Vai al contenuto
Avanet

Reinstallare Sophos Firewall OS: reimage via USB

Una reimmagine reinstalla completamente il sistema operativo Sophos Firewall. Il processo è destinato a situazioni di ripristino, sistemi di laboratorio, modifiche al modello o una reinstallazione pulita. Per le normali modifiche alla versione, un aggiornamento del firmware tramite l’interfaccia di amministrazione web è solitamente la scelta migliore.

⚠️ Importante: una reimmagine sovrascrive completamente il firewall. Configurazione, registri locali, certificati, report e dati dell’account salvati non sono più disponibili sul dispositivo. Prima di iniziare, sono necessari un backup corrente e la Secure Storage Master Key (SSMK) appropriata se i dati di configurazione crittografati devono essere ripristinati in seguito.

Reimmagine, aggiornamento firmware o ripristino dati di fabbrica?

ProceduraScopoUso tipico
Aggiornamento firmwareAggiorna SFOS a una versione diversaManutenzione normale tramite Backup e firmware > Firmware
RipristinoRipristinare una versione firmware precedentemente installataErrore dopo un aggiornamento mentre è ancora presente il firmware precedente
Ripristino delle impostazioni di fabbricaRipristina configurazioneIl dispositivo rimane sulla versione SFOS installata, la configurazione viene persa
RiimmagineReinstallare SFOS dalla chiavetta USBSistema danneggiato, reinstallazione pulita, modifica o ripristino di versione incompatibile

Per un aggiornamento normale, consultare prima l’articolo Sophos Firewall: eseguire l’aggiornamento del firmware SFOS. Anche un Factory Reset non è la stessa cosa di un reimage: ripristina la configurazione, ma non rimuove tutti i dati locali come una reinstallazione completa. Anche la Secure Storage Master Key non viene cancellata durante un Factory Reset. Se il firewall deve davvero tornare a uno stato predefinito pulito, inclusi log, report e dati operativi locali, il reimage è la strada più adatta. Per le appliance XGS con firmware danneggiato, Sophos fa riferimento alla procedura di reimage poiché SFLoader non è disponibile per XGS.

Quando non reimmaginare

Una reimmagine è la variante di ripristino hardware. Se è ancora possibile il normale accesso amministrativo, è opportuno verificare innanzitutto se è sufficiente una modalità meno invasiva.

SituazioneMeglio controllare prima
WebAdmin si blocca, ma il traffico continuaRiavviare specificamente la GUI WebAdmin
Servizio singolo non rispondeRiavviare in sicurezza Sophos Firewall Services
Aggiornamento firmware in sospesoAggiornamento del firmware e piano di rollback invece di reimmagine
La configurazione deve essere eliminataIl ripristino delle impostazioni di fabbrica può essere sufficiente se SFOS stesso è integro
Il problema è lo spazio di archiviazione o i reportControlla lo spazio di archiviazione, i report e i registri
Il caso di supporto è ancora in corsoEseguire preventivamente il backup dei registri, degli archivi di supporto e degli errori attuali

La reimmagine è utile se il sistema operativo è danneggiato, si desidera una ricostruzione pulita oppure se il supporto Sophos o il piano di ripristino specificano questo percorso. Di solito è troppo presto per la normale manutenzione, problemi individuali della GUI o problemi di prestazioni inspiegabili.

Backup prima della reimmagine

Prima di una reimmagine produttiva, dovresti preparare questi punti:

  • Scarica il backup della configurazione corrente e archivialo in modo sicuro.
  • Documenta la chiave master di archiviazione sicura se il backup contiene dati dell’account crittografati.
  • Controllare lo stato della licenza, il numero di serie e l’associazione a Sophos Central.
  • Documentare modello, revisione, versione SFOS attuale, build, versione di destinazione e versione del backup.
  • Annotare separatamente i dati WAN, VLAN, percorsi statici, parametri VPN e informazioni speciali HA.
  • Pianificare le finestre di manutenzione poiché il firewall non proteggerà ed elaborerà il traffico durante la reimmagine.
  • Garantire l’accesso locale all’apparecchio, all’alimentatore, alla porta USB e alla porta di gestione.
  • Controllare preventivamente il processo di ripristino, in particolare per i cluster HA e le posizioni VPN critiche.
  • Eseguire il backup dei registri o degli archivi di supporto se la causa deve essere analizzata in seguito.

Le nozioni di base pertinenti sono reperibili in Sophos Firewall: Creazione e ripristino di un backup, Sophos Firewall: verifica dell’upgrade a SFOS 22 e Cluster HA di Sophos Firewall: attivo-passivo, attivo-attivo e dispositivo ausiliario.

Se il reimage fa parte di uno scenario RMA o HA, questa documentazione diventa ancora più importante. In quel caso non conta solo la versione principale, ma anche la build. Un dispositivo sostitutivo dovrebbe corrispondere al firewall sano oppure essere portato consapevolmente alla versione di destinazione prima di iniziare backup, trasferimento licenza e riconfigurazione HA.

Chiarire in anticipo il ripristino della compatibilità

La parte più importante di una reimmagine non è la scrittura sulla chiavetta USB, ma il successivo ripristino riuscito. Un backup non dovrebbe essere valutato solo per la prima volta dopo la reinstallazione.

Chiarire in anticipo:

puntoPerché importante
Versione di backupUn backup non può essere ripristinato a piacimento su una versione SFOS precedente o più recente.
Modello targetIl numero di porte, i nomi delle interfacce e la classe del modello influenzano il ripristino e la mappatura delle porte.
Chiave principale di archiviazione sicuraSenza un SSMK adatto, i dati dell’account protetto andranno persi dopo il ripristino.
Licenza e accountDopo la nuova immagine o la modifica del modello, il firewall deve essere concesso in licenza e assegnato nuovamente correttamente.
Ruolo HANei cluster deve essere chiaro se si sta ricostruendo il primario o l’ausiliario iniziale.
Configurazione legacyIl vecchio IPsec di accesso remoto o i blocchi degli aggiornamenti dovrebbero essere conosciuti prima del ripristino.

Quando si sostituisce l’hardware, si esegue la migrazione da XG a XGS o si ripristina su un altro modello, è necessario verificare anche se l’assistente di ripristino del backup è disponibile e se l’assegnazione della porta è corretta prima del ripristino finale. Il processo è descritto in Creare o ripristinare un backup di Sophos Firewall.

Per HA e RMA vale come regola pratica: versione firmware e build dei dispositivi coinvolti devono essere controllate prima del restore. Se la vecchia versione firmware necessaria non può più essere scaricata normalmente, non bisogna improvvisare, ma coinvolgere Sophos Support o il processo di supporto esistente.

Requisiti

  • Dispositivo firewall Sophos o software idoneo o dispositivo virtuale.
  • Chiavetta USB con almeno 4 GB di spazio di archiviazione.
  • Computer Windows, macOS o Linux per creare la chiavetta USB avviabile.
  • Strumento per scrivere l’immagine ISO, ad esempio balenaEtcher.
  • Accesso locale all’apparecchio.
  • Opzionale: cavo da USB a micro USB o adattatore COM RJ45 per la segnalazione dello stato e la risoluzione dei problemi tramite la console seriale.

Per la reimmagine stessa non è richiesta alcuna autorizzazione al Supporto Avanzato. Per gli aggiornamenti regolari del firmware valgono tuttavia le rispettive condizioni di licenza e di supporto.

1. Scarica l’immagine di installazione SFOS appropriata

L’immagine del programma di installazione è ottenuta dalla pagina di download ufficiale di Sophos:

  1. Aprire Sophos Firewall Installer. In alternativa è possibile il download diretto.
  2. Per i dispositivi hardware Sophos, selezionare la versione SFOS desiderata in Hardware Installers.
  3. Accetta i termini della licenza e scarica l’immagine ISO.

Per le appliance hardware viene comunemente utilizzata un’immagine con il prefisso HW. Le appliance software e virtuali utilizzano tipi di immagine diversi. È decisivo che piattaforma, versione di destinazione e piano di restore siano coerenti. Un’immagine errata non è un piccolo difetto estetico, ma può bloccare il processo di recovery.

Nome del file dell’immagine del programma di installazione

Esempio: HW-22.0.1_MR-1-490.iso

componenteSignificato
HWProgramma di installazione per dispositivi hardware Sophos
22.0.1Versione SFOS
MR-1Versione di manutenzione 1
490Numero di costruzione
.isoImmagine ISO per chiavetta USB o installazione software

Le parti più importanti del nome del file:

  • Tipo di piattaforma o dispositivo

    • HW: immagine ISO per i dispositivi hardware Sophos. Questa variante è solitamente necessaria per ricreare l’immagine di un’appliance XGS.
    • SW: immagine ISO per Sophos Firewall come appliance software.
    • VI: pacchetto immagine per Sophos Firewall come Virtual Appliance.
    • AMI: immagine per Amazon AWS.
    • AZU: immagine per Microsoft Azure.
  • Piattaforma di virtualizzazione per file VI

    • HYV: Microsoft Hyper-V.
    • KVM: KVM.
    • VMW: VMware Hypervisor.
    • XEN: Xen.
  • Tipo di rilascio

    • GA: General Availability. È una versione principale o intermedia generalmente disponibile, spesso con nuove funzioni.
    • MR: Maintenance Release. Un MR contiene soprattutto correzioni, miglioramenti della stabilità e adeguamenti di sicurezza all’interno di una versione esistente.
  • estensione file

    • .iso: immagine ISO che può essere scritta su una chiavetta USB o utilizzata per appliance software.
    • .zip: archivio con file immagine per Virtual Appliances.
    • .sig: immagine firmata per determinati modelli di appliance o scenari di aggiornamento.

Per i sistemi produttivi, l’attuale MR di una versione supportata è solitamente una scelta migliore rispetto a una versione GA rilasciata di recente. Se una nuova immagine fa parte di un caso di ripristino o di supporto, la versione di destinazione deve sempre corrispondere al backup esistente, allo stato della licenza e al ripristino pianificato.

Quindi per una reimmagine XGS un file come HW-22.0.1_MR-1-490.iso è solitamente rilevante. SW, VI, AMI o AZU sono destinati ad altre piattaforme e non devono essere utilizzati per un dispositivo hardware.

Programma di installazione di Sophos Firewall con ISO hardware per l'appliance XGS
Sophos Firewall Installer: scarica l’ISO hardware per ricreare l’immagine di un’appliance XGS

2. Crea una chiavetta USB avviabile

La chiavetta USB viene formattata quando viene scritta l’immagine ISO. Tutti i dati esistenti sulla chiavetta USB andranno persi.

  1. Inserire nel computer una chiavetta USB con almeno 4 GB di spazio di archiviazione.
  2. Scarica e avvia balenaEtcher.
  3. Selezionare con Flash from file l’immagine ISO SFOS scaricata.
  4. Selezionare sotto Select target la chiavetta USB corretta.
  5. Scrivere l’immagine ISO sulla chiavetta USB con Flash!.

Dopo il processo di scrittura, la chiavetta USB dovrebbe essere espulsa in modo pulito. Se macOS o Windows segnalano la chiavetta come illeggibile, non si tratta necessariamente di un errore perché l’immagine è stata scritta per l’avvio dell’appliance.

balenaEtcher con immagine ISO SFOS selezionata e chiavetta USB
L’immagine ISO SFOS viene scritta sulla chiavetta USB con balenaEtcher

3. Reinstallare SFOS sul firewall

Il processo di reimmagine viene eseguito direttamente sull’appliance. Durante questo tempo l’apparecchio non deve essere spento.

  1. Spegnere completamente il firewall.
  2. Preparare opzionalmente monitor, LCD o console seriale, se si vuole osservare lo stato dell’installazione.
  3. Inserire nel firewall la chiavetta USB preparata.
  4. Accendere il firewall.
  5. Attendere l’avvio del Sophos Firmware Installer dalla chiavetta USB.
  6. Monitorare lo stato dell’installazione a seconda del modello di appliance.
  7. Dopo l’installazione riuscita, rimuovere la chiavetta USB.
  8. Se l’installer richiede poi una conferma, riavviare con y.

Stato sui dispositivi desktop XGS

Molti modelli desktop XGS non dispongono di una porta VGA, SVGA o HDMI per un display. Lo stato della nuova immagine viene quindi visualizzato tramite il LED di stato sulla parte anteriore. Se hai bisogno di vedere maggiori dettagli, usa la console seriale tramite la porta COM.

Famiglia di modelliConnettore dello schermoStato durante la nuova immagine
XGS87/87w/107/107wNessun VGA, SVGA o HDMILED di stato e console seriale opzionale
XGS116/116w/126/126w/136/136wNessun VGA, SVGA o HDMILED di stato e console seriale opzionale
XGS88/88w/108/108wNessun VGA, SVGA o HDMILED di stato e console seriale opzionale
XGS118/118w/128/128w/138Nessun VGA, SVGA o HDMILED di stato e console seriale opzionale
Stato LEDSignificato
🔴 Rosso lampeggianteReimage è in esecuzione
🟢 Verde permanenteReimage ha avuto successo
🔴 Rosso permanenteReimmagine non riuscita

La nuova immagine è completa solo quando il LED si illumina in verde fisso. Mentre il LED lampeggia in rosso, il processo è ancora in corso.

Stato sulle apparecchiature rack XGS

Gli apparecchi rack mostrano lo stato tramite il display integrato. I messaggi tipici sono Installation in progress, Installation successful, Installation failed o Failsafe mode.

Stato tramite console seriale

È possibile collegare una console per una diagnostica aggiuntiva. Sulle attuali appliance XGS Desktop, nella pratica di solito non si usa più un vecchio classico connettore RS-232 sul notebook, ma un cavo USB-Micro-USB sulla porta COM Micro USB del firewall. L’appliance fornisce comunque una console seriale. Sul computer dell’amministratore viene visualizzata come porta COM in Windows oppure come dispositivo tty in macOS e Linux.

Ciò è particolarmente utile se non c’è connessione allo schermo, il LED rimane costantemente rosso, l’avvio dalla chiavetta USB non è chiaro o se vuoi vedere direttamente il programma di installazione e i messaggi di errore. Molti modelli XGS dispongono anche di una porta COM RJ45. Questa porta COM RJ45 è una porta console, non una normale porta di rete. Se Micro-USB e RJ45-COM sono collegati contemporaneamente, Micro-USB ha la priorità.

Strumenti tipici:

  • Windows: PuTTY, Windows Terminal o un altro client terminale seriale.
  • macOS: terminale con screen, ad esempio screen /dev/tty.usbserial-XXXX 38400.
  • Linux: screen, minicom o picocom.

Impostazioni seriali:

ImpostazioneValore
Velocità di trasmissione38400
bit di dati8
ParitàNessuno
Bit di stop1

4. Raggiungere il firewall dopo la reimmagine

Dopo la reimmagine, il firewall si avvia con la configurazione standard. Il primo accesso avviene tipicamente tramite Porta 1:

  • IP di gestione: https://172.16.16.16:4444
  • Connessione: collega il computer direttamente alla porta 1 del firewall
  • IP del computer: impostare l’IP statico appropriato nella rete 172.16.16.0/24 se l’accesso non è possibile

Segue la configurazione di base o il ripristino di un backup esistente. Durante il ripristino, è necessario specificare la chiave master di archiviazione sicura appropriata se il backup contiene dati dell’account protetti.

Dopo il ripristino, dovrebbero essere controllati almeno questi punti:

  • Interfacce, zone e VLAN.
  • Gateway predefinito, percorsi statici e percorsi SD-WAN.
  • Regole firewall, regole NAT e protezione del server web.
  • Connessioni e certificati VPN.
  • Stato della licenza e sincronizzazione con Sophos Central.
  • Stato HA se il firewall fa parte di un cluster.
  • Registrazione, obiettivi syslog e reporting.

Per i firewall gestiti centralmente, è utile anche Connetti Sophos Firewall a Sophos Central. In caso di modifiche al modello o di dispositivi più vecchi è importante Sophos XG o XGS Firewall: scegliere l’appliance giusta.

HA e RMA non vanno trattati come un dispositivo singolo

Con un singolo dispositivo di laboratorio, un reimage è di solito lineare: scrivere l’immagine, installare, ripristinare il backup, testare. Con HA e RMA il processo è più delicato. Prima bisogna sapere quale dispositivo è sano, quale ruolo ha, quale versione firmware e quale build esegue e se Sophos Central o il trasferimento licenza devono essere sistemati prima.

In ambienti Active-Passive, un dispositivo sostitutivo non dovrebbe essere semplicemente collegato al cluster con tutti i cavi. Più tipico è un processo controllato: verificare lo stato firmware, raggiungere localmente il dispositivo sostitutivo tramite Port 1, collegare la WAN solo per registrazione o trasferimento licenza, ripristinare il backup adatto, ricostruire HA consapevolmente e solo dopo spostare i cavi produttivi. L’ordine esatto dipende dal fatto che venga sostituito il Primary o l’Auxiliary.

Test di accettazione dopo la reimmagine e il ripristino

Dopo aver effettuato con successo l’accesso, una rapida occhiata alla dashboard non è sufficiente. Il firewall deve nuovamente servire correttamente i percorsi produttivi più importanti.

Ordine sensato:

  1. Controllare lo stato della licenza, il numero di serie, il modello e la versione del firmware.
  2. Controlla le interfacce, lo stato del collegamento, le VLAN e le zone.
  3. Controllare il gateway WAN, il DNS, l’NTP e la connessione a Sophos Central.
  4. Convalidare le regole del firewall, le regole NAT e il visualizzatore di log con un client di prova.
  5. Testare le VPN da sito a sito e l’accesso remoto con obiettivi di test reali.
  6. Controllare lo stato e i ruoli HA se è coinvolto un cluster.
  7. Controllo syslog, reporting centrale, backup e report pianificati.
  8. Rimuovere i vecchi accessi temporanei, gli account di amministratore locale o le eccezioni di ripristino.

Se il ripristino ha avuto esito positivo ma il traffico non scorre, non è necessario eseguire nuovamente l’immagine immediatamente. Spesso vengono interessati la mappatura dell’interfaccia, il routing, il NAT, l’accesso ai dispositivi, lo stato della licenza o il percorso di ritorno della stazione remota. Adatti per l’analisi sono Test delle regole del firewall con visualizzatore log, test delle policy e acquisizione dei pacchetti, Comprensione del NAT su Sophos Firewall e Risoluzione dei problemi VPN IPsec di Sophos Firewall.

Problemi comuni

Il firewall non si avvia dalla chiavetta USB

Di solito la chiavetta USB non è stata scritta correttamente, è stata scelta l’immagine sbagliata oppure l’appliance non si avvia dalla porta USB prevista. In questo caso scrivere di nuovo l’ISO con balenaEtcher, provare un’altra chiavetta USB e osservare l’avvio tramite monitor, LCD, LED di stato o console seriale.

Il LED rimane rosso fisso

Un LED di stato rosso fisso significa che il reimage non è riuscito. Non bisogna continuare alla cieca in produzione: controllare chiavetta USB, tipo di immagine, modello di destinazione e messaggio di installazione. In caso di errore ripetuto, console seriale e Sophos Support sono più utili di diversi tentativi identici.

Il restore del backup fallisce

Cause tipiche sono una versione di destinazione non adatta, un backup danneggiato, un SSMK mancante o un restore su un altro modello senza mappatura porte pulita. Prima controllare versione del backup, versione SFOS di destinazione, build, piattaforma e SSMK. Poi chiarire se sono necessari un Restore Assistant, un passaggio intermedio tramite un’altra versione SFOS o il supporto.

WebAdmin non è raggiungibile dopo il reimage

Dopo il reimage vale di nuovo la configurazione standard. Collegare il computer direttamente a Port 1, impostare un IP adatto nella rete 172.16.16.0/24 e aprire https://172.16.16.16:4444. Se non funziona, controllare prima link status, IP locale del client, avviso certificato del browser ed eventualmente lo stato di boot.

HA non si avvia correttamente dopo il restore

Con HA spesso il problema non è il reimage stesso, ma ruolo, stato firmware, build, Initial Primary, assegnazione Central o ordine di restore. Per questo non riattivare HA automaticamente, ma documentare prima lo stato di entrambi i dispositivi e confrontarlo con il processo HA pianificato.

Il traffico non passa dopo il restore

Se la configurazione è stata ripristinata ma il traffico non funziona, spesso sono coinvolti interface mapping, zone, routing, NAT, Device Access, stato licenza o percorsi di ritorno. In questo caso Log Viewer, Rule ID, NAT ID, Route Lookup e Packet Capture aiutano più di un nuovo reimage.

Manca la licenza o la connessione Central

Dopo reimage, RMA o cambio modello devono tornare coerenti numero di serie, assegnazione account, trasferimento licenza, DNS, gateway e connessione Sophos Central. Solo quando il firewall è correttamente online si dovrebbe considerare lo stato produttivo.

Lista di controllo

  • Backup scaricato.
  • Disponibile chiave master di archiviazione sicura.
  • Backup e versione SFOS di destinazione documentati.
  • Build firmware e revisione modello controllati, specialmente per HA o RMA.
  • Controllo del numero di serie, dello stato della licenza e dell’assegnazione centrale.
  • È stata selezionata l’immagine di installazione SFOS appropriata.
  • Chiavetta USB scritta correttamente.
  • Chiarimenti sulle finestre di manutenzione e sull’accesso locale.
  • L’apparecchio non è stato spento durante la nuova immagine.
  • Raggiunto WebAdmin tramite la porta 1 dopo il riavvio.
  • Backup ripristinato e inserito in SSMK.
  • Rete, VPN, licenza, centrale e HA controllati.
  • Test di regole, NAT, routing e VPN condotti con client reali.
  • Accesso temporaneo al ripristino e note ripulite.

Domande frequenti

Una nuova immagine elimina l'intera configurazione?

SÌ. Una nuova immagine reinstalla il sistema operativo Sophos Firewall e sovrascrive i dati esistenti sul dispositivo. Senza un backup, il firewall dovrà essere ricostruito.

È necessario il supporto avanzato per una nuova immagine?

Non è richiesto alcun diritto al Supporto Avanzato per ricreare l’immagine di un hardware, software o dispositivo virtuale. Tuttavia, si applicano termini di supporto diversi per gli aggiornamenti regolari del firmware dopo gli aggiornamenti gratuiti.

Qual è la differenza tra Reimage e Ripristino delle impostazioni di fabbrica?

Un ripristino delle impostazioni di fabbrica ripristina la configurazione ma non reinstalla SFOS. Una nuova immagine riscrive il sistema operativo dall’immagine del programma di installazione al dispositivo.

Perché la chiave master di archiviazione sicura è importante?

La chiave master di archiviazione sicura protegge i dati sensibili dell’account nei backup. Dopo una nuova immagine o un ripristino delle impostazioni di fabbrica, è necessario ripristinare i dati protetti da un backup.

È possibile ripristinare qualsiasi backup dopo una reimmagine?

No. La versione del backup, la versione SFOS di destinazione, il modello, la piattaforma e la mappatura delle porte devono corrispondere. Prima di una reimmagine produttiva è quindi opportuno verificare quale versione è installata e quale backup viene poi ripristinato.

È possibile riparare un'appliance XGS utilizzando SFLoader?

Per gli apparecchi XGS con firmware danneggiato, viene utilizzato il processo di reimmagine. SFLoader non è disponibile per gli apparecchi XGS.