Sophos Firewall OS neu installieren: Reimage mit USB-Stick
Ein Reimage installiert Sophos Firewall OS vollständig neu. Der Vorgang ist für Recovery-Situationen, Lab-Systeme, Modellwechsel oder eine saubere Neuinstallation gedacht. Für normale Versionswechsel ist in der Regel ein Firmware-Update über die Webadmin-Oberfläche die bessere Wahl.
⚠️ Wichtig: Ein Reimage überschreibt die Firewall vollständig. Konfiguration, lokale Logs, Zertifikate, Reports und gespeicherte Kontodaten sind danach nicht mehr auf dem Gerät vorhanden. Vor dem Start braucht es ein aktuelles Backup und den passenden Secure Storage Master Key (SSMK), wenn verschlüsselte Konfigurationsdaten später wiederhergestellt werden sollen.
Reimage, Firmware-Update oder Factory Reset?
| Verfahren | Zweck | Typischer Einsatz |
|---|---|---|
| Firmware-Update | SFOS auf eine andere Version aktualisieren | Normale Wartung über Backup & Firmware > Firmware |
| Rollback | Auf eine zuvor installierte Firmware-Version zurückwechseln | Fehler nach einem Update, solange die vorherige Firmware noch vorhanden ist |
| Factory Reset | Konfiguration zurücksetzen | Gerät bleibt auf installierter SFOS-Version, Konfiguration geht verloren |
| Reimage | SFOS vom USB-Stick neu installieren | Defektes System, saubere Neuinstallation, inkompatibler Versionswechsel oder Recovery |
Für ein normales Update sollte zuerst der Artikel Sophos Firewall: SFOS Firmware Update durchführen geprüft werden. Für XGS-Appliances mit beschädigter Firmware verweist Sophos auf das Reimage-Verfahren, da SFLoader für XGS nicht verfügbar ist.
Wann man kein Reimage starten sollte
Ein Reimage ist die harte Recovery-Variante. Wenn noch ein normaler Administrationszugriff möglich ist, sollte zuerst geprüft werden, ob ein weniger invasiver Weg reicht.
| Situation | Besser zuerst prüfen |
|---|---|
| WebAdmin hängt, Traffic läuft aber weiter | WebAdmin GUI gezielt neu starten |
| Einzelner Dienst reagiert nicht | Sophos Firewall Services sicher neu starten |
| Firmware-Update steht an | Firmware-Update und Rollback-Plan statt Reimage |
| Konfiguration soll gelöscht werden | Factory Reset kann reichen, wenn SFOS selbst gesund ist |
| Speicherplatz oder Reports sind das Problem | Speicherplatz, Reports und Logs prüfen |
| Supportfall läuft noch | Vorher Logs, Support-Archive und aktuelle Fehler sichern |
Reimage ist sinnvoll, wenn das Betriebssystem beschädigt ist, ein sauberer Neuaufbau gewünscht wird oder Sophos Support beziehungsweise der Recovery-Plan diesen Weg vorgibt. Für normale Wartung, einzelne GUI-Probleme oder ungeklärte Performanceprobleme ist es meistens zu früh.
Vor dem Reimage sichern
Vor einem produktiven Reimage sollte man diese Punkte vorbereiten:
- Aktuelles Konfigurationsbackup herunterladen und sicher ablegen.
- Secure Storage Master Key dokumentieren, wenn das Backup verschlüsselte Kontodaten enthält.
- Lizenzstatus, Seriennummer und Sophos Central-Zuordnung prüfen.
- Modell, aktuelle SFOS-Version, Zielversion und Backup-Version dokumentieren.
- WAN-Daten, VLANs, statische Routen, VPN-Parameter und besondere HA-Informationen separat notieren.
- Wartungsfenster planen, weil die Firewall während des Reimages nicht schützt und keinen Datenverkehr verarbeitet.
- Lokalen Zugriff auf Appliance, Stromversorgung, USB-Port und Management-Port sicherstellen.
- Restore-Ablauf vorher prüfen, besonders bei HA-Clustern und kritischen VPN-Standorten.
- Logs oder Support-Archive sichern, wenn die Ursache später noch analysiert werden muss.
Die passenden Grundlagen dazu stehen in Sophos Firewall: Backup erstellen und wiederherstellen, Sophos Firewall: SFOS 22 Upgrade-Check und Sophos Firewall HA-Cluster: Active-Passive, Active-Active und Auxiliary Appliance.
Restore-Kompatibilität vorab klären
Der wichtigste Teil eines Reimage ist nicht das Schreiben des USB-Sticks, sondern der erfolgreiche Restore danach. Ein Backup sollte nicht erst nach der Neuinstallation zum ersten Mal bewertet werden.
Vorher klären:
| Punkt | Warum wichtig |
|---|---|
| Backup-Version | Ein Backup lässt sich nicht beliebig in jede ältere oder neuere SFOS-Version zurückspielen. |
| Zielmodell | Portanzahl, Interface-Namen und Modellklasse beeinflussen Restore und Port-Mapping. |
| Secure Storage Master Key | Ohne passenden SSMK fehlen geschützte Kontodaten nach dem Restore. |
| Lizenz und Account | Nach Reimage oder Modellwechsel muss die Firewall wieder korrekt lizenziert und zugeordnet sein. |
| HA-Rolle | In Clustern muss klar sein, ob Initial Primary oder Auxiliary neu aufgebaut wird. |
| Legacy-Konfiguration | Alte Remote-Access-IPsec- oder Upgrade-Blocker sollten vor dem Restore bekannt sein. |
Bei Hardwaretausch, XG-zu-XGS-Migration oder Restore auf ein anderes Modell sollte man zusätzlich prüfen, ob der Backup-Restore Assistant verfügbar ist und ob die Portzuordnung vor dem finalen Restore stimmt. Der Ablauf ist in Sophos Firewall Backup erstellen oder wiederherstellen beschrieben.
Voraussetzungen
- Sophos Firewall Appliance oder passende Software- beziehungsweise Virtual-Appliance.
- USB-Stick mit mindestens 4 GB Speicherplatz.
- Windows-, macOS- oder Linux-Computer zum Erstellen des bootfähigen USB-Sticks.
- Tool zum Schreiben des ISO-Images, zum Beispiel balenaEtcher.
- Lokaler Zugriff auf die Appliance.
- Optional: USB-auf-Micro-USB-Kabel oder RJ45-COM-Adapter für Statusmeldungen und Fehlersuche über die serielle Konsole.
Für das Reimage selbst ist keine Enhanced-Support-Berechtigung nötig. Für reguläre Firmware-Upgrades gelten jedoch die jeweiligen Lizenz- und Supportbedingungen.
1. Passendes SFOS Installer-Image herunterladen
Das Installer-Image wird über die offizielle Sophos Download-Seite bezogen:
- Die Sophos Firewall Installer öffnen. Alternativ ist der Direktdownload möglich.
- Für Sophos Hardware-Appliances unter Hardware Installers die gewünschte SFOS-Version auswählen.
- Lizenzbedingungen akzeptieren und das ISO-Image herunterladen.
Bei Hardware-Appliances wird üblicherweise ein Image mit dem Präfix HW verwendet. Software- und Virtual-Appliances verwenden andere Image-Typen.
Dateiname des Installer-Images
Beispiel: HW-22.0.1_MR-1-490.iso
| Bestandteil | Bedeutung |
|---|---|
HW | Installer für Sophos Hardware-Appliances |
22.0.1 | SFOS-Version |
MR-1 | Maintenance Release 1 |
490 | Buildnummer |
.iso | ISO-Image für USB-Stick oder Software-Installation |
Die wichtigsten Bestandteile des Dateinamens:
Plattform oder Appliance-Typ
- HW: ISO-Image für Sophos Hardware-Appliances. Für das Reimage einer XGS Appliance wird in der Regel diese Variante benötigt.
- SW: ISO-Image für Sophos Firewall als Software-Appliance.
- VI: Image-Paket für Sophos Firewall als Virtual Appliance.
- AMI: Image für Amazon AWS.
- AZU: Image für Microsoft Azure.
Virtualisierungsplattform bei VI-Dateien
- HYV: Microsoft Hyper-V.
- KVM: KVM.
- VMW: VMware Hypervisor.
- XEN: Xen.
Release-Typ
- GA: General Availability. Das ist eine allgemein verfügbare Haupt- oder Zwischenversion, oft mit neuen Funktionen.
- MR: Maintenance Release. Ein MR enthält vor allem Korrekturen, Stabilitätsverbesserungen und Sicherheitsanpassungen innerhalb einer bestehenden Version.
Dateiendung
- .iso: ISO-Image, das auf einen USB-Stick geschrieben oder für Software-Appliances verwendet werden kann.
- .zip: Archiv mit Image-Dateien für Virtual Appliances.
- .sig: Signiertes Image für bestimmte Appliance-Modelle oder Update-Szenarien.
Für produktive Systeme ist meistens das aktuelle MR einer unterstützten Version die bessere Wahl als eine ganz frisch erschienene GA-Version. Wenn ein Reimage Teil eines Recovery- oder Supportfalls ist, sollte die Zielversion aber immer zum vorhandenen Backup, zum Lizenzstatus und zum geplanten Restore passen.
Für ein XGS-Reimage ist also normalerweise eine Datei wie HW-22.0.1_MR-1-490.iso relevant. SW, VI, AMI oder AZU sind für andere Plattformen gedacht und sollten nicht für eine Hardware-Appliance verwendet werden.

2. Bootfähigen USB-Stick erstellen
Der USB-Stick wird beim Schreiben des ISO-Images formatiert. Alle vorhandenen Daten auf dem USB-Stick gehen verloren.
- USB-Stick mit mindestens 4 GB Speicherplatz am Computer einstecken.
- balenaEtcher herunterladen und starten.
- Mit
Flash from filedas heruntergeladene SFOS ISO-Image auswählen. - Unter
Select targetden richtigen USB-Stick auswählen. - Mit
Flash!das ISO-Image auf den USB-Stick schreiben.
Nach dem Schreibvorgang sollte der USB-Stick sauber ausgeworfen werden. Wenn macOS oder Windows den Stick danach als nicht lesbar meldet, ist das nicht zwingend ein Fehler, weil das Image für den Bootvorgang der Appliance geschrieben wurde.

3. SFOS auf der Firewall neu installieren
Der Reimage-Vorgang läuft direkt auf der Appliance. Währenddessen darf das Gerät nicht ausgeschaltet werden.
- Firewall vollständig ausschalten.
- Vorbereiteten USB-Stick in die Firewall einstecken.
- Firewall einschalten.
- Warten, bis der Sophos Firmware Installer vom USB-Stick startet.
- Installationsstatus je nach Appliance-Modell überwachen.
- Nach erfolgreicher Installation den USB-Stick entfernen und die Firewall neu starten.
Status bei XGS Desktop-Appliances
Viele XGS Desktop-Modelle haben keinen VGA-, SVGA- oder HDMI-Anschluss für einen Bildschirm. Der Reimage-Status wird deshalb über die Status-LED an der Vorderseite angezeigt. Wenn man mehr Details sehen muss, verwendet man die serielle Konsole über den COM-Anschluss.
| Modellfamilie | Bildschirmanschluss | Status beim Reimage |
|---|---|---|
| XGS 87 / 87w / 107 / 107w | Kein VGA, SVGA oder HDMI | Status-LED und optional serielle Konsole |
| XGS 116 / 116w / 126 / 126w / 136 / 136w | Kein VGA, SVGA oder HDMI | Status-LED und optional serielle Konsole |
| XGS 88 / 88w / 108 / 108w | Kein VGA, SVGA oder HDMI | Status-LED und optional serielle Konsole |
| XGS 118 / 118w / 128 / 128w / 138 | Kein VGA, SVGA oder HDMI | Status-LED und optional serielle Konsole |
| LED-Status | Bedeutung |
|---|---|
| 🔴 Blinkend rot | Reimage läuft |
| 🟢 Dauerhaft grün | Reimage war erfolgreich |
| 🔴 Dauerhaft rot | Reimage ist fehlgeschlagen |
Das Reimage ist erst abgeschlossen, wenn die LED dauerhaft grün leuchtet. Während die LED rot blinkt, läuft der Vorgang noch.
Status bei XGS Rack-Appliances
Rack-Appliances zeigen den Status über das integrierte Display an. Typische Meldungen sind Installation in progress, Installation successful, Installation failed oder Failsafe mode.
Status über serielle Konsole
Für zusätzliche Diagnose kann eine Konsole angeschlossen werden. Bei aktuellen XGS Desktop-Appliances ist das im Alltag meistens kein klassischer alter RS-232-Anschluss am Notebook mehr, sondern ein USB-auf-Micro-USB-Kabel am COM Micro USB Port der Firewall. Die Appliance stellt darüber trotzdem eine serielle Konsole bereit. Auf dem Admin-Computer erscheint sie als COM-Port unter Windows oder als tty-Gerät unter macOS und Linux.
Das ist besonders hilfreich, wenn kein Bildschirmanschluss vorhanden ist, die LED dauerhaft rot bleibt, der Boot vom USB-Stick unklar ist oder man Installer- und Fehlermeldungen direkt sehen möchte. Bei vielen XGS-Modellen gibt es zusätzlich einen RJ45-COM-Port. Dieser RJ45-COM-Port ist ein Konsolenanschluss, kein normaler Netzwerkport. Wenn Micro-USB und RJ45-COM gleichzeitig verbunden sind, hat Micro-USB Vorrang.
Typische Werkzeuge:
- Windows: PuTTY, Windows Terminal oder ein anderer serieller Terminal-Client.
- macOS: Terminal mit
screen, zum Beispielscreen /dev/tty.usbserial-XXXX 38400. - Linux:
screen,minicomoderpicocom.
Serielle Einstellungen:
| Einstellung | Wert |
|---|---|
| Baudrate | 38400 |
| Datenbits | 8 |
| Parität | Keine |
| Stoppbits | 1 |
4. Firewall nach dem Reimage erreichen
Nach dem Reimage startet die Firewall mit Standardkonfiguration. Der erste Zugriff erfolgt typischerweise über Port 1:
- Management-IP:
https://172.16.16.16:4444 - Verbindung: Computer direkt mit Port 1 der Firewall verbinden
- Computer-IP: passende statische IP im Netz
172.16.16.0/24setzen, falls kein Zugriff möglich ist
Danach folgt die Grundkonfiguration oder der Restore eines vorhandenen Backups. Beim Restore muss der passende Secure Storage Master Key angegeben werden, wenn das Backup geschützte Kontodaten enthält.
Nach dem Restore sollten mindestens diese Punkte geprüft werden:
- Interfaces, Zonen und VLANs.
- Default Gateway, statische Routen und SD-WAN-Routen.
- Firewall-Regeln, NAT-Regeln und Webserver-Schutz.
- VPN-Verbindungen und Zertifikate.
- Lizenzstatus und Synchronisation mit Sophos Central.
- HA-Status, wenn die Firewall Teil eines Clusters ist.
- Logging, Syslog-Ziele und Reporting.
Für Central-verwaltete Firewalls hilft zusätzlich Sophos Firewall mit Sophos Central verbinden. Bei Modellwechseln oder älteren Geräten ist Sophos XG oder XGS Firewall: Die richtige Appliance wählen relevant.
Abnahmetest nach Reimage und Restore
Nach einem erfolgreichen Login reicht ein kurzer Blick ins Dashboard nicht aus. Die Firewall muss die wichtigsten produktiven Pfade wieder korrekt bedienen.
Sinnvolle Reihenfolge:
- Lizenzstatus, Seriennummer, Modell und Firmwareversion prüfen.
- Interfaces, Linkstatus, VLANs und Zonen kontrollieren.
- WAN-Gateway, DNS, NTP und Sophos Central-Verbindung prüfen.
- Firewall-Regeln, NAT-Regeln und Log Viewer mit einem Testclient validieren.
- Site-to-Site-VPNs und Remote Access mit echten Testzielen prüfen.
- HA-Status und Rollen prüfen, wenn ein Cluster beteiligt ist.
- Syslog, Central Reporting, Backups und geplante Reports kontrollieren.
- Alte temporäre Zugänge, lokale Admin-Konten oder Recovery-Ausnahmen entfernen.
Wenn ein Restore zwar erfolgreich war, aber Traffic nicht fliesst, sollte man nicht sofort erneut reimagen. Dann sind häufig Interface-Mapping, Routing, NAT, Device Access, Lizenzstatus oder der Rückweg der Gegenstelle betroffen. Für die Analyse passen Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture, NAT auf Sophos Firewall verstehen und Sophos Firewall IPsec VPN Troubleshooting.
Häufige Probleme
| Problem | Mögliche Ursache | Prüfung |
|---|---|---|
| Firewall bootet nicht vom USB-Stick | USB-Stick nicht korrekt geschrieben, falscher USB-Port oder Bootproblem | ISO erneut schreiben, anderen USB-Stick testen, seriellen Status prüfen |
| LED bleibt dauerhaft rot | Reimage fehlgeschlagen | Reimage erneut starten, anderes Image oder anderen USB-Stick verwenden |
| Backup-Restore schlägt fehl | Falsche Zielversion, beschädigtes Backup oder fehlender SSMK | Backup-Version prüfen, SSMK kontrollieren, Restore mit kompatibler SFOS-Version versuchen |
| WebAdmin ist nicht erreichbar | Falscher Port, falsche Client-IP oder Browser blockiert Zertifikat | Port 1 verwenden, Client-IP im Netz 172.16.16.0/24 setzen, https://172.16.16.16:4444 öffnen |
| HA startet nicht sauber | Cluster-Member wurde ohne HA-Planung neu installiert | HA-Rolle, Auxiliary-Appliance, Firmware-Versionen und Restore-Reihenfolge prüfen |
| Traffic fliesst nach Restore nicht | Interface-Mapping, Zonen, Routing, NAT oder Firewall-Regeln passen nicht | Linkstatus, Rule ID, NAT ID, Route Lookup und Packet Capture prüfen |
| Lizenz oder Central-Verbindung fehlt | Account-Zuordnung, Seriennummer oder Internetzugriff stimmt nicht | Lizenzstatus, DNS, Gateway und Central-Registrierung prüfen |
Checkliste
- Backup heruntergeladen.
- Secure Storage Master Key verfügbar.
- Backup- und Ziel-SFOS-Version dokumentiert.
- Seriennummer, Lizenzstatus und Central-Zuordnung geprüft.
- Passendes SFOS Installer-Image gewählt.
- USB-Stick erfolgreich geschrieben.
- Wartungsfenster und lokaler Zugriff geklärt.
- Appliance während des Reimages nicht ausgeschaltet.
- Nach dem Neustart WebAdmin über Port 1 erreicht.
- Backup wiederhergestellt und SSMK eingegeben.
- Netzwerk, VPN, Lizenz, Central und HA geprüft.
- Regel-, NAT-, Routing- und VPN-Tests mit echten Clients durchgeführt.
- Temporäre Recovery-Zugänge und Notizen bereinigt.