Naar de inhoud
Avanet

Sophos Firewall OS opnieuw installeren via USB

Met een reimage wordt Sophos Firewall OS volledig opnieuw geïnstalleerd. Het proces is bedoeld voor herstelsituaties, laboratoriumsystemen, modelwijzigingen of een schone herinstallatie. Voor normale versiewijzigingen is een firmware-update via de webbeheerdersinterface meestal de betere keuze.

⚠️ Belangrijk: Een reimage overschrijft de firewall volledig. Configuratie, lokale logs, certificaten, rapporten en opgeslagen accountgegevens zijn niet langer beschikbaar op het apparaat. Voordat u begint, zijn een actuele back-up en de juiste Secure Storage Master Key (SSMK) vereist als gecodeerde configuratiegegevens later moeten worden hersteld.

Reimage, firmware-update of fabrieksreset?

WerkwijzeDoelTypisch gebruik
Firmware-updateSFOS bijwerken naar een andere versieNormaal onderhoud via Backup & Firmware > Firmware
TerugdraaienTerugkeren naar een eerder geïnstalleerde firmwareversieFout na een update terwijl de vorige firmware nog aanwezig is
FabrieksresetConfiguratie resettenApparaat blijft op geïnstalleerde SFOS-versie staan, configuratie gaat verloren
ReimageSFOS opnieuw installeren vanaf USB-stickBeschadigd systeem, schone herinstallatie, incompatibele versiewijziging of recovery

Voor een normale update moet eerst het artikel Sophos Firewall: SFOS Firmware Update uitvoeren worden geraadpleegd. Een Factory Reset is ook niet hetzelfde als een reimage: deze reset de configuratie, maar verwijdert niet alle lokale data zoals een volledige herinstallatie. Ook de Secure Storage Master Key wordt bij een Factory Reset niet gewist. Als de firewall echt naar een schone defaultstaat inclusief logs, rapporten en lokale operationele data moet, is reimage de passendere weg. Voor XGS-apparaten met beschadigde firmware verwijst Sophos naar de reimage-procedure omdat SFLoader niet beschikbaar is voor XGS.

Wanneer moet je niet opnieuw een image maken?

Een reimage is de harde herstelvariant. Als normale administratieve toegang nog steeds mogelijk is, moet u eerst controleren of een minder invasieve manier voldoende is.

SituatieBeter eerst controleren
WebAdmin loopt vast, maar verkeer gaat doorStart WebAdmin GUI specifiek
Enkele service reageert nietSophos Firewall Services veilig herstarten
Firmware-update in behandelingFirmware-update en rollback-plan in plaats van reimage
Configuratie moet worden verwijderdFabrieksreset kan voldoende zijn als SFOS zelf gezond is
Opslagruimte of rapporten zijn het probleemControleer opslagruimte, rapporten en logs
Ondersteuningszaak loopt nogMaak vooraf een back-up van logbestanden, ondersteun archieven en huidige fouten

Reimage is handig als het besturingssysteem beschadigd is, een schone herbouw gewenst is, of als Sophos Support of het herstelplan dit pad specificeert. Voor normaal onderhoud, individuele GUI-problemen of onverklaarde prestatieproblemen is het meestal te vroeg.

Maak een back-up voordat u een nieuwe image maakt

Voordat u aan een productieve reimage begint, moet u de volgende punten voorbereiden:

  • Download de huidige configuratieback-up en bewaar deze veilig.
  • Document Secure Storage Master Key als de back-up gecodeerde accountgegevens bevat.
  • Controleer licentiestatus, serienummer en Sophos Central-associatie.
  • Model, revisie, huidige SFOS-versie, build, doelversie en back-upversie documenteren.
  • Noteer afzonderlijk WAN-gegevens, VLAN’s, statische routes, VPN-parameters en speciale HA-informatie.
  • Plan onderhoudsvensters omdat de firewall het verkeer niet beschermt en verwerkt tijdens de reimage.
  • Zorg voor lokale toegang tot het apparaat, de voeding, de USB-poort en de beheerpoort.
  • Controleer vooraf het herstelproces, vooral voor HA-clusters en kritische VPN-locaties.
  • Maak een back-up van logbestanden of ondersteun archieven als de oorzaak later moet worden geanalyseerd.

De relevante basisprincipes zijn te vinden in Sophos Firewall: Een back-up maken en herstellen, Sophos Firewall: SFOS 22 upgrade check en Sophos Firewall HA-cluster: Active-Passive, Active-Active en Auxiliary Appliance.

Als de reimage deel uitmaakt van een RMA- of HA-scenario, wordt deze documentatie nog belangrijker. Dan telt niet alleen de hoofdversie, maar ook de build. Een vervangend apparaat moet bij de gezonde firewall passen of bewust naar de doelversie worden gebracht voordat backup, licentietransfer en HA-herconfiguratie beginnen.

Verduidelijk vooraf de herstelcompatibiliteit

Het belangrijkste onderdeel van een reimage is niet het schrijven naar de USB-stick, maar het succesvolle herstel daarna. Een back-up moet niet alleen voor de eerste keer na de herinstallatie worden geëvalueerd.

Maak vooraf duidelijk:

puntWaarom belangrijk
Back-upversieEen back-up kan niet naar believen worden hersteld naar een oudere of nieuwere SFOS-versie.
DoelmodelAantal poorten, interfacenamen en modelklasse beïnvloeden herstel en poorttoewijzing.
Hoofdsleutel voor beveiligde opslagZonder een geschikte SSMK zullen beschermde accountgegevens na het herstel ontbreken.
Licentie en accountNa een nieuwe image of modelwijziging moet de firewall de juiste licentie krijgen en opnieuw worden toegewezen.
HA-rolIn clusters moet het duidelijk zijn of de initiële primaire of secundaire structuur opnieuw wordt opgebouwd.
Verouderde configuratieOude IPsec-toegangs-IPsec- of upgradeblokkers moeten bekend zijn vóór het herstel.

Bij het vervangen van hardware, het migreren van XG naar XGS of het herstellen naar een ander model, moet u vóór het definitieve herstel ook controleren of de backup-herstelassistent beschikbaar is en of de poorttoewijzing correct is. Het proces wordt beschreven in Een Sophos Firewall-back-up maken of herstellen.

Voor HA en RMA geldt als vuistregel: firmwareversie en build van de betrokken apparaten worden vóór de restore gecontroleerd. Als de benodigde oude firmwareversie niet meer normaal kan worden gedownload, moet men niet improviseren, maar Sophos Support of het bestaande supportproces inschakelen.

Vereisten

  • Sophos firewall-apparaat of geschikte software of virtueel apparaat.
  • USB-stick met minimaal 4 GB opslagruimte.
  • Windows-, macOS- of Linux-computer om de opstartbare USB-stick te maken.
  • Hulpmiddel voor het schrijven van de ISO-image, bijvoorbeeld balenaEtcher.
  • Lokale toegang tot het apparaat.
  • Optioneel: USB naar Micro USB-kabel of RJ45 COM-adapter voor statusrapportage en probleemoplossing via de seriële console.

Er is geen Enhanced Support-autorisatie vereist voor de reimage zelf. Op reguliere firmware-upgrades zijn echter de betreffende licentie- en ondersteuningsvoorwaarden van toepassing.

1. Download de juiste SFOS-installatiekopie

De installatiekopie wordt verkregen van de officiële Sophos-downloadpagina:

  1. Open de Sophos Firewall Installer. Als alternatief is de directe download mogelijk.
  2. Voor Sophos-hardwareapparaten selecteert u de gewenste SFOS-versie onder Hardware Installers.
  3. Accepteer de licentievoorwaarden en download de ISO-image.

Voor hardware-appliances wordt doorgaans een image met het voorvoegsel HW gebruikt. Software- en virtual appliances gebruiken andere imagetypes. Beslissend is dat platform, doelversie en restore-plan bij elkaar passen. Een verkeerd image is geen kleine schoonheidsfout, maar kan de recovery stoppen.

Bestandsnaam van de installatiekopie

Voorbeeld: HW-22.0.1_MR-1-490.iso

bestanddeelBetekenis
HWInstallateur voor Sophos hardwareapparaten
22.0.1SFOS-versie
MR-1Onderhoudsrelease 1
490Buildnummer
.isoISO-image voor USB-stick of software-installatie

De belangrijkste onderdelen van de bestandsnaam:

  • Platform- of apparaattype

    • HW: ISO-image voor Sophos-hardware-appliances. Deze variant is meestal nodig voor de reimage van een XGS-appliance.
    • SW: ISO-image voor Sophos Firewall als software-appliance.
    • VI: imagepakket voor Sophos Firewall als Virtual Appliance.
    • AMI: image voor Amazon AWS.
    • AZU: image voor Microsoft Azure.
  • Virtualisatieplatform voor VI-bestanden

    • HYV: Microsoft Hyper-V.
    • KVM: KVM.
    • VMW: VMware Hypervisor.
    • XEN: Xen.
  • Releasetype

    • GA: General Availability. Dit is een algemeen beschikbare hoofd- of tussenversie, vaak met nieuwe functies.
    • MR: Maintenance Release. Een MR bevat vooral fixes, stabiliteitsverbeteringen en beveiligingsaanpassingen binnen een bestaande versie.
  • Bestandsextensie

    • .iso: ISO-image die naar een USB-stick kan worden geschreven of voor software-appliances kan worden gebruikt.
    • .zip: archief met imagebestanden voor Virtual Appliances.
    • .sig: ondertekend image voor bepaalde appliance-modellen of updatescenario’s.

Voor productieve systemen is de huidige MR van een ondersteunde versie meestal een betere keuze dan een recent uitgebrachte GA-versie. Als een reimage deel uitmaakt van een herstel- of ondersteuningsaanvraag, moet de doelversie altijd overeenkomen met de bestaande back-up, de licentiestatus en het geplande herstel.

Voor een XGS-reimage is dus meestal een bestand als HW-22.0.1_MR-1-490.iso relevant. SW, VI, AMI of AZU zijn bedoeld voor andere platforms en mogen niet worden gebruikt voor een hardwareapparaat.

Sophos Firewall-installatieprogramma met hardware ISO voor XGS-apparaat
Sophos Firewall Installer: Download hardware-ISO voor reimage van een XGS-apparaat

2. Maak een opstartbare USB-stick

De USB-stick wordt geformatteerd wanneer de ISO-image wordt geschreven. Alle bestaande gegevens op de USB-stick gaan verloren.

  1. Plaats een USB-stick met minimaal 4 GB opslagruimte in de computer.
  2. Download en start balenaEtcher.
  3. Gebruik Flash from file om de gedownloade SFOS ISO-image te selecteren.
  4. Selecteer onder Select target de juiste USB-stick.
  5. Schrijf de ISO-image naar de USB-stick met Flash!.

Na het schrijfproces moet de USB-stick schoon worden uitgeworpen. Als macOS of Windows de stick vervolgens als onleesbaar meldt, is dit niet noodzakelijkerwijs een fout, omdat de afbeelding is geschreven om het apparaat op te starten.

balenaEtcher met geselecteerde SFOS ISO-image en USB-stick
De SFOS ISO-image wordt met balenaEtcher naar de USB-stick geschreven

3. Installeer SFOS opnieuw op de firewall

Het reimageproces wordt rechtstreeks op het apparaat uitgevoerd. Gedurende deze tijd mag het apparaat niet uitgeschakeld zijn.

  1. Schakel de firewall volledig uit.
  2. Bereid optioneel monitor, LCD of seriële console voor als de installatiestatus gevolgd moet worden.
  3. Plaats de voorbereide USB-stick in de firewall.
  4. Schakel de firewall in.
  5. Wacht tot de Sophos Firmware Installer vanaf de USB-stick start.
  6. Controleer de installatiestatus afhankelijk van het appliance-model.
  7. Verwijder na succesvolle installatie de USB-stick.
  8. Als de installer daarna om bevestiging vraagt, herstart met y.

Status op XGS-desktopapparaten

Veel XGS-desktopmodellen hebben geen VGA-, SVGA- of HDMI-poort voor een beeldscherm. De reimage-status wordt daarom weergegeven via de status-LED aan de voorkant. Als u meer details wilt zien, gebruikt u de seriële console via de COM-poort.

ModelfamilieSchermconnectorStatus tijdens opnieuw kopiëren
XGS 87 / 87w / 107 / 107wGeen VGA, SVGA of HDMIStatus-LED en optionele seriële console
XGS 116 / 116w / 126 / 126w / 136 / 136wGeen VGA, SVGA of HDMIStatus-LED en optionele seriële console
XGS 88 / 88w / 108 / 108wGeen VGA, SVGA of HDMIStatus-LED en optionele seriële console
XGS 118 / 118w / 128 / 128w / 138Geen VGA, SVGA of HDMIStatus-LED en optionele seriële console
LED-statusBetekenis
🔴 Knipperend roodReimage is actief
🟢 Blijvend groenReimage was succesvol
🔴 Permanent roodHerimage mislukt

Het opnieuw maken van een afbeelding is pas voltooid als de LED permanent groen brandt. Terwijl de LED rood knippert, loopt het proces nog steeds.

Status op XGS Rack-apparaten

Rackapparaten geven de status weer via het geïntegreerde display. Typische berichten zijn Installation in progress, Installation successful, Installation failed of Failsafe mode.

Status via seriële console

Er kan een console worden aangesloten voor aanvullende diagnostiek. Bij actuele XGS Desktop-appliances is dat in de praktijk meestal geen klassieke oude RS-232-aansluiting op de notebook meer, maar een USB-naar-Micro-USB-kabel op de COM Micro USB-poort van de firewall. De appliance stelt daarover toch een seriële console beschikbaar. Op de admin-computer verschijnt die als COM-poort onder Windows of als tty-apparaat onder macOS en Linux.

Dit is vooral handig als er geen schermverbinding is, de LED permanent rood blijft, het opstarten vanaf de USB-stick onduidelijk is of als u installatie- en foutmeldingen direct wilt zien. Veel XGS-modellen hebben ook een RJ45 COM-poort. Deze RJ45 COM-poort is een consolepoort, geen normale netwerkpoort. Als Micro-USB en RJ45-COM tegelijkertijd zijn aangesloten, heeft Micro-USB voorrang.

Typische gereedschappen:

  • Windows: PuTTY, Windows Terminal of een andere seriële terminalclient.
  • macOS: Terminal met screen, bijvoorbeeld screen /dev/tty.usbserial-XXXX 38400.
  • Linux: screen, minicom of picocom.

Seriële instellingen:

InstellingWaarde
Baudsnelheid38400
databits8
PariteitGeen
Stopbits1

4. Bereik de firewall na een nieuwe image

Na de reimage start de firewall met de standaardconfiguratie. De eerste toegang vindt doorgaans plaats via Poort 1:

  • Beheer-IP: https://172.16.16.16:4444
  • Verbinding: sluit de computer rechtstreeks aan op poort 1 van de firewall
  • Computer-IP: stel het juiste statische IP-adres in het netwerk 172.16.16.0/24 in als toegang niet mogelijk is

Daarna volgt de basisconfiguratie of het herstellen van een bestaande back-up. Bij het herstellen moet de juiste Secure Storage Master Key worden opgegeven als de back-up beveiligde accountgegevens bevat.

Na het herstel moeten in ieder geval deze punten worden gecontroleerd:

  • Interfaces, zones en VLAN’s.
  • Standaardgateway, statische routes en SD-WAN-routes.
  • Firewallregels, NAT-regels en webserverbescherming.
  • VPN-verbindingen en certificaten.
  • Licentiestatus en synchronisatie met Sophos Central.
  • HA-status als de firewall deel uitmaakt van een cluster.
  • Logging, syslog-doelen en rapportage.

Voor centraal beheerde firewalls helpt Verbind Sophos Firewall met Sophos Central ook. Voor modelwijzigingen of oudere apparaten is Sophos XG of XGS Firewall: het juiste apparaat kiezen relevant.

HA en RMA niet behandelen als een enkel apparaat

Bij één labapparaat is een reimage meestal lineair: image schrijven, installeren, backup herstellen, testen. Bij HA en RMA is de procedure gevoeliger. Vooraf moet duidelijk zijn welk apparaat gezond is, welke rol het heeft, welke firmwareversie en build het draait en of Sophos Central of de licentietransfer eerst moet worden opgeschoond.

In Active-Passive-omgevingen moet een vervangend apparaat niet zomaar met alle kabels in het cluster worden geplaatst. Typischer is een gecontroleerde procedure: firmwarestand controleren, vervangend apparaat lokaal via Port 1 bereiken, WAN alleen voor registratie of licentietransfer verbinden, passende backup herstellen, HA bewust opnieuw opbouwen en pas daarna productieve kabels omsteken. De exacte volgorde hangt ervan af of de Primary of de Auxiliary wordt vervangen.

Acceptatietest na reimage en herstel

Na een succesvolle login is een snelle blik op het dashboard niet voldoende. De firewall moet de belangrijkste productieve paden weer correct bedienen.

Verstandige volgorde:

  1. Controleer de licentiestatus, het serienummer, het model en de firmwareversie.
  2. Controleer interfaces, linkstatus, VLAN’s en zones.
  3. Controleer WAN-gateway, DNS, NTP en Sophos Central-verbinding.
  4. Valideer firewallregels, NAT-regels en logviewer met een testclient.
  5. Test site-to-site VPN’s en externe toegang met echte testdoelen.
  6. Controleer de HA-status en -rollen als er een cluster bij betrokken is.
  7. Beheer syslog, centrale rapportage, back-ups en geplande rapporten.
  8. Verwijder oude tijdelijke toegang, lokale beheerdersaccounts of hersteluitzonderingen.

Als het herstel succesvol is verlopen, maar het verkeer niet doorstroomt, mag u niet onmiddellijk een nieuwe image maken. Interface mapping, routing, NAT, apparaattoegang, licentiestatus of het retourpad van het externe station worden vaak beïnvloed. Geschikt voor de analyse zijn Firewall-regeltesten met Log Viewer, Policy Test en Packet Capture, NAT begrijpen op Sophos Firewall en Sophos Firewall IPsec VPN-probleemoplossing.

Veelvoorkomende problemen

Firewall start niet op vanaf USB-stick

Meestal is de USB-stick niet correct geschreven, is het verkeerde image gekozen of start de appliance niet vanaf de verwachte USB-poort. Schrijf in dat geval de ISO opnieuw met balenaEtcher, test een andere USB-stick en observeer het opstarten via monitor, LCD, status-LED of seriële console.

LED blijft permanent rood

Een permanent rode status-LED betekent dat de reimage is mislukt. Werk dan niet blind productief verder: controleer USB-stick, imagetype, doelmodel en installatiemelding. Bij herhaalde fouten zijn seriële console en Sophos Support zinvoller dan meerdere identieke pogingen.

Backup-restore mislukt

Typische oorzaken zijn een ongeschikte doelversie, een beschadigde backup, een ontbrekende SSMK of een restore naar een ander model zonder schone poorttoewijzing. Controleer eerst backupversie, doel-SFOS-versie, build, platform en SSMK. Daarna verduidelijken of een Restore Assistant, een tussenstap via een andere SFOS-versie of support nodig is.

WebAdmin is na reimage niet bereikbaar

Na de reimage geldt weer de standaardconfiguratie. Verbind de computer direct met Port 1, stel een passende IP in het netwerk 172.16.16.0/24 in en open https://172.16.16.16:4444. Als dat niet werkt, controleer eerst linkstatus, lokale client-IP, browsercertificaatwaarschuwing en eventueel bootstatus.

HA start na restore niet netjes

Bij HA is vaak niet de reimage zelf het probleem, maar rol, firmwarestand, build, Initial Primary, Central-toewijzing of restore-volgorde. Activeer HA daarom niet automatisch opnieuw, maar documenteer eerst de toestand van beide apparaten en vergelijk die met de geplande HA-procedure.

Verkeer loopt niet na restore

Als de configuratie is hersteld maar verkeer niet werkt, zijn vaak interface mapping, zones, routing, NAT, Device Access, licentiestatus of retourpaden betrokken. Log Viewer, Rule ID, NAT ID, Route Lookup en Packet Capture helpen dan meer dan een nieuwe reimage.

Licentie of Central-verbinding ontbreekt

Na reimage, RMA of modelwijziging moeten serienummer, accounttoewijzing, licentietransfer, DNS, gateway en Sophos Central-verbinding weer kloppen. Pas wanneer de firewall schoon online is, moet men daaruit een productieve bedrijfsstatus afleiden.

Controlelijst

  • Back-up gedownload.
  • Mastersleutel voor beveiligde opslag beschikbaar.
  • Back-up en doel-SFOS-versie gedocumenteerd.
  • Firmware-build en modelrevisie gecontroleerd, vooral bij HA of RMA.
  • Serienummer, licentiestatus en centrale toewijzing gecontroleerd.
  • Geschikte SFOS-installatiekopie geselecteerd.
  • USB-stick succesvol geschreven.
  • Onderhoudsvensters en lokale toegang verduidelijkt.
  • Apparaat is niet uitgeschakeld tijdens reimage.
  • WebAdmin bereikt via poort 1 na opnieuw opstarten.
  • Back-up hersteld en SSMK ingevoerd.
  • Netwerk, VPN, Licentie, Centraal en HA gecontroleerd.
  • Uitgevoerde regel-, NAT-, routing- en VPN-tests met echte clients.
  • Tijdelijke hersteltoegang en notities opgeschoond.

Veelgestelde vragen

Verwijdert een reimage de volledige configuratie?

Ja. Met een reimage wordt Sophos Firewall OS opnieuw geïnstalleerd en worden de bestaande gegevens op het apparaat overschreven. Zonder back-up moet de firewall vervolgens opnieuw worden opgebouwd.

Is verbeterde ondersteuning vereist voor een reimage?

Er is geen recht op Uitgebreide Ondersteuning vereist om een ​​hardware-, software- of virtueel apparaat opnieuw te imagen. Voor reguliere firmware-upgrades na de gratis upgrades gelden echter andere ondersteuningsvoorwaarden.

Wat is het verschil tussen Reimage en Fabrieksreset?

Bij een fabrieksreset wordt de configuratie gereset, maar wordt SFOS niet opnieuw geïnstalleerd. Een reimage herschrijft het besturingssysteem van de installatiekopie naar het apparaat.

Waarom is de hoofdsleutel voor beveiligde opslag belangrijk?

De Secure Storage Master Key beschermt gevoelige accountgegevens in back-ups. Na een nieuwe image of fabrieksreset is het nodig om beveiligde gegevens vanaf een back-up te herstellen.

Kun je een back-up herstellen na een reimage?

Nee. Back-upversie, doel-SFOS-versie, model, platform en poorttoewijzing moeten overeenkomen. Voordat u een productieve reimage uitvoert, moet u daarom controleren welke versie is geïnstalleerd en welke back-up vervolgens wordt hersteld.

Kan een XGS-apparaat worden gerepareerd met SFLoader?

Voor XGS-apparaten met beschadigde firmware wordt het reimage-proces gebruikt. SFLoader is niet beschikbaar voor XGS-apparaten.