scrittura sulla chiavetta USB, ma il successivo ripristino riuscito. Un backup non dovrebbe essere valutato solo per la prima volta dopo la reinstallazione.
Chiarire in anticipo:
| punto | Perché importante |
|---|---|
| Versione di backup | Un backup non può essere ripristinato a piacimento su una versione SFOS precedente o più recente. |
| Modello target | Il numero di porte, i nomi delle interfacce e la classe del modello influenzano il ripristino e la mappatura delle porte. |
| Chiave principale di archiviazione sicura | Senza un SSMK adatto, i dati dell’account protetto andranno persi dopo il ripristino. |
| Licenza e account | Dopo la nuova immagine o la modifica del modello, il firewall deve essere concesso in licenza e assegnato nuovamente correttamente. |
| Ruolo HA | Nei cluster deve essere chiaro se si sta ricostruendo il primario o l’ausiliario iniziale. |
| Configurazione legacy | Il vecchio IPsec di accesso remoto o i blocchi degli aggiornamenti dovrebbero essere conosciuti prima del ripristino. |
Quando si sostituisce l’hardware, si esegue la migrazione da XG a XGS o si ripristina su un altro modello, è necessario verificare anche se l’assistente di ripristino del backup è disponibile e se l’assegnazione della porta è corretta prima del ripristino finale. Il processo è descritto in Creare o ripristinare un backup di Sophos Firewall.
Per HA e RMA vale come regola pratica: versione firmware e build dei dispositivi coinvolti devono essere controllate prima del restore. Se la vecchia versione firmware necessaria non può più essere scaricata normalmente, non bisogna improvvisare, ma coinvolgere Sophos Support o il processo di supporto esistente.
Requisiti
- Dispositivo firewall Sophos o software idoneo o dispositivo virtuale.
- Chiavetta USB con almeno 4 GB di spazio di archiviazione.
- Computer Windows, macOS o Linux per creare la chiavetta USB avviabile.
- Strumento per scrivere l’immagine ISO, ad esempio balenaEtcher.
- Accesso locale all’apparecchio.
- Opzionale: cavo da USB a micro USB o adattatore COM RJ45 per la segnalazione dello stato e la risoluzione dei problemi tramite la console seriale.
Per la reimmagine stessa non è richiesta alcuna autorizzazione al Supporto Avanzato. Per gli aggiornamenti regolari del firmware valgono tuttavia le rispettive condizioni di licenza e di supporto.
1. Scarica l’immagine di installazione SFOS appropriata
L’immagine del programma di installazione è ottenuta dalla pagina di download ufficiale di Sophos:
- Aprire Sophos Firewall Installer. In alternativa è possibile il download diretto.
- Per i dispositivi hardware Sophos, selezionare la versione SFOS desiderata in Hardware Installers.
- Accetta i termini della licenza e scarica l’immagine ISO.
Per le appliance hardware viene comunemente utilizzata un’immagine con il prefisso HW. Le appliance software e virtuali utilizzano tipi di immagine diversi. È decisivo che piattaforma, versione di destinazione e piano di restore siano coerenti. Un’immagine errata non è un piccolo difetto estetico, ma può bloccare il processo di recovery.
Nome del file dell’immagine del programma di installazione
Esempio: HW-22.0.1_MR-1-490.iso
| componente | Significato |
|---|---|
HW | Programma di installazione per dispositivi hardware Sophos |
22.0.1 | Versione SFOS |
MR-1 | Versione di manutenzione 1 |
490 | Numero di costruzione |
.iso | Immagine ISO per chiavetta USB o installazione software |
Le parti più importanti del nome del file:
Tipo di piattaforma o dispositivo
- HW: immagine ISO per i dispositivi hardware Sophos. Questa variante è solitamente necessaria per ricreare l’immagine di un’appliance XGS.
- SW: immagine ISO per Sophos Firewall come appliance software.
- VI: pacchetto immagine per Sophos Firewall come Virtual Appliance.
- AMI: immagine per Amazon AWS.
- AZU: immagine per Microsoft Azure.
Piattaforma di virtualizzazione per file VI
- HYV: Microsoft Hyper-V.
- KVM: KVM.
- VMW: VMware Hypervisor.
- XEN: Xen.
Tipo di rilascio
- GA: General Availability. È una versione principale o intermedia generalmente disponibile, spesso con nuove funzioni.
- MR: Maintenance Release. Un MR contiene soprattutto correzioni, miglioramenti della stabilità e adeguamenti di sicurezza all’interno di una versione esistente.
estensione file
- .iso: immagine ISO che può essere scritta su una chiavetta USB o utilizzata per appliance software.
- .zip: archivio con file immagine per Virtual Appliances.
- .sig: immagine firmata per determinati modelli di appliance o scenari di aggiornamento.
Per i sistemi produttivi, l’attuale MR di una versione supportata è solitamente una scelta migliore rispetto a una versione GA rilasciata di recente. Se una nuova immagine fa parte di un caso di ripristino o di supporto, la versione di destinazione deve sempre corrispondere al backup esistente, allo stato della licenza e al ripristino pianificato.
Quindi per una reimmagine XGS un file come HW-22.0.1_MR-1-490.iso è solitamente rilevante. SW, VI, AMI o AZU sono destinati ad altre piattaforme e non devono essere utilizzati per un dispositivo hardware.

2. Crea una chiavetta USB avviabile
La chiavetta USB viene formattata quando viene scritta l’immagine ISO. Tutti i dati esistenti sulla chiavetta USB andranno persi.
- Inserire nel computer una chiavetta USB con almeno 4 GB di spazio di archiviazione.
- Scarica e avvia balenaEtcher.
- Selezionare con
Flash from filel’immagine ISO SFOS scaricata. - Selezionare sotto
Select targetla chiavetta USB corretta. - Scrivere l’immagine ISO sulla chiavetta USB con
Flash!.
Dopo il processo di scrittura, la chiavetta USB dovrebbe essere espulsa in modo pulito. Se macOS o Windows segnalano la chiavetta come illeggibile, non si tratta necessariamente di un errore perché l’immagine è stata scritta per l’avvio dell’appliance.

3. Reinstallare SFOS sul firewall
Il processo di reimmagine viene eseguito direttamente sull’appliance. Durante questo tempo l’apparecchio non deve essere spento.
- Spegnere completamente il firewall.
- Preparare opzionalmente monitor, LCD o console seriale, se si vuole osservare lo stato dell’installazione.
- Inserire nel firewall la chiavetta USB preparata.
- Accendere il firewall.
- Attendere l’avvio del Sophos Firmware Installer dalla chiavetta USB.
- Monitorare lo stato dell’installazione a seconda del modello di appliance.
- Dopo l’installazione riuscita, rimuovere la chiavetta USB.
- Se l’installer richiede poi una conferma, riavviare con
y.
Stato sui dispositivi desktop XGS
Molti modelli desktop XGS non dispongono di una porta VGA, SVGA o HDMI per un display. Lo stato della nuova immagine viene quindi visualizzato tramite il LED di stato sulla parte anteriore. Se hai bisogno di vedere maggiori dettagli, usa la console seriale tramite la porta COM.
| Famiglia di modelli | Connettore dello schermo | Stato durante la nuova immagine |
|---|---|---|
| XGS87/87w/107/107w | Nessun VGA, SVGA o HDMI | LED di stato e console seriale opzionale |
| XGS116/116w/126/126w/136/136w | Nessun VGA, SVGA o HDMI | LED di stato e console seriale opzionale |
| XGS88/88w/108/108w | Nessun VGA, SVGA o HDMI | LED di stato e console seriale opzionale |
| XGS118/118w/128/128w/138 | Nessun VGA, SVGA o HDMI | LED di stato e console seriale opzionale |
| Stato LED | Significato |
|---|---|
| 🔴 Rosso lampeggiante | Reimage è in esecuzione |
| 🟢 Verde permanente | Reimage ha avuto successo |
| 🔴 Rosso permanente | Reimmagine non riuscita |
La nuova immagine è completa solo quando il LED si illumina in verde fisso. Mentre il LED lampeggia in rosso, il processo è ancora in corso.
Stato sulle apparecchiature rack XGS
Gli apparecchi rack mostrano lo stato tramite il display integrato. I messaggi tipici sono Installation in progress, Installation successful, Installation failed o Failsafe mode.
Stato tramite console seriale
È possibile collegare una console per una diagnostica aggiuntiva. Sulle attuali appliance XGS Desktop, nella pratica di solito non si usa più un vecchio classico connettore RS-232 sul notebook, ma un cavo USB-Micro-USB sulla porta COM Micro USB del firewall. L’appliance fornisce comunque una console seriale. Sul computer dell’amministratore viene visualizzata come porta COM in Windows oppure come dispositivo tty in macOS e Linux.
Ciò è particolarmente utile se non c’è connessione allo schermo, il LED rimane costantemente rosso, l’avvio dalla chiavetta USB non è chiaro o se vuoi vedere direttamente il programma di installazione e i messaggi di errore. Molti modelli XGS dispongono anche di una porta COM RJ45. Questa porta COM RJ45 è una porta console, non una normale porta di rete. Se Micro-USB e RJ45-COM sono collegati contemporaneamente, Micro-USB ha la priorità.
Strumenti tipici:
- Windows: PuTTY, Windows Terminal o un altro client terminale seriale.
- macOS: terminale con
screen, ad esempioscreen /dev/tty.usbserial-XXXX 38400. - Linux:
screen,minicomopicocom.
Impostazioni seriali:
| Impostazione | Valore |
|---|---|
| Velocità di trasmissione | 38400 |
| bit di dati | 8 |
| Parità | Nessuno |
| Bit di stop | 1 |
4. Raggiungere il firewall dopo la reimmagine
Dopo la reimmagine, il firewall si avvia con la configurazione standard. Il primo accesso avviene tipicamente tramite Porta 1:
- IP di gestione:
https://172.16.16.16:4444 - Connessione: collega il computer direttamente alla porta 1 del firewall
- IP del computer: impostare l’IP statico appropriato nella rete
172.16.16.0/24se l’accesso non è possibile
Segue la configurazione di base o il ripristino di un backup esistente. Durante il ripristino, è necessario specificare la chiave master di archiviazione sicura appropriata se il backup contiene dati dell’account protetti.
Dopo il ripristino, dovrebbero essere controllati almeno questi punti:
- Interfacce, zone e VLAN.
- Gateway predefinito, percorsi statici e percorsi SD-WAN.
- Regole firewall, regole NAT e protezione del server web.
- Connessioni e certificati VPN.
- Stato della licenza e sincronizzazione con Sophos Central.
- Stato HA se il firewall fa parte di un cluster.
- Registrazione, obiettivi syslog e reporting.
Per i firewall gestiti centralmente, è utile anche Connetti Sophos Firewall a Sophos Central. In caso di modifiche al modello o di dispositivi più vecchi è importante Sophos XG o XGS Firewall: scegliere l’appliance giusta.
HA e RMA non vanno trattati come un dispositivo singolo
Con un singolo dispositivo di laboratorio, un reimage è di solito lineare: scrivere l’immagine, installare, ripristinare il backup, testare. Con HA e RMA il processo è più delicato. Prima bisogna sapere quale dispositivo è sano, quale ruolo ha, quale versione firmware e quale build esegue e se Sophos Central o il trasferimento licenza devono essere sistemati prima.
In ambienti Active-Passive, un dispositivo sostitutivo non dovrebbe essere semplicemente collegato al cluster con tutti i cavi. Più tipico è un processo controllato: verificare lo stato firmware, raggiungere localmente il dispositivo sostitutivo tramite Port 1, collegare la WAN solo per registrazione o trasferimento licenza, ripristinare il backup adatto, ricostruire HA consapevolmente e solo dopo spostare i cavi produttivi. L’ordine esatto dipende dal fatto che venga sostituito il Primary o l’Auxiliary.
Test di accettazione dopo la reimmagine e il ripristino
Dopo aver effettuato con successo l’accesso, una rapida occhiata alla dashboard non è sufficiente. Il firewall deve nuovamente servire correttamente i percorsi produttivi più importanti.
Ordine sensato:
- Controllare lo stato della licenza, il numero di serie, il modello e la versione del firmware.
- Controlla le interfacce, lo stato del collegamento, le VLAN e le zone.
- Controllare il gateway WAN, il DNS, l’NTP e la connessione a Sophos Central.
- Convalidare le regole del firewall, le regole NAT e il visualizzatore di log con un client di prova.
- Testare le VPN da sito a sito e l’accesso remoto con obiettivi di test reali.
- Controllare lo stato e i ruoli HA se è coinvolto un cluster.
- Controllo syslog, reporting centrale, backup e report pianificati.
- Rimuovere i vecchi accessi temporanei, gli account di amministratore locale o le eccezioni di ripristino.
Se il ripristino ha avuto esito positivo ma il traffico non scorre, non è necessario eseguire nuovamente l’immagine immediatamente. Spesso vengono interessati la mappatura dell’interfaccia, il routing, il NAT, l’accesso ai dispositivi, lo stato della licenza o il percorso di ritorno della stazione remota. Adatti per l’analisi sono Test delle regole del firewall con visualizzatore log, test delle policy e acquisizione dei pacchetti, Comprensione del NAT su Sophos Firewall e Risoluzione dei problemi VPN IPsec di Sophos Firewall.
Problemi comuni
Il firewall non si avvia dalla chiavetta USB
Di solito la chiavetta USB non è stata scritta correttamente, è stata scelta l’immagine sbagliata oppure l’appliance non si avvia dalla porta USB prevista. In questo caso scrivere di nuovo l’ISO con balenaEtcher, provare un’altra chiavetta USB e osservare l’avvio tramite monitor, LCD, LED di stato o console seriale.
Il LED rimane rosso fisso
Un LED di stato rosso fisso significa che il reimage non è riuscito. Non bisogna continuare alla cieca in produzione: controllare chiavetta USB, tipo di immagine, modello di destinazione e messaggio di installazione. In caso di errore ripetuto, console seriale e Sophos Support sono più utili di diversi tentativi identici.
Il restore del backup fallisce
Cause tipiche sono una versione di destinazione non adatta, un backup danneggiato, un SSMK mancante o un restore su un altro modello senza mappatura porte pulita. Prima controllare versione del backup, versione SFOS di destinazione, build, piattaforma e SSMK. Poi chiarire se sono necessari un Restore Assistant, un passaggio intermedio tramite un’altra versione SFOS o il supporto.
WebAdmin non è raggiungibile dopo il reimage
Dopo il reimage vale di nuovo la configurazione standard. Collegare il computer direttamente a Port 1, impostare un IP adatto nella rete 172.16.16.0/24 e aprire https://172.16.16.16:4444. Se non funziona, controllare prima link status, IP locale del client, avviso certificato del browser ed eventualmente lo stato di boot.
HA non si avvia correttamente dopo il restore
Con HA spesso il problema non è il reimage stesso, ma ruolo, stato firmware, build, Initial Primary, assegnazione Central o ordine di restore. Per questo non riattivare HA automaticamente, ma documentare prima lo stato di entrambi i dispositivi e confrontarlo con il processo HA pianificato.
Il traffico non passa dopo il restore
Se la configurazione è stata ripristinata ma il traffico non funziona, spesso sono coinvolti interface mapping, zone, routing, NAT, Device Access, stato licenza o percorsi di ritorno. In questo caso Log Viewer, Rule ID, NAT ID, Route Lookup e Packet Capture aiutano più di un nuovo reimage.
Manca la licenza o la connessione Central
Dopo reimage, RMA o cambio modello devono tornare coerenti numero di serie, assegnazione account, trasferimento licenza, DNS, gateway e connessione Sophos Central. Solo quando il firewall è correttamente online si dovrebbe considerare lo stato produttivo.
Lista di controllo
- Backup scaricato.
- Disponibile chiave master di archiviazione sicura.
- Backup e versione SFOS di destinazione documentati.
- Build firmware e revisione modello controllati, specialmente per HA o RMA.
- Controllo del numero di serie, dello stato della licenza e dell’assegnazione centrale.
- È stata selezionata l’immagine di installazione SFOS appropriata.
- Chiavetta USB scritta correttamente.
- Chiarimenti sulle finestre di manutenzione e sull’accesso locale.
- L’apparecchio non è stato spento durante la nuova immagine.
- Raggiunto WebAdmin tramite la porta 1 dopo il riavvio.
- Backup ripristinato e inserito in SSMK.
- Rete, VPN, licenza, centrale e HA controllati.
- Test di regole, NAT, routing e VPN condotti con client reali.
- Accesso temporaneo al ripristino e note ripulite.