Saltar para o conteudo
Avanet

Atualização de firmware Sophos Firewall: preparação e práticas recomendadas

As atualizações de firmware mantêm um Sophos Firewall seguro, estável e com suporte. No entanto, você não deve tratá-lo como uma atualização normal de pacote. Uma atualização do SFOS pode afetar o comportamento do HA, túneis VPN, certificados, proteção da web, TLS Inspection, acesso remoto, integração central e roteamento.

Para o contexto geral de hardening, consultar o hub Sophos Firewall Hardening: melhores práticas para uma configuração segura.

Este artigo é a lista de verificação de planejamento e operação antes de uma atualização de firmware Sophos Firewall. A instalação específica por meio do WebAdmin está descrita no artigo Executar atualização de firmware Sophos Firewall.

⚠️ Importante: Antes de cada atualização de firmware, é necessário um backup atual, a chave mestra de armazenamento seguro apropriada e um plano de reversão testado. Para SFOS 22 ou mais recente, o artigo Verificação de Sophos Firewall antes da atualização de SFOS 22 também deve ser processado porque a plataforma, espaço de armazenamento, nomes de interface, STAS e acesso remoto herdado IPsec são verificados especificamente lá.

Qual artigo de atualização se encaixa?

Os tópicos de firmware se sobrepõem rapidamente. Portanto, é importante que os administradores escolham primeiro o processo correto:

Esta separação evita erros típicos. Uma atualização de firmware não é o mesmo que uma nova imagem, uma reversão não substitui um backup e um download bem-sucedido não prova que o caminho de atualização, a elegibilidade de suporte, o status HA e o plano de recuperação correspondem.

Quando uma atualização precisa ser preparada

Uma breve verificação geralmente é suficiente para pequenas versões de manutenção. A preparação estruturada é obrigatória se pelo menos um destes pontos se aplicar:

  • Firewall produtivo com múltiplos uplinks WAN, VPNs, regras NAT ou publicações WAF.
  • Cluster HA ou localização remota sem fácil acesso físico.
  • A versão salta de vários lançamentos ou muda para uma nova versão principal, como SFOS 22.
  • XG, SG, software, dispositivo virtual ou em nuvem com problemas de plataforma ou licenciamento.
  • Dependências críticas como Microsoft Entra ID, RADIUS, LDAP, Certificados, DNS, DHCP, SD-WAN ou Sophos Central.
  • Problemas conhecidos de desempenho, espaço de armazenamento ou SSD no dispositivo.

Quanto maior a alteração, mais a atualização deve ser tratada como uma alteração com runbook, plano de teste e reversão.

1. Verifique as notas de versão e o caminho de atualização

Antes de atualizar, primeiro esclareça se a versão de destino se adapta ao ambiente atual.

  • Verifique as Notas de lançamento do Sophos para ver se a versão de destino foi lançada e se há notas em seu próprio branch de lançamento.
  • Verifique também as notas de lançamento oficiais da versão alvo e os Problemas Conhecidos para que os problemas conhecidos não se tornem aparentes apenas após a atualização.
  • Documente a versão existente, a versão de destino e o caminho de atualização compatível.
  • Importante: selecione apenas caminhos de atualização suportados. Se o caminho de atualização não for compatível, o firewall poderá ser redefinido para as configurações de fábrica após a atualização do firmware.
  • Para SFOS 22, observe que o hardware XG e SG não é mais compatível.
  • Para muitas interfaces VLANs, Bridges, LAGs, RED ou XFRM, verifique se nomes de interface com longos blocos de números podem desencadear um problema de exibição WebAdmin.
  • Para acesso remoto herdado IPsec, verifique se uma atualização para SFOS 22 MR1 ou mais recente está bloqueada.
  • Para STAS e regras baseadas no usuário, verifique se as notas de atualização conhecidas são relevantes para sua própria configuração.
  • Para firewalls de software, virtuais, Azure ou AWS BYOL, esclareça se o firewall precisa ser reivindicado em Sophos Central antes da atualização.
  • Se houver saltos de versões incompatíveis, não planeje uma atualização normal, mas sim prepare um conceito de reimagem.

Para decisões concretas de atualização, não são os anúncios que contam, mas sim as notas de lançamento, os problemas conhecidos, os caminhos de atualização suportados e o planejamento de firmware local. Se um lançamento parece interessante, mas o caminho de atualização, plataforma, elegibilidade de suporte ou reversão não estão claros, a mudança ainda não deve ser lançada.

2. Esclareça a licença e a elegibilidade do suporte

Desde SFOS 19.0 MR1, Suporte Aprimorado ou Suporte Avançado Plus é necessário para atualizações adicionais de firmware após as atualizações iniciais gratuitas. Sem a autorização de suporte apropriada, o firmware poderá ser baixado, mas não instalado.

Exceções se aplicam, entre outras, a atualizações de padrão, Hotfixes, reimagem, atualizações obrigatórias de firmware e atualizações de firmware assistente. No entanto, essas exceções não substituem o planejamento adequado da atualização.

Antes de fazer a alteração, você deve verificar:

  • Administração > Licenciamento mostra licença válida e direito de suporte.
  • Sophos Central mostra o firewall com o número de série correto.
  • O acesso ao suporte e as pessoas de contato são conhecidos.
  • O download da versão alvo é possível.
  • Se necessário, é preparado o acesso ao suporte Avanet ou Sophos.

Se você deseja que a Avanet suporte a mudança, o artigo Configurando o acesso de suporte da Avanet para Sophos Firewall é apropriado.

3. Preparar backup, SSMK e reversão

Uma atualização de firmware é instalada em um segundo slot de firmware. Portanto, muitas vezes é possível reverter para a versão anterior. No entanto, uma reversão não substitui um backup porque o status da configuração, a compatibilidade da restauração e o status operacional devem ser verificados separadamente.

Antes da atualização:

  • Baixe o novo backup de configuração.
  • Verifique a chave mestra de armazenamento seguro no gerenciador de senhas.
  • Forneça senha de backup e acesso de administrador.
  • Documente a versão de firmware existente e a versão de destino.
  • Documente a configuração atual, capturas de tela críticas e tempo de alteração.
  • Para alterações maiores, verifique também um backup central ou backup armazenado externamente. O processo de backup e restauração é detalhado em Sophos Firewall Criar ou restaurar backup. Se uma alteração normal do firmware não for possível, o artigo Reinstalar o sistema operacional Sophos Firewall: Reimagem com pendrive ajudará.

4. Prepare a prova de alteração

Para versões de manutenção simples, um backup, uma captura de tela da página do firmware e uma breve nota de alteração geralmente são suficientes. Para atualizações maiores, você também deve registrar qual configuração era válida antes da janela de manutenção e quais alterações foram feitas durante a verificação de acompanhamento.

Estas ferramentas respondem a perguntas diferentes:

  • Backup: Que estado de configuração pode ser restaurado?
  • Config Studio: O que difere entre dois estados de configuração?
  • Audit Trail: Quem fez que alteração de configuração suportada, e quando?

Sophos Firewall Config Studio é útil se você deseja comparar os estados de configuração antes e depois de uma atualização. Isso não substitui um backup, mas ajuda na questão de saber se regras, objetos, interfaces ou políticas foram alteradas inesperadamente durante uma janela de manutenção.

A Trilha de auditoria Sophos Firewall é adequada para rastreabilidade temporal. É particularmente útil quando vários administradores estão envolvidos ou quando uma alteração controlada centralmente ocorre paralelamente à atualização do firmware. Se a atualização ou alteração de configuração for acionada por meio de Sophos Central, a Fila de tarefas de gerenciamento de firewall Sophos Central também fará parte da verificação de acompanhamento.

5. Verifique o espaço de armazenamento e a integridade do sistema

Espaço de armazenamento insuficiente, logs antigos ou um estado HA instável podem tornar uma atualização desnecessariamente arriscada. Antes de uma atualização importante, você deve verificar conscientemente o status do sistema.

Em WebAdmin:

  • Verifique Centro de controle para avisos.
  • Abra Backup e Firmware > Firmware e verifique as versões disponíveis.
  • Verifique Diagnóstico > Visualizador de registros para erros recorrentes do sistema.
  • Verifique Serviços do sistema e serviços relevantes.
  • Para SFOS 22, observe também o firewall Health Check, se disponível.

O espaço de armazenamento livre pode ser verificado usando SSH ou Advanced Shell:

df -kh

Se uma partição estiver muito cheia, você não deve atualizar às cegas. Primeiro, esclareça se arquivos locais antigos, logs, relatórios ou dumps de suporte estão ocupando espaço. Se a causa não for clara, um caso de suporte será mais seguro do que excluir manualmente o Advanced Shell. O processo prático está em Sophos Firewall Verificar espaço de armazenamento e gerenciar relatórios.

Se o dispositivo for antigo, gravar muitos relatórios locais ou já apresentar problemas de E/S ou de banco de dados, a Saúde do SSD via SMART também deverá ser verificada e documentada.

Solução de problemas de Sophos Firewall: Services e registros, Sophos Firewall Use Packet Capture em WebAdmin e [Sophos Firewall] ajuda para análise de status e log Como usar Health Check corretamente](/pt/kb/sophos-firewall-health-check/).

6. Planeje o cluster HA separadamente

Os clusters HA não devem ser tratados como firewalls individuais. A Sophos escreve que HA não precisa ser desabilitado para a atualização do firmware. No entanto, uma atualização HA precisa de mais controle porque ambos os dispositivos, slots de firmware, funções e comportamento de failover são afetados.

Antes da atualização:- Verifique o status de HA em WebAdmin.

  • Identificar claramente os aparelhos primários e auxiliares.
  • Verifique o link e a sincronização HA.
  • Garanta a mesma situação inicial de firmware em ambos os equipamentos.
  • Planeje também janelas de manutenção para Active-Passive-HA.
  • Comunicar a breve interrupção esperada ao mudar de função.

No estado HA conectado, a atualização do firmware é iniciada no dispositivo primário e processada pelo cluster para ambos os dispositivos. As funções são alteradas durante o processo e, dependendo da configuração do HA, o primário preferencial pode ficar ativo novamente no final. O Aparelho Auxiliar não deve ser atualizado separadamente. As atualizações de padrão e Hotfixes são aplicadas de forma independente aos dispositivos.

Atualizações de firmware do Sophos Firewall - Clusters HA
Agende conscientemente atualizações de firmware do Sophos Firewall em um cluster HA e verifique-as após o failover

Para ambientes HA, também deve ser lido Sophos Firewall Cluster HA: Aparelho Ativo-Passivo, Ativo-Ativo e Auxiliar.

7. Definir janelas de manutenção e testes

Uma boa janela de manutenção inclui não apenas o tempo de instalação, mas também testes claros posteriores.

Definir antes da atualização:

  • Hora de início, última hora de aborto e decisão de reversão.
  • Responsável por firewall, rede, servidores, aplicações e suporte.
  • Lista de testes para Internet, DNS, DHCP, VLANs, NAT, VPN, WAF, Mail, Web Protection e aplicações críticas.
  • Acessibilidade via porta de gestão local ou acesso alternativo.
  • Monitoramento de pausa ou modo de manutenção no sistema de monitoramento.
  • Caminho de comunicação caso o acesso remoto falhe durante a mudança.

Os testes não devem consistir apenas em pings. Para firewalls produtivos, as verificações reais de conexão são mais importantes: login VPN, acesso a aplicativos internos, resolução de DNS, acesso à web, serviços publicados, fluxo de correio, rotas SD-WAN e autenticação central.

8. Validar após atualização

Após a reinicialização, a alteração ainda não foi concluída. Primeiro você deve verificar se o firewall está realmente funcionando no estado esperado.

Imediatamente após a atualização:

  • Verifique a versão ativa do SFOS.
  • Verifique o status de atualização da licença e do padrão.
  • Verifique os logs do sistema e do kernel em busca de erros perceptíveis.
  • Verifique interfaces, rotas SD-WAN, túneis VPN e status HA.
  • Valide regras de firewall, NAT, Web Protection, TLS Inspection e WAF com testes reais.
  • Sophos Central Verifique a sincronização.
  • Reativar o monitoramento.
  • Adicionar documentação de mudanças com resultados, tempos e desvios.

Se uma atualização de firmware foi planejada ou acionada por meio de Sophos Central, a Fila de tarefas de gerenciamento de firewall Sophos Central também fará parte da verificação de acompanhamento. Lá você pode verificar se a tarefa central foi concluída com êxito ou se uma tarefa com falha está bloqueando alterações posteriores.

Se ocorrerem erros inesperados após a atualização, a diferença entre problema de configuração, bug de firmware, problema de licença e problema de sistema externo deve primeiro ser reduzida. Log Viewer, Packet Capture e logs de serviço direcionados são mais úteis do que reinicializações múltiplas imediatas.

Erros típicos com atualizações de firmware

  • Atualizar sem novo backup: Restaurar ou reverter torna-se desnecessariamente arriscado; Verifique o backup e o SSMK antes da alteração
  • As notas de lançamento são lidas apenas superficialmente: Bugs conhecidos, bloqueadores de plataforma ou caminhos de atualização não suportados são ignorados; Documente notas de versão do Sophos, problemas conhecidos e caminho de atualização suportado
  • Verificação SFOS-22 ignorada: Bloqueadores de plataforma, espaço de armazenamento, interface, STAS ou legado IPsec só são percebidos na janela de manutenção; Antes do SFOS 22 ou mais recente, conclua a verificação de atualização separada
  • HA considerado livre de falhas: O failover pode interromper sessões e conexões individuais; Planeje também a janela de manutenção e o plano de teste para HA
  • Sem acesso de emergência local: A alteração remota pode travar no problema VPN ou WAN; Esclareça acesso fora de banda ou opção no local
  • Ping testado apenas: Problemas de aplicativo, DNS, TLS ou VPN permanecem não detectados; Definir testes técnicos por serviço
  • A reversão foi decidida tarde demais: O tempo de inatividade se torna mais longo que o necessário; Determine antecipadamente o tempo de rescisão e os critérios de reversão

Lista de verificação

  • Versão de destino e caminho de atualização verificados.
  • Notas de lançamento do Sophos, notas de lançamento oficiais, problemas conhecidos e caminho de atualização suportado verificados.
  • SFOS 22 Verificação de atualização realizada em atualizações relevantes, incluindo plataforma, nomes de interface, espaço de armazenamento, STAS e acesso remoto herdado IPsec.
  • Licença e suporte aprimorado verificados.
  • Backup baixado e SSMK disponível.
  • Prova de alteração preparada com Backup, Config Studio, Audit Trail ou Central Task Queue se vários administradores ou Central estiverem envolvidos.
  • Espaço em disco e status do sistema verificados.
  • Status e funções de HA documentados.
  • Janela de manutenção, plano de testes e critérios de rollback definidos.
  • Arquivo de firmware ou download de GUI preparado.
  • Esclarecido o acesso à gestão local ou alternativa.
  • Verificação de versão, serviços, VPNs, NAT, WAF, logs, fila central de tarefas e monitoramento após a atualização.

Perguntas frequentes

Com que frequência você deve instalar atualizações de firmware do Sophos Firewall?

As correções de segurança e as versões de manutenção não devem ser deixadas desnecessariamente por muito tempo. Em ambientes produtivos, uma frequência de atualização planejada faz mais sentido do que atualizações espontâneas sem um plano de teste e reversão.

Preciso criar um backup antes de cada atualização de firmware?

Sim. Mesmo que seja possível reverter para o firmware anterior, um novo backup deve estar disponível antes de cada atualização. Além disso, a Chave Mestra de Armazenamento Seguro deve estar disponível.

Você pode instalar uma atualização de firmware sem Suporte Avançado?

Após as atualizações iniciais gratuitas, as atualizações regulares de firmware requerem Suporte Avançado ou Suporte Avançado Plus. Exceções individuais, como Hotfixes, atualizações de padrão ou recriação de imagem, são regulamentadas de forma diferente.

O HA precisa ser desabilitado antes de uma atualização de firmware?

Não. O Sophos não exige que o HA seja desativado antes da atualização do firmware. Entretanto, o status do HA deve ser limpo e uma janela de manutenção ainda deve ser agendada.

Qual é a diferença entre reversão e recriação de imagem?

Uma reversão inicia o firewall com uma versão de firmware anterior existente. Uma nova imagem reinstala o sistema operacional Sophos Firewall do pendrive e exclui a configuração existente no dispositivo.