Naar de inhoud
Avanet

Sophos Firewall Firmware-update uitvoeren

Dit artikel legt uit hoe je een Sophos Firewall Firmware-update praktisch uitvoert via de WebAdmin: Firmware verkrijgen, image uploaden, installatie starten en indien nodig terugschakelen naar de vorige versie.

Voor grotere updates moet de technische uitvoering niet worden verward met de planning. De eigenlijke updatevoorbereiding met release-opmerkingen, upgradepad, back-up, HA, opslagruimte, testplan en rollbackcriteria staat in Sophos Firewall Firmware-update: Voorbereiding en Best Practices. Dit artikel is de juiste stap wanneer duidelijk is welke versie moet worden geïnstalleerd.

⚠️ Belangrijke opmerking over oudere apparaten: SFOS 21.5 GA en latere versies ondersteunen XG- en SG-hardware-appliances niet meer. Wie nog een XG gebruikt, moet voor elke upgrade eerst controleren of een migratie naar XGS nodig is. Nuttig hiervoor zijn Wat is het verschil tussen een XG en XGS Firewall? en de Sophos Product Lifecycle Kalender.

Info: De handleiding gaat ervan uit dat er een ondersteund apparaat met geldige Enhanced Support aanwezig is of dat het apparaat zich nog binnen de drie gratis firmware-upgrades bevindt. Voor elke update moet eerst een back-up van de Sophos Firewall worden gemaakt. De update wordt op de inactieve firmwarepartitie geïnstalleerd, en meestal is rollback als terugval beschikbaar. Toch moet men nooit zonder back-up updaten.

Belangrijk: firmware-slots zijn niet alleen bestanden. Sophos Firewall bewaart actieve en vorige firmware met de bijbehorende configuratiestand in gescheiden partities. Een rollback start daarom niet alleen de oudere SFOS-code, maar ook de bijbehorende oudere configuratiestand.

Voor een upgrade naar SFOS 22 of nieuwer moet bovendien de SFOS 22 Upgrade-Check worden uitgevoerd. Daar worden platformondersteuning, opslagruimte, interface-namen, HA-status, STAS en Legacy Remote Access IPsec als typische upgrade-blokkers afzonderlijk gecontroleerd.

Voorbereiding of uitvoering?

Voor beheerders zijn twee vragen belangrijk:

Bij productieve firewalls moet eerst de voorbereiding zijn afgerond. Daarna is de installatie zelf meestal het kortere deel van het onderhoudsvenster.

Laatste controle voor Upload & Boot

Direct voor de start moet nogmaals worden gecontroleerd of alles echt klaar is voor de herstart. Deze korte controle vervangt de updateplanning niet, maar voorkomt wel typische fouten in het onderhoudsvenster.

  • Back-up aanwezig en SSMK bekend: Een rollback naar de oude partitie vervangt geen herstelbare back-up.
  • Toegang na herstart geregeld: Bij externe locaties is een terugweg nodig als WAN, VPN of routing niet direct terugkomt.
  • HA-rol en clusterstatus gecontroleerd: Een update in een al instabiel cluster verhoogt het risico onnodig.
  • Kritische VPN’s en WAN-uplinks bekend: Na de herstart kan gericht worden gecontroleerd of de belangrijkste verbindingen weer werken.
  • Rollback-criterium gedefinieerd: In geval van een fout moet duidelijk zijn wanneer men terugschakelt en wanneer men verder analyseert.

Vooral bij externe locaties moet je niet alleen op de WebAdmin-sessie vertrouwen. Indien mogelijk moet een tweede toegangspad worden voorbereid: lokale contactpersoon, Out-of-Band-toegang, management-VPN, Sophos Central of een duidelijke escalatieroute. Anders wordt een normaal firmwarevenster snel een locatieprobleem.

SFOS Firmware handmatig downloaden

Voordat de nieuwe firmware kan worden geïnstalleerd, moet deze via Sophos Central, direct in WebAdmin of via de firmware-downloadpagina worden verkregen. Voor geregistreerde firewalls is Sophos Central het schoonste startpunt: open het profielmenu, kies Licensing > Firewall licenses, klap de firewall open en download onder Downloads de passende firmware. Als de gewenste versie daar niet direct zichtbaar is, leidt Other downloads naar de installers, waar het platformtype wordt gekozen.

Voor de download moeten huidige versie, doelversie, appliance-serie en gepland image in de change worden gedocumenteerd. Dat voorkomt dat tijdens het onderhoudsvenster een verkeerd image wordt geüpload of een oude download wordt hergebruikt. Bij handmatige downloads is vooral belangrijk dat het image bij het platform past: hardware-appliance, software/VM-appliance en cloud-appliance zijn verschillende paden.

Opmerking: Met Enhanced Support kan de nieuwste firmware in veel gevallen direct via de GUI worden gedownload. Als de eerste drie gratis firmware-upgrades al zijn gebruikt en er geen passende support subscription actief is, kan installatie in de GUI geblokkeerd zijn. De handmatige methode blijft echter nuttig wanneer een update gericht moet worden voorbereid, gecontroleerd of tijdig moet worden uitgevoerd.

Offline is niet automatisch Air-Gap: Dit artikel beschrijft het handmatig uploaden van een SFOS-firmware-image. In streng geïsoleerde omgevingen blijven licentiecontrole en patroonupdates aparte bedrijfsprocessen. Hiervoor past Sophos Firewall Air-Gap-licentieverlening en patroonupdates beheren.

Image en upgradepad controleren

Vóór de upload moet men niet alleen de bestandsnaam controleren. Beslissend is of het image past bij de appliance, de actieve versie en het geplande doelpad.

  • XGS-hardware: Gebruik het hardware-image voor de passende appliance-serie en plan XG-/SG-hardware niet per ongeluk mee.
  • Virtuele of software-appliance: Gebruik het software- of VM-image en controleer hypervisor- en resourcevereisten.
  • Cloud-appliance: Controleer cloud-image en platformpad, vooral bij BYOL- en Marketplace-deployments.
  • Air-Gap-omgeving: Plan firmware-image, licentiecontrole en Pattern-Updates als gescheiden stappen.
  • Major Release: Controleer upgradepad, Release Notes en Known Issues vóór het onderhoudsvenster.

Als een versiewissel in WebAdmin niet wordt aangeboden of een incompatibel pad nodig zou zijn, moet men niet met een normale upload verdergaan. Dan moet eerst duidelijk zijn of een tussenstap, reimage of migratie naar ondersteunde hardware nodig is.

SFOS Firmware handmatig installeren

De gedownloade firmware kan nu op de Sophos Firewall worden geïnstalleerd.

  1. Meld je aan bij de Sophos Firewall.
  2. Open in de navigatie Backup & Firmware en controleer de sectie Firmware.
  3. Selecteer onder de rubriek Firmware de gewenste versie en klik op het upload-icoon.
  4. Selecteer in het venster Firmware Upgrade/Downgrade het firmwarebestand van de eigen computer.
  5. Kies Upload Firmware als het image alleen moet worden klaargezet.
  6. Kies Upload & Boot als het onderhoudsvenster loopt en de firewall direct met de nieuwe versie moet starten.

Sophos Firewall toont in het gedeelte Firmware maximaal twee firmwarestanden: de actieve versie en een inactieve versie. De inactieve versie is ofwel de vorige versie voor rollback, ofwel een handmatig geüpload compatibel image. Daarom moet men vóór de upload controleren welke versie momenteel in het tweede slot staat en of die nog als terugvaloptie nodig is.

Als alleen Upload Firmware wordt gekozen, komt het image in het inactieve slot terecht. De firewall schakelt daardoor nog niet over naar de nieuwe versie. Ook een latere ongeplande herstart start dit image niet automatisch. Pas Upload & Boot of Boot firmware image activeert de echte wissel, beëindigt bestaande sessies en herstart de firewall.

De volgende screenshots tonen de uploaddialoog en de selectie van het firmware-image.

Sophos Firewall Upload Firmware Image Dialoog
In de uploaddialoog wordt het lokale firmware-image geselecteerd en voorbereid voor installatie.
Sophos Firewall Firmware Image selecteren
Voor de upload moet worden gecontroleerd dat het image bij de appliance-serie en het geplande upgradepad past.

Opmerking: De keuze tussen Upload Firmware en Upload & Boot moet bewust worden gemaakt. Bij Upload Firmware wordt het image alleen geüpload. Bij Upload & Boot wordt de installatie direct gestart.

  • Upload Firmware: Zinvol wanneer het image vóór het onderhoudsvenster klaargezet moet worden. Risico: een latere admin start mogelijk een image waarvan de context niet is gedocumenteerd.
  • Upload & Boot: Zinvol wanneer het onderhoudsvenster actief loopt en back-up, toegang en tests klaarstaan. Risico: de firewall start direct opnieuw en bestaande sessies worden verbroken.
  • Boot firmware image: Zinvol wanneer een al geüpload image op een vastgesteld moment gestart moet worden. Risico: de versie in het slot wordt geboot, niet automatisch de nieuwste beschikbare versie.

Als alleen Upload Firmware is gekozen, kan het installatietijdstip later worden bepaald. Gebruik hiervoor onder de rubriek Firmware het icoon met de twee pijlen zodra het tijdstip voor de installatie geschikt is.

Sophos Firewall Boot Firmware Image Actie
Met de Boot-actie wordt een al geüpload firmware-image op een later tijdstip gestart.

HA-cluster bij firmware update

Als een HA-cluster is ingericht, wordt de update op het primary-apparaat gestart en voert het cluster het proces voor beide appliances uit. De auxiliary appliance moet niet apart worden bijgewerkt. De typische volgorde is: primary start het proces, auxiliary wordt eerst bijgewerkt en herstart, daarna volgt een rolwissel en vervolgens wordt de eerdere primary bijgewerkt. Als een Preferred Primary is ingesteld, kan aan het einde opnieuw een failback plaatsvinden.

Ook met HA moet een onderhoudsvenster worden gepland. Bij de rolwissel kunnen individuele sessies wegvallen, VPN-tunnels kort opnieuw opbouwen of enkele pings verloren gaan. Controleer na de update bewust HA-status, rollen, VPN’s en centrale verbindingen.

Een HA-apparaat in standalone-modus is een bijzonder geval en moet niet als een netjes gesynchroniseerd cluster worden bijgewerkt. Vóór de update moeten HA-status, synchronisatie en rollen duidelijk zijn. Voor de voorbereiding past Sophos Firewall HA cluster variants.

Pattern Updates en Hotfixes zijn niet hetzelfde als een firmware-upgrade. In HA-omgevingen worden Pattern Updates op de primary bijgewerkt en daarna gesynchroniseerd; Hotfixes worden door Sophos apart behandeld. Na een firmwarevenster moet daarom niet alleen de SFOS-versie worden gecontroleerd, maar ook Pattern-status, Hotfix-status en HA-synchronisatie.

SFOS Firmware automatisch installeren

Als er een geldige Enhanced Support-licentie aanwezig is, kan de firmware vaak direct in de GUI worden gedownload.

Opmerking: Als een nieuwe firmwareversie niet snel genoeg in de GUI verschijnt of een specifiek image moet worden gepland, kan altijd ook de handmatige variant worden gebruikt.

  1. Meld je aan bij de Sophos Firewall.
  2. Open in de navigatie Backup & Firmware.
  3. Zoek onder Latest Available Firmware met Check for new firmware naar nieuwe versies.
  4. Selecteer bij de vermelde update Download. Als in het Control center onder Messages een firmwaremelding verschijnt, leidt die ook naar het firmwaregedeelte.
  5. Start na voltooiing van de download de installatie met Install. De actie beëindigt bestaande sessies en herstart de firewall met de nieuwe firmware.
  6. Meld na de herstart opnieuw aan en controleer linksboven in het Control center en onder Backup & Firmware > Firmware of de verwachte versie actief is.
Sophos Firewall Firmware in WebAdmin downloaden
Bij geldige toestemming kan de firewall beschikbare firmware direct in WebAdmin downloaden.
Sophos Firewall nieuwe firmwareversie installeren
Na de download wordt de nieuwe firmwareversie in het firmwaregedeelte voor installatie aangeboden.

Firmware via Sophos Central plannen

Als de update niet lokaal in WebAdmin, maar via Sophos Central wordt gepland of gestart, gelden enkele extra punten. Sophos Central biedt firmware-upgrades alleen aan voor gerechtigde firewalls die op een ondersteunde GA-firmwareversie draaien. Geplande updates starten volgens de tijdzone van de betreffende firewall, niet volgens de tijdzone van browser of beheerder.

De workflow is in de praktijk kort: open in Sophos Central de betreffende firewall onder My Products > Firewall Management > Firewalls, kies de downloadknop bij de beschikbare upgrade, open Schedule Upgrades, selecteer bij meerdere versies de doelversie en stel datum en tijd in. De update kan ook direct worden gestart. Geplande updates kunnen voor de start worden bewerkt of geannuleerd.

Na het onderhoudsvenster moet ook de Sophos Central Firewall Management Task Queue worden gecontroleerd. Daar zie je of de Central-taak is voltooid of dat een mislukte taak verdere wijzigingen blokkeert. De lokale controle in WebAdmin blijft verplicht, omdat Central-status en de werkelijk actieve firmwareversie niet blind gelijkgesteld mogen worden.

Als een update-actie ontbreekt

Ontbreekt in WebAdmin of Sophos Central een verwachte actie, dan is dat meestal geen reden voor haastig opnieuw uploaden. Controleer eerst welke voorwaarde ontbreekt:

  • Install is grijs: Controleer support entitlement. Na de drie gratis firmware-upgrades is voor normale firmwarewissels Enhanced Support of Enhanced Plus Support nodig.
  • Central toont geen downloadknop: Controleer of de firewall online is, in Sophos Central wordt beheerd, op een GA-firmwareversie draait en voor de doelversie gerechtigd is.
  • Upload wordt geweigerd: Controleer platformtype, appliance-serie, actieve versie, compatibel upgradepad en bestandsintegriteit.
  • Doelversie past niet: Controleer Release Notes en de ondersteunde upgrade-tabel. Bij incompatibele wissels is vaak reimage of migratie de juiste weg, niet nog een uploadpoging.
  • Veel gateways of bijzondere configuratie: Controleer voor de versiewissel of de doelversie bekende limieten of migratieaanwijzingen voor de eigen configuratie bevat.

Na de update controleren

Na de herstart moet niet direct naar de volgende wijziging worden overgegaan. Eerst moet duidelijk zijn of de firewall echt stabiel op de nieuwe firmware draait en de belangrijkste bedrijfsfuncties bereikbaar zijn.

Direct controleren:

  • Backup & Firmware > Firmware toont de verwachte actieve versie.
  • Control center toont geen nieuwe kritieke waarschuwingen.
  • Interfaces, WAN-uplinks, SD-WAN-routes en standaardgateway zijn plausibel.
  • HA-status en rollen kloppen, als een cluster wordt gebruikt.
  • Site-to-Site VPN, Remote Access VPN en RED-verbindingen worden opgebouwd.
  • DNS, DHCP, NAT, WAF en centrale firewallregels werken met echte tests.
  • Sophos Central Synchronisatie en Central Firewall Management zijn actueel.
  • Monitoring, Syslog of SIEM ontvangen weer gegevens, indien gebruikt.

Als na de update regels, NAT of VPN niet zoals verwacht functioneren, moet eerst met Log Viewer, Policy Test, Packet Capture en relevante servicelogs worden ingeperkt. Voor gestructureerde probleemoplossing passen Firewall-regel testen met Log Viewer, Policy Test en Packet Capture en Sophos Firewall Troubleshooting: Services en Logs.

Als de upload of installatie zelf mislukt, moet niet simpelweg hetzelfde image meerdere keren worden geüpload. Typische oorzaken zijn een verkeerd platformtype, een niet-ondersteund upgradepad, een beschadigde download, onvoldoende opslagruimte, een HA-synchronisatieprobleem of een configuratiemigratie die tijdens de upgrade faalt. Sinds SFOS 20.0 kan Sophos Firewall bij bepaalde migratiefouten automatisch terugrollen naar de vorige versie en de vorige configuratiestand. Daarna is alsnog een nette oorzaakanalyse nodig voordat de update opnieuw wordt gestart.

Als WebAdmin door beschadigde firmware niet meer bereikbaar is, is dat geen normale firmwarewissel meer. Bij XG-/SG-apparaten kan SFLoader afhankelijk van de situatie relevant zijn; bij XGS-apparaten is reimage bij beschadigde firmware meestal het schone recoverypad. Het passende proces staat in Sophos Firewall OS opnieuw installeren: Reimage met USB-stick.

Rollback naar oude versie

Na een update kan het voorkomen dat sommige functies niet zoals verwacht werken. In dat geval kan worden teruggeschakeld naar de vorige firmwarepartitie. Klik hiervoor op het gemarkeerde rollback-icoon naast de huidige versie. In een HA-cluster worden daarbij ook beide appliances met de geselecteerde versie gestart.

Een rollback is niet hetzelfde als een restore. De firewall start opnieuw met de vorige firmwareversie en de configuratiestand van die partitie. Een herstelbare back-up, een bekende Secure Storage Master Key en een duidelijk recoveryplan blijven toch noodzakelijk. Configuratiewijzigingen die na de versiewissel zijn gemaakt, kunnen bij de wissel naar de oudere firmwarestand verloren gaan of anders werken. Daarom moet men na de update geen onnodige nevenchanges uitvoeren voordat duidelijk is dat de nieuwe versie stabiel draait.

Rollback en downgrade zijn ook niet hetzelfde:

  • Rollback: Wissel naar de eerder geïnstalleerde compatibele versie in het tweede firmware-slot.
  • Downgrade: Wissel naar een oudere compatibele versie die niet per se de directe vorige versie is.
  • Reimage: Nieuwe installatie van Sophos Firewall OS, normaal met gegevensverlies op het apparaat en aansluitende restore.

Voor een rollback moet kort worden vastgelegd waarom wordt teruggeschakeld. Zinvolle criteria zijn bijvoorbeeld: WAN-verbinding komt niet stabiel op, centrale VPN’s blijven ondanks controle down, HA synchroniseert niet goed, kritieke firewallregels werken niet of een bekende bug treft precies de productieve omgeving. Als slechts één enkele dienst opvallend is, kan gericht probleemoplossing zinvoller zijn dan een onmiddellijke rollback.

  • WAN, HA of centrale VPN’s vallen in het onderhoudsvenster uit: Rollback is zinvol als de oorzaak niet snel kan worden gestabiliseerd. Als een duidelijke configuratiefout zichtbaar is, moet eerst gericht worden geanalyseerd.
  • Enkele regel, NAT of WAF-publicatie lijkt verkeerd: Rollback alleen overwegen bij brede storing of bekend firmwareprobleem. Anders eerst Log Viewer, Policy Test, Packet Capture en servicelogs controleren.
  • WebAdmin lijkt traag, maar verkeer loopt stabiel: Rollback is zelden de eerste maatregel. Beter zijn belasting, diensten, browser, logs en bekende aanwijzingen controleren.
  • HA-cluster is na de update onsynchron: Rollback is mogelijk als productieve werking in gevaar is. Eerst moeten echter HA-rollen, synchronisatiestatus, links en logs worden gecontroleerd.

Voor de klik moeten minstens actieve versie, doelversie, tijdstip, symptoom, getroffen diensten, HA-status en al geteste punten worden gedocumenteerd. In HA-omgevingen moet bovendien duidelijk zijn welke node actief is en dat bij het terugschakelen opnieuw onderbrekingen bij sessies, VPN’s of beheerstoegang mogelijk zijn.

Na de rollback begint de controle opnieuw: actieve firmwareversie controleren, Control center controleren, WAN, VPN, HA, centrale regels, NAT, WAF, DNS, DHCP, Central-synchronisatie en logging met echte tests valideren. Daarna moet niet gewoon permanent op de oude versie worden gebleven. Beter is een kort vervolgplan: oorzaak inperken, support- of release-opmerkingen controleren, back-up en bewijzen veiligstellen en de doelupdate pas weer plannen als de oorzaak begrepen is.

Sophos Firewall Rollback naar vorige firmwareversie
Via het rollback-icoon kan de vorige firmwarepartitie opnieuw worden gestart.

FAQ

Is een firmware-update in een HA-cluster onderbrekingsvrij?

Niet gegarandeerd. De firewalls worden achtereenvolgens bijgewerkt, maar bij de rolwisseling kunnen enkele sessies worden onderbroken, VPN-tunnels kort opnieuw worden opgebouwd of enkele pings verloren gaan. Daarom moet ook bij HA een onderhoudsvenster worden gepland en na de update HA-status, rollen, VPN’s en belangrijke verbindingen worden gecontroleerd.

Waarom zijn updates niet meer gratis?

Zonder Support-Subscription zijn drie firmware-upgrades toegestaan. Daarna is Enhanced Support of Enhanced Plus Support nodig voor verdere normale firmwarewissels. Pattern Updates, Hotfixes, Reimage, Mandatory Firmware Upgrades en Assistant Firmware Upgrades moeten apart worden beoordeeld. Achtergrond: Sophos Firewall Updates in de toekomst niet meer gratis

Wat is een Enhanced Support-licentie?

De Enhanced Support-licentie biedt toegang tot updates en technische support. Deze licentie is ofwel in elk licentiepakket inbegrepen of kan afzonderlijk worden aangeschaft. Zonder een geldige Enhanced Support-licentie kunnen na de eerste drie gratis updates geen verdere updates meer worden geïnstalleerd, wat beveiligingsrisico’s met zich mee kan brengen.