Przejdz do tresci
Avanet

Sprawdzenie Sophos Firewall przed aktualizacją do SFOS 22

Sophos Firewall

SFOS 22 wprowadza istotne zmiany architektoniczne w Sophos Firewall. Dla administratorów ważne jest nie tylko to, jakie nowe funkcje będą dostępne po aktualizacji, ale przede wszystkim, czy ich firewall można bezproblemowo zaktualizować do SFOS 22.

Ten przewodnik służy jako kontrola przed aktualizacją. Artykuł nie zastępuje ogólnej instrukcji dotyczącej aktualizacji oprogramowania Sophos Firewall, ale uzupełnia ją o punkty, które w przypadku SFOS 22 mogą szybko prowadzić do problemów: obsługiwana platforma, nazwy interfejsów, miejsce na dysku, kopia zapasowa, stan HA, Legacy Remote Access IPsec, policy-based IPsec, NAT i plan przywracania.

Przewodnik wideo

Ten Sophos Techvid uzupełnia checklistę przed aktualizacją i pokazuje, co sprawdzić przed przejściem na SFOS 22.

Kiedy ten check jest przydatny

Check powinien być przeprowadzony przed każdą planowaną aktualizacją do SFOS 22 lub wyższej. Jest szczególnie ważny, gdy występuje jedna z poniższych sytuacji:

  • firewall działa na sprzęcie XG lub SG
  • urządzenie było już aktualizowane przez kilka głównych wydań
  • istnieje wiele VLAN-ów, aliasów, mostków, LAG-ów, interfejsów RED lub XFRM
  • jest to mała desktopowa appliance, wirtualny firewall lub appliance oprogramowania
  • firewall działa w klastrze HA
  • używane jest lub było w przeszłości zdalne połączenie IPsec VPN
  • używane są policy-based Site-to-Site IPsec, specjalne reguły SNAT lub reguły VPN-NAT
  • STAS lub inne uwierzytelnianie użytkowników steruje produkcyjnymi regułami firewalla
  • firewall jest zarządzany przez Sophos Central lub ma być przez niego aktualizowany

Jeśli firewall jest już niestabilny w codziennym użytkowaniu, usługi muszą być regularnie restartowane lub partycje są mocno zapełnione, aktualizacja nie powinna być traktowana jako próba naprawy. W takim przypadku najpierw należy ustabilizować obecny stan i wyjaśnić przyczynę.

1. Sprawdzenie platformy i ścieżki aktualizacji

SFOS 22.0 i nowsze wersje nie obsługują już sprzętowych appliance XG i SG. Osoby, które nadal używają takich urządzeń, muszą najpierw zaplanować migrację na XGS, wirtualny firewall, appliance oprogramowania lub wdrożenie w chmurze. W podjęciu decyzji między starymi a nowymi generacjami sprzętu pomoże artykuł Jaka jest różnica między firewallami XG a XGS?.

Na obsługiwanych platformach należy dodatkowo sprawdzić, z której wersji następuje aktualizacja. Notatki o wydaniu SFOS 22 pokazują, które wersje można bezpośrednio migrować do SFOS 22. Jeśli zostanie wybrana nieobsługiwana ścieżka, firewall może po potwierdzeniu uruchomić się z konfiguracją fabryczną. Dokładnie to ryzyko musi być wykluczone przed oknem konserwacyjnym.

Praktyczny przebieg:

  1. Zanotuj aktualną wersję oprogramowania w Backup & Firmware > Firmware.
  2. Udokumentuj model, numer seryjny i typ platformy.
  3. Sprawdź w oficjalnych notatkach o wydaniu Sophos, czy bezpośrednia ścieżka aktualizacji jest obsługiwana.
  4. W przypadku sprzętu XG lub SG nie traktuj planowania SFOS 22 jako normalnej aktualizacji, lecz jako projekt migracyjny.

2. Sprawdzenie nazw interfejsów przed aktualizacją

Łatwo przeoczyć punkt aktualizacji dotyczący nazw interfejsów. Fizyczne lub logiczne interfejsy mogą być niewidoczne lub nieotwieralne w widoku WebAdmin pod Network > Interfaces, jeśli nazwa interfejsu, nazwa sprzętu lub nazwa oddziału kończy się dziesięcioma lub więcej cyframi.

To jest nieprzyjemne, ponieważ ruch może być dalej przetwarzany, ale administracja w WebAdmin nagle wygląda, jakby brakowało interfejsów. Szczególnie w przypadku migracji, zautomatyzowanych schematów nazw, importowanych konfiguracji lub nazw VLAN z numerami lokalizacji, klientów lub inwentarza, należy sprawdzić ten punkt przed aktualizacją.

Krytyczne przykłady:

PrzykładRyzyko
VLAN_1234567890kończy się dziesięcioma cyframi
Branch_1000000001nazwa oddziału może zakłócać wyświetlanie
PortA_2026010101zamierzona nazwa, ale ryzykowne zakończenie cyframi

Praktyczny przebieg:

  1. Otwórz Network > Interfaces.
  2. Sprawdź fizyczne interfejsy, VLAN-y, aliasy, mostki, LAG-i, interfejsy RED i XFRM.
  3. Szukaj nazw kończących się dziesięcioma lub więcej cyframi.
  4. Zmień dotknięte nazwy na krótsze lub wyraźnie oddzielone przed aktualizacją.
  5. Po zmianie sprawdź, czy reguły firewalla, reguły NAT, trasy SD-WAN, DHCP, VPN i dokumentacja są nadal zrozumiałe.

Lepsze są nazwy, w których liczby nie stoją jako długi blok na końcu. Zamiast VLAN_1234567890 lepsze jest na przykład VLAN-1234567890-Client lub nazwa fachowa jak Client-VLAN-100, która jest bardziej czytelna i operacyjnie bardziej odporna.

Jeśli po aktualizacji interfejsy są niewidoczne w widoku WebAdmin, nie należy od razu zakładać, że konfiguracja sieciowa została utracona. Najpierw sprawdź, czy zachowanie pasuje do problemu z nazwą interfejsu, czy ruch nadal działa i czy dotknięte nazwy muszą zostać dostosowane. Do ogólnego planowania interfejsów pasuje Konfigurowanie stref i interfejsów Sophos Firewall.

3. Sprawdzenie miejsca na dysku i wskazówek dotyczących oprogramowania

SFOS 22 wymaga dodatkowego miejsca na dysku dla nowych funkcji i zmian architektonicznych. Większość urządzeń spełnia wymagania, ale niektóre wdrożenia desktopowe, wirtualne i oprogramowania mogą wymagać ręcznej kontroli lub korekty. Jeśli firewall na stronie Control Center lub Firmware wyświetla komunikat o wymaganiach dotyczących miejsca na dysku, nie należy go ignorować.

Przez SSH można z grubsza sprawdzić zapełnienie partycji:

df -kh

Wynik nie zastępuje kontroli zgodności Sophos, ale pomaga ocenić, czy /, /var, /content lub inne partycje są zauważalnie pełne. Jeśli jakaś partycja jest bardzo zapełniona, nie należy po prostu ślepo aktualizować. Najpierw wyjaśnij, jakie dane tam się znajdują, czy można usunąć logi lub stare pliki i czy istnieje wskazówka Sophos dla dotkniętego urządzenia.

Ważne jest również planowanie czasu: jeśli firewall musi dostosować partycje podczas aktualizacji, aktualizacja może trwać dłużej niż normalne wydanie konserwacyjne. Okno konserwacyjne nie powinno być zatem zbyt krótkie.

4. Przygotowanie kopii zapasowej i przywracania

Przed aktualizacją potrzebna jest świeża kopia zapasowa. To brzmi banalnie, ale jest kluczowe przy głównych wydaniach. Kopia zapasowa powinna być nie tylko utworzona, ale także łatwo dostępna, odszyfrowywalna i przypisana do konkretnego urządzenia. Artykuł Tworzenie lub przywracanie kopii zapasowej Sophos Firewall wyjaśnia najważniejsze kwestie dotyczące kopii zapasowej, przywracania i klucza Secure Storage Master Key.

Przed SFOS 22 należy wykonać co najmniej te kroki:

  • utwórz aktualną kopię zapasową konfiguracji i przechowaj ją zewnętrznie
  • udokumentuj klucz Secure Storage Master Key, jeśli używane są zaszyfrowane kopie zapasowe
  • sprawdź dostęp administracyjny lokalnie i przez sieć konserwacyjną
  • sprawdź status licencji i dostęp do Sophos Central
  • miej pod ręką aktualny obraz oprogramowania i docelowe oprogramowanie
  • zdefiniuj decyzję o przywracaniu: kiedy czekać, kiedy przywracać

W przypadku krytycznych lokalizacji powinno być również jasne, kto ma dostęp do urządzenia na miejscu i jak przeprowadzić reimage w razie potrzeby. Ponowna instalacja to inne procedura niż normalna aktualizacja oprogramowania. Istnieje osobna instrukcja Ponowna instalacja Sophos Firewall OS.

5. Ustalenie Go/No-Go przed oknem konserwacyjnym

Aktualizacja do SFOS 22 nie powinna być decydowana dopiero podczas okna konserwacyjnego. Przedtem musi być jasne, w jakich warunkach rozpocząć, czekać, przerwać lub przywrócić. To zmniejsza ryzyko pochopnych decyzji, gdy firewall potrzebuje więcej czasu, węzeł HA nie synchronizuje się lub krytyczna usługa nie działa po restarcie.

Sensowne punkty Go/No-Go:

PytanieGoNo-Go
Platforma obsługuje SFOS 22Model i ścieżka aktualizacji są sprawdzoneSprzęt XG/SG lub niejasna ścieżka aktualizacji
Kopia zapasowa i SSMKKopia zapasowa jest przechowywana zewnętrznie, a dane do przywracania są dostępneKopia zapasowa brak, nie można jej znaleźć lub brak SSMK
Remote Access IPsecKonfiguracja Legacy jest wykluczona lub zmigrowanaKonfiguracja Legacy jest obecna lub niejasna
Site-to-Site IPsecpolicy-based IPsec, NAT i testowy ruch są udokumentowaneSelektory ruchu, SNAT lub przeciwna strona są niejasne
Status HAKlastr jest stabilny i zsynchronizowanyHA jest zdegradowane, niesynchronizowane lub niejasne
DostępLokalny dostęp administracyjny i sieć konserwacyjna są sprawdzoneDostęp zależy tylko od niepewnej ścieżki zdalnej
PrzywracaniePunkt decyzji i odpowiedzialni są zdefiniowaniNikt nie decyduje wiążąco o czekaniu lub przywracaniu

Dla rozproszonych lokalizacji powinno być również jasne, kto jest dostępny podczas okna konserwacyjnego: techniczna osoba kontaktowa, kontakt lokalny, osoba z fizycznym dostępem i decydent w sprawie przywracania. Jeśli aktualizacja jest przeprowadzana zdalnie, należy dodatkowo sprawdzić, czy istnieje alternatywny dostęp, jeśli VPN, WAN lub Central Management tymczasowo nie działa.

Plan przywracania nie jest słabością zmiany. Zapobiega on jednoczesnym zmianom oprogramowania, routingu, VPN, HA i przełączania w przypadku awarii. Jeśli po aktualizacji krytyczna usługa przestanie działać, najpierw należy przeprowadzić zdefiniowany plan walidacji. Dopiero potem zostanie podjęta decyzja, czy przywrócenie, przywrócenie, reimage czy ukierunkowane usunięcie błędu jest bardziej sensowne.

6. Przygotowanie klastra HA

W przypadku klastrów HA nie można brać pod uwagę tylko aktywnego firewalla. Oba węzły muszą być obsługiwane, mieć ten sam sensowny stan wyjściowy i synchronizować się poprawnie. Aktualizacja na już osłabionym klastrze HA zwiększa ryzyko niepotrzebnych awarii.

Przed oknem konserwacyjnym sprawdź:

  • System services > High availability pokazuje zdrowy status HA.
  • Oba urządzenia są tego samego modelu lub wspieranej kombinacji HA.
  • Stan oprogramowania, status licencji i subskrypcji są wiarygodne.
  • Link HA, monitorowane porty i podłączone porty przełączników są stabilne.
  • Jest udokumentowane, które urządzenie było aktywne przed aktualizacją.

Do ogólnego planowania HA i szczegółów dotyczących Active-Passive, Active-Active, licencjonowania i konserwacji pasuje artykuł Warianty klastra HA Sophos Firewall.

7. Szukanie Legacy Remote Access IPsec

Od SFOS 22.0 MR1 Legacy Remote Access IPsec VPN nie jest już obsługiwane. Firewalle z tą konfiguracją Legacy nie mogą być zaktualizowane do SFOS 22.0 MR1 lub nowszej. To typowy blokujący aktualizację, ponieważ Remote Access IPsec w starszych środowiskach często był raz skonfigurowany i potem długo nie dotykany.

Przed aktualizacją należy zatem sprawdzić, czy istnieją stare konfiguracje Remote Access IPsec. Jeśli tak, najpierw trzeba zmigrować do aktualnej konfiguracji Remote Access IPsec, SSL VPN, ZTNA lub innego odpowiedniego projektu zdalnego dostępu. Konkretne kroki znajdują się w Migracja Legacy Remote Access IPsec przed SFOS 22 MR1. Do ogólnego rozwiązywania problemów z IPsec pomocny jest również Rozwiązywanie problemów z IPsec VPN Sophos Firewall.

Praktyczny przebieg:

  1. Otwórz sekcję Remote access VPN w WebAdmin.
  2. Sprawdź, czy istnieje konfiguracja Legacy Remote Access IPsec.
  3. Udokumentuj dotkniętych użytkowników, profile, pule, uwierzytelnianie i rozproszone konfiguracje Sophos Connect.
  4. Zaplanuj konfigurację zastępczą i przetestuj ją z kilkoma użytkownikami testowymi.
  5. Dopiero po pomyślnej migracji usuń konfigurację Legacy i ponownie sprawdź aktualizację oprogramowania.

Jeśli używany jest Sophos Connect, należy również uwzględnić istniejące instrukcje dotyczące Konfiguracji firewalla Sophos Connect, Instalacji na Windows i Instalacji na macOS.

8. Sprawdzenie policy-based IPsec i NAT

SFOS 22.0 GA i nowsze wersje zmieniają zachowanie policy-based Site-to-Site IPsec VPN. Dodatkowo w notatkach o wydaniu SFOS 22 jest udokumentowany rozwiązany problem, w którym policy-based IPsec Traffic mógł nie działać, jeśli domyślna reguła SNAT była skonfigurowana z użyciem statycznego adresu IP zamiast MASQ.

To nie jest powód, aby przebudowywać każde ustawienie IPsec przed aktualizacją. Jest to jednak dobry powód, aby świadomie przetestować policy-based IPsec przed i po aktualizacji. Jest to szczególnie ważne, jeśli firewall używa wielu VPN-ów, nakładających się sieci, specyficznych reguł SNAT, dostosowanej domyślnej reguły SNAT lub sieci partnerskich z oczekiwaniami dotyczącymi stałego adresu źródłowego.

Przed aktualizacją sprawdź:

  1. Zidentyfikuj policy-based Site-to-Site Tunnel.
  2. Udokumentuj lokalne i zdalne sieci lub selektory ruchu.
  3. Sprawdź reguły NAT dla ruchu VPN, szczególnie domyślną SNAT, MASQ, specyficzne reguły SNAT i kolejność reguł.
  4. Zdefiniuj przypadek testowy dla każdego ważnego tunelu z adresem źródłowym, docelowym, usługą i oczekiwanym kierunkiem.
  5. Udokumentuj przeciwstawną stronę i drogę powrotną, aby test po aktualizacji nie ograniczał się do “Ping nie działa”.

Po aktualizacji nie należy mieszać tych testów z szerokimi kontrolami zbiorczymi. Lepiej jest przeprowadzić wąski test dla każdego tunelu: porównaj Log Viewer, Packet Capture, ID reguły firewalla, ID reguły NAT i licznik bajtów w ipsec statusall. Jeśli tunel jest zielony, ale nie ma ruchu użytkowego, pasuje Rozwiązywanie problemów z IPsec VPN Sophos Firewall. Do zrozumienia NAT pomocny jest Zrozumienie NAT na Sophos Firewall.

9. Sprawdzenie STAS i reguł opartych na użytkownikach

Jeśli STAS jest aktywny, nie powinno się go przed SFOS 22.0 MR1 lub nowszym traktować jako “działa w codziennym użytkowaniu”. Na liście znanych problemów jest udokumentowany problem, w którym opcja Restrict client traffic during identity probe może blokować aktualizację do SFOS 22.0 MR1 lub po aktualizacji prowadzić do powtarzających się Identity Probes z krótkimi przerwami w ruchu.

Dotyczy to zwłaszcza środowisk, w których STAS jest używany nie tylko do raportowania, ale także do produkcyjnych reguł firewalla opartych na użytkownikach. Jeśli przypisanie użytkownika do IP krótko się przerwie, w działaniu szybko wygląda to jak problem z regułą, DNS lub aplikacją.

Przed aktualizacją sprawdź:

  1. Otwórz Authentication > STAS.
  2. Sprawdź status STAS i używane kolektory.
  3. Sprawdź, czy Restrict client traffic during identity probe jest aktywne.
  4. Zidentyfikuj reguły oparte na użytkownikach, które zależą od STAS.
  5. Zaloguj użytkownika testowego i sprawdź Live Users oraz Log Viewer.

Jeśli ta opcja jest aktywna lub już zauważalne są krótkie przerwy, punkt ten powinien być wyjaśniony przed oknem konserwacyjnym. Szczegółowy przebieg znajduje się w Konfigurowanie STAS na Sophos Firewall.

10. Celowa walidacja po aktualizacji

Po restarcie aktualizacja nie jest automatycznie zakończona. Dopiero gdy najważniejsze funkcje operacyjne zostaną sprawdzone, okno konserwacyjne jest czysto zakończone.

Należy sprawdzić co najmniej:

  • właściwa wersja oprogramowania jest aktywna
  • Network > Interfaces pokazuje fizyczne i logiczne interfejsy w sposób wiarygodny
  • dostęp do Internetu i centralne reguły firewalla działają
  • Site-to-Site VPN i Remote Access VPN działają
  • testy policy-based IPsec pokazują oczekiwany adres źródłowy i odpowiednią regułę NAT
  • status HA jest ponownie zsynchronizowany
  • STAS, AD SSO lub inne przypisanie użytkowników działa, jeśli jest używane produkcyjnie
  • Sophos Central Management i Reporting wysyłają dane
  • Log Viewer nie pokazuje nowych krytycznych błędów
  • ważne usługi, takie jak DNS, DHCP, Web Protection, IPS i uwierzytelnianie działają zgodnie z oczekiwaniami

Jeśli VPN, routing lub reguły nie działają zgodnie z oczekiwaniami, nie należy od razu wprowadzać zmian w kilku miejscach jednocześnie. Najpierw zawęź problem za pomocą Log Viewer, Policy Test, Packet Capture i logów usług. Do strukturalnego rozwiązywania problemów pomocne są Testowanie reguł firewalla za pomocą Log Viewer, Policy Test i Packet Capture oraz Rozwiązywanie problemów z Sophos Firewall: Usługi i logi.

11. Zabezpieczenie dowodów i dokumentacji operacyjnej

Aktualizacja jest czysto zakończona dopiero wtedy, gdy wynik jest udokumentowany w sposób możliwy do śledzenia. Pomaga to w późniejszych awariach, audytach, przypadkach wsparcia i podczas następnego okna konserwacyjnego. Bezpośrednio po aktualizacji nie należy tylko notować “działa ponownie”, ale zabezpieczyć konkretne dowody.

Sensowne dowody:

DowódDlaczego ważny
Zrzut ekranu z Backup & Firmware > Firmwarepokazuje wersję docelową, aktywne oprogramowanie i ewentualne dostępne obrazy
Zrzut ekranu z System services > High availabilitypokazuje rolę HA, synchronizację i stan klastra po aktualizacji
Eksport lub zrzut ekranu istotnych logów audytupokazuje, jakie zmiany zostały wprowadzone podczas okna konserwacyjnego
Kontrola Central lub Syslogpokazuje, czy logi i raporty nadal docierają po aktualizacji
Lista otwartych prac do wykonaniazapobiega zapomnieniu o tymczasowych obejściach na stałe

Jeśli wprowadzono zmiany w regułach, interfejsach, hostach lub usługach, należy dodatkowo sprawdzić Logi śladu audytu. W środowiskach z dłuższym przechowywaniem logów kontrola Central Firewall Reporting lub Syslog również należy do zakończenia.

W przypadku wielu firewalli ważne jest również, aby kopie zapasowe były jednoznacznie przypisane. W nowszych wersjach SFOS e-maile z kopią zapasową zawierają więcej danych identyfikacyjnych, takich jak nazwa hosta, wersja oprogramowania, numer seryjny i model. Niemniej jednak wewnętrznie nadal należy prowadzić prostą notatkę z aktualizacji: firewall, lokalizacja, stara wersja, nowa wersja, okno czasowe, odpowiedzialna osoba, wynik testu i otwarte punkty.

Jeśli po aktualizacji pojawią się uwagi dotyczące miejsca na dysku, sprzętu lub SSD, nie powinno to zniknąć w zgłoszeniu dotyczącym oprogramowania. Do tej kontroli pasuje Sprawdzenie stanu zdrowia SSD na Sophos Firewall.

Lista kontrolna dla okna konserwacyjnego

Przed aktualizacją

  • Sprawdzono platformę i ścieżkę aktualizacji
  • Przeczytano notatki o wydaniu i znane uwagi
  • Wykluczono nazwy interfejsów z dziesięcioma lub więcej końcowymi cyframi
  • Sprawdzono miejsce na dysku i wskazówki dotyczące oprogramowania
  • Utworzono kopię zapasową i przechowano ją zewnętrznie
  • Klucz Secure Storage Master Key dostępny
  • Ustalono decyzję Go/No-Go, plan przywracania i odpowiedzialnych
  • Udokumentowano stan HA
  • Udokumentowano policy-based IPsec, VPN-NAT i testowy ruch, jeśli używane
  • Sprawdzono STAS i reguły oparte na użytkownikach, jeśli używane
  • Wykluczono lub zmigrowano Legacy Remote Access IPsec
  • Zdefiniowano plan przywracania

Podczas aktualizacji

  • Udokumentowano komunikaty o stanie
  • Nie wprowadzaj równoległych zmian w routingu, VPN lub przełączaniu
  • Obserwuj przełączanie awaryjne i synchronizację w klastrach HA
  • Przestrzegaj punktu decyzji dotyczącego czekania, analizy błędów lub przywracania
  • W przypadku nieoczekiwanych komunikatów nie potwierdzaj ślepo, lecz sprawdź przyczynę

Po aktualizacji

  • Sprawdź wersję oprogramowania i status licencji
  • Przetestuj VPN, routing, DNS, DHCP i centralne reguły firewalla
  • Przetestuj policy-based IPsec z zdefiniowanym testem źródła/destynacji, jeśli używane
  • Przetestuj STAS, AD SSO i reguły oparte na użytkownikach z użytkownikiem testowym
  • Sprawdź synchronizację HA i połączenie Sophos Central
  • Sprawdź Log Viewer i istotne logi usług
  • Zabezpiecz dowody dotyczące oprogramowania, HA i audytu
  • Udokumentuj wynik i otwarte punkty w dzienniku operacyjnym

FAQ

Czy każda Sophos Firewall można zaktualizować do SFOS 22?

Nie. SFOS 22 nie obsługuje już sprzętowych appliance XG i SG. Na obsługiwanych platformach dodatkowo musi pasować ścieżka aktualizacji.

Dlaczego miejsce na dysku jest ważniejsze przy SFOS 22 niż przy normalnych aktualizacjach?

SFOS 22 wymaga dodatkowego miejsca na dysku dla nowych funkcji i zmian architektonicznych. W niektórych wdrożeniach podczas aktualizacji może być konieczne dostosowanie partycji root lub ręczne przygotowanie.

Dlaczego należy sprawdzić nazwy interfejsów przed aktualizacją?

Jeśli nazwy interfejsów, nazwy sprzętu lub nazwy oddziałów kończą się dziesięcioma lub więcej cyframi, interfejsy mogą być niewidoczne lub nieotwieralne pod Network > Interfaces po aktualizacji. Ruch może nadal działać, ale administracja w WebAdmin staje się niepotrzebnie trudna. Dlatego należy oczyścić takie nazwy przed oknem konserwacyjnym.

Czy Legacy Remote Access IPsec naprawdę blokuje aktualizację?

Tak. Od SFOS 22.0 MR1 firewall z konfiguracją Legacy Remote Access IPsec nie może być zaktualizowany do tej wersji lub nowszej. Konfiguracja musi być wcześniej zmigrowana lub usunięta.

Czy trzeba sprawdzić policy-based IPsec przed SFOS 22?

Tak, jeśli takie tunele Site-to-Site są używane produkcyjnie. SFOS 22 zmienia zachowanie policy-based IPsec Traffic. Dlatego należy udokumentować selektory ruchu, reguły NAT, domyślną SNAT, przeciwstawną stronę i konkretny testowy ruch przed oknem konserwacyjnym.

Dlaczego STAS jest istotny przed SFOS 22 MR1?

Jeśli STAS jest używany z Restrict client traffic during identity probe, ta opcja może blokować aktualizację do SFOS 22.0 MR1 lub po aktualizacji prowadzić do powtarzających się Identity Probes z przerwami w ruchu. Dlatego STAS powinien być sprawdzony przed oknem konserwacyjnym.

Czy automatyczna kopia zapasowa przez e-mail wystarczy?

Nie zawsze. Kluczowe jest, aby kopia zapasowa była łatwo dostępna, odszyfrowywalna i użyteczna w sytuacji awaryjnej. W przypadku zaszyfrowanych kopii zapasowych musi być dostępny odpowiedni klucz Secure Storage Master Key.