Installera om Sophos Firewall OS via USB
En reimage installerar om Sophos Firewall OS helt. Processen är avsedd för återställningssituationer, labbsystem, modelländringar eller en ren ominstallation. För normala versionsändringar är en firmwareuppdatering via webbadmingränssnittet vanligtvis det bättre valet.
⚠️ Viktigt: En reimage skriver över brandväggen helt. Konfiguration, lokala loggar, certifikat, rapporter och sparade kontodata är inte längre tillgängliga på enheten. Innan arbetet startar krävs en aktuell säkerhetskopia och lämplig Secure Storage Master Key (SSMK) om krypterad konfigurationsdata ska återställas senare.
Reimage, firmwareuppdatering eller fabriksåterställning?
| Tillvägagångssätt | Syfte | Typisk användning |
|---|---|---|
| Firmware-uppdatering | Uppdatera SFOS till en annan version | Normalt underhåll via Backup & Firmware > Firmware |
| Återställ | Återgå till en tidigare installerad firmwareversion | Fel efter en uppdatering medan föregående firmware fortfarande finns |
| Fabriksåterställning | Återställ konfiguration | Enheten finns kvar på den installerade SFOS-versionen, konfigurationen går förlorad |
| Reimage | Installera om SFOS från USB-minne | Trasigt system, ren ominstallation, inkompatibel versionsändring eller återställning |
För en normal uppdatering bör artikeln Sophos Firewall: utför SFOS firmware update först kontrolleras. En fabriksåterställning är inte heller samma sak som en reimage: den återställer konfigurationen, men tar inte bort alla lokala data som en fullständig ominstallation. Secure Storage Master Key raderas inte heller vid en fabriksåterställning. Om brandväggen verkligen ska tillbaka till ett rent standardläge inklusive loggar, rapporter och lokala driftdata är reimage den mer passande vägen. För XGS-appliances med skadad firmware hänvisar Sophos till reimage-proceduren eftersom SFLoader inte är tillgänglig för XGS.
När man inte ska återbilda
En reimage är den hårda återställningsvarianten. Om normal administrationstillgång fortfarande är möjlig bör man först kontrollera om ett mindre invasivt sätt är tillräckligt.
| Situation | Bättre kolla först |
|---|---|
| WebAdmin hänger sig, men trafiken fortsätter | Starta om WebAdmin GUI specifikt |
| Enskild tjänst svarar inte | Starta om Sophos Firewall Services på ett säkert sätt |
| Firmware-uppdatering väntar | Firmwareuppdatering och återställningsplan istället för reimage |
| Konfiguration bör tas bort | Fabriksåterställning kan räcka om SFOS själv är frisk |
| Lagringsutrymme eller rapporter är problemet | Kontrollera lagringsutrymme, rapporter och loggar |
| Supportärendet pågår fortfarande | Säkerhetskopiera loggar, supportarkiv och aktuella fel i förväg |
Reimage är användbart om operativsystemet är skadat, en ren ombyggnad önskas eller Sophos Support eller återställningsplanen anger denna väg. Det är vanligtvis för tidigt för normalt underhåll, individuella GUI-problem eller oförklarliga prestandaproblem.
Säkerhetskopiera före återbild
Inför en produktiv reimage bör följande punkter förberedas:
- Ladda ner den aktuella konfigurationsbackupen och lagra den säkert.
- Dokument Secure Storage Master Key om säkerhetskopian innehåller krypterad kontodata.
- Kontrollera licensstatus, serienummer och Sophos Central-förening.
- Dokumentera modell, revision, aktuell SFOS-version, build, målversion och backupversion.
- Notera separat WAN-data, VLAN, statiska rutter, VPN-parametrar och speciell HA-information.
- Schemalägg underhållsfönster eftersom brandväggen inte kommer att skydda och bearbeta trafik under reimage.
- Säkerställ lokal åtkomst till apparat, strömförsörjning, USB-port och hanteringsport.
- Kontrollera återställningsprocessen i förväg, särskilt för HA-kluster och kritiska VPN-platser.
- Säkerhetskopiera loggar eller supportarkiv om orsaken behöver analyseras senare.
De relevanta grunderna finns i Sophos Firewall: Skapa och återställa en säkerhetskopia, Sophos Firewall: SFOS 22 uppgraderingskontroll och Sophos Firewall HA-kluster: Active-Passive, Active-Active och Auxiliary Appliance.
Om reimage är del av ett RMA- eller HA-scenario blir denna dokumentation ännu viktigare. Då räknas inte bara huvudversionen, utan även build. En ersättningsenhet bör passa den friska brandväggen eller medvetet föras till målversionen innan backup, licenstransfer och HA-omkonfiguration startar.
Förtydliga återställningskompatibiliteten i förväg
Den viktigaste delen av en reimage är inte att skriva till USB-minnet, utan den lyckade återställningen efteråt. En säkerhetskopia ska inte bara utvärderas första gången efter ominstallationen.
Förtydliga i förväg:
| punkt | Varför viktigt |
|---|---|
| Säkerhetskopieringsversion | En säkerhetskopia kan inte återställas till någon äldre eller nyare SFOS-version efter behag. |
| Målmodell | Antal portar, gränssnittsnamn och modellklasspåverkansåterställning och portmappning. |
| Säker lagring Huvudnyckel | Utan en lämplig SSMK kommer skyddad kontodata att saknas efter återställningen. |
| Licens och konto | Efter ombild eller modellbyte måste brandväggen vara korrekt licensierad och tilldelad igen. |
| HA roll | I kluster måste det framgå om den första primära eller hjälpenheten byggs om. |
| Äldre konfiguration | Gamla IPsec- eller uppgraderingsblockerare för fjärråtkomst bör vara kända före återställningen. |
Vid hårdvarubyte, migrering från XG till XGS eller restore till en annan modell bör man även kontrollera om backup-återställningsassistenten är tillgänglig och om porttilldelningen är korrekt innan den slutliga återställningen. Processen beskrivs i Skapa eller återställ en Sophos Firewall-säkerhetskopia.
För HA och RMA gäller som tumregel: firmwareversion och build för de berörda enheterna kontrolleras före restore. Om den gamla firmwareversion som behövs inte längre kan laddas ned normalt bör man inte improvisera, utan involvera Sophos Support eller den befintliga supportprocessen.
Krav
- Sophos brandväggsapparat eller lämplig programvara eller virtuell apparat.
- USB-minne med minst 4 GB lagringsutrymme.
- Windows-, macOS- eller Linux-dator för att skapa det startbara USB-minnet.
- Verktyg för att skriva ISO-bilden, till exempel balenaEtcher.
- Lokal tillgång till apparaten.
- Valfritt: USB till Micro USB-kabel eller RJ45 COM-adapter för statusrapportering och felsökning via seriekonsolen.
Ingen utökad support-auktorisering krävs för själva reimagen. Däremot gäller respektive licens- och supportvillkor för vanliga firmwareuppgraderingar.
1. Ladda ner lämplig SFOS-installationsavbildning
Installationsbilden hämtas från Sophos officiella nedladdningssida:
- Öppna Sophos Firewall Installer. Alternativt är direktnedladdning möjlig.
- För Sophos hårdvara, välj önskad SFOS-version under Hardware Installers.
- Acceptera licensvillkoren och ladda ner ISO-avbildningen.
För hardware appliances används vanligtvis en image med prefixet HW. Software och virtual appliances använder andra imagetyper. Avgörande är att plattform, målversion och restore-plan passar ihop. Fel image är inte ett litet skönhetsfel, utan kan stoppa recovery-processen.
Filnamnet på installationsavbildningen
Exempel: HW-22.0.1_MR-1-490.iso
| komponent | Betydelse |
|---|---|
HW | Installatör för Sophos hårdvara |
22.0.1 | SFOS-version |
MR-1 | Underhållsversion 1 |
490 | Byggnummer |
.iso | ISO-bild för USB-minne eller mjukvaruinstallation |
De viktigaste delarna av filnamnet:
Plattform eller apparattyp
- HW: ISO-image för Sophos Hardware Appliances. Denna variant behövs normalt för reimage av en XGS appliance.
- SW: ISO-image för Sophos Firewall som Software Appliance.
- VI: imagepaket för Sophos Firewall som Virtual Appliance.
- AMI: image för Amazon AWS.
- AZU: image för Microsoft Azure.
Virtualiseringsplattform för VI-filer
- HYV: Microsoft Hyper-V.
- KVM: KVM.
- VMW: VMware Hypervisor.
- XEN: Xen.
Släpptyp
- GA: General Availability. Det är en allmänt tillgänglig huvud- eller mellanversion, ofta med nya funktioner.
- MR: Maintenance Release. En MR innehåller framför allt korrigeringar, stabilitetsförbättringar och säkerhetsanpassningar inom en befintlig version.
Filtillägg
- .iso: ISO-image som kan skrivas till ett USB-minne eller användas för software appliances.
- .zip: arkiv med imagefiler för Virtual Appliances.
- .sig: signerad image för vissa appliance-modeller eller uppdateringsscenarier.
För produktiva system är den nuvarande MR för en version som stöds vanligtvis ett bättre val än en nyligen släppt GA-version. Om en reimage är en del av ett återställnings- eller supportärende ska målversionen alltid matcha den befintliga säkerhetskopian, licensstatusen och den planerade återställningen.
Så för en XGS-reimage är vanligtvis en fil som HW-22.0.1_MR-1-490.iso relevant. SW, VI, AMI eller AZU är avsedda för andra plattformar och ska inte användas för en hårdvaruenhet.

2. Skapa ett startbart USB-minne
USB-minnet formateras när ISO-bilden skrivs. Alla befintliga data på USB-minnet kommer att gå förlorade.
- Sätt i ett USB-minne med minst 4 GB lagringsutrymme i datorn.
- Ladda ner och starta balenaEtcher.
- Använd
Flash from fileför att välja den nedladdade SFOS ISO-bilden. - Välj rätt USB-minne under
Select target. - Skriv ISO-bilden till USB-minnet med
Flash!.
Efter skrivprocessen ska USB-minnet matas ut rent. Om macOS eller Windows sedan rapporterar stickan som oläsbar, är detta inte nödvändigtvis ett fel eftersom bilden skrevs för att enheten ska starta.

3. Installera om SFOS på brandväggen
Reimage-processen körs direkt på apparaten. Enheten får inte stängas av under denna tid.
- Stäng av brandväggen helt.
- Förbered vid behov monitor, LCD eller seriell konsol om installationsstatus ska observeras.
- Sätt i det förberedda USB-minnet i brandväggen.
- Slå på brandväggen.
- Vänta tills Sophos Firmware Installer startar från USB-minnet.
- Övervaka installationsstatus beroende på appliance-modell.
- Ta bort USB-minnet efter lyckad installation.
- Om installeraren sedan ber om bekräftelse, starta om med
y.
Status på XGS Desktop Appliances
Många XGS-datormodeller har ingen VGA-, SVGA- eller HDMI-port för en skärm. Reimage-statusen visas därför via status-LED på framsidan. Om mer information behövs används den seriella konsolen via COM-porten.
| Modellfamilj | Skärmkontakt | Status under reimage |
|---|---|---|
| XGS 87 / 87w / 107 / 107w | Ingen VGA, SVGA eller HDMI | Statuslysdiod och seriell konsol som tillval |
| XGS 116 / 116w / 126 / 126w / 136 / 136w | Ingen VGA, SVGA eller HDMI | Statuslysdiod och seriell konsol som tillval |
| XGS 88 / 88w / 108 / 108w | Ingen VGA, SVGA eller HDMI | Statuslysdiod och seriell konsol som tillval |
| XGS 118 / 118w / 128 / 128w / 138 | Ingen VGA, SVGA eller HDMI | Statuslysdiod och seriell konsol som tillval |
| LED status | Betydelse |
|---|---|
| 🔴 Blinkande rött | Reimage körs |
| Permanent grön | Reimage lyckades |
| 🔴 Permanent röd | Reimage misslyckades |
Återbilden är bara klar när lysdioden lyser permanent grönt. Medan lysdioden blinkar rött pågår processen fortfarande.
Status på XGS Rack-apparater
Rackapparater visar status via den integrerade displayen. Typiska meddelanden är Installation in progress, Installation successful, Installation failed eller Failsafe mode.
Status via seriell konsol
En konsol kan anslutas för ytterligare diagnostik. På aktuella XGS Desktop Appliances är det i vardagen oftast inte längre en klassisk gammal RS-232-anslutning på datorn, utan en USB-till-Micro-USB-kabel till brandväggens COM Micro USB-port. Appliance tillhandahåller ändå en seriell konsol via den. På administratörsdatorn visas den som COM-port i Windows eller som tty-enhet i macOS och Linux.
Detta är särskilt användbart om det inte finns någon skärmanslutning, lysdioden förblir permanent röd, uppstarten från USB-minnet är oklar eller installations- och felmeddelanden behöver ses direkt. Många XGS-modeller har också en RJ45 COM-port. Denna RJ45 COM-port är en konsolport, inte en normal nätverksport. Om Micro-USB och RJ45-COM är anslutna samtidigt har Micro-USB prioritet.
Typiska verktyg:
- Windows: PuTTY, Windows Terminal eller annan seriell terminalklient.
- macOS: Terminal med
screen, till exempelscreen /dev/tty.usbserial-XXXX 38400. - Linux:
screen,minicomellerpicocom.
Seriella inställningar:
| Inställning | Värde |
|---|---|
| Baudhastighet | 38400 |
| databitar | 8 |
| Paritet | Inga |
| Stoppbitar | 1 |
4. Nå brandväggen efter reimage
Efter ombilden startar brandväggen med standardkonfiguration. Den första åtkomsten är vanligtvis via Port 1:
- Management IP:
https://172.16.16.16:4444 - Anslutning: Anslut datorn direkt till port 1 på brandväggen
- Dator-IP: ställ in lämplig statisk IP i nätverket
172.16.16.0/24om åtkomst inte är möjlig
Detta följs av den grundläggande konfigurationen eller återställningen av en befintlig säkerhetskopia. Vid återställning måste lämplig Secure Storage Master Key anges om säkerhetskopian innehåller skyddade kontodata.
Efter återställningen bör åtminstone dessa punkter kontrolleras:
- Gränssnitt, zoner och VLAN.
- Standardgateway, statiska rutter och SD-WAN-rutter.
- Brandväggsregler, NAT-regler och webbserverskydd.
- VPN-anslutningar och certifikat.
- Licensstatus och synkronisering med Sophos Central.
- HA-status om brandväggen är en del av ett kluster.
- Loggning, syslog-mål och rapportering.
För centralhanterade brandväggar hjälper Anslut Sophos Firewall till Sophos Central också. För modelländringar eller äldre enheter är Sophos XG eller XGS Firewall: Att välja rätt apparat relevant.
Behandla inte HA och RMA som en enskild enhet
Med en enskild labbenhet är en reimage oftast linjär: skriva image, installera, återställa backup, testa. Vid HA och RMA är processen känsligare. Man måste i förväg veta vilken enhet som är frisk, vilken roll den har, vilken firmwareversion och build den kör samt om Sophos Central eller licenstransfern först måste städas upp.
I Active-Passive-miljöer bör en ersättningsenhet inte bara kopplas in i klustret med alla kablar. Ett kontrollerat förlopp är mer typiskt: kontrollera firmwarestatus, nå ersättningsenheten lokalt via Port 1, anslut WAN endast för registrering eller licenstransfer, återställ passande backup, bygg upp HA medvetet igen och flytta först därefter produktionskablar. Den exakta ordningen beror på om Primary eller Auxiliary ersätts.
Acceptanstest efter reimage och återställning
Efter en lyckad inloggning räcker det inte med en snabb titt på instrumentpanelen. Brandväggen måste betjäna de viktigaste produktiva vägarna korrekt igen.
Förnuftig ordning:
- Kontrollera licensstatus, serienummer, modell och firmwareversion.
- Kontrollera gränssnitt, länkstatus, VLAN och zoner.
- Kontrollera WAN-gateway, DNS, NTP och Sophos Central-anslutning.
- Validera brandväggsregler, NAT-regler och loggvisare med en testklient.
- Testa plats-till-plats VPN och fjärråtkomst med riktiga testmål.
- Kontrollera HA-status och roller om ett kluster är inblandat.
- Styr syslog, central rapportering, backuper och schemalagda rapporter.
- Ta bort gammal tillfällig åtkomst, lokala administratörskonton eller återställningsundantag.
Om en återställning lyckades men trafiken inte flödar bör man inte ombilda omedelbart. Gränssnittsmappning, routing, NAT, enhetsåtkomst, licensstatus eller returvägen för fjärrstationen påverkas ofta. Lämpliga för analysen är Brandväggsregeltestning med Log Viewer, Policytest och Packet Capture, Förstå NAT på Sophos Firewall och Sophos Firewall IPsec VPN-felsökning.
Vanliga problem
Brandväggen startar inte från USB-minnet
Oftast har USB-minnet inte skrivits korrekt, fel image har valts eller appliance startar inte från den förväntade USB-porten. Skriv då ISO på nytt med balenaEtcher, testa ett annat USB-minne och observera starten via monitor, LCD, status-LED eller seriell konsol.
LED lyser permanent rött
En permanent röd status-LED betyder att reimage misslyckades. Fortsätt då inte blint i produktion: kontrollera USB-minne, imagetyp, målmodell och installationsmeddelande. Vid upprepat fel är seriell konsol och Sophos Support mer meningsfullt än flera identiska försök.
Backup-restore misslyckas
Typiska orsaker är en olämplig målversion, en skadad backup, saknad SSMK eller restore till en annan modell utan ren portmappning. Kontrollera först backupversion, mål-SFOS-version, build, plattform och SSMK. Klargör sedan om Restore Assistant, ett mellansteg via en annan SFOS-version eller support behövs.
WebAdmin går inte att nå efter reimage
Efter reimage gäller standardkonfigurationen igen. Anslut datorn direkt till Port 1, sätt en passande IP i nätet 172.16.16.0/24 och öppna https://172.16.16.16:4444. Om det inte fungerar, kontrollera först länkstatus, lokal klient-IP, webbläsarens certifikatvarning och eventuellt bootstatus.
HA startar inte rent efter restore
Vid HA är det ofta inte själva reimage som är problemet, utan roll, firmwarestatus, build, Initial Primary, Central-tilldelning eller restore-ordning. Aktivera därför inte HA automatiskt igen, utan dokumentera först båda enheternas tillstånd och jämför med den planerade HA-processen.
Trafiken flyter inte efter restore
Om konfigurationen har återställts men trafik inte fungerar är ofta interface mapping, zoner, routing, NAT, Device Access, licensstatus eller returvägar inblandade. Då hjälper Log Viewer, Rule ID, NAT ID, Route Lookup och Packet Capture mer än en ny reimage.
Licens eller Central-anslutning saknas
Efter reimage, RMA eller modellbyte måste serienummer, kontotilldelning, licenstransfer, DNS, gateway och Sophos Central-anslutning passa igen. Först när brandväggen är rent online bör man se detta som ett produktivt driftläge.
Checklista
- Säkerhetskopiering nedladdad.
- Secure Storage Master Key tillgänglig.
- Backup och mål SFOS version dokumenterad.
- Firmware-build och modellrevision kontrollerade, särskilt vid HA eller RMA.
- Serienummer, licensstatus och central tilldelning kontrolleras.
- Lämplig SFOS-installationsbild har valts.
- USB-minne skrevs framgångsrikt.
- Underhållsfönster och lokal åtkomst förtydligas.
- Apparaten är inte avstängd under återbilden.
- Nådde WebAdmin via port 1 efter omstart.
- Backup återställd och in i SSMK.
- Nätverk, VPN, Licens, Central och HA kontrolleras.
- Genomförde regel-, NAT-, routing- och VPN-tester med riktiga klienter.
- Tillfällig återställningsåtkomst och anteckningar rensade.