Przejdz do tresci
Avanet

Aktualizacja firmware Sophos Firewall - przygotowanie i dobre praktyki

Sophos Firewall

Aktualizacje firmware są jednym z kluczowych elementów utrzymania Sophos Firewall w stanie bezpiecznym, stabilnym i aktualnym. Dostarczają nowe funkcje, usuwają znane luki bezpieczeństwa i poprawiają ogólną wydajność. Aby aktualizacja przebiegła bez problemów, warto wcześniej przygotować kilka elementów i dokładnie sprawdzić środowisko. Ta instrukcja pokazuje krok po kroku, jak przygotować się do aktualizacja firmware Sophos Firewall i uniknąć typowych błędów.

Dlaczego przygotowanie jest ważne

Aktualizacja firmware przynosi nie tylko nowe funkcje, ale także poprawki błędów i ważne usprawnienia bezpieczeństwa. Bez starannego przygotowania może jednak dojść do awarii, rollbacku albo w najgorszym przypadku do nieoczekiwanego factory resetu. To może mocno wpłynąć na bieżącą pracę firmy. Poniższe dobre praktyki pomagają ograniczyć ryzyko i przeprowadzić update w uporządkowany sposób.

Do najczęstszych problemów przy nieprzygotowanych aktualizacjach Sophos Firewall należą:

  • zbyt mało miejsca na pakiet aktualizacji,
  • błędna synchronizacja HA,
  • brakujące lub nieaktualne backupy,
  • brak uzgodnionego okna serwisowego przy równoległych pracach w sieci.

Przed aktualizacją: kroki przygotowawcze

1. Sprawdź release notes

  • Sprawdź informacje na stronie Sophos Release Notes.
  • Ważne: wybieraj tylko obsługiwane ścieżki upgrade’u. W przeciwnym razie firewall może po aktualizacja firmware Sophos Firewall automatycznie wrócić do ustawień fabrycznych.
  • Dodatkowo sprawdź, czy w nowej wersji opisano znane problemy (Known Issues), które mogą dotyczyć Twojego środowiska.

2. Sprawdź miejsce na dysku

  • W Advanced Shell sprawdź, czy jest wystarczająco dużo wolnego miejsca:
df -kh
  • Jeśli partycja jest zajęta w ponad 95%, zwolnij miejsce.
  • Zbyt mało miejsca może spowodować problemy podczas aktualizacji, a w najgorszym przypadku przerwać upgrade.
  • Warto usunąć stare backupy, pliki logów lub pliki, które nie są już potrzebne.

3. Uruchom ponownie przed aktualizacją

  • Restart czyści cache i zapewnia, że firewall rozpoczyna aktualizację w czystym stanie.
  • W klastrze HA uruchom ponownie oba urządzenia.
  • Jeśli pojawią się problemy, można je rozpoznać i rozwiązać jeszcze przed aktualizacją.
  • Jest to szczególnie ważne przy urządzeniach, które nie były restartowane od dłuższego czasu, ponieważ może zapobiec problemom z wydajnością.

4. Uzgodnij okno serwisowe

  • aktualizacja firmware Sophos Firewall należy wykonywać tylko w zaplanowanych oknach serwisowych.
  • Upewnij się, że w tym samym czasie nie są prowadzone inne prace serwisowe w infrastrukturze.
  • Warto wcześniej poinformować odpowiednie zespoły, na przykład sieć, aplikacje i bezpieczeństwo.
  • Jasno zakomunikowane okno czasowe ogranicza niespodzianki dla użytkowników końcowych i pomaga utrzymać płynny przebieg prac.

5. Sprawdź dostępy i uprawnienia

Przed rozpoczęciem upewnij się, że dostępne są wszystkie potrzebne informacje i dane logowania:

  • hasła administratorów,
  • Secure Storage Master Keys,
  • hasła do backupów,
  • dane dostępowe do systemów supportowych,
  • uprawnienia dostępu z odpowiedniej sieci albo w najgorszym przypadku bezpośrednio do urządzenia (Device Access ACL Rules).

6. Utwórz backupy

  • Oprócz regularnych backupów utwórz dodatkowy, świeży backup.
  • Ten backup powinien być od razu dostępny, jeśli konieczny będzie rollback.
  • Zalecamy zachowanie zarówno backupu konfiguracji, jak i informacji licencyjnych, na przykład przez dostęp do Sophos Central.

7. Pobierz firmware

  • Przygotuj offline kopie zarówno aktualnej, jak i nowej wersji firmware.
  • Dzięki temu w sytuacji awaryjnej można szybciej wykonać rollback.
  • Firmware najlepiej pobrać przez oficjalne konto Sophos Support i zapisać w bezpiecznej lokalizacji.
  • Sprawdź, czy pobrany plik jest kompletny i nieuszkodzony, na przykład porównując sumy kontrolne.

Szczególne przypadki przy High Availability (HA)

Klaster Active-Passive

  • Po aktualizacja firmware Sophos Firewall sprawdź, czy pierwotny węzeł primary znów jest aktywny.
  • Jeśli nie, wykonaj ręczny failover w menu: System → High Availability → Switch to passive device.
  • W bardziej złożonych środowiskach warto prowadzić protokół roli HA, aby później można było odtworzyć stan początkowy.

Identyfikacja węzła primary

  • Zaloguj się przez SSH jako admin i otwórz Advanced Shell.
  • Wykonaj polecenia:
nvram get "#li.serial"
nvram get "#li.master"
aktualizacja firmware Sophos Firewalls - klaster HA
aktualizacja firmware Sophos Firewalls - klaster HA
  • Wynik YES = węzeł primary.
  • Wynik NO = węzeł aux.
  • Numer seryjny pomaga jednoznacznie odróżnić urządzenia.

Sprawdź synchronizację

  • Na węźle aux sprawdź log synchronizacji:
/log/msync.log
  • Przy wielu błędach vrrp timeout errors należy sprawdzić kabel HA i w razie potrzeby go wymienić.
  • Również tutaj warto zrestartować oba urządzenia, aby uzyskać czysty stan.
  • Dodatkowo sprawdź status synchronizacji w WebAdmin.

Przeprowadzenie aktualizacji

1. Trzymaj się planu

  • Konsekwentnie realizuj przygotowany plan działania.
  • Unikaj improwizowanych decyzji, ponieważ często prowadzą do problemów.
  • Warto wcześniej przygotować szczegółowy runbook, w którym opisany jest każdy krok oraz możliwe scenariusze rollbacku.

2. Konsekwentnie wykonaj rollback, jeśli jest potrzebny

  • Jeśli aktualizacja firmware Sophos Firewall się nie powiedzie, natychmiast zastosuj przewidziany rollback.
  • Szybkie obejścia mogą wyrządzić więcej szkody niż pożytku.
  • Zaplanowany rollback oszczędza czas w sytuacji awaryjnej i minimalizuje przestoje.

3. Aktywnie korzystaj z monitoringu

  • Pomocne są narzędzia takie jak SNMP, systemy monitoringu lub zwykłe pingi.
  • Również po aktualizacji monitoruj środowisko przez pewien czas dokładniej, aby szybko wykryć nieoczekiwane skutki.

4. Dokumentuj wyniki testów

  • Po każdym kroku komunikuj wyniki odpowiednim zespołom i właścicielom usług.
  • Pomaga to uniknąć nieporozumień.
  • Wszystkie krytyczne aplikacje powinny zostać aktywnie przetestowane i udokumentowane po aktualizacji.

5. Przygotuj diagnostykę

  • W razie błędów zbierz możliwie dużo informacji.
  • Te dane pomagają szybko i precyzyjnie otworzyć zgłoszenie do wsparcia.
  • Należą do nich pliki logów, zrzuty ekranu, dokładne znaczniki czasu i opis wykonanych już działań.

Po aktualizacji: dokumentacja

  • Zapisz polecenia: loguj wyjście terminala albo nagraj przebieg aktualizacji wykonywanej w GUI.
  • Udokumentuj systemy zależne: zapisz zmiany w systemach sąsiadujących i poinformuj odpowiednich administratorów.
  • Zanotuj odchylenia od planu: dokumentuj różnice względem pierwotnego przebiegu, aby następnym razem przygotować się lepiej.
  • Lessons learned: po zakończeniu aktualizacji przeprowadź krótkie podsumowanie i zapisz, co zadziałało dobrze, a co można poprawić.

Podsumowanie

Dobre przygotowanie pozwala przeprowadzać aktualizacja firmware Sophos Firewalls w sposób uporządkowany, niezawodny i bez większych przerw. Ważne jest trzymanie się jasno ustalonych procesów, posiadanie gotowych backupów, aktywne monitorowanie i dokumentowanie doświadczeń po zakończeniu prac. Dzięki temu firewall pozostaje bezpieczny, stabilny i gotowy na przyszłość, a organizacja może ograniczyć nakład pracy przy kolejnych aktualizacjach.

👉 Zobacz także: