Sophos Firewall Aktualizacja oprogramowania sprzętowego: przygotowanie i najlepsze praktyki
Aktualizacje oprogramowania sprzętowego zapewniają Sophos Firewall bezpieczeństwo, stabilność i wsparcie. Niemniej jednak nie powinieneś traktować tego jak zwykłej aktualizacji pakietu. Aktualizacja SFOS może mieć wpływ na zachowanie HA, tunele VPN, certyfikaty, ochronę sieci, TLS Inspection, dostęp zdalny, centralną integrację i routing.
Szerszy kontekst hardening opisuje hub Sophos Firewall Hardening: best practices dla bezpiecznej konfiguracji.
Ten artykuł zawiera listę kontrolną dotyczącą planowania i obsługi przed aktualizacją oprogramowania sprzętowego Sophos Firewall. Pomaga Ci zdecydować, czy aktualizacja może zostać opublikowana teraz, jakie zależności należy sprawdzić przed oknem konserwacji i kiedy wycofanie zmian ma większy sens niż dalsze rozwiązywanie problemów. Konkretną instalację za pośrednictwem WebAdmin opisano w artykule Sophos Firewall Wykonywanie aktualizacji oprogramowania sprzętowego.
⚠️ Ważne: Przed każdą aktualizacją oprogramowania sprzętowego wymagana jest aktualna kopia zapasowa, odpowiedni Secure Storage Master Key i przetestowany plan wycofania. W przypadku SFOS 22 lub nowszego, należy również przetworzyć artykuł Sophos Firewall przed aktualizacją SFOS 22, ponieważ platforma, przestrzeń dyskowa, nazwy interfejsów, STAS i starszy dostęp zdalny IPsec są tam specjalnie sprawdzane.
Który artykuł dotyczący aktualizacji pasuje?
Tematy oprogramowania sprzętowego szybko się pokrywają. Dlatego ważne jest, aby administratorzy najpierw wybrali właściwy proces:
- Przygotuj aktualizację, oceń ryzyko i zaplanuj okresy konserwacji: Ten artykuł.
- Prześlij lub zainstaluj obraz oprogramowania sprzętowego w WebAdmin: Sophos Firewall Wykonaj aktualizację oprogramowania sprzętowego.
- Przygotuj się do aktualizacji do SFOS 22 lub nowszej: Sophos Firewall przed SFOS 22 Sprawdź aktualizację.
- Sprawdź kopię zapasową, Secure Storage Master Key i możliwość przywracania: Sophos Firewall Utwórz lub przywróć kopię zapasową.
- Zainstaluj ponownie całkowicie system operacyjny zapory sieciowej lub przywróć go po ponownym utworzeniu obrazu: Sophos Firewall Zainstaluj ponownie system operacyjny: Wykonaj ponowny obraz za pomocą pamięci USB.
- Przypisz klaster HA przed konserwacją, przełączeniem awaryjnym lub aktualizacją: Sophos Firewall Warianty klastra HA.
- Centralnie kontrolowana aktualizacja lub zadanie zapory zawiesza się: Sophos Central Sprawdź kolejkę zadań zarządzania zaporą.
- Oceń platformę XG, SG lub XGS przed aktualizacją: Sophos XG vs. XGS: Różnice, EOL i migracja.
- Zbierz numer seryjny, stan licencji lub informacje o wsparciu dla zmiany: Znajdź numer seryjny Sophos Firewall.
To oddzielenie zapobiega typowym błędom. Aktualizacja oprogramowania sprzętowego to nie to samo, co ponowny obraz, wycofanie zmian nie zastępuje kopii zapasowej, a pomyślne pobranie nie dowodzi, że ścieżka aktualizacji, uprawnienia do wsparcia, stan HA i plan odzyskiwania są zgodne. Dlatego w artykule poświęconym planowaniu nie należy powtarzać każdego kliknięcia instalacji, ale raczej jasno określić decyzję o wydaniu.
Kiedy przygotować aktualizację
W przypadku niewielkich wydań konserwacyjnych często wystarcza krótka kontrola. Przygotowanie strukturalne jest obowiązkowe, jeśli ma zastosowanie co najmniej jeden z poniższych punktów:
- Wydajna zapora sieciowa z wieloma łączami nadrzędnymi WAN, sieciami VPN, regułami NAT lub publikacjami WAF.
- Klaster HA lub zdalna lokalizacja bez łatwego dostępu fizycznego.
- Przeskok wersji pomiędzy kilkoma wydaniami lub zmiana na nową wersję główną, np. SFOS 22.
- XG, SG, oprogramowanie, urządzenie wirtualne lub w chmurze z problemami z platformą lub licencją.
- Zależności krytyczne, takie jak Microsoft Entra ID, RADIUS, LDAP, certyfikaty, DNS, DHCP, SD-WAN lub Sophos Central.
- Znane problemy z wydajnością, pamięcią masową lub dyskiem SSD w urządzeniu.
Im większa zmiana, tym bardziej aktualizację należy traktować jako zmianę w elemencie Runbook, planie testowania i wycofywaniu zmian.
1. Sprawdź informacje o wersji i ścieżkę aktualizacji
Przed aktualizacją najpierw wyjaśnij, czy wersja docelowa pasuje do bieżącego środowiska.
- Sprawdź Informacje o wydaniu Sophos, aby sprawdzić, czy wersja docelowa została wydana, oraz aby zapoznać się z uwagami na temat własnej gałęzi wydań.
- Dodatkowo sprawdź oficjalne informacje o wydaniu wersji docelowej i Znane problemy, aby znane problemy nie stały się widoczne dopiero po aktualizacji.
- Udokumentuj istniejącą wersję, wersję docelową i obsługiwaną ścieżkę aktualizacji.
- Ważne: wybieraj tylko obsługiwane ścieżki aktualizacji. Jeśli ścieżka aktualizacji nie jest obsługiwana, po aktualizacji oprogramowania sprzętowego zaporę można zresetować do ustawień fabrycznych.
- W SFOS 22 zauważ, że sprzęt XG i SG nie jest już obsługiwany.
- W przypadku SFOS 21.5 należy zauważyć, że nie każda ścieżka docelowa automatycznie prowadzi do SFOS 22 GA. Decydujące są informacje o wydaniu konkretnej wersji docelowej.
- W przypadku wielu sieci VLAN, mostów, LAG, interfejsów RED lub XFRM sprawdź, czy nazwy interfejsów zawierające długie bloki liczb mogą powodować problem z wyświetlaniem WebAdmin.
- W przypadku starszego dostępu zdalnego IPsec sprawdź, czy aktualizacja do wersji SFOS 22 MR1 lub nowszej nie jest zablokowana.
- W przypadku STAS i reguł opartych na użytkownikach sprawdź, czy znane uwagi dotyczące aktualizacji dotyczą Twojej własnej konfiguracji.
- W przypadku zapór programowych, wirtualnych, Azure lub AWS BYOL wyjaśnij, czy przed aktualizacją należy zgłosić zaporę w Sophos Central.
- W przypadku skoków wersji niekompatybilnych nie planuj normalnej aktualizacji, ale przygotuj koncepcję reimage.
W przypadku konkretnych decyzji o aktualizacji nie liczą się ogłoszenia, ale raczej informacje o wydaniu, znane problemy, obsługiwane ścieżki aktualizacji i lokalne planowanie oprogramowania sprzętowego. Jeśli wydanie po prostu brzmi interesująco, ale ścieżka aktualizacji, platforma, uprawnienia do wsparcia lub wycofanie nie są jasne, zmiany nie należy jeszcze publikować.
W praktyce przydatna jest szybka decyzja bezpośrednio podczas zmiany: aktualna wersja, wersja docelowa, obsługiwana ścieżka, znane blokery, dotknięta platforma i oczekiwana ścieżka powrotu. Dzięki temu później będzie jasne, dlaczego zainstalowano właśnie tę wersję, a nie po prostu „najnowszą”.
2. Wyjaśnij, czy kwalifikuje się licencja i wsparcie
Seit SFOS 19.0 MR1 jest dostępny dla nowych aktualizacji oprogramowania sprzętowego. Rozszerzona obsługa lub ulepszona obsługa Plus dla innych aktualizacji oprogramowania sprzętowego. Bez odpowiedniej autoryzacji pomocy technicznej może być możliwe przeglądanie lub pobieranie oprogramowania sprzętowego, ale późniejsze regularne aktualizacje mogą zostać zablokowane.
Exceptions apply to, among other things, pattern updates, hotfixes, reimages, mandatory firmware upgrades and assistant firmware upgrades. Jednakże te wyjątki nie zastępują prawidłowego planowania aktualizacji.
Przed wprowadzeniem zmiany należy zatem sprawdzić:
- Administration > Licensing pokazuje ważną licencję i uprawnienia do wsparcia.
- Sophos Central pokazuje zaporę sieciową z poprawnym numerem seryjnym.
- Dostęp do pomocy technicznej i osoby kontaktowe są znane.
- Możliwe jest pobranie wersji docelowej.
- W razie potrzeby przygotowany jest dostęp do wsparcia Avanet lub Sophos.
Jeśli Avanet ma wspierać tę zmianę, odpowiedni będzie artykuł Konfigurowanie dostępu pomocy technicznej Avanet do Sophos Firewall.
3. Przygotuj kopię zapasową, SSMK i wycofanie
Trwa instalowanie aktualizacji oprogramowania sprzętowego w drugim gnieździe oprogramowania sprzętowego. Dlatego często możliwy jest powrót do poprzedniej wersji. Niemniej jednak wycofanie zmian nie zastępuje kopii zapasowej, ponieważ stan konfiguracji, zgodność przywracania i stan działania należy sprawdzić osobno.
Najważniejszy punkt jest często niedoceniany: Sophos Firewall utrzymuje aktywny i poprzedni firmware wraz z odpowiednim stanem konfiguracji na oddzielnych partycjach. Rollback przywraca więc nie tylko stary kod SFOS, ale także poprzednią konfigurację. Zmiany wprowadzone po upgrade mogą potem zniknąć albo działać inaczej.
Przed aktualizacją:
- Pobierz nową kopię zapasową konfiguracji.
- Sprawdź Secure Storage Master Key w menedżerze haseł.
- Provide backup password and admin access.
- Udokumentuj istniejącą wersję oprogramowania sprzętowego i wersję docelową.
- Udokumentuj bieżącą konfigurację, krytyczne zrzuty ekranu i czas zmian.
- W przypadku większych zmian sprawdź także centralną kopię zapasową lub kopię zapasową przechowywaną zewnętrznie.
Proces tworzenia kopii zapasowej i przywracania jest szczegółowo opisany w Sophos Firewall Tworzenie lub przywracanie kopii zapasowej. Jeśli normalna zmiana oprogramowania sprzętowego nie jest możliwa, pomocny będzie artykuł Sophos Firewall Zainstaluj ponownie system operacyjny: Reimage za pomocą pamięci USB.
Od wersji SFOS 20.0 zapora sieciowa może automatycznie przywrócić poprzednią wersję i stan konfiguracji w przypadku pewnych problemów podczas migracji konfiguracji. Jest to funkcja bezpieczeństwa, ale nie licencja na nieprzygotowane aktualizacje. Po automatycznym wycofaniu należy wyjaśnić przyczynę przed podjęciem kolejnej próby.
4. Przygotuj dowód zmiany
W przypadku prostych wersji konserwacyjnych często wystarcza kopia zapasowa, zrzut ekranu strony oprogramowania sprzętowego i krótka notatka o zmianach. W przypadku większych aktualizacji należy również zapisać, która konfiguracja była prawidłowa przed oknem konserwacji i jakie zmiany wprowadzono podczas kontroli uzupełniającej.
Te narzędzia odpowiadają na różne pytania:
- Kopia zapasowa: Jaki stan konfiguracji można przywrócić?
- Config Studio: Co wyróżnia dwa stany konfiguracji?
- Ścieżka audytu: Kto dokonał jakich obsługiwanych zmian konfiguracji i kiedy?
Sophos Firewall Config Studio jest przydatne, jeśli chcesz porównać stany konfiguracji przed i po aktualizacji. Nie zastępuje to kopii zapasowej, ale pomaga w odpowiedzi na pytanie, czy reguły, obiekty, interfejsy lub zasady nie zostały nieoczekiwanie zmienione w trakcie okna konserwacji.
Ścieżka audytu Sophos Firewall jest odpowiednia do śledzenia czasowego. Jest to szczególnie przydatne, gdy zaangażowanych jest wielu administratorów lub gdy centralnie kontrolowana zmiana przebiegała równolegle z aktualizacją oprogramowania sprzętowego. Jeśli aktualizacja lub zmiana konfiguracji zostanie wyzwolona za pośrednictwem Sophos Central, Sophos Central Kolejka zadań zarządzania zaporą sieciową jest również częścią kontroli uzupełniającej.
5. Sprawdź miejsce na dysku i stan systemu
Niewystarczająca ilość miejsca na dysku, stare dzienniki lub niestabilny stan HA mogą sprawić, że aktualizacja będzie niepotrzebnie ryzykowna. Przed poważną aktualizacją należy świadomie sprawdzić stan systemu.
W WebAdmin:
- Sprawdź Centrum sterowania pod kątem ostrzeżeń.
- Otwórz Backup & Firmware > Firmware i sprawdź dostępne wersje.
- Sprawdź Diagnostics > Log viewer pod kątem powtarzających się błędów systemowych.
- Sprawdź usługi System i odpowiednie usługi.
- W SFOS 22 sprawdź także zaporę sieciową Health Check, jeśli jest dostępna.
Wolną przestrzeń dyskową można sprawdzić poprzez SSH lub Advanced Shell:
df -kh
Jeśli partycja jest bardzo pełna, nie należy aktualizować na ślepo. Najpierw sprawdź, czy stare pliki lokalne, dzienniki, raporty lub zrzuty pomocy technicznej zajmują miejsce. Jeśli przyczyna jest niejasna, zgłoszenie do pomocy technicznej jest bezpieczniejsze niż ręczne usuwanie w Advanced Shell. Praktyczny proces odbywa się w Sophos Firewall Sprawdź miejsce na dysku i zarządzaj raportami.
Jeśli urządzenie jest stare, zapisuje wiele raportów lokalnych lub już wykazuje problemy z we/wy lub bazą danych, należy również sprawdzić i udokumentować kondycję dysku SSD za pośrednictwem SMART.
Sophos Firewall rozwiązywanie problemów: Services i logi, Sophos Firewall Packet Capture w WebAdmin i Sophos Firewall Health Check użyj poprawnie pomoc dotycząca analizy statusu i logów.
6. Zaplanuj osobno klaster HA
Klastrów HA nie należy traktować jak pojedynczych zapór sieciowych. Sophos pisze, że do aktualizacji oprogramowania sprzętowego nie trzeba wyłączać HA. Niemniej jednak aktualizacja HA wymaga większej kontroli, ponieważ ma to wpływ na oba urządzenia, gniazda oprogramowania sprzętowego, role i zachowanie w przypadku przełączania awaryjnego.
Przed aktualizacją:
- Sprawdź stan HA w WebAdmin.
- Jednoznaczna identyfikacja urządzeń podstawowych i pomocniczych.
- Sprawdź łącze HA i synchronizację.
- Zapewnij tę samą wersję oprogramowania sprzętowego na obu urządzeniach.
- Zaplanuj okno konserwacji również dla Active-Passive-HA.
- Poinformuj o oczekiwanej krótkiej przerwie podczas zmiany roli.
W stanie połączonego HA aktualizacja oprogramowania sprzętowego jest uruchamiana na urządzeniu podstawowym i przetwarzana przez klaster dla obu urządzeń. Zazwyczaj najpierw jest aktualizowane i uruchamiane ponownie urządzenie pomocnicze, po czym następuje zmiana roli, a następnie aktualizowane jest poprzednie urządzenie podstawowe. W zależności od konfiguracji HA, preferowany podstawowy może na końcu ponownie stać się aktywny. Urządzenia pomocniczego nie należy aktualizować osobno. Aktualizacje sygnatur i poprawki są stosowane niezależnie na urządzeniach.

W przypadku środowisk HA należy również przeczytać Sophos Firewall Klaster HA: Active-Passive, Active-Active i Auxiliary Appliance.
7. Zdefiniuj okna konserwacji i testy
Dobre okno konserwacji obejmuje nie tylko czas instalacji, ale także późniejsze dokładne testy.
Ustaw przed aktualizacją:
- Czas rozpoczęcia, czas ostatniego przerwania i decyzja o wycofaniu.
- Osoba odpowiedzialna za firewall, sieć, serwery, aplikacje i wsparcie.
- Lista testowa dla Internetu, DNS, DHCP, sieci VLAN, NAT, VPN, WAF, poczty, ochrony sieci i aplikacji krytycznych.
- Dostępność poprzez lokalny port zarządzania lub dostęp alternatywny.
- Wstrzymanie monitorowania lub tryb konserwacji w monitorowaniu System.
- Ścieżka komunikacji, jeśli dostęp zdalny nie powiedzie się podczas zmiany.
Testy nie powinny składać się wyłącznie z pingów. W przypadku wydajnych zapór ogniowych ważniejsze są rzeczywiste kontrole połączeń: logowanie VPN, dostęp do aplikacji wewnętrznych, rozdzielczość DNS, dostęp do sieci, opublikowane usługi, przepływ poczty, trasy SD WAN i centralne uwierzytelnianie.
Jeśli aktualizacja oprogramowania sprzętowego jest zaplanowana poprzez Sophos Central, strefa czasowa zapory sieciowej należy do Zmiany. Sophos Central rozpoczyna zaplanowane aktualizacje oprogramowania sprzętowego zgodnie ze strefą czasową odpowiedniej zapory ogniowej. W przypadku lokalizacji rozproszonych na całym świecie decydujący nie jest czas lokalnej przeglądarki administratora, ale raczej czas obowiązujący dla zapory ogniowej.
Ponadto Sophos Central pokazuje aktualizacje oprogramowania sprzętowego tylko dla odpowiednich zapór sieciowych. Jeśli w Centrali brakuje przycisku pobierania lub przycisku Schedule, nie należy od razu zakładać błędu interfejsu użytkownika. Najpierw sprawdź: czy zapora działa na wersji oprogramowania GA, czy jest online, czy jest poprawnie zarządzana w Centrali, czy autoryzacja licencji/wsparcia jest prawidłowa i czy wydano wersję docelową dla tej platformy?
8. Sprawdź po aktualizacji
Po ponownym uruchomieniu zmiana nie została jeszcze zakończona. Najpierw musisz sprawdzić, czy zapora sieciowa rzeczywiście działa w oczekiwanym stanie.
Natychmiast po aktualizacji:
- Sprawdź aktywną wersję SFOS.
- Sprawdź, czy oczekiwane gniazdo oprogramowania sprzętowego jest aktywne i czy nastąpiło automatyczne wycofanie.
- Sprawdź status aktualizacji licencji i sygnatur.
- Sprawdź System i logi jądra pod kątem zauważalnych błędów.
- Sprawdź interfejsy, trasy SD WAN, tunele VPN i stan HA.
- Sprawdź reguły zapory sieciowej, NAT, ochronę sieci, TLS Inspection i WAF za pomocą prawdziwych testów.
- Sophos Central Sprawdź synchronizację.
- Włącz ponownie monitorowanie.
- Dodaj dokumentację zmian zawierającą wyniki, czasy i odchylenia.
Jeśli aktualizacja oprogramowania sprzętowego została zaplanowana lub uruchomiona za pośrednictwem Sophos Central, kolejka zadań zarządzania zaporą ogniową Sophos Central jest również uwzględniona w kontroli uzupełniającej. Można tam sprawdzić, czy zadanie centralne zostało zakończone pomyślnie, czy też zadanie zakończone niepowodzeniem blokuje późniejsze zmiany.
Jeśli po aktualizacji wystąpią nieoczekiwane błędy, należy najpierw zawęzić różnicę pomiędzy problemem konfiguracji, błędem oprogramowania sprzętowego, problemem licencji i problemem systemu zewnętrznego. Log Viewer, Packet Capture i ukierunkowane dzienniki usług są bardziej pomocne niż natychmiastowe wielokrotne ponowne uruchomienie.
Nie należy klikać wycofania ze zdenerwowania, ale nie powinno też być za późno. Jeśli WAN, HA, centralne VPN lub wydania krytyczne dla produkcji nie mogą zostać ustabilizowane w zdefiniowanym oknie analizy, planowana ścieżka powrotna jest często czystsza niż ciągłe wprowadzanie nowych, indywidualnych poprawek podczas trwającej awarii. Z drugiej strony, jeśli tylko pojedyncza reguła, obiekt lub usługa zewnętrzna jest nienormalna, Log Viewer, Packet Capture i logi usług zwykle dają lepszą odpowiedź.
Typowe błędy związane z aktualizacjami oprogramowania sprzętowego
- Aktualizacja bez nowej kopii zapasowej: Przywracanie lub przywracanie zmian staje się niepotrzebnie ryzykowne. Przed zmianą należy sprawdzić Backup i SSMK.
- Uwagi do wydania można czytać tylko powierzchownie: Pomijane są znane błędy, blokady platform lub nieobsługiwane ścieżki aktualizacji. Informacje o wydaniu Sophos, znane problemy i obsługiwana ścieżka aktualizacji znajdują się w dokumentacji zmian.
- SFOS-22 pominięto kontrolę: Platforma, przestrzeń dyskowa, interfejs, STAS lub starsze blokery IPsec są zauważane tylko w oknie konserwacji. Oddzielna kontrola aktualizacji powinna zostać przeprowadzona przed SFOS 22 lub nowszą wersją.
- Zakłada się, że HA działa bezawaryjnie: Przełączenie awaryjne może przerywać sesje i indywidualne połączenia. Okna konserwacji i plany testów pozostają konieczne nawet w przypadku HA.
- Brak lokalnego dostępu awaryjnego: Zdalna zmiana może utknąć z powodu problemów z VPN lub WAN. Dostęp poza pasmem lub opcje na miejscu należy wyjaśnić z wyprzedzeniem.
- Testowano tylko ping: Problemy z aplikacjami, DNS, TLS lub VPN pozostają niewykryte. Testy techniczne na usługę są ważniejsze niż pojedynczy test ICMP.
- Podjęto decyzję o wycofaniu zmian za późno: Przestój staje się dłuższy niż to konieczne. Czas zakończenia i kryteria wycofywania należy ustalić przed rozpoczęciem.
- Nieporozumienie w centralnym harmonogramie: W przypadku centralnie zaplanowanych aktualizacji liczy się strefa czasowa zapory ogniowej. Jest to szczególnie ważne w przypadku lokalizacji w innych krajach.
- Central nie wyświetla aktualizacji oprogramowania sprzętowego: Zapora sieciowa może nie działać na poziomie oprogramowania sprzętowego GA, nie jest autoryzowana, jest w trybie offline lub nie jest odpowiednia dla wersji docelowej. Sprawdź licencję, status centralny, platformę i informacje o wydaniu.
Lista kontrolna
- Sprawdzono wersję docelową i ścieżkę aktualizacji.
- Sprawdzono informacje o wersji Sophos, oficjalne informacje o wersji, znane problemy i obsługiwaną ścieżkę aktualizacji.
- SFOS 22 Sprawdzenie aktualizacji przeprowadzone dla odpowiednich aktualizacji, w tym platformy, nazw interfejsów, przestrzeni dyskowej, STAS i starszego dostępu zdalnego IPsec.
- Zaznaczono licencję i rozszerzone wsparcie.
- Pobrano kopię zapasową i dostępny jest SSMK.
- Dowód zmiany przygotowany za pomocą Kopii zapasowej, Config Studio, Ścieżki audytu lub Centralnej kolejki zadań, jeśli zaangażowanych jest kilku administratorów lub Centrala.
- Sprawdzono miejsce na dysku i stan systemu.
- Udokumentowano status HA i role.
- Zdefiniowano okno konserwacji, plan testów i kryteria wycofywania zmian.
- Sprawdzono strefę czasową zapory sieciowej i planowany czas aktualizacji Sophos Central.
- Jeśli brakuje centralnego przycisku aktualizacji, sprawdzono wersję oprogramowania sprzętowego GA, status online, licencję, platformę i wersję docelową.
- Przygotowano plik oprogramowania sprzętowego lub plik GUI do pobrania.
- Wyjaśniono dostęp do zarządzania lokalnego lub alternatywnego.
- Sprawdzona wersja, usługi, VPN, NAT, WAF, logi, centralna kolejka zadań i monitorowanie po aktualizacji.