Sophos Firewall Firmware Update durchführen
Der Artikel erklärt, wie man ein Sophos Firewall Firmware Update praktisch über den WebAdmin durchführt: Firmware beziehen, Image hochladen, Installation starten und bei Bedarf auf die vorherige Version zurückwechseln.
Für grössere Updates sollte die technische Durchführung nicht mit der Planung verwechselt werden. Die eigentliche Update-Vorbereitung mit Release Notes, Upgrade-Pfad, Backup, HA, Speicherplatz, Testplan und Rollback-Kriterien steht in Sophos Firewall Firmware Update: Vorbereitung und Best Practices. Dieser Artikel ist der passende Schritt, wenn klar ist, welche Version installiert werden soll.
⚠️ Wichtiger Hinweis zu Altgeräten: SFOS 21.5 GA und spätere Versionen unterstützen XG- und SG-Hardware-Appliances nicht mehr. Wer noch eine XG betreibt, sollte vor jedem Upgrade zuerst prüfen, ob eine Migration auf XGS nötig ist. Hilfreich dafür sind Was ist der Unterschied zwischen einer XG und XGS Firewall? und der Sophos Product Lifecycle Kalender.
Info: Die Anleitung geht davon aus, dass ein unterstütztes Gerät mit gültigem Enhanced Support vorhanden ist oder dass das Gerät sich noch innerhalb der drei kostenlosen Firmware-Upgrades befindet. Vor jedem Update sollte zuerst ein Backup der Sophos Firewall erstellt werden. Das Update wird auf der inaktiven Firmware-Partition installiert, und für Rückfälle steht in der Regel ein Rollback zur Verfügung. Trotzdem sollte man nie ohne Backup aktualisieren.
Wichtig ist dabei: Firmware-Slots sind nicht nur Dateien. Sophos Firewall hält aktive und vorherige Firmware mit dem jeweils zugehörigen Konfigurationsstand in getrennten Partitionen. Ein Rollback startet deshalb nicht nur den älteren SFOS-Code, sondern auch den zugehörigen älteren Konfigurationsstand.
Vor einem Upgrade auf SFOS 22 oder neuer sollte zusätzlich der SFOS 22 Upgrade-Check durchgeführt werden. Dort werden Plattformunterstützung, Speicherplatz, Interface-Namen, HA-Zustand, STAS und Legacy Remote Access IPsec als typische Upgrade-Blocker separat geprüft.
Vorbereitung oder Durchführung?
Für Admins sind zwei Fragen wichtig:
- Ist die Firewall bereit für das Update? Dann passt Sophos Firewall Firmware Update: Vorbereitung und Best Practices.
- Wie wird das Firmware-Image installiert? Dann ist diese Anleitung der richtige Einstieg.
- Gibt es SFOS-22-spezifische Blocker? Dann zuerst Sophos Firewall vor SFOS 22 Upgrade prüfen.
- Muss SFOS komplett neu installiert werden? Dann passt Sophos Firewall OS neu installieren: Reimage mit USB-Stick.
Bei produktiven Firewalls sollte zuerst die Vorbereitung abgeschlossen sein. Danach ist die Installation selbst meist der kürzere Teil des Wartungsfensters.
Letzte Kontrolle vor Upload & Boot
Direkt vor dem Start sollte noch einmal geprüft werden, ob wirklich alles für den Neustart bereit ist. Diese kurze Kontrolle ersetzt nicht die Update-Planung, verhindert aber typische Fehler im Wartungsfenster.
- Backup vorhanden und SSMK bekannt: Ein Rollback auf die alte Partition ersetzt kein wiederherstellbares Backup.
- Zugriff nach Neustart geklärt: Bei Remote-Standorten braucht es einen Rückweg, falls WAN, VPN oder Routing nicht sofort zurückkommt.
- HA-Rolle und Clusterstatus geprüft: Ein Update in einem bereits instabilen Cluster erhöht das Risiko unnötig.
- Kritische VPNs und WAN-Uplinks bekannt: Nach dem Neustart kann gezielt geprüft werden, ob die wichtigsten Verbindungen wieder stehen.
- Rollback-Kriterium definiert: Im Fehlerfall sollte klar sein, wann man zurückwechselt und wann man weiter analysiert.
Gerade bei entfernten Standorten sollte man nicht nur auf die WebAdmin-Session vertrauen. Wenn möglich, sollte ein zweiter Zugriffspfad vorbereitet sein: lokaler Kontakt, Out-of-Band-Zugang, Management-VPN, Sophos Central oder ein klarer Eskalationsweg. Sonst wird aus einem normalen Firmwarefenster schnell ein Standortproblem.
SFOS Firmware manuell herunterladen
Bevor die neue Firmware installiert werden kann, muss sie über Sophos Central, direkt im WebAdmin oder über die Firmware-Download-Seite bezogen werden. Für registrierte Firewalls ist Sophos Central der sauberste Startpunkt: Profil-Menü öffnen, Licensing > Firewall licenses wählen, die Firewall aufklappen und unter Downloads die passende Firmware beziehen. Wenn die gewünschte Version dort nicht direkt sichtbar ist, führt Other downloads zu den Installern, wo der Plattformtyp gewählt wird.
Offizielle Downloadseiten:
- Hardware-Appliances: SFOS Firmware Image für unterstützte Hardware-Appliances.
SF300steht für XG-Serie,SF310steht für XGS-Serie. - Software- und virtuelle Appliances: SFOS Firmware Images für Software-Appliances.
- Cloud Appliances: SFOS Firmware für Cloud Appliances.
Vor dem Download sollte man aktuelle Version, Zielversion, Appliance-Serie und geplantes Image im Change dokumentieren. Das verhindert, dass während des Wartungsfensters ein falsches Image hochgeladen oder ein alter Download wiederverwendet wird. Bei manuellen Downloads ist besonders wichtig, dass das Image zur Plattform passt: Hardware-Appliance, Software-/VM-Appliance und Cloud-Appliance sind unterschiedliche Pfade.
Hinweis: Wer Enhanced Support hat, kann die neuste Firmware in vielen Fällen direkt über das GUI herunterladen. Wenn die ersten drei freien Firmware-Upgrades bereits verbraucht sind und keine passende Support-Subscription aktiv ist, kann die Installation im GUI blockiert sein. Die manuelle Methode bleibt trotzdem nützlich, wenn ein Update gezielt vorbereitet, geprüft oder zeitlich gesteuert werden soll.
Offline ist nicht automatisch Air-Gap: Dieser Artikel beschreibt den manuellen Upload eines SFOS-Firmware-Images. In streng isolierten Umgebungen bleiben Lizenzabgleich und Pattern-Updates separate Betriebsprozesse. Dafür passt Sophos Firewall Air-Gap-Lizenzierung und Pattern-Updates betreiben.
Image und Upgrade-Pfad prüfen
Vor dem Upload sollte man nicht nur den Dateinamen prüfen. Entscheidend ist, ob das Image zur Appliance, zur aktiven Version und zum geplanten Zielpfad passt.
- XGS-Hardware: Hardware-Image für die passende Appliance-Serie verwenden und XG-/SG-Hardware nicht versehentlich einplanen.
- Virtuelle oder Software-Appliance: Software- beziehungsweise VM-Image verwenden und Hypervisor-/Ressourcenanforderungen prüfen.
- Cloud-Appliance: Cloud-Image und Plattformpfad prüfen, besonders bei BYOL- und Marketplace-Deployments.
- Air-Gap-Umgebung: Firmware-Image, Lizenzabgleich und Pattern-Updates als getrennte Schritte planen.
- Major Release: Upgrade-Pfad, Release Notes und Known Issues vor dem Wartungsfenster prüfen.
Wenn ein Versionswechsel im WebAdmin nicht angeboten wird oder ein inkompatibler Pfad nötig wäre, sollte nicht mit einem normalen Upload weitergearbeitet werden. Dann gehört zuerst geklärt, ob ein Zwischenschritt, ein Reimage oder eine Migration auf unterstützte Hardware nötig ist.
SFOS Firmware manuell installieren
Die heruntergeladene Firmware kann nun auf der Sophos Firewall installiert werden.
- An der Sophos Firewall anmelden.
- In der Navigation
Backup & Firmwareöffnen und den Bereich Firmware prüfen. - Unter der Rubrik Firmware die gewünschte Version auswählen und auf das Upload-Icon klicken.
- Im Fenster
Firmware Upgrade/Downgradedie Firmwaredatei vom eigenen Computer auswählen. Upload Firmwarewählen, wenn das Image nur bereitgestellt werden soll.Upload & Bootwählen, wenn das Wartungsfenster läuft und die Firewall direkt mit der neuen Version starten soll.
Sophos Firewall zeigt im Bereich Firmware maximal zwei Firmwarestände: die aktive Version und eine inaktive Version. Die inaktive Version ist entweder die vorherige Version für einen Rollback oder ein manuell hochgeladenes kompatibles Image. Deshalb sollte man vor dem Upload prüfen, welche Version aktuell im zweiten Slot liegt und ob sie noch als Rückfalloption gebraucht wird.
Wenn nur Upload Firmware gewählt wird, landet das Image im inaktiven Slot. Die Firewall wechselt dadurch noch nicht auf die neue Version. Auch ein späterer ungeplanter Neustart startet nicht automatisch dieses Image. Erst Upload & Boot oder Boot firmware image löst den tatsächlichen Wechsel aus, beendet bestehende Sessions und startet die Firewall neu.
Die folgenden Screenshots zeigen den Upload-Dialog und die Auswahl des Firmware-Images.


Hinweis: Die Wahl zwischen Upload Firmware und Upload & Boot sollte bewusst getroffen werden. Bei Upload Firmware wird das Image nur hochgeladen. Bei Upload & Boot wird die Installation direkt gestartet.
- Upload Firmware: Sinnvoll, wenn das Image vor dem Wartungsfenster bereitgestellt werden soll. Risiko: Ein späterer Admin startet eventuell ein Image, dessen Kontext nicht dokumentiert ist.
- Upload & Boot: Sinnvoll, wenn das Wartungsfenster aktiv läuft und Backup, Zugriff und Tests bereit sind. Risiko: Die Firewall startet sofort neu und bestehende Sessions brechen ab.
- Boot firmware image: Sinnvoll, wenn ein bereits hochgeladenes Image zu einem definierten Zeitpunkt gestartet werden soll. Risiko: Es wird die im Slot vorhandene Version gebootet, nicht automatisch die neuste verfügbare Version.
HA-Cluster beim Firmware Update
Wenn ein HA-Cluster eingerichtet ist, wird das Update auf dem Primary-Gerät gestartet und der Cluster führt den Ablauf für beide Appliances aus. Die Auxiliary Appliance sollte nicht separat aktualisiert werden. Der typische Ablauf ist: Primary startet den Prozess, Auxiliary wird zuerst aktualisiert und neu gestartet, danach erfolgt ein Rollenwechsel, anschliessend wird der bisherige Primary aktualisiert. Wenn ein Preferred Primary definiert ist, kann am Ende erneut ein Failback passieren.
Trotz HA sollte ein Wartungsfenster eingeplant werden. Beim Rollenwechsel können einzelne Sessions abbrechen, VPN-Tunnel kurz neu aufgebaut werden oder einige Pings verloren gehen. Nach dem Update sollten HA-Status, Rollen, VPNs und zentrale Verbindungen bewusst geprüft werden.
Ein HA-Gerät im Standalone-Modus ist ein Sonderfall und sollte nicht wie ein sauber synchronisierter Cluster aktualisiert werden. Vor dem Update müssen HA-Status, Synchronisation und Rollen eindeutig sein. Für die Vorbereitung passt Sophos Firewall HA-Cluster Varianten.
Pattern Updates und Hotfixes sind nicht dasselbe wie ein Firmware-Upgrade. In HA-Umgebungen werden Pattern Updates auf dem Primary aktualisiert und danach synchronisiert; Hotfixes werden von Sophos separat behandelt. Deshalb sollte man nach einem Firmwarefenster nicht nur die SFOS-Version, sondern auch Pattern-Status, Hotfix-Status und HA-Synchronisation prüfen.
Wenn nur Upload Firmware gewählt wurde, kann der Installationszeitpunkt später festgelegt werden. Dazu unter der Rubrik Firmware das Icon mit den zwei Pfeilen verwenden, sobald der Zeitpunkt für die Installation passt.

SFOS Firmware automatisch installieren
Falls eine gültige Enhanced-Support-Lizenz vorhanden ist, lässt sich die Firmware oft direkt im GUI herunterladen.
Hinweis: Wenn eine neue Firmware-Version nicht schnell genug im GUI erscheint oder ein bestimmtes Image geplant werden soll, kann jederzeit auch die manuelle Variante verwendet werden.
- An der Sophos Firewall anmelden.
- In der Navigation
Backup & Firmwareöffnen. - Unter Latest Available Firmware mit Check for new firmware nach neuen Versionen suchen.
- Beim gelisteten Update
Downloadauswählen. Wenn im Control center unter Messages ein Firmware-Hinweis erscheint, führt dieser ebenfalls in den Firmwarebereich. - Nach abgeschlossenem Download die Installation mit
Installstarten. Die Aktion beendet bestehende Sessions und startet die Firewall mit der neuen Firmware neu. - Nach dem Neustart erneut anmelden und oben links im Control center sowie unter
Backup & Firmware > Firmwareprüfen, ob die erwartete Version aktiv ist.


Firmware über Sophos Central planen
Wenn das Update nicht lokal im WebAdmin, sondern über Sophos Central geplant oder ausgelöst wird, gelten ein paar zusätzliche Punkte. Sophos Central bietet Firmware-Upgrades nur für berechtigte Firewalls an, die auf einem unterstützten GA-Firmwarestand laufen. Geplante Updates starten nach der Zeitzone der jeweiligen Firewall, nicht nach der Zeitzone des Browsers oder des Admins.
Der Ablauf ist in der Praxis kurz: In Sophos Central unter My Products > Firewall Management > Firewalls die betroffene Firewall öffnen, den Download-Button beim verfügbaren Upgrade wählen, Schedule Upgrades öffnen, bei mehreren Versionen die Zielversion auswählen und Datum sowie Uhrzeit setzen. Alternativ kann das Update sofort gestartet werden. Geplante Updates können vor dem Start bearbeitet oder abgebrochen werden.
Nach dem Wartungsfenster sollte zusätzlich die Sophos Central Firewall Management Task Queue geprüft werden. Dort sieht man, ob der Central-Task abgeschlossen wurde oder ob ein fehlgeschlagener Task weitere Änderungen blockiert. Die lokale Kontrolle im WebAdmin bleibt trotzdem Pflicht, weil Central-Status und tatsächliche aktive Firmwareversion nicht blind gleichgesetzt werden sollten.
Wenn eine Update-Aktion fehlt
Fehlt im WebAdmin oder in Sophos Central eine erwartete Aktion, ist das meistens kein Grund für hektisches Neu-Hochladen. Zuerst prüfen, welche Voraussetzung fehlt:
Installist ausgegraut: Support-Berechtigung prüfen. Nach den drei kostenlosen Firmware-Upgrades braucht es für normale Firmware-Wechsel Enhanced Support oder Enhanced Plus Support.- Central zeigt keinen Download-Button: Prüfen, ob die Firewall online ist, in Sophos Central verwaltet wird, auf einem GA-Firmwarestand läuft und für die Zielversion berechtigt ist.
- Upload wird abgelehnt: Plattformtyp, Appliance-Serie, aktive Version, kompatiblen Upgrade-Pfad und Dateiintegrität prüfen.
- Zielversion passt nicht: Release Notes und unterstützte Upgrade-Tabelle prüfen. Bei inkompatiblen Wechseln ist oft Reimage oder Migration der richtige Weg, nicht ein weiterer Uploadversuch.
- Viele Gateways oder besondere Konfiguration: Vor dem Versionswechsel prüfen, ob die Zielversion bekannte Limits oder Migrationshinweise zur eigenen Konfiguration enthält.
Nach dem Update prüfen
Nach dem Neustart sollte nicht sofort zum nächsten Change gewechselt werden. Zuerst muss klar sein, ob die Firewall wirklich stabil auf der neuen Firmware läuft und die wichtigsten Betriebsfunktionen erreichbar sind.
Direkt prüfen:
- Backup & Firmware > Firmware zeigt die erwartete aktive Version.
- Control center zeigt keine neuen kritischen Warnungen.
- Interfaces, WAN-Uplinks, SD-WAN-Routen und Default Gateway sind plausibel.
- HA-Status und Rollen stimmen, falls ein Cluster verwendet wird.
- Site-to-Site VPN, Remote Access VPN und RED-Verbindungen bauen sich auf.
- DNS, DHCP, NAT, WAF und zentrale Firewall-Regeln funktionieren mit echten Tests.
- Sophos Central Synchronisation und Central Firewall Management sind aktuell.
- Monitoring, Syslog oder SIEM empfangen wieder Daten, falls verwendet.
Wenn nach dem Update Regeln, NAT oder VPN nicht wie erwartet funktionieren, sollte zuerst mit Log Viewer, Policy Test, Packet Capture und relevanten Service-Logs eingegrenzt werden. Für strukturiertes Troubleshooting passen Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture und Sophos Firewall Troubleshooting: Services und Logs.
Wenn der Upload oder die Installation selbst fehlschlägt, sollte nicht einfach dasselbe Image mehrfach hochgeladen werden. Typische Ursachen sind ein falscher Plattformtyp, ein nicht unterstützter Upgrade-Pfad, ein beschädigter Download, ungenügender Speicherplatz, ein HA-Synchronisationsproblem oder eine Konfigurationsmigration, die während des Upgrades scheitert. Seit SFOS 20.0 kann Sophos Firewall bei bestimmten Migrationsfehlern automatisch auf die vorherige Version und den vorherigen Konfigurationsstand zurückrollen. Danach braucht es trotzdem eine saubere Ursachenanalyse, bevor das Update erneut gestartet wird.
Wenn der WebAdmin wegen beschädigter Firmware nicht mehr erreichbar ist, ist das kein normaler Firmware-Wechsel mehr. Bei XG-/SG-Geräten kann je nach Situation SFLoader relevant sein, bei XGS-Geräten ist für beschädigte Firmware typischerweise Reimage der saubere Recovery-Pfad. Der passende Ablauf steht in Sophos Firewall OS neu installieren: Reimage mit USB-Stick.
Rollback auf alte Version
Nach einem Update kann es vorkommen, dass einzelne Funktionen nicht wie erwartet arbeiten. In diesem Fall kann auf die vorherige Firmwarepartition zurückgewechselt werden. Dazu auf das markierte Rollback-Icon neben der aktuellen Version klicken. In einem HA-Cluster werden dabei ebenfalls beide Appliances mit der ausgewählten Version gestartet.
Ein Rollback ist nicht dasselbe wie ein Restore. Die Firewall startet wieder mit der vorherigen Firmwareversion und dem Konfigurationsstand dieser Partition. Ein wiederherstellbares Backup, ein bekannter Secure Storage Master Key und ein klarer Recovery-Plan bleiben trotzdem notwendig. Konfigurationsänderungen, die nach dem Versionswechsel gemacht wurden, können beim Wechsel auf den älteren Firmwarestand verloren gehen oder anders wirken. Deshalb sollte man nach dem Update keine unnötigen Nebenchanges durchführen, bevor klar ist, dass die neue Version stabil läuft.
Rollback und Downgrade sind ebenfalls nicht dasselbe:
- Rollback: Wechsel auf die zuvor installierte kompatible Version im zweiten Firmware-Slot.
- Downgrade: Wechsel auf eine frühere kompatible Version, die nicht zwingend die direkte Vorgängerversion ist.
- Reimage: Neuinstallation von Sophos Firewall OS, üblicherweise mit Datenverlust auf dem Gerät und anschliessendem Restore.
Vor einem Rollback sollte man kurz festhalten, warum zurückgewechselt wird. Sinnvolle Kriterien sind zum Beispiel: WAN-Verbindung kommt nicht stabil hoch, zentrale VPNs bleiben trotz Prüfung down, HA synchronisiert nicht sauber, kritische Firewall-Regeln greifen nicht oder ein bekannter Bug trifft genau die produktive Umgebung. Wenn nur ein einzelner Dienst auffällig ist, kann zuerst gezieltes Troubleshooting sinnvoller sein als ein sofortiger Rollback.
- WAN, HA oder zentrale VPNs fallen im Wartungsfenster aus: Rollback ist sinnvoll, wenn die Ursache nicht schnell stabilisiert werden kann. Wenn ein klarer Konfigurationsfehler sichtbar ist, sollte zuerst gezielt analysiert werden.
- Einzelne Regel, NAT oder WAF-Veröffentlichung wirkt falsch: Rollback nur bei breiter Störung oder bekanntem Firmwareproblem erwägen. Sonst zuerst Log Viewer, Policy Test, Packet Capture und Service-Logs prüfen.
- WebAdmin wirkt langsam, aber Traffic läuft stabil: Rollback ist selten die erste Massnahme. Besser Last, Dienste, Browser, Logs und bekannte Hinweise prüfen.
- HA-Cluster ist nach dem Update unsynchron: Rollback ist möglich, wenn produktiver Betrieb gefährdet ist. Zuerst sollten aber HA-Rollen, Sync-Status, Links und Logs geprüft werden.
Vor dem Klick sollten mindestens aktive Version, Zielversion, Uhrzeit, Symptom, betroffene Dienste, HA-Status und bereits getestete Punkte dokumentiert sein. In HA-Umgebungen sollte zusätzlich klar sein, welcher Node aktiv ist und dass beim Zurückwechseln erneut Unterbrüche bei Sessions, VPNs oder Managementzugriff möglich sind.
Nach dem Rollback beginnt die Prüfung wieder von vorne: aktive Firmwareversion kontrollieren, Control center prüfen, WAN, VPN, HA, zentrale Regeln, NAT, WAF, DNS, DHCP, Central-Synchronisation und Logging mit echten Tests validieren. Danach sollte nicht einfach dauerhaft auf der alten Version geblieben werden. Besser ist ein kurzer Folgeplan: Ursache eingrenzen, Support- oder Release-Hinweise prüfen, Backup und Nachweise sichern und das Ziel-Update erst wieder ansetzen, wenn der Auslöser verstanden ist.
