Naar de inhoud
Avanet

Sophos Firewall Firmware-update: voorbereiding en beste praktijken

Firmware-updates houden een Sophos Firewall veilig, stabiel en ondersteund. Niettemin moet u het niet als een normale pakketupdate behandelen. Een SFOS-upgrade kan het HA-gedrag, VPN-tunnels, certificaten, webbescherming, TLS Inspection, externe toegang, centrale integratie en routering beïnvloeden.

Voor de bredere hardening-context past de hub Sophos Firewall Hardening: best practices voor een veilige configuratie.

Dit artikel is de checklist voor planning en bediening vóór een Sophos Firewall firmware-update. Het helpt u beslissen of er nu een update kan worden uitgebracht, welke afhankelijkheden vóór de onderhoudsperiode moeten worden gecontroleerd en wanneer een rollback zinvoller is dan verdere probleemoplossing. De specifieke installatie via WebAdmin wordt beschreven in het artikel Sophos Firewall Firmware-update uitvoeren.

⚠️ Belangrijk: Vóór elke firmware-update zijn een actuele back-up, de juiste Secure Storage Master Key en een getest rollback-plan vereist. Voor SFOS 22 of nieuwer moet het artikel Sophos Firewall vóór SFOS 22 Upgrade controleren ook worden verwerkt omdat platform, opslagruimte, interfacenamen, STAS en oudere externe toegang IPsec daar specifiek worden gecontroleerd.

Welk updateartikel past?

Firmware-onderwerpen overlappen elkaar snel. Het is daarom belangrijk dat beheerders eerst het juiste proces kiezen:

Deze scheiding voorkomt typische fouten. Een firmware-update is niet hetzelfde als een reimage, een rollback vervangt geen back-up en een succesvolle download bewijst niet dat het upgradepad, de geschiktheid voor ondersteuning, de HA-status en het herstelplan overeenkomen. Het planningsartikel moet daarom niet elke klik van de installatie herhalen, maar eerder de vrijgavebeslissing duidelijk maken.

Wanneer er een update moet worden voorbereid

Bij kleine onderhoudsbeurten is een korte controle vaak voldoende. Een strukturierte-vorbereitung is licht, wanneer een van de volgende punkers in gedachten wordt gehouden:

  • Productieve firewall met meerdere WAN-uplinks, VPN’s, NAT-regels of WAF-publicaties.
  • HA-cluster of externe locatie zonder gemakkelijke fysieke toegang.
  • Versiesprong over verschillende releases of verander naar een nieuwe hoofdversie zoals SFOS 22.
  • XG-, SG-, software-, virtuele of cloud-appliance met platform- of licentieproblemen.
  • Kritieke afhankelijkheden zoals Microsoft Entra ID, RADIUS, LDAP, Certificaten, DNS, DHCP, SD-WAN of Sophos Central.
  • Bekende prestatie-, opslagruimte- of SSD-problemen op het apparaat.

Hoe groter de wijziging, hoe meer de update moet worden behandeld als een wijziging met een runbook, testplan en rollback.

1. Controleer de release-opmerkingen en het upgradepad

Voordat u gaat updaten, moet u eerst verduidelijken of de doelversie past in de huidige omgeving.

  • Aan de Sophos Release Notes wordt weergegeven dat de Zielversion gratis is en dat deze zijn eigen Release-Zweig gibt heeft.
  • Controleer bovendien de officiële releaseopmerkingen van de doelversie en de Bekende problemen, zodat bekende problemen niet pas na de update duidelijk worden.
  • Documenteer de bestaande versie, de doelversie en het ondersteunde upgradepad.
  • Belangrijk: selecteer alleen ondersteunde upgradepaden. Als het upgradepad niet wordt ondersteund, kan de firewall na de firmware-update worden teruggezet naar de fabrieksinstellingen.
  • Houd er rekening mee dat in SFOS 22 XG- en SG-hardware niet langer wordt ondersteund.
  • Bij SFOS 21.5 stranden, wordt het Zielpfad automatisch op SFOS 22 GA führt. De release notes van de specifieke doelversie zijn doorslaggevend.
  • Controleer voor veel VLAN’s, Bridges, LAG’s, RED- of XFRM-interfaces of interfacenamen met lange blokken getallen een WebAdmin-weergaveprobleem kunnen veroorzaken.
  • Controleer voor Legacy Remote Access IPsec of een upgrade naar SFOS 22 MR1 of nieuwer is geblokkeerd.
  • Controleer voor STAS- en gebruikersgebaseerde regels of bekende upgrade-opmerkingen relevant zijn voor uw eigen configuratie.
  • Geef voor software-, virtuele, Azure- of AWS BYOL-firewalls aan of de firewall vóór de upgrade moet worden geclaimd in Sophos Central.
  • Als er incompatibele versiesprongen zijn, plan dan niet met een normale update, maar bereid een reimage-concept voor.

Voor concrete upgradebeslissingen zijn het niet de aankondigingen die tellen, maar eerder release-opmerkingen, bekende problemen, ondersteunde upgradepaden en lokale firmwareplanning. Als een release interessant klinkt, maar het upgradepad, het platform, de geschiktheid voor ondersteuning of het terugdraaien niet duidelijk zijn, mag de wijziging nog niet worden vrijgegeven.

In de praktijk is een korte beslissing direct tijdens de wijziging nuttig: huidige versie, doelversie, ondersteund pad, bekende blokkers, getroffen platform en verwacht retourpad. Hierdoor wordt later duidelijk waarom precies deze versie is geïnstalleerd en niet simpelweg “de nieuwste”.

2. Verduidelijk de geschiktheid voor licenties en ondersteuning

Sinds SFOS 19.0 MR1 is na de drie gratis firmware-upgrades Enhanced Support of Enhanced Plus Support vereist voor verdere firmware-upgrades. Zonder de juiste ondersteuningsautorisatie kan de firmware mogelijk worden bekeken of gedownload, maar daaropvolgende reguliere upgrades kunnen worden geblokkeerd.

Uitzonderingen gelden onder meer voor patroonupdates, Hotfixes, reimage, verplichte firmware-upgrades en assistent-firmware-upgrades. Deze uitzonderingen zijn echter geen vervanging voor een goede updateplanning.

Controleer daarom voordat u de wijziging doorvoert:

  • Administration > Licensing geeft een geldige licentie en geschiktheid voor ondersteuning aan.
  • Sophos Central toont de firewall met het juiste serienummer.
  • Ondersteuningstoegang en contactpersonen zijn bekend.
  • Downloaden van de doelversie is mogelijk.
  • Indien nodig wordt ondersteuningstoegang tot Avanet of Sophos voorbereid.

Als Avanet ondersteuning moet bieden voor de wijziging, is het artikel Avanet-ondersteuningstoegang instellen tot Sophos Firewall van toepassing.

3. Back-up, SSMK en terugdraaien voorbereiden

Er wordt een firmware-update geïnstalleerd op een tweede firmwareslot. Een rollback naar de vorige versie is daarom vaak mogelijk. Niettemin is een rollback geen vervanging voor een back-up, omdat de configuratiestatus, herstelcompatibiliteit en operationele status afzonderlijk moeten worden gecontroleerd.

Het belangrijkste punt wordt vaak onderschat: Sophos Firewall houdt actieve en eerdere firmware met de juiste configuratiestatus in afzonderlijke partities. Bij een rollback wordt niet alleen de oude SFOS-code weer in gebruik genomen, maar ook de vorige configuratie. Wijzigingen die na de upgrade zijn aangebracht, kunnen achteraf ontbreken of een ander effect hebben.

Vóór de update:

  • Download een nieuwe configuratieback-up.
  • Controleer Secure Storage Master Key in de wachtwoordbeheerder.
  • Zorg voor een back-upwachtwoord en beheerderstoegang.
  • Documenteer de bestaande firmwareversie en doelversie.
  • Documenteer de huidige configuratie, kritische screenshots en wijzigingstijd.
  • Controleer bij grotere wijzigingen ook een centrale backup of extern opgeslagen backup.

Het back-up- en herstelproces wordt gedetailleerd beschreven in Sophos Firewall Back-up maken of herstellen. Als een normale firmwarewijziging niet mogelijk is, kan het artikel Sophos Firewall OS opnieuw installeren: Reimage met USB-stick helpen.

Vanaf SFOS 20.0 kan de firewall bij bepaalde problemen tijdens de configuratiemigratie automatisch terugkeren naar de vorige versie en configuratiestatus. Dit is een beveiligingsfunctie, maar geen licentie voor onvoorbereide updates. Na een automatische terugdraaiing moet de oorzaak worden opgehelderd voordat de volgende poging wordt ondernomen.

4. Maak een wijzigingsbewijs op

Voor eenvoudige onderhoudsreleases zijn een back-up, een screenshot van de firmwarepagina en een korte wijzigingsnotitie vaak voldoende. Bij grotere updates moet u ook vastleggen welke configuratie vóór de onderhoudsperiode geldig was en welke wijzigingen tijdens de vervolgcontrole zijn aangebracht.

Deze tools beantwoorden verschillende vragen:

  • Back-up: Welke configuratiestatus kan worden hersteld?
  • Config Studio: Wat is het verschil tussen twee configuratiestatussen?
  • Audit Trail: Wie heeft welke ondersteunde configuratiewijziging doorgevoerd en wanneer?

Sophos Firewall Config Studio is handig als u de configuratiestatus voor en na een upgrade wilt vergelijken. Dit vervangt geen back-up, maar helpt wel bij de vraag of er tijdens een onderhoudsvenster onverwacht regels, objecten, interfaces of beleid zijn gewijzigd.

De Sophos Firewall Audit Trail is geschikt voor temporele traceerbaarheid. Het is vooral handig als er meerdere beheerders bij betrokken zijn of als er een centraal beheerde wijziging parallel aan de firmware-update heeft plaatsgevonden. Als de update of een configuratiewijziging wordt geactiveerd via Sophos Central, maakt de Sophos Central Firewall Management Task Queue ook deel uit van de vervolgcontrole.

5. Controleer opslagruimte en systeemstatus

Onvoldoende opslagruimte, oude logs of een onstabiele HA-status kunnen een update onnodig riskant maken. Vóór een grote upgrade moet u bewust de systeemstatus controleren.

In WebAdmin:

  • Controleer Control Center voor waarschuwingen.
  • Open Backup & Firmware > Firmware en controleer de beschikbare versies.
  • Controleer Diagnostics > Log viewer op terugkerende systeemfouten.
  • Vink Systeemservices en relevante services aan.
  • Kijk voor SFOS 22 ook naar de firewall Health Check, indien beschikbaar.

De vrije opslagruimte kan worden gecontroleerd met SSH of Advanced Shell:

df -kh

Als een partitie erg vol is, moet u niet blindelings updaten. Maak eerst duidelijk of oude lokale bestanden, logs, rapporten of ondersteuningsdumps ruimte in beslag nemen. Als de oorzaak onduidelijk is, is een supportaanvraag veiliger dan deze handmatig te verwijderen in de Advanced Shell. Het praktische proces vindt u in Sophos Firewall Opslagruimte controleren en rapporten beheren.

Als het apparaat oud is, veel lokale rapporten schrijft of al I/O- of databaseproblemen vertoont, moet ook de SSD-gezondheid via SMART worden gecontroleerd en gedocumenteerd.

Voor status- en loganalyse kunt u Sophos Firewall Problemen oplossen: Services en logs, Sophos Firewall Packet Capture gebruik in WebAdmin en Sophos Firewall Health Check helpen bij correct gebruik.

6. Plan HA-clusters afzonderlijk

HA-clusters mogen niet worden behandeld als individuele firewalls. Sophos schrijft dat HA niet uitgeschakeld hoeft te worden voor de firmware-update. Niettemin vereist een HA-update meer controle omdat zowel apparaten, firmwareslots, rollen als failover-gedrag worden beïnvloed.

Vóór de update:

  • Controleer de HA-status in WebAdmin.
  • Identificeer de primaire en hulpapparaten duidelijk.
  • Controleer HA-link en synchronisatie.
  • Zorg voor dezelfde firmware-uitgangssituatie op beide apparaten.
  • Plan ook onderhoudsvensters voor Active-Passive-HA.
  • Communiceer de verwachte korte onderbreking bij het wisselen van rollen.

In de verbonden HA-status wordt de firmware-update gestart op het primaire apparaat en verwerkt door het cluster voor beide apparaten. Normaal gesproken wordt het hulpapparaat eerst bijgewerkt en opnieuw opgestart, gevolgd door een rolwijziging, en vervolgens wordt het vorige primaire apparaat bijgewerkt. Afhankelijk van de HA-configuratie kan de voorkeursprimaire aan het einde weer actief worden. Het hulpapparaat mag niet afzonderlijk worden bijgewerkt. Patroonupdates en Hotfixes worden onafhankelijk op de apparaten toegepast.

Sophos Firewall Firmware-updates - HA Clusters
Sophos Firewall Plan bewust firmware-updates in een HA-cluster en controleer deze na een failover

Voor HA-omgevingen moet ook Sophos Firewall HA-cluster: Actief-Passief, Actief-Actief en Auxiliary Appliance worden gelezen.

7. Definieer onderhoudsvensters en tests

Een goed onderhoudsvenster omvat niet alleen de installatietijd, maar ook duidelijke tests achteraf.

Instellen vóór update:

  • Starttijd, laatste afbreektijd en terugdraaibeslissing.
  • Verantwoordelijke voor firewall, netwerk, servers, applicaties en ondersteuning.
  • Testlijst voor internet, DNS, DHCP, VLAN’s, NAT, VPN, WAF, mail, webbeveiliging en kritieke applicaties.
  • Bereikbaarheid via lokale beheerhaven of alternatieve toegang.
  • Bewakingspauze of onderhoudsmodus in het monitoringsysteem.
  • Communicatiepad als externe toegang mislukt tijdens de wijziging.

Tests mogen niet alleen uit pings bestaan. Voor productieve firewalls zijn echte verbindingscontroles belangrijker: VPN-login, toegang tot interne applicaties, DNS-resolutie, webtoegang, gepubliceerde services, e-mailstroom, SD-WAN-routes en centrale authenticatie.

Als de firmware-update via Sophos Central wordt gepland, hoort de tijdzone van de firewall bij de wijziging. Sophos Central start geplande firmware-upgrades op basis van de tijdzone van de betreffende firewall. Voor internationaal verspreide locaties is niet de lokale browsertijd van de beheerder bepalend, maar eerder de tijd die van toepassing is op de firewall.

Bovendien toont Sophos Central alleen firmware-upgrades voor geschikte firewalls. Als er in Central een knop Downloaden of Plannen ontbreekt, moet u niet meteen uitgaan van een UI-fout. Eerste controle: draait de firewall op een GA-firmwareversie, is deze online, wordt deze correct beheerd in Central, is de licentie-/ondersteuningsautorisatie correct en is de doelversie vrijgegeven voor dit platform?

8. Valideer na update

Na de herstart is de wijziging nog niet voltooid. Eerst moet u controleren of de firewall werkelijk in de verwachte staat draait.

Direct na de update:

  • Controleer actieve SFOS-versie.
  • Controleer of het verwachte firmwareslot actief is en of er een automatische rollback heeft plaatsgevonden.
  • Controleer licentie- en patroonupdatestatus.
  • Controleer systeem- en kernellogboeken op merkbare fouten.
  • Controleer interfaces, SD-WAN-routes, VPN-tunnels en HA-status.
  • Valideer firewallregels, NAT, Webbescherming, TLS Inspection en WAF met echte tests.
  • Sophos Central Synchronisatie controleren.
  • Bewaking opnieuw activeren.
  • Voeg wijzigingsdocumentatie toe met resultaten, tijden en afwijkingen.

Als er een firmware-update is gepland of geactiveerd via Sophos Central, maakt de Sophos Central Firewall Management Task Queue ook deel uit van de vervolgcontrole. Daar kunt u controleren of de centrale taak succesvol is voltooid of dat een mislukte taak latere wijzigingen blokkeert.

Als er na de update onverwachte fouten optreden, moet het verschil tussen configuratieprobleem, firmwarefout, licentieprobleem en extern systeemprobleem eerst worden verkleind. Log Viewer, Packet Capture en gerichte servicelogboeken zijn nuttiger dan onmiddellijk meerdere keren opnieuw opstarten.

Een rollback mag niet uit nervositeit worden aangeklikt, maar het mag ook niet te laat zijn. Als WAN, HA, centrale VPN’s of productiekritische publicaties niet binnen het gedefinieerde analysevenster kunnen worden gestabiliseerd, is het geplande retourpad vaak schoner dan het voortdurend aanbrengen van nieuwe individuele correcties tijdens een aanhoudende storing. Aan de andere kant, als slechts één regel, object of externe dienst verdacht is, bieden Log Viewer, Packet Capture en servicelogboeken meestal het betere antwoord.

Typische fouten bij firmware-updates

  • Update zonder nieuwe back-up: Herstellen of terugdraaien wordt onnodig riskant. Back-up en SSMK moeten worden gecontroleerd voordat er wijzigingen worden aangebracht.
  • Release-opmerkingen zijn slechts oppervlakkig gelezen: Bekende bugs, platformblokkers of niet-ondersteunde upgradepaden worden over het hoofd gezien. Sophos releaseopmerkingen, bekende problemen en ondersteunde upgradepaden horen thuis in de wijzigingsdocumentatie.
  • SFOS 22-controle overgeslagen: Platform-, opslagruimte-, interface-, STAS- of oudere IPsec-blokkers worden alleen opgemerkt in het onderhoudsvenster. De afzonderlijke upgradecontrole moet vóór SFOS 22 of nieuwer worden voltooid.
  • HA wordt verondersteld storingsvrij te zijn: Failover kan sessies en individuele verbindingen onderbreken. Onderhoudsvensters en testplannen blijven noodzakelijk voor HA.
  • Geen lokale noodtoegang: Een wijziging op afstand kan vastlopen vanwege VPN- of WAN-problemen. Out-of-band toegang of opties op locatie moeten vooraf worden verduidelijkt.
  • Alleen Ping getest: Applicatie-, DNS-, TLS- of VPN-problemen blijven onopgemerkt. Technische tests per dienst zijn belangrijker dan een enkele ICMP-test.
  • Te laat besloten terugdraaien: De downtime wordt langer dan nodig. De beëindigingstijd en terugdraaicriteria moeten vóór de start worden bepaald.
  • Centrale planning verkeerd begrepen: Voor centraal geplande updates telt de tijdzone van de firewall. Dit is vooral van belang voor locaties in andere landen.
  • Centraal geeft geen firmware-update weer: De firewall draait mogelijk niet op GA-firmwareniveau, is mogelijk niet geautoriseerd, offline of is mogelijk niet geschikt voor de doelversie. Controleer licentie, centrale status, platform en release-opmerkingen.

Controlelijst

  • Doelversie en upgradepad gecontroleerd.
  • Sophos release-opmerkingen, officiële release-opmerkingen, bekende problemen en ondersteund upgradepad gecontroleerd.
  • SFOS 22 Upgradecontrole uitgevoerd voor relevante upgrades, inclusief platform-, interfacenamen, opslagruimte, STAS en oudere externe toegang IPsec.
  • Licentie en verbeterde ondersteuning aangevinkt.
  • Back-up gedownload en SSMK beschikbaar.
  • Wijzigingsbewijs opgesteld met Backup, Config Studio, Audit Trail of Central Task Queue als er meerdere beheerders of Central bij betrokken zijn.
  • Schijfruimte en systeemstatus gecontroleerd.
  • HA-status en rollen gedocumenteerd.
  • Onderhoudsvenster, testplan en rollback-criteria gedefinieerd.
  • De tijdzone van de firewall en de geplande tijd voor Sophos Central-updates gecontroleerd.
  • Als de knop Central Update ontbreekt, worden de GA-firmwareversie, onlinestatus, licentie, platform en doelversie gecontroleerd.
  • Firmwarebestand of GUI-download voorbereid.
  • Lokale of alternatieve beheertoegang verduidelijkt.
  • Gecontroleerde versie, services, VPN’s, NAT, WAF, logs, centrale takenwachtrij en monitoring na de update.

Veelgestelde vragen

Hoe vaak moet u Sophos Firewall firmware-updates installeren?

Beveiligingsoplossingen en onderhoudsreleases mogen niet onnodig lang wachten. In productieve omgevingen is een geplande updatefrequentie zinvoller dan spontane updates zonder een test- en rollbackplan.

Moet ik voor elke firmware-update een back-up maken?

Ja. Zelfs als terugdraaien naar de vorige firmware mogelijk is, moet er vóór elke update een nieuwe back-up beschikbaar zijn. Bovendien moet de Secure Storage Master Key beschikbaar zijn.

Kunt u een firmware-update installeren zonder verbeterde ondersteuning?

Na de gratis eerste updates vereisen reguliere firmware-upgrades Enhanced Support of Enhanced Plus Support. Individuele uitzonderingen zoals Hotfixes, patroonupdates of reimage worden anders geregeld.

Moet HA vóór een firmware-update worden gedeactiveerd?

Nee. Sophos vereist niet dat HA wordt uitgeschakeld vóór de firmware-update. De HA-status moet echter schoon zijn en er moet nog steeds een onderhoudsvenster worden gepland.

Wat is het verschil tussen terugdraaien en opnieuw kopiëren?

Bij een rollback wordt de firewall gestart met een bestaande eerdere firmwareversie en de bijbehorende configuratiestatus. Een reimage installeert Sophos Firewall OS opnieuw vanaf de USB-stick en verwijdert de bestaande configuratie op het apparaat.