Saltar para o conteudo
Avanet

Verificar Sophos Firewall antes de atualizar para SFOS 22

Sophos Firewall

SFOS 22 traz mudanças importantes na arquitetura do Sophos Firewall. Para os administradores, não é apenas interessante saber quais novas funcionalidades estarão disponíveis após a atualização. Mais importante é primeiro verificar se o seu firewall pode ser atualizado para SFOS 22 sem problemas.

Este guia serve como uma verificação pré-atualização. O artigo não substitui o guia geral de Atualização de Firmware do Sophos Firewall, mas complementa com pontos que podem rapidamente causar problemas no SFOS 22: plataforma suportada, nomes de interfaces, espaço de armazenamento, backup, estado do HA, IPsec de Acesso Remoto Legacy, IPsec baseado em políticas, NAT e plano de rollback.

Guia em vídeo

Este Techvid da Sophos complementa a checklist pré-atualização e mostra o que verificar antes da migração para SFOS 22.

Quando esta verificação é útil

A verificação deve ser realizada antes de qualquer atualização planejada para SFOS 22 ou superior. É especialmente importante se uma das seguintes situações se aplicar:

  • o firewall ainda está em hardware XG ou SG
  • o appliance já foi atualizado através de várias versões principais
  • existem muitos VLANs, aliases, bridges, LAGs, interfaces RED ou XFRM
  • é um pequeno appliance de desktop, firewall virtual ou appliance de software
  • o firewall está em um cluster HA
  • VPN IPsec de Acesso Remoto é ou foi utilizada no passado
  • IPsec Site-to-Site baseado em políticas, regras SNAT específicas ou regras VPN-NAT estão em uso
  • STAS ou outra autenticação baseada em usuário controla regras de firewall produtivas
  • o firewall é gerido através do Sophos Central ou deve ser atualizado por ele

Se o firewall já é instável no dia a dia, serviços precisam ser reiniciados regularmente ou partições estão muito cheias, a atualização não deve ser vista como uma tentativa de reparo. Neste caso, estabilize primeiro o estado atual e esclareça a causa.

1. Verificar plataforma e caminho de atualização

SFOS 22.0 e versões mais recentes não suportam mais appliances de hardware XG e SG. Quem ainda opera esses dispositivos deve primeiro planejar a migração para XGS, firewall virtual, appliance de software ou implantação em nuvem. Para a decisão entre gerações de hardware antigas e novas, o artigo Qual é a diferença entre um firewall XG e XGS? pode ajudar.

Em plataformas suportadas, deve-se verificar adicionalmente de qual versão está sendo atualizado. As Notas de Lançamento do SFOS 22 mostram quais versões podem ser migradas diretamente para SFOS 22. Se um caminho não suportado for escolhido, o firewall pode iniciar com a configuração de fábrica após confirmação. Este risco deve ser excluído antes de uma janela de manutenção.

Procedimento prático:

  1. Anotar a versão atual do firmware em Backup & Firmware > Firmware.
  2. Documentar modelo, número de série e tipo de plataforma.
  3. Verificar nas Notas de Lançamento oficiais da Sophos se o caminho de atualização direto é suportado.
  4. Em hardware XG ou SG, não tratar mais o planejamento do SFOS 22 como uma atualização normal, mas como um projeto de migração.

2. Verificar nomes de interfaces antes da atualização

Um ponto de atualização fácil de ser negligenciado diz respeito aos nomes das interfaces. Interfaces físicas ou lógicas podem não ser visíveis ou expansíveis na visualização WebAdmin em Network > Interfaces se um nome de interface, nome de hardware ou nome de filial terminar com dez ou mais dígitos.

Isso é inconveniente, pois o tráfego pode continuar a ser processado, mas a administração no WebAdmin de repente parece como se as interfaces estivessem faltando. Especialmente em migrações, esquemas de nomes automatizados, configurações importadas ou nomes de VLAN com números de localização, cliente ou inventário, este ponto deve ser verificado antes da atualização.

Exemplos críticos:

ExemploRisco
VLAN_1234567890termina com dez dígitos
Branch_1000000001nome de filial pode atrapalhar a exibição
PortA_2026010101pretendido como descritivo, mas final numérico arriscado

Procedimento prático:

  1. Abrir Network > Interfaces.
  2. Verificar interfaces físicas, VLANs, aliases, bridges, LAGs, interfaces RED e XFRM.
  3. Procurar nomes que terminem com dez ou mais dígitos.
  4. Alterar nomes afetados para uma escrita mais curta ou claramente separada antes da atualização.
  5. Após a alteração, verificar se regras de firewall, regras NAT, rotas SD-WAN, DHCP, VPN e documentação ainda são compreensíveis.

Nomes melhores são aqueles em que os números não aparecem como um bloco longo no final. Em vez de VLAN_1234567890, por exemplo, VLAN-1234567890-Client ou um nome funcional como Client-VLAN-100 é mais legível e operacionalmente robusto.

Se após uma atualização as interfaces estiverem faltando na visualização WebAdmin, não se deve assumir imediatamente que a configuração de rede foi perdida. Primeiro, verificar se o comportamento se encaixa na problemática dos nomes de interfaces, se o tráfego continua a fluir e se os nomes afetados precisam ser ajustados. Para o planejamento geral de interfaces, consulte Configurar Zonas e Interfaces no Sophos Firewall.

3. Verificar espaço de armazenamento e avisos de firmware

SFOS 22 requer espaço de armazenamento adicional para novas funcionalidades e mudanças na arquitetura. A maioria dos appliances atende aos requisitos, mas algumas implantações de desktop, virtual e de software podem precisar de uma verificação ou correção manual. Se o firewall exibir uma mensagem sobre requisitos de espaço de armazenamento na página do Control Center ou do Firmware, esta não deve ser ignorada.

Através do SSH, é possível verificar o nível de ocupação das partições de forma geral:

df -kh

A saída não substitui uma verificação de compatibilidade da Sophos, mas ajuda a avaliar se /, /var, /content ou outras partições estão notavelmente cheias. Se uma partição estiver muito apertada, não se deve simplesmente atualizar cegamente. Primeiro, esclarecer quais dados estão lá, se logs ou arquivos antigos podem ser limpos e se existe um aviso da Sophos para o appliance afetado.

O planejamento do tempo também é importante: se o firewall precisar ajustar partições durante a atualização, a atualização pode demorar mais do que um lançamento de manutenção normal. A janela de manutenção não deve ser planejada de forma muito apertada.

4. Preparar backup e recuperação

Antes da atualização, é necessário um backup recente. Isso pode parecer banal, mas é crucial em lançamentos principais. O backup deve não apenas ser criado, mas também ser localizável, descriptografável e atribuível a um dispositivo específico. O artigo Criar ou Restaurar Backup do Sophos Firewall explica os pontos mais importantes sobre backup, restauração e Secure Storage Master Key.

Antes do SFOS 22, pelo menos estes pontos devem ser concluídos:

  • criar backup de configuração atual e armazenar externamente
  • documentar o Secure Storage Master Key, caso backups criptografados sejam usados
  • verificar acesso de administrador local e através da rede de manutenção
  • verificar status da licença e acesso ao Sophos Central
  • manter imagem de firmware atual e firmware de destino à mão
  • definir decisão de rollback: quando esperar, quando reverter

Em locais críticos, também deve estar claro quem tem acesso físico ao appliance e como realizar uma reinstalação, se necessário. A reinstalação é um procedimento diferente de uma atualização de firmware normal. Para isso, existe o guia separado Reinstalar o Sophos Firewall OS.

5. Definir Go/No-Go antes da janela de manutenção

Uma atualização para SFOS 22 não deve ser decidida apenas durante a janela de manutenção. Antes, deve estar claro sob quais condições iniciar, esperar, abortar ou reverter. Isso reduz decisões precipitadas se o firewall demorar mais, um nó HA não sincronizar ou um serviço crítico não funcionar após a reinicialização.

Pontos de Go/No-Go sensatos:

PerguntaGoNo-Go
Plataforma suporta SFOS 22Modelo e caminho de atualização foram verificadosHardware XG/SG ou caminho de atualização incerto
Backup e SSMKBackup está armazenado externamente e dados de restauração estão disponíveisBackup ausente, não localizável ou SSMK ausente
IPsec de Acesso RemotoConfiguração legacy foi excluída ou migradaConfiguração legacy está presente ou incerta
IPsec Site-to-SiteIPsec baseado em políticas, NAT e tráfego de teste estão documentadosSeletores de tráfego, SNAT ou contraparte são incertos
Status do HACluster está estável e sincronizadoHA está degradado, não sincronizado ou não esclarecido
AcessoAcesso de administrador local e rede de manutenção foram verificadosAcesso depende apenas de um caminho remoto inseguro
RollbackPonto de decisão e responsáveis estão definidosNinguém decide de forma vinculativa sobre esperar ou reverter

Para locais distribuídos, também deve estar claro quem está disponível durante a janela de manutenção: pessoa de contato técnico, contato local, pessoa com acesso físico e tomador de decisão para rollback. Se a atualização for realizada remotamente, deve-se verificar se há um acesso alternativo disponível, caso VPN, WAN ou Central Management não funcionem temporariamente.

Um plano de fallback não é uma fraqueza da mudança. Ele evita que, em uma interrupção, firmware, roteamento, VPN, HA e switching sejam alterados simultaneamente. Se após a atualização um serviço crítico falhar, deve-se primeiro executar o plano de validação definido. Só então será decidido se um rollback, uma restauração, uma reinstalação ou uma correção de erro direcionada é mais sensato.

6. Preparar corretamente o cluster HA

Em clusters HA, não se deve considerar apenas o firewall ativo. Ambos os nós devem ser suportados, ter o mesmo estado inicial sensato e sincronizar corretamente. Uma atualização em um cluster HA já comprometido aumenta o risco de falhas desnecessárias.

Antes da janela de manutenção, verificar:

  • System services > High availability mostra um status HA saudável.
  • Ambos os appliances são do mesmo modelo ou uma combinação HA suportada.
  • Versão do firmware, status da licença e assinatura são plausíveis.
  • Link HA, portas monitoradas e portas de switch conectadas são estáveis.
  • Está documentado qual dispositivo estava ativo antes da atualização.

Para o planejamento geral de HA e as particularidades de Active-Passive, Active-Active, licenciamento e manutenção, consulte o artigo Variantes de Cluster HA do Sophos Firewall.

7. Procurar IPsec de Acesso Remoto Legacy

A partir do SFOS 22.0 MR1, o VPN IPsec de Acesso Remoto Legacy não é mais suportado. Firewalls com esta configuração legacy não podem ser atualizados para SFOS 22.0 MR1 ou versões mais recentes. Este é um bloqueador de atualização típico, pois o IPsec de Acesso Remoto é frequentemente configurado uma vez em ambientes mais antigos e depois não é mais tocado por muito tempo.

Antes da atualização, deve-se verificar se existem configurações antigas de IPsec de Acesso Remoto. Se sim, deve-se primeiro migrar para a configuração atual de IPsec de Acesso Remoto, SSL VPN, ZTNA ou outro design de acesso remoto adequado. O procedimento específico está em Migrar IPsec de Acesso Remoto Legacy antes do SFOS 22 MR1. Para solução de problemas geral de IPsec, consulte também Solução de Problemas de VPN IPsec do Sophos Firewall.

Procedimento prático:

  1. Abrir a área Remote access VPN no WebAdmin.
  2. Verificar se há uma configuração de IPsec de Acesso Remoto Legacy.
  3. Documentar usuários afetados, perfis, pools, autenticação e configurações distribuídas do Sophos Connect.
  4. Planejar configuração de substituição e testar com poucos usuários de teste.
  5. Somente após migração bem-sucedida, remover a configuração legacy e verificar novamente a atualização do firmware.

Se o Sophos Connect for utilizado, as instruções existentes para Configuração do Firewall do Cliente Sophos Connect, Instalação no Windows e Instalação no macOS devem ser incluídas.

8. Verificar IPsec baseado em políticas e NAT

SFOS 22.0 GA e versões mais recentes alteram o comportamento do VPN IPsec Site-to-Site baseado em políticas. Além disso, nas notas de lançamento do SFOS 22, está documentado um problema resolvido onde o tráfego IPsec baseado em políticas poderia falhar se a regra SNAT padrão fosse configurada com um endereço IP estático em vez de MASQ.

Isso não é motivo para reconstruir cada configuração IPsec antecipadamente. No entanto, é um bom motivo para testar conscientemente o IPsec baseado em políticas antes e depois da atualização. É especialmente importante se o firewall usar vários VPNs, redes sobrepostas, regras SNAT específicas, uma regra SNAT padrão ajustada ou redes parceiras com expectativas de IP de origem fixas.

Antes da atualização, verificar:

  1. Identificar túneis Site-to-Site baseados em políticas.
  2. Documentar redes locais e remotas ou seletores de tráfego.
  3. Verificar regras NAT no tráfego VPN, especialmente SNAT padrão, MASQ, regras SNAT específicas e ordem das regras.
  4. Definir um caso de teste por túnel importante com origem, destino, serviço e direção esperada.
  5. Documentar contraparte e caminho de retorno para que um teste pós-atualização não seja apenas “Ping não funciona”.

Após a atualização, não misturar esses testes com verificações amplas. É melhor um teste estreito por túnel: comparar Log Viewer, Packet Capture, ID da Regra de Firewall, ID da Regra NAT e contador de bytes em ipsec statusall. Se o túnel estiver verde, mas não houver tráfego útil, consulte Solução de Problemas de VPN IPsec do Sophos Firewall. Para a compreensão do NAT, consulte Entender NAT no Sophos Firewall.

9. Verificar STAS e regras baseadas em usuário

Se o STAS estiver ativo, ele não deve ser apenas “funciona no dia a dia” antes do SFOS 22.0 MR1 ou mais recente. Na lista de problemas conhecidos, está documentado um problema onde a opção Restrict client traffic during identity probe pode bloquear uma atualização para SFOS 22.0 MR1 ou causar repetidas Identity Probes com interrupções de tráfego após a atualização.

Isso afeta principalmente ambientes onde o STAS é usado não apenas para relatórios, mas para regras de firewall produtivas baseadas em usuário. Se a associação de IP de usuário for interrompida brevemente, isso rapidamente parece um problema de regra, DNS ou aplicação na operação.

Antes da atualização, verificar:

  1. Abrir Authentication > STAS.
  2. Verificar status do STAS e coletores usados.
  3. Verificar se Restrict client traffic during identity probe está ativo.
  4. Identificar regras baseadas em usuário que dependem do STAS.
  5. Registrar usuário de teste e verificar Live Users e Log Viewer.

Se esta opção estiver ativa ou interrupções curtas já forem notadas, este ponto deve ser esclarecido antes da janela de manutenção. O procedimento detalhado está em Configurar STAS no Sophos Firewall.

10. Validar especificamente após a atualização

Após a reinicialização, a atualização não está automaticamente concluída. Somente quando as principais funções operacionais forem verificadas, a janela de manutenção estará corretamente encerrada.

Verificar pelo menos:

  • versão correta do firmware está ativa
  • Network > Interfaces mostra interfaces físicas e lógicas de forma plausível
  • acesso à Internet e regras de firewall centrais funcionam
  • VPN Site-to-Site e VPN de Acesso Remoto funcionam
  • testes IPsec baseados em políticas mostram o IP de origem esperado e a regra NAT correspondente
  • status do HA está novamente sincronizado
  • STAS, AD SSO ou outra associação de usuário funciona, se usado produtivamente
  • Sophos Central Management e Reporting enviam dados
  • Log Viewer não mostra novos erros críticos
  • serviços importantes como DNS, DHCP, Web Protection, IPS e autenticação funcionam conforme esperado

Se VPN, roteamento ou regras não funcionarem como esperado, não alterar imediatamente em vários lugares ao mesmo tempo. Primeiro, delimitar com Log Viewer, Policy Test, Packet Capture e logs de serviço afetados. Para solução de problemas estruturada, Testar regra de firewall com Log Viewer, Policy Test e Packet Capture e Solução de Problemas do Sophos Firewall: Serviços e Logs são complementos úteis.

11. Garantir documentação de evidências e operações

Uma atualização só está corretamente concluída quando o resultado está documentado de forma rastreável. Isso ajuda em interrupções futuras, auditorias, casos de suporte e na próxima janela de manutenção. Logo após a atualização, não se deve apenas anotar “funciona novamente”, mas garantir evidências concretas.

Evidências úteis:

EvidênciaPor que é importante
Captura de tela de Backup & Firmware > Firmwaremostra versão de destino, firmware ativo e eventuais imagens disponíveis
Captura de tela de System services > High availabilitymostra papel do HA, sincronização e estado do cluster após a atualização
Exportação ou captura de tela de logs de auditoria relevantesmostra quais alterações foram feitas na janela de manutenção
Controle de Central ou Syslogmostra se logs e relatórios continuam chegando após a atualização
Lista de trabalhos pendentesevita que soluções temporárias sejam esquecidas permanentemente

Se alterações em regras, interfaces, hosts ou serviços foram feitas, deve-se também verificar os Logs de Auditoria de Configuração. Em ambientes com retenção de logs mais longa, uma verificação de Central Firewall Reporting ou Syslog também faz parte do encerramento.

Em vários firewalls, também é importante que os backups possam ser atribuídos de forma clara. Em versões mais recentes do SFOS, e-mails de backup contêm mais dados de identificação, como nome do host, versão do firmware, número de série e modelo. No entanto, deve-se continuar a manter uma nota de atualização interna simples: firewall, local, versão antiga, nova versão, janela de tempo, pessoa responsável, resultado do teste e pontos pendentes.

Se após a atualização surgirem avisos de armazenamento, hardware ou SSD, isso não deve ser esquecido no ticket de firmware. Para esta verificação, consulte Verificar estado de saúde do SSD no Sophos Firewall.

Lista de verificação para a janela de manutenção

Antes da atualização

  • Plataforma e caminho de atualização verificados
  • Notas de lançamento e avisos conhecidos lidos
  • Nomes de interfaces com dez ou mais dígitos finais excluídos
  • Espaço de armazenamento e avisos de firmware verificados
  • Backup criado e armazenado externamente
  • Secure Storage Master Key disponível
  • Decisão de Go/No-Go, caminho de fallback e responsáveis definidos
  • Estado do HA documentado
  • IPsec baseado em políticas, VPN-NAT e tráfego de teste documentados, se usados
  • STAS e regras baseadas em usuário verificadas, se usadas
  • IPsec de Acesso Remoto Legacy excluído ou migrado
  • Plano de rollback definido

Durante a atualização

  • Documentar mensagens de status
  • Não realizar alterações paralelas em roteamento, VPN ou switching
  • Em clusters HA, observar failover e sincronização
  • Manter ponto de decisão para esperar, analisar erros ou rollback
  • Em mensagens inesperadas, não confirmar cegamente, mas verificar a causa

Após a atualização

  • Verificar versão do firmware e status da licença
  • Testar VPN, roteamento, DNS, DHCP e regras de firewall centrais
  • Verificar IPsec baseado em políticas com teste de origem/destino definido, se usado
  • Verificar STAS, AD SSO e regras baseadas em usuário com usuário de teste
  • Verificar sincronização do HA e conexão com Sophos Central
  • Controlar Log Viewer e logs de serviço relevantes
  • Garantir evidências de firmware, HA e auditoria
  • Documentar resultado e pontos pendentes no diário de operações

FAQ

Pode-se atualizar qualquer Sophos Firewall para SFOS 22?

Não. SFOS 22 não suporta mais appliances de hardware XG e SG. Em plataformas suportadas, o caminho de atualização também deve ser compatível.

Por que o espaço de armazenamento é mais importante no SFOS 22 do que em atualizações normais?

SFOS 22 requer espaço de armazenamento adicional para novas funcionalidades e mudanças na arquitetura. Em certas implantações, pode ser necessário ajustar a partição root durante a atualização ou uma preparação manual pode ser necessária.

Por que se deve verificar os nomes das interfaces antes da atualização?

Se nomes de interfaces, nomes de hardware ou nomes de filiais terminarem com dez ou mais dígitos, as interfaces podem não ser visíveis ou expansíveis em Network > Interfaces após a atualização. O tráfego pode continuar, mas a administração no WebAdmin se torna desnecessariamente difícil. Portanto, esses nomes devem ser corrigidos antes da janela de manutenção.

O IPsec de Acesso Remoto Legacy realmente bloqueia a atualização?

Sim. A partir do SFOS 22.0 MR1, um firewall com configuração de IPsec de Acesso Remoto Legacy não pode ser atualizado para esta versão ou mais recente. A configuração deve ser migrada ou removida antes.

É necessário verificar o IPsec baseado em políticas antes do SFOS 22?

Sim, se esses túneis Site-to-Site forem usados produtivamente. SFOS 22 altera o comportamento do tráfego IPsec baseado em políticas. Portanto, deve-se documentar seletores de tráfego, regras NAT, SNAT padrão, contraparte e um tráfego de teste específico antes da janela de manutenção.

Por que o STAS é relevante antes do SFOS 22 MR1?

Se o STAS for usado com Restrict client traffic during identity probe, essa configuração pode bloquear uma atualização para SFOS 22.0 MR1 ou causar repetidas Identity Probes com interrupções de tráfego após a atualização. Portanto, o STAS deve ser verificado antes da janela de manutenção.

Um backup automático por e-mail é suficiente?

Nem sempre. O importante é que o backup seja localizável, descriptografável e utilizável em caso de emergência. Para backups criptografados, a Secure Storage Master Key correspondente deve estar disponível.