Saltar para o conteudo
Avanet

Atualização de firmware da Sophos Firewall - preparação e boas práticas

Sophos Firewall

As atualizações de firmware são uma parte central para manter a Sophos Firewall segura, estável e atual. Trazem novas funções, fecham vulnerabilidades conhecidas e melhoram o desempenho geral. Para que a atualização decorra sem problemas, alguns pontos devem ser considerados e preparados previamente. Este guia explica passo a passo como se preparar da melhor forma para atualização de firmware da Sophos Firewalls e evitar erros típicos.

Porque a preparação é importante

Uma atualização de firmware não traz apenas novas funções, mas também correções de bugs e melhorias de segurança importantes. Sem uma preparação cuidada, podem ocorrer falhas, rollbacks ou, no pior caso, um factory reset inesperado. Isto pode afetar significativamente a operação. Com as boas práticas seguintes, o risco pode ser minimizado e é possível garantir um procedimento estruturado.

Entre os problemas mais comuns em atualização de firmware da Sophos Firewalls sem preparação estão:

  • espaço em disco insuficiente para o pacote de atualização,
  • sincronização HA com erros,
  • backups em falta ou desatualizados,
  • janelas de manutenção não coordenadas com trabalhos paralelos na rede.

Antes da atualização: passos de preparação

1. Verificar release notes

  • Consultar as Sophos Release Notes:
  • Importante: escolher apenas caminhos de upgrade suportados, caso contrário a firewall é reposta automaticamente para definições de fábrica após o atualização de firmware da Sophos Firewall.
  • Verificar adicionalmente se existem problemas conhecidos (Known Issues) documentados na nova versão que possam afetar a operação.

2. Controlar espaço em disco

  • Verificar através da Advanced Shell se existe espaço suficiente:
df -kh
  • Se uma partição estiver mais de 95 % ocupada, deve libertar espaço.
  • Espaço demasiado limitado pode causar problemas durante a atualização e, no pior caso, abortar o upgrade.
  • Recomenda-se eliminar backups antigos, ficheiros de log ou ficheiros que já não sejam necessários.

3. Reinício antes da atualização

  • Um reinício limpa a cache e garante que a firewall entra na atualização num estado limpo.
  • Num HA Cluster, reiniciar ambos os equipamentos.
  • Se existirem problemas, estes podem ser detetados e resolvidos antes do update.
  • Isto pode evitar problemas de performance, sobretudo em equipamentos que não foram reiniciados durante muito tempo.

4. Coordenar janela de manutenção

  • atualização de firmware da Sophos Firewalls devem ser realizados apenas em janelas de manutenção planeadas.
  • Garantir que não decorrem trabalhos de manutenção paralelos na infraestrutura.
  • Recomenda-se informar cedo as equipas responsáveis (por exemplo, rede, aplicações, segurança).
  • Uma janela claramente comunicada minimiza surpresas para utilizadores finais e garante processos mais tranquilos.

5. Verificar acessos e permissões

Antes de iniciar, garantir que todas as informações e credenciais necessárias estão disponíveis:

  • Palavras-passe de admin
  • Secure Storage Master Keys
  • Palavras-passe de backup
  • Credenciais para sistemas de suporte
  • Permissões de acesso a partir da respetiva rede ou, no pior caso, diretamente na appliance (Device Access ACL Rules)

6. Criar backups

  • Além dos backups regulares, criar um backup adicional e recente.
  • Este backup deve estar imediatamente disponível caso seja necessário rollback.
  • Recomenda-se guardar tanto um backup de configuração como um backup das informações de licença (acesso Sophos Central).

7. Descarregar firmware

  • Manter cópias offline tanto da versão atual como da nova versão de firmware.
  • Assim é possível voltar rapidamente atrás em caso de emergência.
  • Recomenda-se descarregar o firmware através da conta oficial Sophos Support e guardá-lo num armazenamento seguro.
  • Verificar se o ficheiro descarregado está completo e não corrompido (por exemplo, comparar hashes).

Particularidades em High Availability (HA)

Cluster Active-Passive

  • Após um atualização de firmware da Sophos Firewall, verificar se o nó primário original voltou a estar ativo.
  • Se não, executar manualmente um failover no menu:System → High Availability → Switch to passive device
  • Em ambientes mais complexos, recomenda-se manter um registo da função HA para conseguir reconstruir posteriormente o estado original.

Identificar nó primário

  • Iniciar sessão via SSH com admin → abrir Advanced Shell
  • Executar comandos:
nvram get "#li.serial"nvram get "#li.master"
Atualizações de firmware da Sophos Firewall - HA Cluster
Atualizações de firmware da Sophos Firewall - HA Cluster
  • Resultado YES = nó primário
  • Resultado NO = nó auxiliar
  • O número de série ajuda a distinguir claramente os equipamentos.

Verificar sync

  • No nó auxiliar, controlar o sync log:
/log/msync.log
  • Se existirem muitos vrrp timeout errors, o cabo HA deve ser verificado e, se necessário, substituído.
  • Também aqui deve reiniciar ambos os equipamentos para criar um estado limpo.
  • Verificar adicionalmente no WebAdmin o estado da sincronização.

Execução do update

1. Seguir o plano

  • Cumprir de forma consistente o plano preparado.
  • Evitar decisões improvisadas, pois muitas vezes causam problemas.
  • Recomenda-se criar previamente um runbook detalhado, em que cada passo e possíveis cenários de rollback estejam descritos.

2. Executar rollback com rigor

  • Se o atualização de firmware da Sophos Firewall falhar, executar imediatamente o rollback previsto.
  • Workarounds rápidos podem causar mais danos do que ajudar.
  • Um rollback planeado poupa tempo precioso em caso de emergência e minimiza downtime.

3. Usar monitoring ativamente

  • Ferramentas como SNMP, sistemas de monitoring ou simples pings ajudam neste processo.
  • Também depois do update, monitorizar de perto durante algum tempo para detetar efeitos inesperados.

4. Documentar resultados dos testes

  • Depois de cada passo, comunicar os resultados às equipas e serviços afetados.
  • Assim evitam-se mal-entendidos.
  • Todas as aplicações críticas devem ser testadas ativamente e documentadas depois do update.

5. Preparar a resolução de problemas

  • Em caso de erro, recolher o máximo de informações possível.
  • Estes dados ajudam a criar um ticket de suporte de forma rápida e direcionada.
  • Isto inclui ficheiros de log, screenshots, timestamps exatos e as medidas já executadas.

Depois da atualização: documentação

  • Registar comandos: Guardar outputs do terminal ou gravar o processo em atualizações via GUI.
  • Documentar sistemas dependentes: Registar alterações em sistemas adjacentes e informar os respetivos administradores.
  • Anotar desvios ao plano: Documentar desvios ao procedimento original para estar melhor preparado da próxima vez.
  • Lições aprendidas: Após concluir a atualização, realizar uma breve revisão e registar o que funcionou bem e onde há margem de melhoria.

Conclusão

Com uma boa preparação, atualização de firmware da Sophos Firewalls podem ser executados de forma estruturada, fiável e sem grandes interrupções. É importante cumprir processos claros, ter backups à mão, usar monitorização ativamente e documentar a experiência depois. Assim, a firewall permanece segura, estável e preparada para o futuro a longo prazo. Ao mesmo tempo, as empresas podem reduzir o esforço em futuras atualizações.

👉 Ver também: