Saltar para o conteudo
Avanet

Reinstalar Sophos Firewall OS: reimage com pen USB

Um reimage instala o Sophos Firewall OS totalmente de novo. O processo destina-se a situações de recovery, sistemas de laboratório, mudanças de modelo ou uma reinstalação limpa. Para mudanças de versão normais, uma atualização de firmware através da interface Webadmin costuma ser a melhor escolha.

⚠️ Importante: Um reimage substitui completamente a firewall. Configuração, logs locais, certificados, relatórios e dados de conta guardados deixam de existir no equipamento. Antes de começar, é necessário ter um backup atual e a Secure Storage Master Key (SSMK) correta, se os dados de configuração encriptados tiverem de ser restaurados mais tarde.

Reimage, atualização de firmware ou factory reset?

ProcedimentoObjetivoUtilização típica
Atualização de firmwareAtualizar SFOS para outra versãoManutenção normal através de Backup & Firmware > Firmware
RollbackVoltar para uma versão de firmware instalada anteriormenteErros depois de uma atualização, enquanto o firmware anterior ainda existe
Factory ResetRepor a configuraçãoO equipamento permanece na versão SFOS instalada, a configuração perde-se
ReimageReinstalar SFOS a partir de uma pen USBSistema danificado, reinstalação limpa, mudança de versão incompatível ou recovery

Para uma atualização normal, deve-se verificar primeiro o artigo Sophos Firewall: executar atualização de firmware SFOS. Um Factory Reset também não é o mesmo que um reimage: repõe a configuração, mas não remove todos os dados locais como uma reinstalação completa. A Secure Storage Master Key também não é apagada durante um Factory Reset. Se a firewall tiver mesmo de voltar a um estado predefinido limpo, incluindo logs, relatórios e dados operacionais locais, o reimage é o caminho mais adequado. Para appliances XGS com firmware danificado, a Sophos remete para o procedimento de reimage, porque o SFLoader não está disponível para XGS.

Quando não se deve iniciar um reimage

Um reimage é a variante pesada de recovery. Se ainda for possível obter acesso administrativo normal, deve-se verificar primeiro se basta uma abordagem menos invasiva.

SituaçãoVerificar primeiro
WebAdmin bloqueia, mas o tráfego continuaReiniciar especificamente a GUI WebAdmin
Um único serviço não respondeReiniciar serviços da Sophos Firewall em segurança
Está prevista uma atualização de firmwareAtualização de firmware e plano de rollback em vez de reimage
A configuração deve ser apagadaFactory Reset pode bastar, se o próprio SFOS estiver saudável
O problema é espaço de armazenamento ou relatóriosVerificar espaço de armazenamento, relatórios e logs
Ainda existe um caso de suporte em cursoGuardar previamente logs, arquivos de suporte e erros atuais

O reimage faz sentido quando o sistema operativo está danificado, quando se pretende uma reconstrução limpa ou quando o Sophos Support ou o plano de recovery indicam este caminho. Para manutenção normal, problemas isolados da GUI ou problemas de desempenho por esclarecer, costuma ser cedo demais.

Guardar tudo antes do reimage

Antes de um reimage produtivo, deve-se preparar estes pontos:

  • Descarregar o backup de configuração atual e guardá-lo em segurança.
  • Documentar a Secure Storage Master Key se o backup contiver dados de conta encriptados.
  • Verificar estado da licença, número de série e associação ao Sophos Central.
  • Documentar modelo, revisão, versão SFOS atual, build, versão de destino e versão do backup.
  • Anotar separadamente dados WAN, VLANs, rotas estáticas, parâmetros VPN e informações HA especiais.
  • Planear uma janela de manutenção, porque durante o reimage a firewall não protege nem processa tráfego.
  • Garantir acesso local à appliance, alimentação elétrica, porta USB e porta de gestão.
  • Verificar previamente o processo de restore, especialmente em clusters HA e locais VPN críticos.
  • Guardar logs ou arquivos de suporte, se a causa ainda tiver de ser analisada mais tarde.

As bases adequadas estão em Sophos Firewall: criar e restaurar backup, Sophos Firewall: verificação de upgrade para SFOS 22 e Cluster HA Sophos Firewall: Active-Passive, Active-Active e Auxiliary Appliance.

Se o reimage fizer parte de um cenário RMA ou HA, esta documentação torna-se ainda mais importante. Nesses casos, não conta apenas a versão principal, mas também o build. Um equipamento de substituição deve corresponder à firewall saudável ou ser levado conscientemente para a versão de destino antes de iniciar backup, transferência de licença e reconfiguração HA.

Esclarecer previamente a compatibilidade do restore

A parte mais importante de um reimage não é gravar a pen USB, mas sim conseguir restaurar depois. Um backup não deve ser avaliado pela primeira vez só depois da reinstalação.

Esclarecer previamente:

PontoPorque é importante
Versão do backupUm backup não pode ser restaurado livremente para qualquer versão SFOS mais antiga ou mais recente.
Modelo de destinoNúmero de portas, nomes de interfaces e classe do modelo influenciam o restore e o mapeamento de portas.
Secure Storage Master KeySem a SSMK correta, faltam dados de conta protegidos depois do restore.
Licença e contaDepois de reimage ou mudança de modelo, a firewall tem de voltar a ficar corretamente licenciada e associada.
Função HAEm clusters tem de estar claro se será reconstruído o Initial Primary ou o Auxiliary.
Configuração legacyIPsec de acesso remoto antigo ou bloqueadores de upgrade devem ser conhecidos antes do restore.

Em substituição de hardware, migração de XG para XGS ou restore para outro modelo, deve-se verificar adicionalmente se o Backup-Restore Assistant está disponível e se a atribuição das portas está correta antes do restore final. O processo está descrito em criar ou restaurar backup da Sophos Firewall.

Para HA e RMA, aplica-se como regra prática: versão de firmware e build dos equipamentos envolvidos são verificados antes do restore. Se a versão antiga de firmware necessária já não puder ser descarregada normalmente, não se deve improvisar, mas envolver o Sophos Support ou o processo de suporte existente.

Requisitos

  • Appliance Sophos Firewall ou Software Appliance/Virtual Appliance adequada.
  • Pen USB com pelo menos 4 GB de espaço.
  • Computador Windows, macOS ou Linux para criar a pen USB arrancável.
  • Ferramenta para gravar a imagem ISO, por exemplo balenaEtcher.
  • Acesso local à appliance.
  • Opcional: cabo USB para Micro-USB ou adaptador RJ45-COM para mensagens de estado e diagnóstico através da consola série.

Para o reimage em si não é necessária autorização Enhanced Support. Para upgrades de firmware regulares aplicam-se, no entanto, as respetivas condições de licença e suporte.

1. Descarregar a imagem de instalação SFOS adequada

A imagem de instalação é obtida através da página oficial de downloads da Sophos:

  1. Abrir Sophos Firewall Installer. Em alternativa, é possível usar o download direto.
  2. Para appliances de hardware Sophos, escolher a versão SFOS pretendida em Hardware Installers.
  3. Aceitar os termos de licença e descarregar a imagem ISO.

Em appliances de hardware, normalmente é usada uma imagem com o prefixo HW. Software Appliances e Virtual Appliances usam outros tipos de imagem. O importante é que plataforma, versão de destino e plano de restore combinem. Uma imagem errada não é um pequeno detalhe estético; pode bloquear o processo de recovery.

Nome do ficheiro da imagem de instalação

Exemplo: HW-22.0.1_MR-1-490.iso

ComponenteSignificado
HWInstalador para appliances de hardware Sophos
22.0.1Versão SFOS
MR-1Maintenance Release 1
490Número de build
.isoImagem ISO para pen USB ou instalação de software

Os componentes mais importantes do nome do ficheiro:

  • Plataforma ou tipo de appliance

    • HW: imagem ISO para appliances de hardware Sophos. Para o reimage de uma appliance XGS, esta é geralmente a variante necessária.
    • SW: imagem ISO para Sophos Firewall como Software Appliance.
    • VI: pacote de imagem para Sophos Firewall como Virtual Appliance.
    • AMI: imagem para Amazon AWS.
    • AZU: imagem para Microsoft Azure.
  • Plataforma de virtualização em ficheiros VI

    • HYV: Microsoft Hyper-V.
    • KVM: KVM.
    • VMW: VMware Hypervisor.
    • XEN: Xen.
  • Tipo de release

    • GA: General Availability. É uma versão principal ou intermédia disponível em geral, muitas vezes com novas funcionalidades.
    • MR: Maintenance Release. Um MR contém sobretudo correções, melhorias de estabilidade e ajustes de segurança dentro de uma versão existente.
  • Extensão do ficheiro

    • .iso: imagem ISO que pode ser gravada numa pen USB ou usada para Software Appliances.
    • .zip: arquivo com ficheiros de imagem para Virtual Appliances.
    • .sig: imagem assinada para determinados modelos de appliance ou cenários de atualização.

Para sistemas produtivos, o MR atual de uma versão suportada costuma ser a melhor escolha em comparação com uma versão GA acabada de sair. Se um reimage fizer parte de um caso de recovery ou suporte, a versão de destino deve, porém, corresponder sempre ao backup existente, ao estado da licença e ao restore planeado.

Para um reimage XGS, normalmente é relevante um ficheiro como HW-22.0.1_MR-1-490.iso. SW, VI, AMI ou AZU destinam-se a outras plataformas e não devem ser usados numa appliance de hardware.

Sophos Firewall Installer com ISO de hardware para appliance XGS
Sophos Firewall Installer: descarregar a ISO de hardware para o reimage de uma appliance XGS

2. Criar uma pen USB arrancável

A pen USB é formatada ao gravar a imagem ISO. Todos os dados existentes na pen USB serão perdidos.

  1. Inserir no computador uma pen USB com pelo menos 4 GB de espaço.
  2. Descarregar e iniciar balenaEtcher.
  3. Com Flash from file, selecionar a imagem ISO SFOS descarregada.
  4. Em Select target, escolher a pen USB correta.
  5. Com Flash!, gravar a imagem ISO na pen USB.

Depois da gravação, a pen USB deve ser ejetada corretamente. Se o macOS ou o Windows indicarem depois que a pen não é legível, isso não é necessariamente um erro, porque a imagem foi escrita para o arranque da appliance.

balenaEtcher com imagem ISO SFOS e pen USB selecionadas
Com o balenaEtcher, a imagem ISO SFOS é gravada na pen USB

3. Reinstalar SFOS na firewall

O processo de reimage corre diretamente na appliance. Durante esse período, o equipamento não pode ser desligado.

  1. Desligar completamente a firewall.
  2. Opcionalmente, preparar monitor, LCD ou consola série, caso se queira observar o estado da instalação.
  3. Inserir a pen USB preparada na firewall.
  4. Ligar a firewall.
  5. Aguardar até que o Sophos Firmware Installer arranque a partir da pen USB.
  6. Monitorizar o estado da instalação conforme o modelo da appliance.
  7. Depois de uma instalação bem-sucedida, remover a pen USB.
  8. Se o instalador pedir uma confirmação depois disso, reiniciar com y.

Estado em appliances XGS Desktop

Muitos modelos XGS Desktop não têm ligação VGA, SVGA ou HDMI para um ecrã. Por isso, o estado do reimage é indicado através do LED de estado na parte frontal. Se forem necessários mais detalhes, usa-se a consola série através da porta COM.

Família de modelosLigação de ecrãEstado durante o reimage
XGS 87 / 87w / 107 / 107wSem VGA, SVGA ou HDMILED de estado e, opcionalmente, consola série
XGS 116 / 116w / 126 / 126w / 136 / 136wSem VGA, SVGA ou HDMILED de estado e, opcionalmente, consola série
XGS 88 / 88w / 108 / 108wSem VGA, SVGA ou HDMILED de estado e, opcionalmente, consola série
XGS 118 / 118w / 128 / 128w / 138Sem VGA, SVGA ou HDMILED de estado e, opcionalmente, consola série
Estado do LEDSignificado
🔴 Vermelho intermitenteReimage em curso
🟢 Verde permanenteReimage concluído com sucesso
🔴 Vermelho permanenteReimage falhou

O reimage só está concluído quando o LED fica permanentemente verde. Enquanto o LED piscar a vermelho, o processo ainda está em curso.

Estado em appliances XGS Rack

As appliances rack mostram o estado através do visor integrado. Mensagens típicas são Installation in progress, Installation successful, Installation failed ou Failsafe mode.

Estado através da consola série

Para diagnóstico adicional, pode ser ligada uma consola. Em appliances XGS Desktop atuais, no dia a dia isto já não costuma ser uma antiga ligação RS-232 clássica no portátil, mas sim um cabo USB para Micro-USB na porta COM Micro USB da firewall. Ainda assim, a appliance disponibiliza uma consola série através dessa ligação. No computador de administração, ela aparece como porta COM no Windows ou como dispositivo tty no macOS e Linux.

Isto é especialmente útil quando não existe ligação de ecrã, quando o LED fica permanentemente vermelho, quando o arranque pela pen USB não é claro ou quando é necessário ver diretamente mensagens do instalador e de erro. Muitos modelos XGS também têm uma porta RJ45-COM. Esta porta RJ45-COM é uma porta de consola, não uma porta de rede normal. Se Micro-USB e RJ45-COM estiverem ligados ao mesmo tempo, Micro-USB tem prioridade.

Ferramentas típicas:

  • Windows: PuTTY, Windows Terminal ou outro cliente de terminal série.
  • macOS: Terminal com screen, por exemplo screen /dev/tty.usbserial-XXXX 38400.
  • Linux: screen, minicom ou picocom.

Definições série:

DefiniçãoValor
Baudrate38400
Bits de dados8
ParidadeNenhuma
Bits de paragem1

4. Aceder à firewall depois do reimage

Depois do reimage, a firewall arranca com a configuração predefinida. O primeiro acesso é normalmente feito através da Porta 1:

  • IP de gestão: https://172.16.16.16:4444
  • Ligação: ligar o computador diretamente à Porta 1 da firewall
  • IP do computador: definir um IP estático adequado na rede 172.16.16.0/24, se não for possível aceder

Depois segue-se a configuração básica ou o restore de um backup existente. No restore, é necessário indicar a Secure Storage Master Key correta se o backup contiver dados de conta protegidos.

Depois do restore, devem ser verificados pelo menos estes pontos:

  • Interfaces, zonas e VLANs.
  • Default Gateway, rotas estáticas e rotas SD-WAN.
  • Regras de firewall, regras NAT e proteção de servidores web.
  • Ligações VPN e certificados.
  • Estado da licença e sincronização com Sophos Central.
  • Estado HA, se a firewall fizer parte de um cluster.
  • Logging, destinos Syslog e reporting.

Para firewalls geridas pelo Central, também ajuda ligar a Sophos Firewall ao Sophos Central. Em mudanças de modelo ou equipamentos mais antigos, Sophos XG ou XGS Firewall: escolher a appliance correta é relevante.

Não tratar HA e RMA como equipamento isolado

Num equipamento de laboratório isolado, um reimage costuma ser linear: gravar imagem, instalar, restaurar backup, testar. Em HA e RMA, o processo é mais sensível. Antes é necessário saber que equipamento está saudável, que função tem, que versão de firmware e build executa e se o Sophos Central ou a transferência de licença têm de ser limpos primeiro.

Em ambientes Active-Passive, um equipamento de substituição não deve ser simplesmente ligado ao cluster com todos os cabos. O mais comum é um processo controlado: verificar a versão de firmware, aceder localmente ao equipamento de substituição pela Porta 1, ligar WAN apenas para registo ou transferência de licença, restaurar o backup adequado, reconstruir HA conscientemente e só depois mudar os cabos produtivos. A sequência exata depende de estar a ser substituído o Primary ou o Auxiliary.

Teste de aceitação após reimage e restore

Depois de um login bem-sucedido, uma breve vista de olhos ao dashboard não chega. A firewall tem de voltar a servir corretamente os caminhos produtivos mais importantes.

Sequência útil:

  1. Verificar estado da licença, número de série, modelo e versão de firmware.
  2. Controlar interfaces, estado de link, VLANs e zonas.
  3. Verificar WAN Gateway, DNS, NTP e ligação ao Sophos Central.
  4. Validar regras de firewall, regras NAT e Log Viewer com um cliente de teste.
  5. Testar VPNs Site-to-Site e Remote Access com destinos de teste reais.
  6. Verificar estado e funções HA, se existir um cluster.
  7. Controlar Syslog, Central Reporting, backups e relatórios agendados.
  8. Remover acessos temporários antigos, contas de administrador locais ou exceções de recovery.

Se um restore tiver sido bem-sucedido, mas o tráfego não fluir, não se deve fazer imediatamente outro reimage. Nesses casos, são frequentemente afetados o mapeamento de interfaces, routing, NAT, Device Access, estado da licença ou o caminho de retorno da contraparte. Para a análise, são adequados testar regra de firewall com Log Viewer, Policy Test e Packet Capture, compreender NAT na Sophos Firewall e Sophos Firewall IPsec VPN Troubleshooting.

Problemas frequentes

Firewall não arranca pela pen USB

Na maioria dos casos, a pen USB não foi gravada corretamente, foi escolhida a imagem errada ou a appliance não arranca pela porta USB esperada. Nesse caso, gravar novamente a ISO com balenaEtcher, testar outra pen USB e observar o arranque por monitor, LCD, LED de estado ou consola série.

LED fica permanentemente vermelho

Um LED de estado permanentemente vermelho significa que o reimage falhou. Não se deve continuar às cegas em produção: verificar pen USB, tipo de imagem, modelo de destino e mensagem de instalação. Se o erro se repetir, consola série e Sophos Support são mais úteis do que várias tentativas idênticas.

Backup-Restore falha

Causas típicas são uma versão de destino inadequada, um backup danificado, uma SSMK em falta ou um restore para outro modelo sem mapeamento de portas limpo. Verificar primeiro versão do backup, versão SFOS de destino, build, plataforma e SSMK. Depois esclarecer se é necessário um Restore Assistant, um passo intermédio através de outra versão SFOS ou suporte.

WebAdmin não está acessível depois do reimage

Depois do reimage volta a aplicar-se a configuração predefinida. Liga-se o computador diretamente à Porta 1, define-se um IP adequado na rede 172.16.16.0/24 e abre-se https://172.16.16.16:4444. Se isto não funcionar, verificar primeiro estado do link, IP local do cliente, aviso de certificado no browser e, se necessário, o estado de arranque.

HA não arranca corretamente depois do restore

Em HA, muitas vezes o problema não é o reimage em si, mas sim função, versão de firmware, build, Initial Primary, associação ao Central ou ordem de restore. Por isso, não se deve reativar HA automaticamente, mas documentar primeiro o estado de ambos os equipamentos e compará-lo com o processo HA planeado.

O tráfego não flui depois do restore

Quando a configuração foi restaurada, mas o tráfego não funciona, estão frequentemente envolvidos mapeamento de interfaces, zonas, routing, NAT, Device Access, estado da licença ou caminhos de retorno. Nessa situação, Log Viewer, Rule ID, NAT ID, Route Lookup e Packet Capture ajudam mais do que outro reimage.

Falta licença ou ligação ao Central

Depois de reimage, RMA ou mudança de modelo, número de série, associação à conta, transferência de licença, DNS, gateway e ligação ao Sophos Central têm de voltar a estar corretos. Só quando a firewall estiver corretamente online se deve deduzir daí um estado operacional produtivo.

Checklist

  • Backup descarregado.
  • Secure Storage Master Key disponível.
  • Versão do backup e versão SFOS de destino documentadas.
  • Build de firmware e revisão do modelo verificados, especialmente em HA ou RMA.
  • Número de série, estado da licença e associação ao Central verificados.
  • Imagem de instalação SFOS adequada escolhida.
  • Pen USB gravada com sucesso.
  • Janela de manutenção e acesso local esclarecidos.
  • Appliance não desligada durante o reimage.
  • WebAdmin alcançado pela Porta 1 depois do reinício.
  • Backup restaurado e SSMK introduzida.
  • Rede, VPN, licença, Central e HA verificados.
  • Testes de regras, NAT, routing e VPN realizados com clientes reais.
  • Acessos temporários de recovery e notas limpos.

FAQ

Um reimage apaga toda a configuração?

Sim. Um reimage instala o Sophos Firewall OS de novo e substitui os dados existentes no equipamento. Sem backup, a firewall tem de ser reconstruída depois.

É necessário Enhanced Support para um reimage?

Para o reimage de uma Hardware Appliance, Software Appliance ou Virtual Appliance não é necessária autorização Enhanced Support. Para upgrades de firmware regulares depois dos upgrades gratuitos aplicam-se, porém, outras condições de suporte.

Qual é a diferença entre reimage e Factory Reset?

Um Factory Reset repõe a configuração, mas não reinstala o SFOS. Um reimage escreve de novo o sistema operativo no equipamento a partir da imagem de instalação.

Porque é importante a Secure Storage Master Key?

A Secure Storage Master Key protege dados de conta sensíveis em backups. Depois de um reimage ou Factory Reset, é necessária para restaurar dados protegidos a partir de um backup.

Pode-se restaurar qualquer backup depois de um reimage?

Não. Versão do backup, versão SFOS de destino, modelo, plataforma e mapeamento de portas têm de corresponder. Antes de um reimage produtivo, deve-se por isso verificar que versão será instalada e que backup será restaurado depois.

Uma appliance XGS pode ser reparada com SFLoader?

Em appliances XGS com firmware danificado, é usado o procedimento de reimage. SFLoader não está disponível para appliances XGS.