Ponowna instalacja Sophos Firewall OS z USB
Reimage instaluje Sophos Firewall OS całkowicie od nowa. Proces jest przeznaczony do sytuacji recovery, systemów laboratoryjnych, zmian modelu lub czystej ponownej instalacji. Przy normalnych zmianach wersji zwykle lepszym wyborem jest aktualizacja firmware przez interfejs WebAdmin.
⚠️ Ważne: Reimage całkowicie nadpisuje firewall. Konfiguracja, lokalne logi, certyfikaty, raporty i zapisane dane konta nie są później dostępne na urządzeniu. Przed rozpoczęciem potrzebny jest aktualny backup i pasujący Secure Storage Master Key (SSMK), jeśli zaszyfrowane dane konfiguracyjne mają zostać później przywrócone.
Reimage, aktualizacja firmware czy Factory Reset?
| Procedura | Cel | Typowe zastosowanie |
|---|---|---|
| Aktualizacja firmware | Zaktualizować SFOS do innej wersji | Normalna konserwacja przez Backup & Firmware > Firmware |
| Rollback | Wrócić do wcześniej zainstalowanej wersji firmware | Błąd po aktualizacji, dopóki poprzedni firmware jest jeszcze dostępny |
| Reset do ustawień fabrycznych | Zresetuj konfigurację | Urządzenie pozostaje w zainstalowanej wersji SFOS, konfiguracja została utracona |
| Reimage | Ponownie zainstalować SFOS z pamięci USB | Uszkodzony system, czysta ponowna instalacja, niezgodna zmiana wersji lub recovery |
Przy normalnej aktualizacji należy najpierw sprawdzić artykuł Sophos Firewall: wykonać aktualizację firmware SFOS. Factory Reset również nie jest tym samym co reimage: resetuje konfigurację, ale nie usuwa wszystkich lokalnych danych tak jak pełna ponowna instalacja. Secure Storage Master Key również nie jest usuwany podczas Factory Reset. Jeśli firewall naprawdę ma wrócić do czystego stanu domyślnego, włącznie z logami, raportami i lokalnymi danymi operacyjnymi, reimage jest właściwszą drogą. W przypadku urządzeń XGS z uszkodzonym firmware Sophos wskazuje procedurę reimage, ponieważ SFLoader nie jest dostępny dla XGS.
Kiedy nie robić ponownego obrazu
Reimage to wariant twardego odzyskiwania. Jeśli nadal możliwy jest normalny dostęp administracyjny, należy najpierw sprawdzić, czy wystarczy mniej inwazyjny sposób.
| Sytuacja | Lepiej najpierw sprawdź |
|---|---|
| WebAdmin zawiesza się, ale ruch jest kontynuowany | Uruchom ponownie interfejs GUI WebAdmin, konkretnie |
| Pojedyncza usługa nie odpowiada | Bezpiecznie uruchom ponownie usługi Sophos Firewall |
| Oczekująca aktualizacja oprogramowania | Plan aktualizacji i przywracania oprogramowania sprzętowego zamiast ponownego tworzenia obrazu |
| Konfiguracja powinna zostać usunięta | Przywrócenie ustawień fabrycznych może wystarczyć, jeśli sam SFOS jest zdrowy |
| Problemem jest przestrzeń dyskowa lub raporty | Sprawdź miejsce na dysku, raporty i logi |
| Sprawa pomocy technicznej jest nadal w toku | Wcześniej wykonaj kopię zapasową logów, archiwów wsparcia i bieżących błędów |
Reimage jest przydatny, jeśli system operacyjny jest uszkodzony, wymagana jest czysta odbudowa lub wsparcie Sophos lub plan odzyskiwania określa tę ścieżkę. Zwykle jest za wcześnie na normalną konserwację, indywidualne problemy z GUI lub niewyjaśnione problemy z wydajnością.
Kopia zapasowa przed ponownym obrazem
Przed produktywnym reimage należy przygotować następujące punkty:
- Pobierz kopię zapasową bieżącej konfiguracji i przechowuj ją bezpiecznie.
- Udokumentuj klucz główny bezpiecznego magazynu, jeśli kopia zapasowa zawiera zaszyfrowane dane konta.
- Sprawdź status licencji, numer seryjny i powiązanie z Sophos Central.
- Udokumentuj model, rewizję, aktualną wersję SFOS, build, wersję docelową i wersję backupu.
- Oddzielnie zanotuj dane WAN, VLAN, trasy statyczne, parametry VPN i specjalne informacje HA.
- Zaplanuj okresy konserwacji, ponieważ zapora nie będzie chronić i przetwarzać ruchu podczas ponownego tworzenia obrazu.
- Zapewniony lokalny dostęp do appliance, zasilania, portu USB i portu zarządzania.
- Sprawdź wcześniej proces przywracania, szczególnie w przypadku klastrów HA i krytycznych lokalizacji VPN.
- Utwórz kopię zapasową dzienników lub archiwów wsparcia, jeśli przyczyna wymaga późniejszej analizy.
Odpowiednie podstawy można znaleźć w Sophos Firewall: Tworzenie i przywracanie kopii zapasowej, Sophos Firewall: kontrola aktualizacji SFOS 22 i Sophos Firewall HA klaster: Active-Passive, Active-Active i Auxiliary Appliance.
Jeśli reimage jest częścią scenariusza RMA lub HA, ta dokumentacja staje się jeszcze ważniejsza. Wtedy liczy się nie tylko główna wersja, ale także build. Urządzenie zastępcze powinno pasować do zdrowego firewalla albo zostać świadomie podniesione do wersji docelowej, zanim rozpocznie się backup, transfer licencji i rekonfiguracja HA.
Wyjaśnij wcześniej, jak przywrócić zgodność
Najważniejszą częścią ponownego obrazu nie jest zapisywanie na pamięci USB, ale późniejsze pomyślne przywrócenie. Kopia zapasowa powinna być oceniana nie tylko po raz pierwszy po ponownej instalacji.
Wyjaśnij wcześniej:
| punkt | Dlaczego ważne |
|---|---|
| Wersja zapasowa | Kopii zapasowej nie można dowolnie przywrócić do żadnej starszej lub nowszej wersji SFOS. |
| Model docelowy | Liczba portów, nazwy interfejsów i klasa modelu wpływają na przywracanie i mapowanie portów. |
| Klucz główny bezpiecznego przechowywania | Bez odpowiedniego SSMK po przywróceniu zabraknie chronionych danych konta. |
| Licencja i konto | Po zmianie obrazu lub modelu zapora musi zostać poprawnie licencjonowana i ponownie przypisana. |
| rola HA | W klastrach musi być jasne, czy przebudowywana jest początkowa, podstawowa czy pomocnicza. |
| Starsza konfiguracja | Przed przywróceniem należy poznać stare programy blokujące IPsec dostępu zdalnego lub aktualizacje. |
Podczas wymiany sprzętu, migracji z XG do XGS lub przywracania do innego modelu, przed ostatecznym przywróceniem należy również sprawdzić, czy asystent przywracania kopii zapasowej jest dostępny i czy przypisanie portów jest prawidłowe. Proces opisano w Tworzenie lub przywracanie kopii zapasowej Sophos Firewall.
Dla HA i RMA obowiązuje praktyczna zasada: przed restore sprawdza się wersję firmware i build zaangażowanych urządzeń. Jeśli potrzebnej starej wersji firmware nie da się już normalnie pobrać, nie należy improwizować, lecz włączyć Sophos Support albo istniejący proces wsparcia.
Wymagania
- Urządzenie firewall Sophos lub odpowiednie oprogramowanie lub urządzenie wirtualne.
- Pamięć USB o pojemności co najmniej 4 GB.
- Komputer z systemem Windows, macOS lub Linux, aby utworzyć bootowalną pamięć USB.
- Narzędzie do zapisu obrazu ISO, np. balenaEtcher.
- Lokalny dostęp do urządzenia.
- Opcjonalnie: kabel USB do Micro USB lub adapter RJ45 COM do raportowania stanu i rozwiązywania problemów za pośrednictwem konsoli szeregowej.
W przypadku samego ponownego obrazu nie jest wymagana autoryzacja Rozszerzonego wsparcia. Jednakże odpowiednie warunki licencji i wsparcia mają zastosowanie do regularnych aktualizacji oprogramowania sprzętowego.
1. Pobierz odpowiedni obraz instalatora SFOS
Obraz instalatora pochodzi z oficjalnej strony pobierania Sophos:
- Otwórz Sophos Firewall Installer. Alternatywnie możliwe jest bezpośrednie pobranie.
- W przypadku urządzeń Sophos wybierz żądaną wersję SFOS w sekcji Hardware Installers.
- Zaakceptuj warunki licencji i pobierz obraz ISO.
W przypadku hardware appliances zwykle używa się obrazu z prefiksem HW. Software i virtual appliances korzystają z innych typów obrazów. Decydujące jest, aby platforma, wersja docelowa i plan restore do siebie pasowały. Zły obraz nie jest drobną kosmetyką, lecz może zatrzymać proces recovery.
Nazwa pliku obrazu instalacyjnego
Przykład: HW-22.0.1_MR-1-490.iso
| składnik | Znaczenie |
|---|---|
HW | Instalator urządzeń sprzętowych Sophos |
22.0.1 | Wersja SFOS |
MR-1 | Wersja konserwacyjna 1 |
490 | Numer kompilacji |
.iso | Obraz ISO dla pamięci USB lub instalacji oprogramowania |
Najważniejsze części nazwy pliku:
Typ platformy lub urządzenia
- HW: obraz ISO dla Sophos Hardware Appliances. Ten wariant jest zwykle wymagany do reimage urządzenia XGS.
- SW: obraz ISO dla Sophos Firewall jako Software Appliance.
- VI: pakiet obrazu dla Sophos Firewall jako Virtual Appliance.
- AMI: obraz dla Amazon AWS.
- AZU: obraz dla Microsoft Azure.
Platforma wirtualizacyjna dla plików VI
- HYV: Microsoft Hyper-V.
- KVM: KVM.
- VMW: VMware Hypervisor.
- XEN: Xen.
Typ wydania
- GA: General Availability. To ogólnie dostępna wersja główna lub pośrednia, często z nowymi funkcjami.
- MR: Maintenance Release. MR zawiera przede wszystkim poprawki, ulepszenia stabilności i dostosowania bezpieczeństwa w ramach istniejącej wersji.
Rozszerzenie pliku
- .iso: obraz ISO, który można zapisać na pamięci USB albo wykorzystać dla software appliances.
- .zip: archiwum z plikami obrazów dla Virtual Appliances.
- .sig: podpisany obraz dla określonych modeli appliance lub scenariuszy aktualizacji.
W przypadku systemów produkcyjnych bieżąca wersja MR obsługiwanej wersji jest zwykle lepszym wyborem niż niedawno wydana wersja GA. Jeśli ponowny obraz stanowi część sprawy związanej z odzyskiwaniem lub wsparciem, wersja docelowa powinna zawsze odpowiadać istniejącej kopii zapasowej, statusowi licencji i planowanemu przywracaniu.
Zatem w przypadku ponownego obrazu XGS zwykle odpowiedni jest plik HW-22.0.1_MR-1-490.iso. SW, VI, AMI lub AZU są przeznaczone dla innych platform i nie powinny być używane w urządzeniach sprzętowych.

2. Utwórz bootowalną pamięć USB
Pamięć USB jest formatowana podczas zapisywania obrazu ISO. Wszystkie istniejące dane na pamięci USB zostaną utracone.
- Włóż do komputera pamięć USB o pojemności co najmniej 4 GB.
- Pobierz i uruchom balenaEtcher.
- Użyj
Flash from file, aby wybrać pobrany obraz ISO SFOS. - Wybierz odpowiednią pamięć USB w
Select target. - Zapisz obraz ISO na pamięci USB za pomocą
Flash!.
Po zakończeniu procesu zapisu pamięć USB powinna zostać czysto wyjęta. Jeśli system macOS lub Windows zgłosi pendrive jako nieczytelny, nie musi to oznaczać błędu, ponieważ obraz został zapisany w celu uruchomienia urządzenia.

3. Zainstaluj ponownie SFOS na zaporze
Proces ponownego tworzenia obrazu przebiega bezpośrednio na urządzeniu. W tym czasie nie wolno wyłączać urządzenia.
- Całkowicie wyłącz firewall.
- Opcjonalnie przygotuj monitor, LCD albo konsolę szeregową, jeśli status instalacji ma być obserwowany.
- Włóż przygotowaną pamięć USB do firewalla.
- Włącz firewall.
- Poczekaj, aż Sophos Firmware Installer uruchomi się z pamięci USB.
- Monitoruj status instalacji zależnie od modelu appliance.
- Po pomyślnej instalacji wyjmij pamięć USB.
- Jeśli installer poprosi potem o potwierdzenie, uruchom ponownie z
y.
Stan urządzeń stacjonarnych XGS
Wiele modeli komputerów stacjonarnych XGS nie jest wyposażonych w port VGA, SVGA ani HDMI dla wyświetlacza. Dlatego status reimage jest wyświetlany za pomocą diody LED stanu z przodu. Jeśli chcesz zobaczyć więcej szczegółów, użyj konsoli szeregowej poprzez port COM.
| Rodzina modeli | Złącze ekranu | Stan podczas ponownego tworzenia obrazu |
|---|---|---|
| XGS 87/87w/107/107w | Brak VGA, SVGA lub HDMI | Dioda LED stanu i opcjonalna konsola szeregowa |
| XGS 116 / 116w / 126 / 126w / 136 / 136w | Brak VGA, SVGA lub HDMI | Dioda LED stanu i opcjonalna konsola szeregowa |
| XGS 88/88w/108/108w | Brak VGA, SVGA lub HDMI | Dioda LED stanu i opcjonalna konsola szeregowa |
| XGS 118 / 118w / 128 / 128w / 138 | Brak VGA, SVGA lub HDMI | Dioda LED stanu i opcjonalna konsola szeregowa |
| Stan diody | Znaczenie |
|---|---|
| 🔴 Miga na czerwono | Reimage działa |
| 🟢 Trwale zielone | Reimage się udało |
| 🔴 Trwale czerwony | Reimage nie powiódł się |
Ponowne wyświetlanie obrazu jest zakończone dopiero wtedy, gdy dioda LED świeci ciągłym zielonym światłem. Gdy dioda LED miga na czerwono, proces nadal trwa.
Stan urządzeń stelażowych XGS
Urządzenia regałowe pokazują stan na zintegrowanym wyświetlaczu. Typowe wiadomości to Installation in progress, Installation successful, Installation failed lub Failsafe mode.
Stan poprzez konsolę szeregową
Do dodatkowej diagnostyki można podłączyć konsolę. W aktualnych XGS Desktop Appliances zwykle nie jest to już klasyczny stary port RS-232 w notebooku, lecz kabel USB-Micro-USB do portu COM Micro USB firewalla. Appliance mimo to udostępnia przez niego konsolę szeregową. Na komputerze administratora pojawia się jako port COM w Windows albo jako urządzenie tty w macOS i Linux.
Jest to szczególnie przydatne, jeśli nie ma połączenia z ekranem, dioda LED pozostaje stale czerwona, ładowanie z pamięci USB jest niejasne lub chcesz bezpośrednio zobaczyć komunikat instalacyjny i komunikaty o błędach. Wiele modeli XGS posiada także port COM RJ45. Ten port COM RJ45 jest portem konsoli, a nie zwykłym portem sieciowym. Jeśli jednocześnie podłączone są Micro-USB i RJ45-COM, priorytet ma Micro-USB.
Typowe narzędzia:
- Windows: PuTTY, Windows Terminal lub inny klient terminala szeregowego.
- macOS: Terminal z
screen, na przykładscreen /dev/tty.usbserial-XXXX 38400. - Linux:
screen,minicomlubpicocom.
Ustawienia szeregowe:
| Ustawienie | Wartość |
|---|---|
| Szybkość transmisji | 38400 |
| bity danych | 8 |
| Parytet | Brak |
| Bity stopu | 1 |
4. Dotrzyj do zapory ogniowej po wykonaniu ponownego obrazu
Po ponownym utworzeniu obrazu zapora sieciowa uruchamia się ze standardową konfiguracją. Pierwszy dostęp odbywa się zazwyczaj przez Port 1:
- IP zarządzania:
https://172.16.16.16:4444 - Połączenie: komputer podłączony bezpośrednio do portu 1 firewalla
- Adres IP komputera: ustaw odpowiedni statyczny adres IP w sieci
172.16.16.0/24, jeśli dostęp nie jest możliwy
Następnie następuje podstawowa konfiguracja lub przywrócenie istniejącej kopii zapasowej. Podczas przywracania należy określić odpowiedni klucz główny bezpiecznego magazynu, jeśli kopia zapasowa zawiera chronione dane konta.
Po przywróceniu należy sprawdzić przynajmniej te punkty:
- Interfejsy, strefy i sieci VLAN.
- Brama domyślna, trasy statyczne i trasy SD-WAN.
- Reguły zapory ogniowej, reguły NAT i ochrona serwera WWW.
- Połączenia VPN i certyfikaty.
- Stan licencji i synchronizacja z Sophos Central.
- Stan HA, jeśli zapora jest częścią klastra.
- Rejestrowanie, cele syslog i raportowanie.
W przypadku zapór sieciowych zarządzanych centralnie pomaga również opcja Połącz Sophos Firewall z Sophos Central. W przypadku zmiany modelu lub starszych urządzeń, Sophos XG lub XGS Firewall: Wybór odpowiedniego urządzenia jest istotny.
HA i RMA nie traktować jak pojedynczego urządzenia
Przy pojedynczym urządzeniu laboratoryjnym reimage jest zwykle liniowy: zapisać obraz, zainstalować, przywrócić backup, przetestować. Przy HA i RMA proces jest bardziej wrażliwy. Trzeba wcześniej wiedzieć, które urządzenie jest zdrowe, jaką ma rolę, jaką wersję firmware i build uruchamia oraz czy najpierw trzeba uporządkować Sophos Central albo transfer licencji.
W środowiskach Active-Passive urządzenia zastępczego nie należy po prostu wpinać do klastra ze wszystkimi kablami. Typowy jest kontrolowany proces: sprawdzić stan firmware, osiągnąć urządzenie zastępcze lokalnie przez Port 1, podłączyć WAN tylko do rejestracji lub transferu licencji, przywrócić pasujący backup, świadomie odbudować HA i dopiero potem przepiąć kable produkcyjne. Dokładna kolejność zależy od tego, czy zastępowany jest Primary, czy Auxiliary.
Test akceptacyjny po ponownym utworzeniu obrazu i przywróceniu
Po udanym logowaniu szybkie spojrzenie na dashboard nie wystarczy. Zapora sieciowa musi ponownie poprawnie obsługiwać najważniejsze ścieżki produkcyjne.
Rozsądna kolejność:
- Sprawdź status licencji, numer seryjny, model i wersję oprogramowania.
- Sprawdź interfejsy, stan łącza, sieci VLAN i strefy.
- Sprawdź bramę WAN, DNS, NTP i połączenie Sophos Central.
- Sprawdź reguły zapory sieciowej, reguły NAT i przeglądarkę dzienników za pomocą klienta testowego.
- Przetestuj sieci VPN typu site-to-site i dostęp zdalny na rzeczywistych obiektach testowych.
- Sprawdź status HA i role, jeśli dotyczy to klastra.
- Kontroluj syslog, centralne raportowanie, kopie zapasowe i zaplanowane raporty.
- Usuń stary dostęp tymczasowy, konta administratora lokalnego lub wyjątki odzyskiwania.
Jeśli przywracanie zakończyło się pomyślnie, ale ruch nie jest płynny, nie należy natychmiast wykonywać ponownego tworzenia obrazu. Często ma to wpływ na mapowanie interfejsu, routing, NAT, dostęp do urządzenia, stan licencji lub ścieżkę zwrotną stacji zdalnej. Odpowiednie do analizy są Testowanie reguł zapory ogniowej za pomocą przeglądarki logów, Test zasad i przechwytywanie pakietów, Opis NAT w zaporze Sophos i Rozwiązywanie problemów z VPN zapory Sophos IPsec.
Typowe problemy
Firewall nie uruchamia się z pamięci USB
Najczęściej pamięć USB nie została poprawnie zapisana, wybrano zły obraz albo appliance nie startuje z oczekiwanego portu USB. W takim przypadku należy ponownie zapisać ISO za pomocą balenaEtcher, przetestować inną pamięć USB i obserwować start przez monitor, LCD, diodę statusu albo konsolę szeregową.
Dioda LED pozostaje stale czerwona
Stale czerwona dioda statusu oznacza, że reimage się nie powiódł. Nie należy wtedy ślepo kontynuować pracy produkcyjnej: sprawdź pamięć USB, typ obrazu, model docelowy i komunikat instalacyjny. Przy powtarzającym się błędzie konsola szeregowa i Sophos Support są sensowniejsze niż wiele identycznych prób.
Backup-restore się nie udaje
Typowe przyczyny to niepasująca wersja docelowa, uszkodzony backup, brakujący SSMK albo restore na inny model bez czystego mapowania portów. Najpierw sprawdź wersję backupu, docelową wersję SFOS, build, platformę i SSMK. Potem ustal, czy potrzebny jest Restore Assistant, krok pośredni przez inną wersję SFOS albo support.
WebAdmin po reimage nie jest dostępny
Po reimage znów obowiązuje konfiguracja standardowa. Komputer podłącza się bezpośrednio do Port 1, ustawia pasujący adres IP w sieci 172.16.16.0/24 i otwiera https://172.16.16.16:4444. Jeśli to nie działa, najpierw sprawdza się link status, lokalny adres IP klienta, ostrzeżenie certyfikatu w przeglądarce i ewentualnie status bootowania.
HA po restore nie startuje czysto
Przy HA problemem często nie jest sam reimage, lecz rola, stan firmware, build, Initial Primary, przypisanie Central albo kolejność restore. Dlatego nie aktywuj HA automatycznie ponownie, tylko najpierw udokumentuj stan obu urządzeń i porównaj go z planowanym procesem HA.
Traffic po restore nie płynie
Jeśli konfiguracja została przywrócona, ale traffic nie działa, często zaangażowane są interface mapping, strefy, routing, NAT, Device Access, status licencji albo ścieżki powrotne. Wtedy Log Viewer, Rule ID, NAT ID, Route Lookup i Packet Capture pomagają bardziej niż kolejny reimage.
Brakuje licencji albo połączenia Central
Po reimage, RMA albo zmianie modelu numer seryjny, przypisanie konta, transfer licencji, DNS, gateway i połączenie Sophos Central muszą znowu pasować. Dopiero gdy firewall jest czysto online, można z tego wyprowadzać stan produkcyjny.
Lista kontrolna
- Pobrano kopię zapasową.
- Dostępny klucz główny bezpiecznego przechowywania.
- Udokumentowano kopię zapasową i docelową wersję SFOS.
- Sprawdzono build firmware i rewizję modelu, szczególnie przy HA lub RMA.
- Sprawdzono numer seryjny, status licencji i przypisanie centralne.
- Wybrano odpowiedni obraz instalatora SFOS.
- Pamięć USB została pomyślnie zapisana.
- Wyjaśniono okna konserwacji i dostęp lokalny.
- Urządzenie nie zostało wyłączone podczas ponownego tworzenia obrazu.
- Dotarto do WebAdmin przez port 1 po ponownym uruchomieniu.
- Przywrócono kopię zapasową i wprowadzono SSMK.
- Sprawdzono sieć, VPN, licencję, centralę i HA.
- Przeprowadzono testy reguł, NAT, routingu i VPN z prawdziwymi klientami.
- Tymczasowy dostęp do odzyskiwania i wyczyszczone notatki.