Sophos Firewall: aktualizacja firmware
Artykuł wyjaśnia, jak praktycznie przeprowadzić aktualizację oprogramowania układowego Sophos Firewall za pomocą WebAdmin: pobieranie oprogramowania, przesyłanie obrazu, rozpoczynanie instalacji i w razie potrzeby powrót do poprzedniej wersji.
W przypadku większych aktualizacji nie należy mylić technicznego przeprowadzenia z planowaniem. Właściwe przygotowanie do aktualizacji z notatkami o wydaniu, ścieżką aktualizacji, kopią zapasową, HA, miejscem na dysku, planem testów i kryteriami przywracania znajduje się w Aktualizacja oprogramowania układowego Sophos Firewall: Przygotowanie i najlepsze praktyki. Ten artykuł jest odpowiednim krokiem, gdy wiadomo, którą wersję należy zainstalować.
⚠️ Ważna uwaga dotycząca starszych urządzeń: SFOS 21.5 GA i nowsze wersje nie obsługują już urządzeń sprzętowych XG i SG. Osoby nadal korzystające z XG powinny przed każdą aktualizacją sprawdzić, czy konieczna jest migracja na XGS. Pomocne w tym są Jaka jest różnica między zaporą XG a XGS? oraz Kalendarz cyklu życia produktów Sophos.
Informacja: Instrukcja zakłada, że dostępne jest obsługiwane urządzenie z ważnym Enhanced Support albo że urządzenie jest jeszcze w ramach trzech darmowych firmware upgrades. Przed każdą aktualizacją należy najpierw utworzyć kopię zapasową Sophos Firewall. Aktualizacja zostanie zainstalowana na nieaktywnej partycji firmware, a rollback jest zwykle dostępny jako droga powrotu. Niemniej jednak nigdy nie należy aktualizować bez kopii zapasowej.
Ważne: firmware slots to nie tylko pliki. Sophos Firewall przechowuje aktywne i poprzednie firmware wraz z odpowiadającym mu stanem konfiguracji w oddzielnych partycjach. Rollback uruchamia więc nie tylko starszy kod SFOS, ale także przypisany do niego starszy stan konfiguracji.
Przed aktualizacją do SFOS 22 lub nowszej należy dodatkowo przeprowadzić sprawdzenie aktualizacji SFOS 22. Tam sprawdzane są wsparcie platformy, miejsce na dysku, nazwy interfejsów, stan HA, STAS i Legacy Remote Access IPsec jako typowe blokery aktualizacji.
Przygotowanie czy przeprowadzenie?
Dla administratorów ważne są dwa pytania:
- Czy zapora jest gotowa do aktualizacji?: Aktualizacja oprogramowania układowego Sophos Firewall: Przygotowanie i najlepsze praktyki
- Jak zainstalować obraz oprogramowania układowego?: Ta instrukcja
- Czy istnieją specyficzne blokery SFOS-22?: Sprawdzenie zapory Sophos przed aktualizacją do SFOS 22
- Czy SFOS musi być całkowicie zainstalowany od nowa?: Ponowna instalacja systemu operacyjnego Sophos Firewall: Reimage za pomocą pamięci USB
W przypadku zapór produkcyjnych najpierw należy zakończyć przygotowania. Następnie sama instalacja jest zazwyczaj krótszą częścią okna konserwacyjnego.
Ostatnia kontrola przed Upload & Boot
Bezpośrednio przed rozpoczęciem należy ponownie sprawdzić, czy wszystko jest gotowe do ponownego uruchomienia. Ta krótka kontrola nie zastępuje planowania aktualizacji, ale zapobiega typowym błędom w oknie konserwacyjnym.
- Backup dostępny i znany SSMK: rollback na starą partycję nie zastępuje odtwarzalnego backupu.
- Zagwarantowany dostęp po restarcie: w lokalizacjach zdalnych potrzebna jest ścieżka powrotu, jeśli WAN, VPN lub routing nie wróci od razu.
- Sprawdzona rola HA i stan klastra: update w już niestabilnym klastrze niepotrzebnie zwiększa ryzyko.
- Znane krytyczne VPN i uplinki WAN: po restarcie można celowo sprawdzić, czy najważniejsze połączenia znowu działają.
- Zdefiniowane kryterium rollbacku: w razie błędu powinno być jasne, kiedy wrócić do poprzedniej wersji, a kiedy kontynuować analizę.
Zwłaszcza w przypadku lokalizacji zdalnych nie należy polegać wyłącznie na sesji WebAdmin. Jeśli to możliwe, należy przygotować drugą ścieżkę dostępu: lokalny kontakt, dostęp Out-of-Band, VPN zarządzania, Sophos Central lub jasna ścieżka eskalacji. W przeciwnym razie z normalnego okna aktualizacji oprogramowania szybko może stać się problem lokalizacyjny.
Ręczne pobieranie oprogramowania układowego SFOS
Zanim nowe oprogramowanie układowe zostanie zainstalowane, musi zostać pobrane przez Sophos Central, bezpośrednio w WebAdmin albo ze strony pobierania firmware. Dla zarejestrowanych firewalli Sophos Central jest najczystszym punktem startowym: otworzyć menu profilu, wybrać Licensing > Firewall licenses, rozwinąć firewall i pobrać właściwe firmware w Downloads. Jeśli żądana wersja nie jest tam od razu widoczna, Other downloads prowadzi do installerów, gdzie wybiera się typ platformy.
- Hardware appliances: Obraz firmware SFOS dla obsługiwanych appliances sprzętowych.
SF300oznacza serię XG,SF310serię XGS. - Software i virtual appliances: Obrazy firmware SFOS dla software appliances.
- Cloud appliances: Firmware SFOS dla cloud appliances.
Przed pobraniem należy udokumentować w change aktualną wersję, wersję docelową, serię appliance i planowany obraz. Zapobiega to wgraniu błędnego obrazu w oknie serwisowym lub ponownemu użyciu starego pliku. Przy ręcznych pobraniach szczególnie ważne jest, aby obraz pasował do platformy: hardware appliance, software/VM appliance i cloud appliance to różne ścieżki.
Uwaga: Przy Enhanced Support najnowsze firmware można często pobrać bezpośrednio przez GUI. Jeśli pierwsze trzy darmowe firmware upgrades zostały już wykorzystane i nie ma aktywnej odpowiedniej support subscription, instalacja może być zablokowana w GUI. Metoda ręczna pozostaje jednak przydatna, gdy aktualizacja ma być celowo przygotowana, sprawdzona lub zaplanowana czasowo.
Offline nie oznacza automatycznie Air-Gap: Ten artykuł opisuje ręczne przesyłanie obrazu oprogramowania układowego SFOS. W ściśle izolowanych środowiskach licencjonowanie i aktualizacje wzorców pozostają oddzielnymi procesami operacyjnymi. Do tego pasuje Licencjonowanie Air-Gap Sophos Firewall i aktualizacje wzorców.
Sprawdzenie obrazu i ścieżki upgrade
Przed uploadem nie należy sprawdzać tylko nazwy pliku. Decydujące jest to, czy obraz pasuje do appliance, aktywnej wersji i planowanej ścieżki docelowej.
- XGS hardware: użyć obrazu hardware dla właściwej serii appliance i nie planować przypadkowo hardware XG/SG.
- Virtual lub Software Appliance: użyć obrazu Software lub VM i sprawdzić wymagania hypervisora oraz zasobów.
- Cloud Appliance: sprawdzić obraz cloud i ścieżkę platformy, szczególnie przy wdrożeniach BYOL i Marketplace.
- Środowisko Air-Gap: firmware image, synchronizację licencji i Pattern Updates planować jako oddzielne kroki.
- Major Release: przed oknem serwisowym sprawdzić upgrade path, Release Notes i Known Issues.
Jeśli zmiana wersji nie jest oferowana w WebAdmin albo wymagany byłby niekompatybilny path, nie należy kontynuować zwykłym uploadem. Najpierw trzeba wyjaśnić, czy potrzebny jest krok pośredni, reimage albo migracja na wspierany hardware.
Ręczna instalacja oprogramowania układowego SFOS
Pobrane oprogramowanie układowe można teraz zainstalować na Sophos Firewall.
- Zaloguj się do Sophos Firewall.
- Otwórz
Backup & Firmwarew nawigacji i sprawdź sekcję Firmware. - W sekcji Firmware wybierz żądaną wersję i kliknij ikonę przesyłania.
- W oknie
Firmware Upgrade/Downgradewybierz plik firmware z własnego komputera. - Wybierz
Upload Firmware, jeśli obraz ma zostać tylko przygotowany. - Wybierz
Upload & Boot, jeśli trwa okno serwisowe i firewall ma uruchomić się bezpośrednio z nową wersją.
Sophos Firewall pokazuje w sekcji Firmware maksymalnie dwa stany firmware: aktywną wersję oraz wersję nieaktywną. Wersja nieaktywna jest albo poprzednią wersją do rollbacku, albo ręcznie wgranym kompatybilnym obrazem. Dlatego przed uploadem należy sprawdzić, która wersja znajduje się aktualnie w drugim slocie i czy jest jeszcze potrzebna jako opcja powrotu.
Jeśli wybrane zostanie tylko Upload Firmware, obraz trafia do nieaktywnego slotu. Firewall nie przełącza się jeszcze na nową wersję. Także późniejszy nieplanowany restart nie uruchamia automatycznie tego obrazu. Dopiero Upload & Boot albo Boot firmware image wyzwala właściwe przełączenie, kończy istniejące sesje i restartuje firewall.
Poniższe zrzuty ekranu pokazują okno dialogowe przesyłania i wybór obrazu oprogramowania układowego.


Uwaga: Wybór między Upload Firmware a Upload & Boot powinien być świadomy. Przy Upload Firmware obraz jest tylko przesyłany. Przy Upload & Boot instalacja jest uruchamiana bezpośrednio.
- Upload Firmware: przydatne, gdy obraz ma zostać przygotowany przed oknem serwisowym. Ryzyko: późniejszy administrator może uruchomić obraz, którego kontekst nie jest udokumentowany.
- Upload & Boot: przydatne, gdy okno serwisowe już trwa, a backup, dostęp i testy są gotowe. Ryzyko: firewall restartuje się natychmiast i istniejące sesje zostają przerwane.
- Boot firmware image: przydatne, gdy już wgrany obraz ma zostać uruchomiony w określonym momencie. Ryzyko: uruchamiana jest wersja obecna w slocie, nie automatycznie najnowsza dostępna wersja.
Klaster HA podczas aktualizacji firmware
Jeśli skonfigurowano klaster HA, aktualizację uruchamia się na urządzeniu primary, a klaster wykonuje proces dla obu appliance. Appliance auxiliary nie należy aktualizować osobno. Typowa kolejność wygląda tak: primary uruchamia proces, auxiliary jest aktualizowany i restartowany jako pierwszy, potem następuje zmiana roli, a następnie aktualizowany jest dotychczasowy primary. Jeśli zdefiniowano Preferred Primary, na końcu może nastąpić dodatkowy failback.
Mimo HA trzeba zaplanować okno serwisowe. Podczas zmiany roli pojedyncze sesje mogą zostać przerwane, tunele VPN mogą na krótko zestawić się ponownie, a część pingów może zostać utracona. Po aktualizacji trzeba świadomie sprawdzić status HA, role, VPN-y i centralne połączenia.
Urządzenie HA w trybie standalone jest przypadkiem szczególnym i nie powinno być aktualizowane jak poprawnie zsynchronizowany klaster. Przed aktualizacją status HA, synchronizacja i role muszą być jednoznaczne. Do przygotowania pasuje warianty klastra HA Sophos Firewall.
Pattern Updates i Hotfixes nie są tym samym co firmware upgrade. W środowiskach HA Pattern Updates są aktualizowane na primary, a następnie synchronizowane; Hotfixes Sophos obsługuje oddzielnie. Dlatego po oknie firmware należy sprawdzić nie tylko wersję SFOS, ale także status Pattern, status Hotfix i synchronizację HA.
Jeśli wybrane zostało tylko Upload Firmware, czas instalacji można ustalić później. W tym celu w sekcji Firmware należy użyć ikony z dwiema strzałkami, gdy nadejdzie właściwy moment instalacji.

Automatyczna instalacja oprogramowania układowego SFOS
Jeśli posiadasz ważną licencję Enhanced Support, często można pobrać oprogramowanie bezpośrednio w GUI.
Uwaga: Jeśli nowa wersja oprogramowania nie pojawia się wystarczająco szybko w GUI albo trzeba zaplanować konkretny obraz, zawsze można użyć ręcznej metody.
- Zaloguj się do Sophos Firewall.
- Otwórz
Backup & Firmwarew nawigacji. - W Latest Available Firmware użyj Check for new firmware, aby wyszukać nowe wersje.
- Przy wskazanym update wybierz
Download. Jeśli w Control center pod Messages pojawi się informacja o firmware, ona również prowadzi do sekcji firmware. - Po zakończeniu pobierania rozpocznij instalację za pomocą
Install. Akcja kończy istniejące sesje i restartuje firewall z nowym firmware. - Po restarcie zaloguj się ponownie i sprawdź w lewym górnym rogu Control center oraz w
Backup & Firmware > Firmware, czy oczekiwana wersja jest aktywna.


Planowanie firmware przez Sophos Central
Jeśli aktualizacja nie jest planowana lub uruchamiana lokalnie w WebAdmin, lecz przez Sophos Central, obowiązuje kilka dodatkowych punktów. Sophos Central oferuje firmware upgrades tylko dla uprawnionych firewalli działających na obsługiwanej wersji firmware GA. Zaplanowane aktualizacje startują według strefy czasowej danego firewalla, nie według strefy czasowej przeglądarki ani administratora.
W praktyce przebieg jest krótki: w Sophos Central otworzyć właściwy firewall pod My Products > Firewall Management > Firewalls, wybrać przycisk download przy dostępnym upgrade, otworzyć Schedule Upgrades, przy wielu wersjach wybrać wersję docelową i ustawić datę oraz godzinę. Alternatywnie update można uruchomić natychmiast. Zaplanowane aktualizacje można edytować albo anulować przed startem.
Po oknie serwisowym należy dodatkowo sprawdzić Kolejkę zadań zarządzania zaporą Sophos Central. Tam można zobaczyć, czy zadanie Central zostało zakończone, czy też nieudane zadanie blokuje dalsze zmiany. Lokalna kontrola w WebAdmin pozostaje obowiązkowa, ponieważ status Central i faktycznie aktywna wersja firmware nie powinny być traktowane jako automatycznie identyczne.
Gdy brakuje akcji update
Jeśli w WebAdmin albo Sophos Central brakuje oczekiwanej akcji, zwykle nie jest to powód do nerwowego ponownego uploadu. Najpierw należy sprawdzić, którego warunku brakuje:
Installjest wyszarzone: sprawdzić uprawnienie support. Po trzech darmowych firmware upgrades do zwykłych zmian firmware potrzebny jest Enhanced Support albo Enhanced Plus Support.- Central nie pokazuje przycisku download: sprawdzić, czy firewall jest online, jest zarządzany w Sophos Central, działa na wersji firmware GA i jest uprawniony do wersji docelowej.
- Upload jest odrzucany: sprawdzić typ platformy, serię appliance, aktywną wersję, kompatybilny upgrade path i integralność pliku.
- Wersja docelowa nie pasuje: sprawdzić Release Notes i tabelę obsługiwanych upgrade. Przy niekompatybilnych zmianach właściwą drogą jest często reimage albo migracja, nie kolejna próba uploadu.
- Wiele gateways albo szczególna konfiguracja: przed zmianą wersji sprawdzić, czy wersja docelowa zawiera znane limity albo uwagi migracyjne dla lokalnej konfiguracji.
Sprawdzenie po aktualizacji
Po ponownym uruchomieniu nie należy od razu przechodzić do kolejnej zmiany. Najpierw trzeba upewnić się, że zapora rzeczywiście stabilnie działa na nowym oprogramowaniu i że najważniejsze funkcje operacyjne są dostępne.
Bezpośrednio sprawdź:
- Backup & Firmware > Firmware pokazuje oczekiwaną aktywną wersję.
- Control center nie pokazuje nowych krytycznych ostrzeżeń.
- Interfejsy, łącza WAN, trasy SD-WAN i domyślna brama są wiarygodne.
- Stan HA i role są zgodne, jeśli używany jest klaster.
- Połączenia VPN Site-to-Site, Remote Access VPN i RED są nawiązywane.
- DNS, DHCP, NAT, WAF i centralne reguły zapory działają w rzeczywistych testach.
- Synchronizacja Sophos Central i zarządzanie zaporą Central są aktualne.
- Monitoring, Syslog lub SIEM ponownie odbierają dane, jeśli są używane.
Jeśli po aktualizacji reguły, NAT lub VPN nie działają zgodnie z oczekiwaniami, najpierw należy zawęzić problem za pomocą Log Viewer, Policy Test, Packet Capture i odpowiednich dzienników usług. Do strukturalnego rozwiązywania problemów pasują Testowanie reguł zapory za pomocą Log Viewer, Policy Test i Packet Capture oraz Rozwiązywanie problemów z Sophos Firewall: Usługi i dzienniki.
Jeśli upload albo instalacja sama w sobie się nie powiedzie, nie należy po prostu wielokrotnie wgrywać tego samego obrazu. Typowe przyczyny to zły typ platformy, nieobsługiwany upgrade path, uszkodzone pobranie, za mało miejsca, problem synchronizacji HA albo migracja konfiguracji, która kończy się błędem podczas upgrade. Od SFOS 20.0 Sophos Firewall może przy określonych błędach migracji automatycznie wrócić do poprzedniej wersji i poprzedniego stanu konfiguracji. Mimo to przed ponownym uruchomieniem update potrzebna jest czysta analiza przyczyny.
Jeśli WebAdmin nie jest już dostępny z powodu uszkodzonego firmware, nie jest to normalna zmiana firmware. Na urządzeniach XG/SG, zależnie od sytuacji, istotny może być SFLoader; na urządzeniach XGS czystą ścieżką recovery przy uszkodzonym firmware jest zwykle reimage. Odpowiedni proces opisuje Ponowna instalacja systemu operacyjnego Sophos Firewall: Reimage za pomocą pamięci USB.
Przywracanie do poprzedniej wersji
Po aktualizacji może się zdarzyć, że niektóre funkcje nie działają zgodnie z oczekiwaniami. W takim przypadku można powrócić do poprzedniej partycji oprogramowania układowego. W tym celu kliknij ikonę przywracania obok bieżącej wersji. W klastrze HA obie zapory zostaną uruchomione z wybraną wersją.
Rollback nie jest tym samym co restore. Firewall uruchamia się ponownie z poprzednią wersją firmware i stanem konfiguracji tej partycji. Nadal potrzebne są odtwarzalny backup, znany Secure Storage Master Key i jasny plan recovery. Zmiany konfiguracyjne wykonane po zmianie wersji mogą zostać utracone przy powrocie do starszego firmware albo działać inaczej. Dlatego po update nie należy robić zbędnych zmian pobocznych, dopóki nie jest jasne, że nowa wersja działa stabilnie.
Rollback i downgrade również nie są tym samym:
- Rollback: przełączenie na poprzednio zainstalowaną kompatybilną wersję w drugim firmware slocie.
- Downgrade: przełączenie na wcześniejszą kompatybilną wersję, która nie musi być bezpośrednią poprzedniczką.
- Reimage: ponowna instalacja Sophos Firewall OS, zwykle z utratą danych na urządzeniu i późniejszym restore.
Przed przywróceniem należy krótko zanotować, dlaczego następuje powrót. Sensowne kryteria to na przykład: połączenie WAN nie jest stabilne, centralne VPN pozostają nieaktywne mimo sprawdzenia, HA nie synchronizuje się poprawnie, krytyczne reguły zapory nie działają lub znany błąd dotyczy dokładnie środowiska produkcyjnego. Jeśli tylko jedna usługa jest problematyczna, najpierw może być bardziej sensowne przeprowadzenie ukierunkowanego rozwiązywania problemów niż natychmiastowe przywracanie.
- WAN, HA lub centralne VPN wypadają w oknie serwisowym: rollback ma sens, jeśli przyczyny nie da się szybko ustabilizować. Jeśli widać jasny błąd konfiguracji, najpierw należy analizować celowo.
- Pojedyncza reguła, NAT lub publikacja WAF działa inaczej: rollback rozważać tylko przy szerokiej awarii albo znanym problemie firmware. W innym przypadku najpierw sprawdzić Log Viewer, Policy Test, Packet Capture i Service Logs.
- WebAdmin działa wolno, ale traffic jest stabilny: rollback rzadko jest pierwszym działaniem. Lepiej sprawdzić obciążenie, usługi, przeglądarkę, logi i znane wskazówki.
- HA-Cluster po update nie jest zsynchronizowany: rollback jest możliwy, jeśli produkcja jest zagrożona. Najpierw jednak trzeba sprawdzić role HA, sync status, linki i logi.
Przed kliknięciem należy udokumentować co najmniej aktywną wersję, wersję docelową, godzinę, objaw, dotknięte usługi, stan HA i już przetestowane punkty. W środowiskach HA dodatkowo powinno być jasne, który węzeł jest aktywny i że przy powrocie mogą ponownie wystąpić przerwy w sesjach, VPN lub dostępie do zarządzania.
Po przywróceniu należy ponownie rozpocząć sprawdzanie: kontrola aktywnej wersji oprogramowania, sprawdzenie Control center, WAN, VPN, HA, centralne reguły, NAT, WAF, DNS, DHCP, synchronizacja Central i logowanie z rzeczywistymi testami. Następnie nie należy po prostu pozostawać na starej wersji na stałe. Lepiej jest mieć krótki plan działania: zawęzić przyczynę, sprawdzić wsparcie lub wskazówki dotyczące wydania, zabezpieczyć kopię zapasową i dowody oraz ponownie zaplanować aktualizację docelową dopiero wtedy, gdy przyczyna zostanie zrozumiana.
