Hoppa till innehållet
Avanet

Installera om Sophos Firewall OS via USB

En reimage installerar om Sophos Firewall OS helt. Processen är avsedd för återställningssituationer, labbsystem, modelländringar eller en ren ominstallation. För normala versionsändringar är en firmwareuppdatering via webbadmingränssnittet vanligtvis det bättre valet.

⚠️ Viktigt: En reimage skriver över brandväggen helt. Konfiguration, lokala loggar, certifikat, rapporter och sparade kontodata är inte längre tillgängliga på enheten. Innan arbetet startar krävs en aktuell säkerhetskopia och lämplig Secure Storage Master Key (SSMK) om krypterad konfigurationsdata ska återställas senare.

Reimage, firmwareuppdatering eller fabriksåterställning?

TillvägagångssättSyfteTypisk användning
Firmware-uppdateringUppdatera SFOS till en annan versionNormalt underhåll via Backup & Firmware > Firmware
ÅterställÅtergå till en tidigare installerad firmwareversionFel efter en uppdatering medan föregående firmware fortfarande finns
FabriksåterställningÅterställ konfigurationEnheten finns kvar på den installerade SFOS-versionen, konfigurationen går förlorad
ReimageInstallera om SFOS från USB-minneTrasigt system, ren ominstallation, inkompatibel versionsändring eller återställning

För en normal uppdatering bör artikeln Sophos Firewall: utför SFOS firmware update först kontrolleras. En fabriksåterställning är inte heller samma sak som en reimage: den återställer konfigurationen, men tar inte bort alla lokala data som en fullständig ominstallation. Secure Storage Master Key raderas inte heller vid en fabriksåterställning. Om brandväggen verkligen ska tillbaka till ett rent standardläge inklusive loggar, rapporter och lokala driftdata är reimage den mer passande vägen. För XGS-appliances med skadad firmware hänvisar Sophos till reimage-proceduren eftersom SFLoader inte är tillgänglig för XGS.

När man inte ska återbilda

En reimage är den hårda återställningsvarianten. Om normal administrationstillgång fortfarande är möjlig bör man först kontrollera om ett mindre invasivt sätt är tillräckligt.

SituationBättre kolla först
WebAdmin hänger sig, men trafiken fortsätterStarta om WebAdmin GUI specifikt
Enskild tjänst svarar inteStarta om Sophos Firewall Services på ett säkert sätt
Firmware-uppdatering väntarFirmwareuppdatering och återställningsplan istället för reimage
Konfiguration bör tas bortFabriksåterställning kan räcka om SFOS själv är frisk
Lagringsutrymme eller rapporter är problemetKontrollera lagringsutrymme, rapporter och loggar
Supportärendet pågår fortfarandeSäkerhetskopiera loggar, supportarkiv och aktuella fel i förväg

Reimage är användbart om operativsystemet är skadat, en ren ombyggnad önskas eller Sophos Support eller återställningsplanen anger denna väg. Det är vanligtvis för tidigt för normalt underhåll, individuella GUI-problem eller oförklarliga prestandaproblem.

Säkerhetskopiera före återbild

Inför en produktiv reimage bör följande punkter förberedas:

  • Ladda ner den aktuella konfigurationsbackupen och lagra den säkert.
  • Dokument Secure Storage Master Key om säkerhetskopian innehåller krypterad kontodata.
  • Kontrollera licensstatus, serienummer och Sophos Central-förening.
  • Dokumentera modell, revision, aktuell SFOS-version, build, målversion och backupversion.
  • Notera separat WAN-data, VLAN, statiska rutter, VPN-parametrar och speciell HA-information.
  • Schemalägg underhållsfönster eftersom brandväggen inte kommer att skydda och bearbeta trafik under reimage.
  • Säkerställ lokal åtkomst till apparat, strömförsörjning, USB-port och hanteringsport.
  • Kontrollera återställningsprocessen i förväg, särskilt för HA-kluster och kritiska VPN-platser.
  • Säkerhetskopiera loggar eller supportarkiv om orsaken behöver analyseras senare.

De relevanta grunderna finns i Sophos Firewall: Skapa och återställa en säkerhetskopia, Sophos Firewall: SFOS 22 uppgraderingskontroll och Sophos Firewall HA-kluster: Active-Passive, Active-Active och Auxiliary Appliance.

Om reimage är del av ett RMA- eller HA-scenario blir denna dokumentation ännu viktigare. Då räknas inte bara huvudversionen, utan även build. En ersättningsenhet bör passa den friska brandväggen eller medvetet föras till målversionen innan backup, licenstransfer och HA-omkonfiguration startar.

Förtydliga återställningskompatibiliteten i förväg

Den viktigaste delen av en reimage är inte att skriva till USB-minnet, utan den lyckade återställningen efteråt. En säkerhetskopia ska inte bara utvärderas första gången efter ominstallationen.

Förtydliga i förväg:

punktVarför viktigt
SäkerhetskopieringsversionEn säkerhetskopia kan inte återställas till någon äldre eller nyare SFOS-version efter behag.
MålmodellAntal portar, gränssnittsnamn och modellklasspåverkansåterställning och portmappning.
Säker lagring HuvudnyckelUtan en lämplig SSMK kommer skyddad kontodata att saknas efter återställningen.
Licens och kontoEfter ombild eller modellbyte måste brandväggen vara korrekt licensierad och tilldelad igen.
HA rollI kluster måste det framgå om den första primära eller hjälpenheten byggs om.
Äldre konfigurationGamla IPsec- eller uppgraderingsblockerare för fjärråtkomst bör vara kända före återställningen.

Vid hårdvarubyte, migrering från XG till XGS eller restore till en annan modell bör man även kontrollera om backup-återställningsassistenten är tillgänglig och om porttilldelningen är korrekt innan den slutliga återställningen. Processen beskrivs i Skapa eller återställ en Sophos Firewall-säkerhetskopia.

För HA och RMA gäller som tumregel: firmwareversion och build för de berörda enheterna kontrolleras före restore. Om den gamla firmwareversion som behövs inte längre kan laddas ned normalt bör man inte improvisera, utan involvera Sophos Support eller den befintliga supportprocessen.

Krav

  • Sophos brandväggsapparat eller lämplig programvara eller virtuell apparat.
  • USB-minne med minst 4 GB lagringsutrymme.
  • Windows-, macOS- eller Linux-dator för att skapa det startbara USB-minnet.
  • Verktyg för att skriva ISO-bilden, till exempel balenaEtcher.
  • Lokal tillgång till apparaten.
  • Valfritt: USB till Micro USB-kabel eller RJ45 COM-adapter för statusrapportering och felsökning via seriekonsolen.

Ingen utökad support-auktorisering krävs för själva reimagen. Däremot gäller respektive licens- och supportvillkor för vanliga firmwareuppgraderingar.

1. Ladda ner lämplig SFOS-installationsavbildning

Installationsbilden hämtas från Sophos officiella nedladdningssida:

  1. Öppna Sophos Firewall Installer. Alternativt är direktnedladdning möjlig.
  2. För Sophos hårdvara, välj önskad SFOS-version under Hardware Installers.
  3. Acceptera licensvillkoren och ladda ner ISO-avbildningen.

För hardware appliances används vanligtvis en image med prefixet HW. Software och virtual appliances använder andra imagetyper. Avgörande är att plattform, målversion och restore-plan passar ihop. Fel image är inte ett litet skönhetsfel, utan kan stoppa recovery-processen.

Filnamnet på installationsavbildningen

Exempel: HW-22.0.1_MR-1-490.iso

komponentBetydelse
HWInstallatör för Sophos hårdvara
22.0.1SFOS-version
MR-1Underhållsversion 1
490Byggnummer
.isoISO-bild för USB-minne eller mjukvaruinstallation

De viktigaste delarna av filnamnet:

  • Plattform eller apparattyp

    • HW: ISO-image för Sophos Hardware Appliances. Denna variant behövs normalt för reimage av en XGS appliance.
    • SW: ISO-image för Sophos Firewall som Software Appliance.
    • VI: imagepaket för Sophos Firewall som Virtual Appliance.
    • AMI: image för Amazon AWS.
    • AZU: image för Microsoft Azure.
  • Virtualiseringsplattform för VI-filer

    • HYV: Microsoft Hyper-V.
    • KVM: KVM.
    • VMW: VMware Hypervisor.
    • XEN: Xen.
  • Släpptyp

    • GA: General Availability. Det är en allmänt tillgänglig huvud- eller mellanversion, ofta med nya funktioner.
    • MR: Maintenance Release. En MR innehåller framför allt korrigeringar, stabilitetsförbättringar och säkerhetsanpassningar inom en befintlig version.
  • Filtillägg

    • .iso: ISO-image som kan skrivas till ett USB-minne eller användas för software appliances.
    • .zip: arkiv med imagefiler för Virtual Appliances.
    • .sig: signerad image för vissa appliance-modeller eller uppdateringsscenarier.

För produktiva system är den nuvarande MR för en version som stöds vanligtvis ett bättre val än en nyligen släppt GA-version. Om en reimage är en del av ett återställnings- eller supportärende ska målversionen alltid matcha den befintliga säkerhetskopian, licensstatusen och den planerade återställningen.

Så för en XGS-reimage är vanligtvis en fil som HW-22.0.1_MR-1-490.iso relevant. SW, VI, AMI eller AZU är avsedda för andra plattformar och ska inte användas för en hårdvaruenhet.

Sophos Firewall Installer med hårdvara ISO för XGS Appliance
Sophos Firewall Installer: Ladda ner hårdvaru-ISO för återbild av en XGS-apparat

2. Skapa ett startbart USB-minne

USB-minnet formateras när ISO-bilden skrivs. Alla befintliga data på USB-minnet kommer att gå förlorade.

  1. Sätt i ett USB-minne med minst 4 GB lagringsutrymme i datorn.
  2. Ladda ner och starta balenaEtcher.
  3. Använd Flash from file för att välja den nedladdade SFOS ISO-bilden.
  4. Välj rätt USB-minne under Select target.
  5. Skriv ISO-bilden till USB-minnet med Flash!.

Efter skrivprocessen ska USB-minnet matas ut rent. Om macOS eller Windows sedan rapporterar stickan som oläsbar, är detta inte nödvändigtvis ett fel eftersom bilden skrevs för att enheten ska starta.

balenaEtcher med vald SFOS ISO-bild och USB-minne
SFOS ISO-bilden skrivs till USB-minnet med balenaEtcher

3. Installera om SFOS på brandväggen

Reimage-processen körs direkt på apparaten. Enheten får inte stängas av under denna tid.

  1. Stäng av brandväggen helt.
  2. Förbered vid behov monitor, LCD eller seriell konsol om installationsstatus ska observeras.
  3. Sätt i det förberedda USB-minnet i brandväggen.
  4. Slå på brandväggen.
  5. Vänta tills Sophos Firmware Installer startar från USB-minnet.
  6. Övervaka installationsstatus beroende på appliance-modell.
  7. Ta bort USB-minnet efter lyckad installation.
  8. Om installeraren sedan ber om bekräftelse, starta om med y.

Status på XGS Desktop Appliances

Många XGS-datormodeller har ingen VGA-, SVGA- eller HDMI-port för en skärm. Reimage-statusen visas därför via status-LED på framsidan. Om mer information behövs används den seriella konsolen via COM-porten.

ModellfamiljSkärmkontaktStatus under reimage
XGS 87 / 87w / 107 / 107wIngen VGA, SVGA eller HDMIStatuslysdiod och seriell konsol som tillval
XGS 116 / 116w / 126 / 126w / 136 / 136wIngen VGA, SVGA eller HDMIStatuslysdiod och seriell konsol som tillval
XGS 88 / 88w / 108 / 108wIngen VGA, SVGA eller HDMIStatuslysdiod och seriell konsol som tillval
XGS 118 / 118w / 128 / 128w / 138Ingen VGA, SVGA eller HDMIStatuslysdiod och seriell konsol som tillval
LED statusBetydelse
🔴 Blinkande röttReimage körs
Permanent grönReimage lyckades
🔴 Permanent rödReimage misslyckades

Återbilden är bara klar när lysdioden lyser permanent grönt. Medan lysdioden blinkar rött pågår processen fortfarande.

Status på XGS Rack-apparater

Rackapparater visar status via den integrerade displayen. Typiska meddelanden är Installation in progress, Installation successful, Installation failed eller Failsafe mode.

Status via seriell konsol

En konsol kan anslutas för ytterligare diagnostik. På aktuella XGS Desktop Appliances är det i vardagen oftast inte längre en klassisk gammal RS-232-anslutning på datorn, utan en USB-till-Micro-USB-kabel till brandväggens COM Micro USB-port. Appliance tillhandahåller ändå en seriell konsol via den. På administratörsdatorn visas den som COM-port i Windows eller som tty-enhet i macOS och Linux.

Detta är särskilt användbart om det inte finns någon skärmanslutning, lysdioden förblir permanent röd, uppstarten från USB-minnet är oklar eller installations- och felmeddelanden behöver ses direkt. Många XGS-modeller har också en RJ45 COM-port. Denna RJ45 COM-port är en konsolport, inte en normal nätverksport. Om Micro-USB och RJ45-COM är anslutna samtidigt har Micro-USB prioritet.

Typiska verktyg:

  • Windows: PuTTY, Windows Terminal eller annan seriell terminalklient.
  • macOS: Terminal med screen, till exempel screen /dev/tty.usbserial-XXXX 38400.
  • Linux: screen, minicom eller picocom.

Seriella inställningar:

InställningVärde
Baudhastighet38400
databitar8
ParitetInga
Stoppbitar1

4. Nå brandväggen efter reimage

Efter ombilden startar brandväggen med standardkonfiguration. Den första åtkomsten är vanligtvis via Port 1:

  • Management IP: https://172.16.16.16:4444
  • Anslutning: Anslut datorn direkt till port 1 på brandväggen
  • Dator-IP: ställ in lämplig statisk IP i nätverket 172.16.16.0/24 om åtkomst inte är möjlig

Detta följs av den grundläggande konfigurationen eller återställningen av en befintlig säkerhetskopia. Vid återställning måste lämplig Secure Storage Master Key anges om säkerhetskopian innehåller skyddade kontodata.

Efter återställningen bör åtminstone dessa punkter kontrolleras:

  • Gränssnitt, zoner och VLAN.
  • Standardgateway, statiska rutter och SD-WAN-rutter.
  • Brandväggsregler, NAT-regler och webbserverskydd.
  • VPN-anslutningar och certifikat.
  • Licensstatus och synkronisering med Sophos Central.
  • HA-status om brandväggen är en del av ett kluster.
  • Loggning, syslog-mål och rapportering.

För centralhanterade brandväggar hjälper Anslut Sophos Firewall till Sophos Central också. För modelländringar eller äldre enheter är Sophos XG eller XGS Firewall: Att välja rätt apparat relevant.

Behandla inte HA och RMA som en enskild enhet

Med en enskild labbenhet är en reimage oftast linjär: skriva image, installera, återställa backup, testa. Vid HA och RMA är processen känsligare. Man måste i förväg veta vilken enhet som är frisk, vilken roll den har, vilken firmwareversion och build den kör samt om Sophos Central eller licenstransfern först måste städas upp.

I Active-Passive-miljöer bör en ersättningsenhet inte bara kopplas in i klustret med alla kablar. Ett kontrollerat förlopp är mer typiskt: kontrollera firmwarestatus, nå ersättningsenheten lokalt via Port 1, anslut WAN endast för registrering eller licenstransfer, återställ passande backup, bygg upp HA medvetet igen och flytta först därefter produktionskablar. Den exakta ordningen beror på om Primary eller Auxiliary ersätts.

Acceptanstest efter reimage och återställning

Efter en lyckad inloggning räcker det inte med en snabb titt på instrumentpanelen. Brandväggen måste betjäna de viktigaste produktiva vägarna korrekt igen.

Förnuftig ordning:

  1. Kontrollera licensstatus, serienummer, modell och firmwareversion.
  2. Kontrollera gränssnitt, länkstatus, VLAN och zoner.
  3. Kontrollera WAN-gateway, DNS, NTP och Sophos Central-anslutning.
  4. Validera brandväggsregler, NAT-regler och loggvisare med en testklient.
  5. Testa plats-till-plats VPN och fjärråtkomst med riktiga testmål.
  6. Kontrollera HA-status och roller om ett kluster är inblandat.
  7. Styr syslog, central rapportering, backuper och schemalagda rapporter.
  8. Ta bort gammal tillfällig åtkomst, lokala administratörskonton eller återställningsundantag.

Om en återställning lyckades men trafiken inte flödar bör man inte ombilda omedelbart. Gränssnittsmappning, routing, NAT, enhetsåtkomst, licensstatus eller returvägen för fjärrstationen påverkas ofta. Lämpliga för analysen är Brandväggsregeltestning med Log Viewer, Policytest och Packet Capture, Förstå NAT på Sophos Firewall och Sophos Firewall IPsec VPN-felsökning.

Vanliga problem

Brandväggen startar inte från USB-minnet

Oftast har USB-minnet inte skrivits korrekt, fel image har valts eller appliance startar inte från den förväntade USB-porten. Skriv då ISO på nytt med balenaEtcher, testa ett annat USB-minne och observera starten via monitor, LCD, status-LED eller seriell konsol.

LED lyser permanent rött

En permanent röd status-LED betyder att reimage misslyckades. Fortsätt då inte blint i produktion: kontrollera USB-minne, imagetyp, målmodell och installationsmeddelande. Vid upprepat fel är seriell konsol och Sophos Support mer meningsfullt än flera identiska försök.

Backup-restore misslyckas

Typiska orsaker är en olämplig målversion, en skadad backup, saknad SSMK eller restore till en annan modell utan ren portmappning. Kontrollera först backupversion, mål-SFOS-version, build, plattform och SSMK. Klargör sedan om Restore Assistant, ett mellansteg via en annan SFOS-version eller support behövs.

WebAdmin går inte att nå efter reimage

Efter reimage gäller standardkonfigurationen igen. Anslut datorn direkt till Port 1, sätt en passande IP i nätet 172.16.16.0/24 och öppna https://172.16.16.16:4444. Om det inte fungerar, kontrollera först länkstatus, lokal klient-IP, webbläsarens certifikatvarning och eventuellt bootstatus.

HA startar inte rent efter restore

Vid HA är det ofta inte själva reimage som är problemet, utan roll, firmwarestatus, build, Initial Primary, Central-tilldelning eller restore-ordning. Aktivera därför inte HA automatiskt igen, utan dokumentera först båda enheternas tillstånd och jämför med den planerade HA-processen.

Trafiken flyter inte efter restore

Om konfigurationen har återställts men trafik inte fungerar är ofta interface mapping, zoner, routing, NAT, Device Access, licensstatus eller returvägar inblandade. Då hjälper Log Viewer, Rule ID, NAT ID, Route Lookup och Packet Capture mer än en ny reimage.

Licens eller Central-anslutning saknas

Efter reimage, RMA eller modellbyte måste serienummer, kontotilldelning, licenstransfer, DNS, gateway och Sophos Central-anslutning passa igen. Först när brandväggen är rent online bör man se detta som ett produktivt driftläge.

Checklista

  • Säkerhetskopiering nedladdad.
  • Secure Storage Master Key tillgänglig.
  • Backup och mål SFOS version dokumenterad.
  • Firmware-build och modellrevision kontrollerade, särskilt vid HA eller RMA.
  • Serienummer, licensstatus och central tilldelning kontrolleras.
  • Lämplig SFOS-installationsbild har valts.
  • USB-minne skrevs framgångsrikt.
  • Underhållsfönster och lokal åtkomst förtydligas.
  • Apparaten är inte avstängd under återbilden.
  • Nådde WebAdmin via port 1 efter omstart.
  • Backup återställd och in i SSMK.
  • Nätverk, VPN, Licens, Central och HA kontrolleras.
  • Genomförde regel-, NAT-, routing- och VPN-tester med riktiga klienter.
  • Tillfällig återställningsåtkomst och anteckningar rensade.

Vanliga frågor

Tar en reimage bort hela konfigurationen?

Ja. En reimage installerar om Sophos Firewall OS och skriver över befintlig data på enheten. Utan en säkerhetskopia måste sedan brandväggen byggas om.

Krävs förbättrad support för en reimage?

Ingen rätt till utökad support krävs för att återbilda en hårdvara, mjukvara eller virtuell apparat. Däremot gäller andra supportvillkor för vanliga firmwareuppgraderingar efter de kostnadsfria uppgraderingarna.

Vad är skillnaden mellan Reimage och Factory Reset?

En fabriksåterställning återställer konfigurationen men installerar inte om SFOS. En reimage skriver om operativsystemet från installationsavbildningen till enheten.

Varför är Secure Storage Master Key viktig?

Secure Storage Master Key skyddar känsliga kontodata i säkerhetskopior. Efter en reimage eller fabriksåterställning krävs den för att återställa skyddade data från en säkerhetskopia.

Kan valfri säkerhetskopia återställas efter en reimage?

Nej. Backupversion, mål-SFOS-version, modell, plattform och portmappning måste matcha. Innan en produktiv reimage bör man därför kontrollera vilken version som är installerad och vilken backup som sedan återställs.

Kan en XGS-apparat repareras med SFLoader?

För XGS-apparater med skadad firmware används reimage-processen. SFLoader är inte tillgänglig för XGS-apparater.