Zum Inhalt springen
Avanet

Sophos Firewall OS neu installieren: Reimage mit USB-Stick

Ein Reimage installiert Sophos Firewall OS vollständig neu. Der Vorgang ist für Recovery-Situationen, Lab-Systeme, Modellwechsel oder eine saubere Neuinstallation gedacht. Für normale Versionswechsel ist in der Regel ein Firmware-Update über die Webadmin-Oberfläche die bessere Wahl.

⚠️ Wichtig: Ein Reimage überschreibt die Firewall vollständig. Konfiguration, lokale Logs, Zertifikate, Reports und gespeicherte Kontodaten sind danach nicht mehr auf dem Gerät vorhanden. Vor dem Start braucht es ein aktuelles Backup und den passenden Secure Storage Master Key (SSMK), wenn verschlüsselte Konfigurationsdaten später wiederhergestellt werden sollen.

Reimage, Firmware-Update oder Factory Reset?

VerfahrenZweckTypischer Einsatz
Firmware-UpdateSFOS auf eine andere Version aktualisierenNormale Wartung über Backup & Firmware > Firmware
RollbackAuf eine zuvor installierte Firmware-Version zurückwechselnFehler nach einem Update, solange die vorherige Firmware noch vorhanden ist
Factory ResetKonfiguration zurücksetzenGerät bleibt auf installierter SFOS-Version, Konfiguration geht verloren
ReimageSFOS vom USB-Stick neu installierenDefektes System, saubere Neuinstallation, inkompatibler Versionswechsel oder Recovery

Für ein normales Update sollte zuerst der Artikel Sophos Firewall: SFOS Firmware Update durchführen geprüft werden. Für XGS-Appliances mit beschädigter Firmware verweist Sophos auf das Reimage-Verfahren, da SFLoader für XGS nicht verfügbar ist.

Wann man kein Reimage starten sollte

Ein Reimage ist die harte Recovery-Variante. Wenn noch ein normaler Administrationszugriff möglich ist, sollte zuerst geprüft werden, ob ein weniger invasiver Weg reicht.

SituationBesser zuerst prüfen
WebAdmin hängt, Traffic läuft aber weiterWebAdmin GUI gezielt neu starten
Einzelner Dienst reagiert nichtSophos Firewall Services sicher neu starten
Firmware-Update steht anFirmware-Update und Rollback-Plan statt Reimage
Konfiguration soll gelöscht werdenFactory Reset kann reichen, wenn SFOS selbst gesund ist
Speicherplatz oder Reports sind das ProblemSpeicherplatz, Reports und Logs prüfen
Supportfall läuft nochVorher Logs, Support-Archive und aktuelle Fehler sichern

Reimage ist sinnvoll, wenn das Betriebssystem beschädigt ist, ein sauberer Neuaufbau gewünscht wird oder Sophos Support beziehungsweise der Recovery-Plan diesen Weg vorgibt. Für normale Wartung, einzelne GUI-Probleme oder ungeklärte Performanceprobleme ist es meistens zu früh.

Vor dem Reimage sichern

Vor einem produktiven Reimage sollte man diese Punkte vorbereiten:

  • Aktuelles Konfigurationsbackup herunterladen und sicher ablegen.
  • Secure Storage Master Key dokumentieren, wenn das Backup verschlüsselte Kontodaten enthält.
  • Lizenzstatus, Seriennummer und Sophos Central-Zuordnung prüfen.
  • Modell, aktuelle SFOS-Version, Zielversion und Backup-Version dokumentieren.
  • WAN-Daten, VLANs, statische Routen, VPN-Parameter und besondere HA-Informationen separat notieren.
  • Wartungsfenster planen, weil die Firewall während des Reimages nicht schützt und keinen Datenverkehr verarbeitet.
  • Lokalen Zugriff auf Appliance, Stromversorgung, USB-Port und Management-Port sicherstellen.
  • Restore-Ablauf vorher prüfen, besonders bei HA-Clustern und kritischen VPN-Standorten.
  • Logs oder Support-Archive sichern, wenn die Ursache später noch analysiert werden muss.

Die passenden Grundlagen dazu stehen in Sophos Firewall: Backup erstellen und wiederherstellen, Sophos Firewall: SFOS 22 Upgrade-Check und Sophos Firewall HA-Cluster: Active-Passive, Active-Active und Auxiliary Appliance.

Restore-Kompatibilität vorab klären

Der wichtigste Teil eines Reimage ist nicht das Schreiben des USB-Sticks, sondern der erfolgreiche Restore danach. Ein Backup sollte nicht erst nach der Neuinstallation zum ersten Mal bewertet werden.

Vorher klären:

PunktWarum wichtig
Backup-VersionEin Backup lässt sich nicht beliebig in jede ältere oder neuere SFOS-Version zurückspielen.
ZielmodellPortanzahl, Interface-Namen und Modellklasse beeinflussen Restore und Port-Mapping.
Secure Storage Master KeyOhne passenden SSMK fehlen geschützte Kontodaten nach dem Restore.
Lizenz und AccountNach Reimage oder Modellwechsel muss die Firewall wieder korrekt lizenziert und zugeordnet sein.
HA-RolleIn Clustern muss klar sein, ob Initial Primary oder Auxiliary neu aufgebaut wird.
Legacy-KonfigurationAlte Remote-Access-IPsec- oder Upgrade-Blocker sollten vor dem Restore bekannt sein.

Bei Hardwaretausch, XG-zu-XGS-Migration oder Restore auf ein anderes Modell sollte man zusätzlich prüfen, ob der Backup-Restore Assistant verfügbar ist und ob die Portzuordnung vor dem finalen Restore stimmt. Der Ablauf ist in Sophos Firewall Backup erstellen oder wiederherstellen beschrieben.

Voraussetzungen

  • Sophos Firewall Appliance oder passende Software- beziehungsweise Virtual-Appliance.
  • USB-Stick mit mindestens 4 GB Speicherplatz.
  • Windows-, macOS- oder Linux-Computer zum Erstellen des bootfähigen USB-Sticks.
  • Tool zum Schreiben des ISO-Images, zum Beispiel balenaEtcher.
  • Lokaler Zugriff auf die Appliance.
  • Optional: USB-auf-Micro-USB-Kabel oder RJ45-COM-Adapter für Statusmeldungen und Fehlersuche über die serielle Konsole.

Für das Reimage selbst ist keine Enhanced-Support-Berechtigung nötig. Für reguläre Firmware-Upgrades gelten jedoch die jeweiligen Lizenz- und Supportbedingungen.

1. Passendes SFOS Installer-Image herunterladen

Das Installer-Image wird über die offizielle Sophos Download-Seite bezogen:

  1. Die Sophos Firewall Installer öffnen. Alternativ ist der Direktdownload möglich.
  2. Für Sophos Hardware-Appliances unter Hardware Installers die gewünschte SFOS-Version auswählen.
  3. Lizenzbedingungen akzeptieren und das ISO-Image herunterladen.

Bei Hardware-Appliances wird üblicherweise ein Image mit dem Präfix HW verwendet. Software- und Virtual-Appliances verwenden andere Image-Typen.

Dateiname des Installer-Images

Beispiel: HW-22.0.1_MR-1-490.iso

BestandteilBedeutung
HWInstaller für Sophos Hardware-Appliances
22.0.1SFOS-Version
MR-1Maintenance Release 1
490Buildnummer
.isoISO-Image für USB-Stick oder Software-Installation

Die wichtigsten Bestandteile des Dateinamens:

  • Plattform oder Appliance-Typ

    • HW: ISO-Image für Sophos Hardware-Appliances. Für das Reimage einer XGS Appliance wird in der Regel diese Variante benötigt.
    • SW: ISO-Image für Sophos Firewall als Software-Appliance.
    • VI: Image-Paket für Sophos Firewall als Virtual Appliance.
    • AMI: Image für Amazon AWS.
    • AZU: Image für Microsoft Azure.
  • Virtualisierungsplattform bei VI-Dateien

    • HYV: Microsoft Hyper-V.
    • KVM: KVM.
    • VMW: VMware Hypervisor.
    • XEN: Xen.
  • Release-Typ

    • GA: General Availability. Das ist eine allgemein verfügbare Haupt- oder Zwischenversion, oft mit neuen Funktionen.
    • MR: Maintenance Release. Ein MR enthält vor allem Korrekturen, Stabilitätsverbesserungen und Sicherheitsanpassungen innerhalb einer bestehenden Version.
  • Dateiendung

    • .iso: ISO-Image, das auf einen USB-Stick geschrieben oder für Software-Appliances verwendet werden kann.
    • .zip: Archiv mit Image-Dateien für Virtual Appliances.
    • .sig: Signiertes Image für bestimmte Appliance-Modelle oder Update-Szenarien.

Für produktive Systeme ist meistens das aktuelle MR einer unterstützten Version die bessere Wahl als eine ganz frisch erschienene GA-Version. Wenn ein Reimage Teil eines Recovery- oder Supportfalls ist, sollte die Zielversion aber immer zum vorhandenen Backup, zum Lizenzstatus und zum geplanten Restore passen.

Für ein XGS-Reimage ist also normalerweise eine Datei wie HW-22.0.1_MR-1-490.iso relevant. SW, VI, AMI oder AZU sind für andere Plattformen gedacht und sollten nicht für eine Hardware-Appliance verwendet werden.

Sophos Firewall Installer mit Hardware ISO für XGS Appliance
Sophos Firewall Installer: Hardware ISO für das Reimage einer XGS Appliance herunterladen

2. Bootfähigen USB-Stick erstellen

Der USB-Stick wird beim Schreiben des ISO-Images formatiert. Alle vorhandenen Daten auf dem USB-Stick gehen verloren.

  1. USB-Stick mit mindestens 4 GB Speicherplatz am Computer einstecken.
  2. balenaEtcher herunterladen und starten.
  3. Mit Flash from file das heruntergeladene SFOS ISO-Image auswählen.
  4. Unter Select target den richtigen USB-Stick auswählen.
  5. Mit Flash! das ISO-Image auf den USB-Stick schreiben.

Nach dem Schreibvorgang sollte der USB-Stick sauber ausgeworfen werden. Wenn macOS oder Windows den Stick danach als nicht lesbar meldet, ist das nicht zwingend ein Fehler, weil das Image für den Bootvorgang der Appliance geschrieben wurde.

balenaEtcher mit ausgewähltem SFOS ISO-Image und USB-Stick
Mit balenaEtcher wird das SFOS ISO-Image auf den USB-Stick geschrieben

3. SFOS auf der Firewall neu installieren

Der Reimage-Vorgang läuft direkt auf der Appliance. Währenddessen darf das Gerät nicht ausgeschaltet werden.

  1. Firewall vollständig ausschalten.
  2. Vorbereiteten USB-Stick in die Firewall einstecken.
  3. Firewall einschalten.
  4. Warten, bis der Sophos Firmware Installer vom USB-Stick startet.
  5. Installationsstatus je nach Appliance-Modell überwachen.
  6. Nach erfolgreicher Installation den USB-Stick entfernen und die Firewall neu starten.

Status bei XGS Desktop-Appliances

Viele XGS Desktop-Modelle haben keinen VGA-, SVGA- oder HDMI-Anschluss für einen Bildschirm. Der Reimage-Status wird deshalb über die Status-LED an der Vorderseite angezeigt. Wenn man mehr Details sehen muss, verwendet man die serielle Konsole über den COM-Anschluss.

ModellfamilieBildschirmanschlussStatus beim Reimage
XGS 87 / 87w / 107 / 107wKein VGA, SVGA oder HDMIStatus-LED und optional serielle Konsole
XGS 116 / 116w / 126 / 126w / 136 / 136wKein VGA, SVGA oder HDMIStatus-LED und optional serielle Konsole
XGS 88 / 88w / 108 / 108wKein VGA, SVGA oder HDMIStatus-LED und optional serielle Konsole
XGS 118 / 118w / 128 / 128w / 138Kein VGA, SVGA oder HDMIStatus-LED und optional serielle Konsole
LED-StatusBedeutung
🔴 Blinkend rotReimage läuft
🟢 Dauerhaft grünReimage war erfolgreich
🔴 Dauerhaft rotReimage ist fehlgeschlagen

Das Reimage ist erst abgeschlossen, wenn die LED dauerhaft grün leuchtet. Während die LED rot blinkt, läuft der Vorgang noch.

Status bei XGS Rack-Appliances

Rack-Appliances zeigen den Status über das integrierte Display an. Typische Meldungen sind Installation in progress, Installation successful, Installation failed oder Failsafe mode.

Status über serielle Konsole

Für zusätzliche Diagnose kann eine Konsole angeschlossen werden. Bei aktuellen XGS Desktop-Appliances ist das im Alltag meistens kein klassischer alter RS-232-Anschluss am Notebook mehr, sondern ein USB-auf-Micro-USB-Kabel am COM Micro USB Port der Firewall. Die Appliance stellt darüber trotzdem eine serielle Konsole bereit. Auf dem Admin-Computer erscheint sie als COM-Port unter Windows oder als tty-Gerät unter macOS und Linux.

Das ist besonders hilfreich, wenn kein Bildschirmanschluss vorhanden ist, die LED dauerhaft rot bleibt, der Boot vom USB-Stick unklar ist oder man Installer- und Fehlermeldungen direkt sehen möchte. Bei vielen XGS-Modellen gibt es zusätzlich einen RJ45-COM-Port. Dieser RJ45-COM-Port ist ein Konsolenanschluss, kein normaler Netzwerkport. Wenn Micro-USB und RJ45-COM gleichzeitig verbunden sind, hat Micro-USB Vorrang.

Typische Werkzeuge:

  • Windows: PuTTY, Windows Terminal oder ein anderer serieller Terminal-Client.
  • macOS: Terminal mit screen, zum Beispiel screen /dev/tty.usbserial-XXXX 38400.
  • Linux: screen, minicom oder picocom.

Serielle Einstellungen:

EinstellungWert
Baudrate38400
Datenbits8
ParitätKeine
Stoppbits1

4. Firewall nach dem Reimage erreichen

Nach dem Reimage startet die Firewall mit Standardkonfiguration. Der erste Zugriff erfolgt typischerweise über Port 1:

  • Management-IP: https://172.16.16.16:4444
  • Verbindung: Computer direkt mit Port 1 der Firewall verbinden
  • Computer-IP: passende statische IP im Netz 172.16.16.0/24 setzen, falls kein Zugriff möglich ist

Danach folgt die Grundkonfiguration oder der Restore eines vorhandenen Backups. Beim Restore muss der passende Secure Storage Master Key angegeben werden, wenn das Backup geschützte Kontodaten enthält.

Nach dem Restore sollten mindestens diese Punkte geprüft werden:

  • Interfaces, Zonen und VLANs.
  • Default Gateway, statische Routen und SD-WAN-Routen.
  • Firewall-Regeln, NAT-Regeln und Webserver-Schutz.
  • VPN-Verbindungen und Zertifikate.
  • Lizenzstatus und Synchronisation mit Sophos Central.
  • HA-Status, wenn die Firewall Teil eines Clusters ist.
  • Logging, Syslog-Ziele und Reporting.

Für Central-verwaltete Firewalls hilft zusätzlich Sophos Firewall mit Sophos Central verbinden. Bei Modellwechseln oder älteren Geräten ist Sophos XG oder XGS Firewall: Die richtige Appliance wählen relevant.

Abnahmetest nach Reimage und Restore

Nach einem erfolgreichen Login reicht ein kurzer Blick ins Dashboard nicht aus. Die Firewall muss die wichtigsten produktiven Pfade wieder korrekt bedienen.

Sinnvolle Reihenfolge:

  1. Lizenzstatus, Seriennummer, Modell und Firmwareversion prüfen.
  2. Interfaces, Linkstatus, VLANs und Zonen kontrollieren.
  3. WAN-Gateway, DNS, NTP und Sophos Central-Verbindung prüfen.
  4. Firewall-Regeln, NAT-Regeln und Log Viewer mit einem Testclient validieren.
  5. Site-to-Site-VPNs und Remote Access mit echten Testzielen prüfen.
  6. HA-Status und Rollen prüfen, wenn ein Cluster beteiligt ist.
  7. Syslog, Central Reporting, Backups und geplante Reports kontrollieren.
  8. Alte temporäre Zugänge, lokale Admin-Konten oder Recovery-Ausnahmen entfernen.

Wenn ein Restore zwar erfolgreich war, aber Traffic nicht fliesst, sollte man nicht sofort erneut reimagen. Dann sind häufig Interface-Mapping, Routing, NAT, Device Access, Lizenzstatus oder der Rückweg der Gegenstelle betroffen. Für die Analyse passen Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture, NAT auf Sophos Firewall verstehen und Sophos Firewall IPsec VPN Troubleshooting.

Häufige Probleme

ProblemMögliche UrsachePrüfung
Firewall bootet nicht vom USB-StickUSB-Stick nicht korrekt geschrieben, falscher USB-Port oder BootproblemISO erneut schreiben, anderen USB-Stick testen, seriellen Status prüfen
LED bleibt dauerhaft rotReimage fehlgeschlagenReimage erneut starten, anderes Image oder anderen USB-Stick verwenden
Backup-Restore schlägt fehlFalsche Zielversion, beschädigtes Backup oder fehlender SSMKBackup-Version prüfen, SSMK kontrollieren, Restore mit kompatibler SFOS-Version versuchen
WebAdmin ist nicht erreichbarFalscher Port, falsche Client-IP oder Browser blockiert ZertifikatPort 1 verwenden, Client-IP im Netz 172.16.16.0/24 setzen, https://172.16.16.16:4444 öffnen
HA startet nicht sauberCluster-Member wurde ohne HA-Planung neu installiertHA-Rolle, Auxiliary-Appliance, Firmware-Versionen und Restore-Reihenfolge prüfen
Traffic fliesst nach Restore nichtInterface-Mapping, Zonen, Routing, NAT oder Firewall-Regeln passen nichtLinkstatus, Rule ID, NAT ID, Route Lookup und Packet Capture prüfen
Lizenz oder Central-Verbindung fehltAccount-Zuordnung, Seriennummer oder Internetzugriff stimmt nichtLizenzstatus, DNS, Gateway und Central-Registrierung prüfen

Checkliste

  • Backup heruntergeladen.
  • Secure Storage Master Key verfügbar.
  • Backup- und Ziel-SFOS-Version dokumentiert.
  • Seriennummer, Lizenzstatus und Central-Zuordnung geprüft.
  • Passendes SFOS Installer-Image gewählt.
  • USB-Stick erfolgreich geschrieben.
  • Wartungsfenster und lokaler Zugriff geklärt.
  • Appliance während des Reimages nicht ausgeschaltet.
  • Nach dem Neustart WebAdmin über Port 1 erreicht.
  • Backup wiederhergestellt und SSMK eingegeben.
  • Netzwerk, VPN, Lizenz, Central und HA geprüft.
  • Regel-, NAT-, Routing- und VPN-Tests mit echten Clients durchgeführt.
  • Temporäre Recovery-Zugänge und Notizen bereinigt.

FAQ

Löscht ein Reimage die komplette Konfiguration?

Ja. Ein Reimage installiert Sophos Firewall OS neu und überschreibt die vorhandenen Daten auf dem Gerät. Ohne Backup muss die Firewall danach neu aufgebaut werden.

Wird für ein Reimage Enhanced Support benötigt?

Für das Reimage einer Hardware-, Software- oder Virtual-Appliance ist keine Enhanced-Support-Berechtigung nötig. Für reguläre Firmware-Upgrades nach den kostenlosen Upgrades gelten jedoch andere Supportbedingungen.

Was ist der Unterschied zwischen Reimage und Factory Reset?

Ein Factory Reset setzt die Konfiguration zurück, installiert SFOS aber nicht neu. Ein Reimage schreibt das Betriebssystem neu vom Installer-Image auf das Gerät.

Warum ist der Secure Storage Master Key wichtig?

Der Secure Storage Master Key schützt sensible Kontodaten in Backups. Nach einem Reimage oder Factory Reset wird er benötigt, um geschützte Daten aus einem Backup wiederherzustellen.

Kann man nach einem Reimage jedes Backup zurückspielen?

Nein. Backup-Version, Ziel-SFOS-Version, Modell, Plattform und Portzuordnung müssen zusammenpassen. Vor einem produktiven Reimage sollte man deshalb prüfen, auf welche Version installiert und welches Backup danach wiederhergestellt wird.

Kann eine XGS-Appliance mit SFLoader repariert werden?

Bei XGS-Appliances mit beschädigter Firmware wird das Reimage-Verfahren verwendet. SFLoader ist für XGS-Appliances nicht verfügbar.