Realizar atualização de firmware do Sophos Firewall
Este artigo explica como realizar uma atualização de firmware do Sophos Firewall na prática através do WebAdmin: obter o firmware, carregar a imagem, iniciar a instalação e, se necessário, regressar à versão anterior.
Em atualizações maiores, a execução técnica não deve ser confundida com o planeamento. A preparação efetiva da atualização, com release notes, caminho de upgrade, backup, HA, espaço em disco, plano de teste e critérios de rollback, está em Atualização de firmware Sophos Firewall: preparação e boas práticas. Este artigo é o passo certo quando já está claro que versão deve ser instalada.
⚠️ Nota importante sobre dispositivos antigos: SFOS 21.5 GA e versões posteriores já não suportam appliances de hardware XG e SG. Quem ainda opera uma XG deve verificar antes de cada upgrade se é necessária uma migração para XGS. Para isso ajudam Qual é a diferença entre uma firewall XG e XGS? e o calendário Sophos Product Lifecycle.
Informação: As instruções assumem que existe um dispositivo suportado com Enhanced Support válido ou que o dispositivo ainda está dentro dos três firmware upgrades gratuitos. Antes de cada atualização deve ser criado um backup da Sophos Firewall. A atualização é instalada na partição de firmware inativa e, regra geral, existe rollback como retorno. Ainda assim, nunca se deve atualizar sem backup.
Importante: firmware slots não são apenas ficheiros. O Sophos Firewall mantém o firmware ativo e o anterior com o respetivo estado de configuração em partições separadas. Um rollback não inicia apenas o código SFOS antigo, mas também o estado de configuração antigo associado.
Antes de um upgrade para SFOS 22 ou mais recente, deve ser executado também o SFOS 22 Upgrade-Check. Aí são verificados separadamente o suporte da plataforma, espaço em disco, nomes de interfaces, estado HA, STAS e legacy Remote Access IPsec como bloqueadores típicos de upgrade.
Preparação ou execução?
Para administradores, são importantes quatro perguntas:
- A firewall está pronta para a atualização? Então o artigo certo é Atualização de firmware Sophos Firewall: preparação e boas práticas.
- Como é instalada a imagem de firmware? Então este guia é o ponto de partida correto.
- Existem bloqueadores específicos de SFOS 22? Então consultar primeiro Verificar Sophos Firewall antes do upgrade para SFOS 22.
- É necessário reinstalar completamente o SFOS? Então é adequado Reinstalar Sophos Firewall OS: reimage com pen USB.
Em firewalls produtivas, a preparação deve estar concluída primeiro. Depois disso, a instalação em si é normalmente a parte mais curta da janela de manutenção.
Última verificação antes de Upload & Boot
Imediatamente antes do arranque, deve verificar-se mais uma vez se tudo está realmente preparado para o reinício. Esta verificação curta não substitui o planeamento da atualização, mas evita erros típicos durante a janela de manutenção.
- Backup existente e SSMK conhecida: Um rollback para a partição antiga não substitui um backup restaurável.
- Acesso após reinício esclarecido: Em locais remotos é necessário um caminho alternativo caso WAN, VPN ou routing não regressem de imediato.
- Função HA e estado do cluster verificados: Uma atualização num cluster já instável aumenta o risco desnecessariamente.
- VPNs críticas e uplinks WAN conhecidos: Após o reinício, é possível verificar de forma direcionada se as ligações mais importantes voltaram.
- Critério de rollback definido: Em caso de erro, deve estar claro quando regressar à versão anterior e quando continuar a análise.
Especialmente em locais remotos, não se deve confiar apenas na sessão WebAdmin. Se possível, deve existir um segundo caminho de acesso: contacto local, acesso out-of-band, VPN de gestão, Sophos Central ou um caminho claro de escalamento. Caso contrário, uma janela normal de firmware transforma-se rapidamente num problema de localização.
Descarregar manualmente o firmware SFOS
Antes de instalar o novo firmware, este deve ser obtido através do Sophos Central, diretamente no WebAdmin ou da página de download de firmware. Para firewalls registadas, o Sophos Central é o ponto de partida mais limpo: abrir o menu de perfil, escolher Licensing > Firewall licenses, expandir a firewall e descarregar o firmware adequado em Downloads. Se a versão pretendida não estiver visível diretamente, Other downloads leva aos installers, onde se escolhe o tipo de plataforma.
- Appliances de hardware: Imagem de firmware SFOS para appliances de hardware suportadas.
SF300representa a série XG,SF310a série XGS. - Appliances de software e virtuais: Imagens de firmware SFOS para appliances de software.
- Cloud Appliances: Firmware SFOS para Cloud Appliances.
Antes do download, devem ser documentadas no change a versão atual, versão de destino, série da appliance e imagem planeada. Isto evita que, durante a janela de manutenção, seja carregada uma imagem errada ou reutilizado um download antigo. Em downloads manuais é especialmente importante que a imagem corresponda à plataforma: appliance de hardware, appliance software/VM e Cloud Appliance são caminhos diferentes.
Nota: Com Enhanced Support, em muitos casos é possível descarregar o firmware mais recente diretamente através da GUI. Se os primeiros três firmware upgrades gratuitos já tiverem sido usados e não existir uma support subscription adequada ativa, a instalação pode ficar bloqueada na GUI. O método manual continua a ser útil quando uma atualização deve ser preparada, verificada ou calendarizada de forma controlada.
Offline não é automaticamente Air-Gap: Este artigo descreve o upload manual de uma imagem de firmware SFOS. Em ambientes estritamente isolados, a sincronização de licença e os Pattern Updates continuam a ser processos operacionais separados. Para isso é adequado Operar licenciamento Air-Gap e Pattern Updates na Sophos Firewall.
Verificar imagem e caminho de upgrade
Antes do upload, não se deve verificar apenas o nome do ficheiro. O decisivo é saber se a imagem corresponde à appliance, à versão ativa e ao caminho de destino planeado.
- Hardware XGS: usar a imagem de hardware para a série de appliance correta e não planear acidentalmente hardware XG/SG.
- Appliance virtual ou de software: usar a imagem de software ou VM e verificar os requisitos de hypervisor e recursos.
- Cloud Appliance: verificar a imagem cloud e o caminho da plataforma, especialmente em deployments BYOL e Marketplace.
- Ambiente Air-Gap: planear imagem de firmware, sincronização de licença e Pattern Updates como passos separados.
- Major Release: verificar caminho de upgrade, release notes e known issues antes da janela de manutenção.
Se uma mudança de versão não for oferecida no WebAdmin ou for necessário um caminho incompatível, não se deve continuar com um upload normal. Primeiro é preciso clarificar se é necessário um passo intermédio, um reimage ou uma migração para hardware suportado.
Instalar manualmente o firmware SFOS
O firmware descarregado pode agora ser instalado na Sophos Firewall.
- Iniciar sessão na Sophos Firewall.
- Abrir
Backup & Firmwarena navegação e verificar a secção Firmware. - Na secção Firmware, selecionar a versão pretendida e clicar no ícone de upload.
- Na janela
Firmware Upgrade/Downgrade, selecionar o ficheiro de firmware do computador. - Escolher
Upload Firmwarese a imagem deve apenas ser preparada. - Escolher
Upload & Bootse a janela de manutenção está ativa e a firewall deve arrancar diretamente com a nova versão.
A Sophos Firewall mostra no máximo duas versões de firmware na área Firmware: a versão ativa e uma versão inativa. A versão inativa é a versão anterior para rollback ou uma imagem compatível carregada manualmente. Por isso, antes do upload deve verificar-se que versão está atualmente no segundo slot e se ainda é necessária como opção de retorno.
Se for escolhido apenas Upload Firmware, a imagem fica no slot inativo. A firewall ainda não muda para a nova versão. Mesmo um reinício posterior não planeado não inicia automaticamente esta imagem. Só Upload & Boot ou Boot firmware image inicia a mudança real, termina sessões existentes e reinicia a firewall.
As capturas seguintes mostram o diálogo de upload e a seleção da imagem de firmware.


Nota: A escolha entre Upload Firmware e Upload & Boot deve ser consciente. Com Upload Firmware, a imagem é apenas carregada. Com Upload & Boot, a instalação começa diretamente.
- Upload Firmware: útil quando a imagem deve ser preparada antes da janela de manutenção. Risco: mais tarde, outro administrador pode iniciar uma imagem cujo contexto não está documentado.
- Upload & Boot: útil quando a janela de manutenção está ativa e backup, acesso e testes estão prontos. Risco: a firewall reinicia imediatamente e as sessões existentes são interrompidas.
- Boot firmware image: útil quando uma imagem já carregada deve ser iniciada num momento definido. Risco: é iniciada a versão presente no slot, não automaticamente a versão mais recente disponível.
Cluster HA durante firmware update
Se estiver configurado um cluster HA, o update é iniciado no dispositivo primary e o cluster executa o processo para ambas as appliances. A appliance auxiliary não deve ser atualizada separadamente. A sequência típica é: o primary inicia o processo, o auxiliary é atualizado e reiniciado primeiro, depois ocorre uma mudança de função e, em seguida, é atualizado o antigo primary. Se estiver definido um Preferred Primary, pode ocorrer novo failback no fim.
Mesmo com HA, deve ser planeada uma janela de manutenção. Durante a mudança de função, sessões individuais podem cair, túneis VPN podem ser reconstruídos brevemente ou alguns pings podem perder-se. Após o update, verificar conscientemente estado HA, funções, VPNs e ligações centrais.
Um dispositivo HA em modo standalone é um caso especial e não deve ser atualizado como um cluster devidamente sincronizado. Antes do update, estado HA, sincronização e funções têm de estar claros. Para preparação, ver Sophos Firewall HA cluster variants.
Pattern Updates e Hotfixes não são o mesmo que firmware upgrade. Em ambientes HA, Pattern Updates são atualizados no primary e depois sincronizados; Hotfixes são tratados separadamente pela Sophos. Após uma janela de firmware, deve verificar-se não só a versão SFOS, mas também estado dos Pattern, estado dos Hotfixes e sincronização HA.
Se tiver sido escolhido apenas Upload Firmware, o momento da instalação pode ser definido mais tarde. Para isso, usar na secção Firmware o ícone com as duas setas assim que o momento de instalação for adequado.

Instalar automaticamente o firmware SFOS
Se existir uma licença Enhanced Support válida, o firmware pode muitas vezes ser descarregado diretamente na GUI.
Nota: Se uma nova versão de firmware não aparecer suficientemente depressa na GUI ou se for necessário planear uma imagem específica, a variante manual pode ser usada a qualquer momento.
- Iniciar sessão na Sophos Firewall.
- Abrir
Backup & Firmwarena navegação. - Em Latest Available Firmware, usar Check for new firmware para procurar novas versões.
- Selecionar
Downloadna atualização listada. Se no Control center, em Messages, aparecer um aviso de firmware, este também leva à área de firmware. - Após a conclusão do download, iniciar a instalação com
Install. A ação termina sessões existentes e reinicia a firewall com o novo firmware. - Após o reinício, iniciar sessão novamente e verificar no canto superior esquerdo do Control center e em
Backup & Firmware > Firmwarese a versão esperada está ativa.


Planear firmware através do Sophos Central
Se a atualização não for planeada ou iniciada localmente no WebAdmin, mas através do Sophos Central, aplicam-se alguns pontos adicionais. O Sophos Central só oferece firmware upgrades para firewalls elegíveis que executem uma versão firmware GA suportada. Atualizações planeadas começam de acordo com o fuso horário da respetiva firewall, não com o fuso horário do browser ou do administrador.
O fluxo é curto na prática: no Sophos Central, abrir a firewall afetada em My Products > Firewall Management > Firewalls, escolher o botão de download do upgrade disponível, abrir Schedule Upgrades, selecionar a versão de destino se houver várias versões e definir data e hora. Em alternativa, o update pode ser iniciado imediatamente. Atualizações planeadas podem ser editadas ou canceladas antes do início.
Após a janela de manutenção deve ser verificada também a Sophos Central Firewall Management Task Queue. Aí é possível ver se a tarefa do Central foi concluída ou se uma tarefa falhada está a bloquear outras alterações. A verificação local no WebAdmin continua obrigatória, porque o estado no Central e a versão de firmware realmente ativa não devem ser assumidos como iguais.
Quando falta uma ação de update
Se faltar uma ação esperada no WebAdmin ou no Sophos Central, isso normalmente não é motivo para recarregar imagens à pressa. Primeiro deve verificar-se que requisito falta:
Installestá desativado: verificar a autorização de suporte. Após os três firmware upgrades gratuitos, mudanças normais de firmware exigem Enhanced Support ou Enhanced Plus Support.- Central não mostra botão de download: verificar se a firewall está online, gerida no Sophos Central, numa versão firmware GA e elegível para a versão de destino.
- Upload é recusado: verificar tipo de plataforma, série da appliance, versão ativa, upgrade path compatível e integridade do ficheiro.
- Versão de destino não encaixa: verificar release notes e tabela de upgrades suportados. Em mudanças incompatíveis, reimage ou migração é muitas vezes o caminho correto, não outra tentativa de upload.
- Muitos gateways ou configuração especial: antes da mudança de versão, verificar se a versão de destino tem limites conhecidos ou notas de migração para a configuração local.
Verificar após a atualização
Após o reinício, não se deve avançar logo para a alteração seguinte. Primeiro tem de estar claro se a firewall está realmente estável com o novo firmware e se as funções operacionais mais importantes estão acessíveis.
Verificar diretamente:
- Backup & Firmware > Firmware mostra a versão ativa esperada.
- Control center não mostra novos avisos críticos.
- Interfaces, uplinks WAN, rotas SD-WAN e Default Gateway são plausíveis.
- Estado e funções HA estão corretos, se for usado um cluster.
- Site-to-Site VPN, Remote Access VPN e ligações RED estabelecem-se.
- DNS, DHCP, NAT, WAF e regras centrais da firewall funcionam com testes reais.
- Sophos Central Synchronisation e Central Firewall Management estão atuais.
- Monitoring, Syslog ou SIEM voltam a receber dados, se forem usados.
Se, após a atualização, regras, NAT ou VPN não funcionarem como esperado, a análise deve começar por Log Viewer, Policy Test, Packet Capture e service logs relevantes. Para troubleshooting estruturado são adequados Testar regra de firewall com Log Viewer, Policy Test e Packet Capture e Troubleshooting Sophos Firewall: serviços e logs.
Se o upload ou a instalação falhar, não se deve simplesmente carregar a mesma imagem várias vezes. Causas típicas são tipo de plataforma errado, upgrade path não suportado, download danificado, espaço insuficiente, problema de sincronização HA ou uma migração de configuração que falha durante o upgrade. Desde SFOS 20.0, o Sophos Firewall pode, em determinados erros de migração, voltar automaticamente à versão anterior e ao estado de configuração anterior. Depois continua a ser necessária uma análise limpa da causa antes de iniciar novamente o update.
Se o WebAdmin já não estiver acessível devido a firmware danificado, isso já não é uma mudança normal de firmware. Em dispositivos XG/SG, SFLoader pode ser relevante conforme a situação; em dispositivos XGS, para firmware danificado o reimage é normalmente o caminho limpo de recovery. O processo adequado está em Reinstalar Sophos Firewall OS: reimage com pen USB.
Rollback para a versão anterior
Após uma atualização, pode acontecer que algumas funções não trabalhem como esperado. Nesse caso, é possível regressar à partição de firmware anterior. Para isso, clicar no ícone de rollback assinalado junto à versão atual. Num cluster HA, ambas as appliances são igualmente iniciadas com a versão selecionada.
Um rollback não é o mesmo que um restore. A firewall arranca novamente com a versão de firmware anterior e com o estado de configuração dessa partição. Continuam a ser necessários um backup restaurável, uma Secure Storage Master Key conhecida e um plano de recovery claro. Alterações de configuração feitas depois da mudança de versão podem perder-se ou comportar-se de forma diferente ao regressar a um firmware mais antigo. Por isso, após a atualização não se devem fazer alterações laterais desnecessárias antes de estar claro que a nova versão está estável.
Rollback e downgrade também não são a mesma coisa:
- Rollback: mudança para a versão compatível anteriormente instalada no segundo slot de firmware.
- Downgrade: mudança para uma versão compatível anterior, que não tem de ser necessariamente a versão imediatamente anterior.
- Reimage: reinstalação do Sophos Firewall OS, normalmente com perda de dados no dispositivo e restore posterior.
Antes de um rollback, deve registar-se brevemente por que motivo se regressa à versão anterior. Critérios úteis incluem, por exemplo: ligação WAN não estabiliza, VPNs centrais continuam down apesar da verificação, HA não sincroniza corretamente, regras críticas da firewall não se aplicam ou um bug conhecido afeta precisamente o ambiente produtivo. Se apenas um serviço individual apresenta comportamento estranho, pode ser mais sensato fazer troubleshooting direcionado do que executar rollback imediato.
- WAN, HA ou VPNs centrais falham durante a janela de manutenção: rollback é adequado se a causa não puder ser estabilizada rapidamente. Se for visível um erro claro de configuração, deve analisar-se esse ponto primeiro.
- Regra individual, NAT ou publicação WAF parece incorreta: considerar rollback apenas em caso de perturbação ampla ou problema de firmware conhecido. Caso contrário, verificar primeiro Log Viewer, Policy Test, Packet Capture e service logs.
- WebAdmin parece lento, mas o tráfego está estável: rollback raramente é a primeira medida. É preferível verificar carga, serviços, browser, logs e notas conhecidas.
- Cluster HA fica dessincronizado após a atualização: rollback é possível se a operação produtiva estiver em risco. Primeiro devem ser verificados funções HA, estado de sincronização, links e logs.
Antes do clique, devem estar documentados pelo menos versão ativa, versão de destino, hora, sintoma, serviços afetados, estado HA e pontos já testados. Em ambientes HA, deve estar claro também que node está ativo e que, ao regressar, podem voltar a ocorrer interrupções em sessões, VPNs ou acesso de gestão.
Após o rollback, a verificação começa novamente: controlar a versão de firmware ativa, verificar Control center, validar WAN, VPN, HA, regras centrais, NAT, WAF, DNS, DHCP, sincronização Central e logging com testes reais. Depois, não se deve permanecer simplesmente na versão antiga de forma permanente. Melhor é definir um plano curto de seguimento: delimitar a causa, verificar indicações de suporte ou release notes, guardar backup e evidências, e só voltar a planear a atualização de destino quando o gatilho estiver compreendido.
