Reinstalar Sophos Firewall OS: reimage com pen USB
Um reimage instala o Sophos Firewall OS totalmente de novo. O processo destina-se a situações de recovery, sistemas de laboratório, mudanças de modelo ou uma reinstalação limpa. Para mudanças de versão normais, uma atualização de firmware através da interface Webadmin costuma ser a melhor escolha.
⚠️ Importante: Um reimage substitui completamente a firewall. Configuração, logs locais, certificados, relatórios e dados de conta guardados deixam de existir no equipamento. Antes de começar, é necessário ter um backup atual e a Secure Storage Master Key (SSMK) correta, se os dados de configuração encriptados tiverem de ser restaurados mais tarde.
Reimage, atualização de firmware ou factory reset?
| Procedimento | Objetivo | Utilização típica |
|---|---|---|
| Atualização de firmware | Atualizar SFOS para outra versão | Manutenção normal através de Backup & Firmware > Firmware |
| Rollback | Voltar para uma versão de firmware instalada anteriormente | Erros depois de uma atualização, enquanto o firmware anterior ainda existe |
| Factory Reset | Repor a configuração | O equipamento permanece na versão SFOS instalada, a configuração perde-se |
| Reimage | Reinstalar SFOS a partir de uma pen USB | Sistema danificado, reinstalação limpa, mudança de versão incompatível ou recovery |
Para uma atualização normal, deve-se verificar primeiro o artigo Sophos Firewall: executar atualização de firmware SFOS. Um Factory Reset também não é o mesmo que um reimage: repõe a configuração, mas não remove todos os dados locais como uma reinstalação completa. A Secure Storage Master Key também não é apagada durante um Factory Reset. Se a firewall tiver mesmo de voltar a um estado predefinido limpo, incluindo logs, relatórios e dados operacionais locais, o reimage é o caminho mais adequado. Para appliances XGS com firmware danificado, a Sophos remete para o procedimento de reimage, porque o SFLoader não está disponível para XGS.
Quando não se deve iniciar um reimage
Um reimage é a variante pesada de recovery. Se ainda for possível obter acesso administrativo normal, deve-se verificar primeiro se basta uma abordagem menos invasiva.
| Situação | Verificar primeiro |
|---|---|
| WebAdmin bloqueia, mas o tráfego continua | Reiniciar especificamente a GUI WebAdmin |
| Um único serviço não responde | Reiniciar serviços da Sophos Firewall em segurança |
| Está prevista uma atualização de firmware | Atualização de firmware e plano de rollback em vez de reimage |
| A configuração deve ser apagada | Factory Reset pode bastar, se o próprio SFOS estiver saudável |
| O problema é espaço de armazenamento ou relatórios | Verificar espaço de armazenamento, relatórios e logs |
| Ainda existe um caso de suporte em curso | Guardar previamente logs, arquivos de suporte e erros atuais |
O reimage faz sentido quando o sistema operativo está danificado, quando se pretende uma reconstrução limpa ou quando o Sophos Support ou o plano de recovery indicam este caminho. Para manutenção normal, problemas isolados da GUI ou problemas de desempenho por esclarecer, costuma ser cedo demais.
Guardar tudo antes do reimage
Antes de um reimage produtivo, deve-se preparar estes pontos:
- Descarregar o backup de configuração atual e guardá-lo em segurança.
- Documentar a Secure Storage Master Key se o backup contiver dados de conta encriptados.
- Verificar estado da licença, número de série e associação ao Sophos Central.
- Documentar modelo, revisão, versão SFOS atual, build, versão de destino e versão do backup.
- Anotar separadamente dados WAN, VLANs, rotas estáticas, parâmetros VPN e informações HA especiais.
- Planear uma janela de manutenção, porque durante o reimage a firewall não protege nem processa tráfego.
- Garantir acesso local à appliance, alimentação elétrica, porta USB e porta de gestão.
- Verificar previamente o processo de restore, especialmente em clusters HA e locais VPN críticos.
- Guardar logs ou arquivos de suporte, se a causa ainda tiver de ser analisada mais tarde.
As bases adequadas estão em Sophos Firewall: criar e restaurar backup, Sophos Firewall: verificação de upgrade para SFOS 22 e Cluster HA Sophos Firewall: Active-Passive, Active-Active e Auxiliary Appliance.
Se o reimage fizer parte de um cenário RMA ou HA, esta documentação torna-se ainda mais importante. Nesses casos, não conta apenas a versão principal, mas também o build. Um equipamento de substituição deve corresponder à firewall saudável ou ser levado conscientemente para a versão de destino antes de iniciar backup, transferência de licença e reconfiguração HA.
Esclarecer previamente a compatibilidade do restore
A parte mais importante de um reimage não é gravar a pen USB, mas sim conseguir restaurar depois. Um backup não deve ser avaliado pela primeira vez só depois da reinstalação.
Esclarecer previamente:
| Ponto | Porque é importante |
|---|---|
| Versão do backup | Um backup não pode ser restaurado livremente para qualquer versão SFOS mais antiga ou mais recente. |
| Modelo de destino | Número de portas, nomes de interfaces e classe do modelo influenciam o restore e o mapeamento de portas. |
| Secure Storage Master Key | Sem a SSMK correta, faltam dados de conta protegidos depois do restore. |
| Licença e conta | Depois de reimage ou mudança de modelo, a firewall tem de voltar a ficar corretamente licenciada e associada. |
| Função HA | Em clusters tem de estar claro se será reconstruído o Initial Primary ou o Auxiliary. |
| Configuração legacy | IPsec de acesso remoto antigo ou bloqueadores de upgrade devem ser conhecidos antes do restore. |
Em substituição de hardware, migração de XG para XGS ou restore para outro modelo, deve-se verificar adicionalmente se o Backup-Restore Assistant está disponível e se a atribuição das portas está correta antes do restore final. O processo está descrito em criar ou restaurar backup da Sophos Firewall.
Para HA e RMA, aplica-se como regra prática: versão de firmware e build dos equipamentos envolvidos são verificados antes do restore. Se a versão antiga de firmware necessária já não puder ser descarregada normalmente, não se deve improvisar, mas envolver o Sophos Support ou o processo de suporte existente.
Requisitos
- Appliance Sophos Firewall ou Software Appliance/Virtual Appliance adequada.
- Pen USB com pelo menos 4 GB de espaço.
- Computador Windows, macOS ou Linux para criar a pen USB arrancável.
- Ferramenta para gravar a imagem ISO, por exemplo balenaEtcher.
- Acesso local à appliance.
- Opcional: cabo USB para Micro-USB ou adaptador RJ45-COM para mensagens de estado e diagnóstico através da consola série.
Para o reimage em si não é necessária autorização Enhanced Support. Para upgrades de firmware regulares aplicam-se, no entanto, as respetivas condições de licença e suporte.
1. Descarregar a imagem de instalação SFOS adequada
A imagem de instalação é obtida através da página oficial de downloads da Sophos:
- Abrir Sophos Firewall Installer. Em alternativa, é possível usar o download direto.
- Para appliances de hardware Sophos, escolher a versão SFOS pretendida em Hardware Installers.
- Aceitar os termos de licença e descarregar a imagem ISO.
Em appliances de hardware, normalmente é usada uma imagem com o prefixo HW. Software Appliances e Virtual Appliances usam outros tipos de imagem. O importante é que plataforma, versão de destino e plano de restore combinem. Uma imagem errada não é um pequeno detalhe estético; pode bloquear o processo de recovery.
Nome do ficheiro da imagem de instalação
Exemplo: HW-22.0.1_MR-1-490.iso
| Componente | Significado |
|---|---|
HW | Instalador para appliances de hardware Sophos |
22.0.1 | Versão SFOS |
MR-1 | Maintenance Release 1 |
490 | Número de build |
.iso | Imagem ISO para pen USB ou instalação de software |
Os componentes mais importantes do nome do ficheiro:
Plataforma ou tipo de appliance
- HW: imagem ISO para appliances de hardware Sophos. Para o reimage de uma appliance XGS, esta é geralmente a variante necessária.
- SW: imagem ISO para Sophos Firewall como Software Appliance.
- VI: pacote de imagem para Sophos Firewall como Virtual Appliance.
- AMI: imagem para Amazon AWS.
- AZU: imagem para Microsoft Azure.
Plataforma de virtualização em ficheiros VI
- HYV: Microsoft Hyper-V.
- KVM: KVM.
- VMW: VMware Hypervisor.
- XEN: Xen.
Tipo de release
- GA: General Availability. É uma versão principal ou intermédia disponível em geral, muitas vezes com novas funcionalidades.
- MR: Maintenance Release. Um MR contém sobretudo correções, melhorias de estabilidade e ajustes de segurança dentro de uma versão existente.
Extensão do ficheiro
- .iso: imagem ISO que pode ser gravada numa pen USB ou usada para Software Appliances.
- .zip: arquivo com ficheiros de imagem para Virtual Appliances.
- .sig: imagem assinada para determinados modelos de appliance ou cenários de atualização.
Para sistemas produtivos, o MR atual de uma versão suportada costuma ser a melhor escolha em comparação com uma versão GA acabada de sair. Se um reimage fizer parte de um caso de recovery ou suporte, a versão de destino deve, porém, corresponder sempre ao backup existente, ao estado da licença e ao restore planeado.
Para um reimage XGS, normalmente é relevante um ficheiro como HW-22.0.1_MR-1-490.iso. SW, VI, AMI ou AZU destinam-se a outras plataformas e não devem ser usados numa appliance de hardware.

2. Criar uma pen USB arrancável
A pen USB é formatada ao gravar a imagem ISO. Todos os dados existentes na pen USB serão perdidos.
- Inserir no computador uma pen USB com pelo menos 4 GB de espaço.
- Descarregar e iniciar balenaEtcher.
- Com
Flash from file, selecionar a imagem ISO SFOS descarregada. - Em
Select target, escolher a pen USB correta. - Com
Flash!, gravar a imagem ISO na pen USB.
Depois da gravação, a pen USB deve ser ejetada corretamente. Se o macOS ou o Windows indicarem depois que a pen não é legível, isso não é necessariamente um erro, porque a imagem foi escrita para o arranque da appliance.

3. Reinstalar SFOS na firewall
O processo de reimage corre diretamente na appliance. Durante esse período, o equipamento não pode ser desligado.
- Desligar completamente a firewall.
- Opcionalmente, preparar monitor, LCD ou consola série, caso se queira observar o estado da instalação.
- Inserir a pen USB preparada na firewall.
- Ligar a firewall.
- Aguardar até que o Sophos Firmware Installer arranque a partir da pen USB.
- Monitorizar o estado da instalação conforme o modelo da appliance.
- Depois de uma instalação bem-sucedida, remover a pen USB.
- Se o instalador pedir uma confirmação depois disso, reiniciar com
y.
Estado em appliances XGS Desktop
Muitos modelos XGS Desktop não têm ligação VGA, SVGA ou HDMI para um ecrã. Por isso, o estado do reimage é indicado através do LED de estado na parte frontal. Se forem necessários mais detalhes, usa-se a consola série através da porta COM.
| Família de modelos | Ligação de ecrã | Estado durante o reimage |
|---|---|---|
| XGS 87 / 87w / 107 / 107w | Sem VGA, SVGA ou HDMI | LED de estado e, opcionalmente, consola série |
| XGS 116 / 116w / 126 / 126w / 136 / 136w | Sem VGA, SVGA ou HDMI | LED de estado e, opcionalmente, consola série |
| XGS 88 / 88w / 108 / 108w | Sem VGA, SVGA ou HDMI | LED de estado e, opcionalmente, consola série |
| XGS 118 / 118w / 128 / 128w / 138 | Sem VGA, SVGA ou HDMI | LED de estado e, opcionalmente, consola série |
| Estado do LED | Significado |
|---|---|
| 🔴 Vermelho intermitente | Reimage em curso |
| 🟢 Verde permanente | Reimage concluído com sucesso |
| 🔴 Vermelho permanente | Reimage falhou |
O reimage só está concluído quando o LED fica permanentemente verde. Enquanto o LED piscar a vermelho, o processo ainda está em curso.
Estado em appliances XGS Rack
As appliances rack mostram o estado através do visor integrado. Mensagens típicas são Installation in progress, Installation successful, Installation failed ou Failsafe mode.
Estado através da consola série
Para diagnóstico adicional, pode ser ligada uma consola. Em appliances XGS Desktop atuais, no dia a dia isto já não costuma ser uma antiga ligação RS-232 clássica no portátil, mas sim um cabo USB para Micro-USB na porta COM Micro USB da firewall. Ainda assim, a appliance disponibiliza uma consola série através dessa ligação. No computador de administração, ela aparece como porta COM no Windows ou como dispositivo tty no macOS e Linux.
Isto é especialmente útil quando não existe ligação de ecrã, quando o LED fica permanentemente vermelho, quando o arranque pela pen USB não é claro ou quando é necessário ver diretamente mensagens do instalador e de erro. Muitos modelos XGS também têm uma porta RJ45-COM. Esta porta RJ45-COM é uma porta de consola, não uma porta de rede normal. Se Micro-USB e RJ45-COM estiverem ligados ao mesmo tempo, Micro-USB tem prioridade.
Ferramentas típicas:
- Windows: PuTTY, Windows Terminal ou outro cliente de terminal série.
- macOS: Terminal com
screen, por exemploscreen /dev/tty.usbserial-XXXX 38400. - Linux:
screen,minicomoupicocom.
Definições série:
| Definição | Valor |
|---|---|
| Baudrate | 38400 |
| Bits de dados | 8 |
| Paridade | Nenhuma |
| Bits de paragem | 1 |
4. Aceder à firewall depois do reimage
Depois do reimage, a firewall arranca com a configuração predefinida. O primeiro acesso é normalmente feito através da Porta 1:
- IP de gestão:
https://172.16.16.16:4444 - Ligação: ligar o computador diretamente à Porta 1 da firewall
- IP do computador: definir um IP estático adequado na rede
172.16.16.0/24, se não for possível aceder
Depois segue-se a configuração básica ou o restore de um backup existente. No restore, é necessário indicar a Secure Storage Master Key correta se o backup contiver dados de conta protegidos.
Depois do restore, devem ser verificados pelo menos estes pontos:
- Interfaces, zonas e VLANs.
- Default Gateway, rotas estáticas e rotas SD-WAN.
- Regras de firewall, regras NAT e proteção de servidores web.
- Ligações VPN e certificados.
- Estado da licença e sincronização com Sophos Central.
- Estado HA, se a firewall fizer parte de um cluster.
- Logging, destinos Syslog e reporting.
Para firewalls geridas pelo Central, também ajuda ligar a Sophos Firewall ao Sophos Central. Em mudanças de modelo ou equipamentos mais antigos, Sophos XG ou XGS Firewall: escolher a appliance correta é relevante.
Não tratar HA e RMA como equipamento isolado
Num equipamento de laboratório isolado, um reimage costuma ser linear: gravar imagem, instalar, restaurar backup, testar. Em HA e RMA, o processo é mais sensível. Antes é necessário saber que equipamento está saudável, que função tem, que versão de firmware e build executa e se o Sophos Central ou a transferência de licença têm de ser limpos primeiro.
Em ambientes Active-Passive, um equipamento de substituição não deve ser simplesmente ligado ao cluster com todos os cabos. O mais comum é um processo controlado: verificar a versão de firmware, aceder localmente ao equipamento de substituição pela Porta 1, ligar WAN apenas para registo ou transferência de licença, restaurar o backup adequado, reconstruir HA conscientemente e só depois mudar os cabos produtivos. A sequência exata depende de estar a ser substituído o Primary ou o Auxiliary.
Teste de aceitação após reimage e restore
Depois de um login bem-sucedido, uma breve vista de olhos ao dashboard não chega. A firewall tem de voltar a servir corretamente os caminhos produtivos mais importantes.
Sequência útil:
- Verificar estado da licença, número de série, modelo e versão de firmware.
- Controlar interfaces, estado de link, VLANs e zonas.
- Verificar WAN Gateway, DNS, NTP e ligação ao Sophos Central.
- Validar regras de firewall, regras NAT e Log Viewer com um cliente de teste.
- Testar VPNs Site-to-Site e Remote Access com destinos de teste reais.
- Verificar estado e funções HA, se existir um cluster.
- Controlar Syslog, Central Reporting, backups e relatórios agendados.
- Remover acessos temporários antigos, contas de administrador locais ou exceções de recovery.
Se um restore tiver sido bem-sucedido, mas o tráfego não fluir, não se deve fazer imediatamente outro reimage. Nesses casos, são frequentemente afetados o mapeamento de interfaces, routing, NAT, Device Access, estado da licença ou o caminho de retorno da contraparte. Para a análise, são adequados testar regra de firewall com Log Viewer, Policy Test e Packet Capture, compreender NAT na Sophos Firewall e Sophos Firewall IPsec VPN Troubleshooting.
Problemas frequentes
Firewall não arranca pela pen USB
Na maioria dos casos, a pen USB não foi gravada corretamente, foi escolhida a imagem errada ou a appliance não arranca pela porta USB esperada. Nesse caso, gravar novamente a ISO com balenaEtcher, testar outra pen USB e observar o arranque por monitor, LCD, LED de estado ou consola série.
LED fica permanentemente vermelho
Um LED de estado permanentemente vermelho significa que o reimage falhou. Não se deve continuar às cegas em produção: verificar pen USB, tipo de imagem, modelo de destino e mensagem de instalação. Se o erro se repetir, consola série e Sophos Support são mais úteis do que várias tentativas idênticas.
Backup-Restore falha
Causas típicas são uma versão de destino inadequada, um backup danificado, uma SSMK em falta ou um restore para outro modelo sem mapeamento de portas limpo. Verificar primeiro versão do backup, versão SFOS de destino, build, plataforma e SSMK. Depois esclarecer se é necessário um Restore Assistant, um passo intermédio através de outra versão SFOS ou suporte.
WebAdmin não está acessível depois do reimage
Depois do reimage volta a aplicar-se a configuração predefinida. Liga-se o computador diretamente à Porta 1, define-se um IP adequado na rede 172.16.16.0/24 e abre-se https://172.16.16.16:4444. Se isto não funcionar, verificar primeiro estado do link, IP local do cliente, aviso de certificado no browser e, se necessário, o estado de arranque.
HA não arranca corretamente depois do restore
Em HA, muitas vezes o problema não é o reimage em si, mas sim função, versão de firmware, build, Initial Primary, associação ao Central ou ordem de restore. Por isso, não se deve reativar HA automaticamente, mas documentar primeiro o estado de ambos os equipamentos e compará-lo com o processo HA planeado.
O tráfego não flui depois do restore
Quando a configuração foi restaurada, mas o tráfego não funciona, estão frequentemente envolvidos mapeamento de interfaces, zonas, routing, NAT, Device Access, estado da licença ou caminhos de retorno. Nessa situação, Log Viewer, Rule ID, NAT ID, Route Lookup e Packet Capture ajudam mais do que outro reimage.
Falta licença ou ligação ao Central
Depois de reimage, RMA ou mudança de modelo, número de série, associação à conta, transferência de licença, DNS, gateway e ligação ao Sophos Central têm de voltar a estar corretos. Só quando a firewall estiver corretamente online se deve deduzir daí um estado operacional produtivo.
Checklist
- Backup descarregado.
- Secure Storage Master Key disponível.
- Versão do backup e versão SFOS de destino documentadas.
- Build de firmware e revisão do modelo verificados, especialmente em HA ou RMA.
- Número de série, estado da licença e associação ao Central verificados.
- Imagem de instalação SFOS adequada escolhida.
- Pen USB gravada com sucesso.
- Janela de manutenção e acesso local esclarecidos.
- Appliance não desligada durante o reimage.
- WebAdmin alcançado pela Porta 1 depois do reinício.
- Backup restaurado e SSMK introduzida.
- Rede, VPN, licença, Central e HA verificados.
- Testes de regras, NAT, routing e VPN realizados com clientes reais.
- Acessos temporários de recovery e notas limpos.