Sophos Firewall Firmware-uppdatering: Förberedelser och bästa praxis
Firmwareuppdateringar håller en Sophos Firewall säker, stabil och stöds. Ändå bör du inte behandla det som en vanlig paketuppdatering. En SFOS uppgradering kan påverka HA beteende, VPN tunnlar, certifikat, Web Protection, TLS Inspection, fjärråtkomst, central integration och routing.
För det bredare hardening-sammanhanget passar hubben Sophos Firewall Hardening: best practices för säker konfiguration.
Den här artikeln är checklistan för planering och drift innan en Sophos Firewall firmwareuppdatering. Det hjälper dig att bestämma om en uppdatering kan släppas nu, vilka beroenden som måste kontrolleras innan underhållsfönstret och när en återställning är mer meningsfull än ytterligare felsökning. Den specifika installationen via WebAdmin beskrivs i artikeln Sophos Firewall Utför firmwareuppdatering.
⚠️ Viktigt: Före varje firmwareuppdatering krävs en aktuell säkerhetskopia, lämplig Secure Storage Master Key och en testad återställningsplan. För SFOS 22 eller senare bör artikeln Sophos Firewall check före SFOS 22 uppgradering också bearbetas eftersom plattformen, lagringsutrymmet, gränssnittsnamnen, STAS och äldre fjärråtkomst IPsec är specifikt kontrollerade där.
Vilken uppdateringsartikel passar?
Firmware-ämnen överlappar snabbt. Det är därför viktigt för administratörer att först välja rätt process:
- Förbered dig för uppdatering, kontrollera risker och planera underhållsfönster: Den här artikeln.
- Ladda upp eller installera firmwarebild i WebAdmin: Sophos Firewall Utför firmwareuppdatering.
- Förbered dig på att uppgradera till SFOS 22 eller nyare: Kontrollera Sophos Firewall före SFOS 22 uppgradering.
- Kontrollera säkerhetskopiering, Secure Storage Master Key och återställningsförmåga: Sophos Firewall skapa eller återställa säkerhetskopia.
- Installera om Firewall OS helt eller återställ det efter en reimage: Sophos Firewall Installera om OS: Reimage med USB-minne.
- Klassificera HA kluster före underhåll, failover eller uppgradering: Sophos Firewall HA klustervarianter.
- Centralkontrollerad uppdatering eller brandväggsuppgift hänger sig: Sophos Central Kontrollera Firewall Management Task Queue.
- Utvärdera XG-, SG- eller XGS-plattformen innan du uppgraderar: Sophos XG vs. XGS: Differences, EOL and Migration.
- Samla in serienummer, licensstatus eller supportdata för ändringen: Hitta serienummer för Sophos Firewall.
Denna separation förhindrar typiska fel. En firmwareuppdatering är inte detsamma som en reimage, en återställning ersätter inte en säkerhetskopia och en lyckad nedladdning bevisar inte att uppgraderingssökvägen, stödberättigande, HA tillstånd och återställningsplan matchar. Planeringsartikeln bör därför inte upprepa varje klick av installationen, utan snarare göra beslutet om release tydligt.
När en uppdatering behöver förberedas
En kort kontroll räcker ofta för små underhålls-Releases. Strukturerad förberedelse är obligatorisk om minst en av dessa punkter gäller:
- Produktiv brandvägg med flera WAN upplänkar, VPNs, NAT regler eller WAF publikationer.
- HA kluster eller fjärrplats utan enkel fysisk åtkomst.
- Version hoppa över flera Releases eller ändra till en ny huvudversion som SFOS 22.
- XG, SG, mjukvara, virtuell eller molnapparat med plattforms- eller licensfrågor.
- Kritiska beroenden som Microsoft Entra ID, RADIUS, LDAP, certifikat, DNS, DHCP, SD-WAN eller Sophos Central.
- Kända problem med prestanda, lagring eller SSD på enheten.
Ju större förändring, desto mer bör uppdateringen behandlas som en förändring med runbook, testplan och rollback.
1. Kontrollera Release Notes och uppgraderingssökväg
Innan du uppdaterar ska du först klargöra om målversionen passar den aktuella miljön.
- Kontrollera Sophos Release Notes för att se om målversionen är släppt och om det finns anteckningar i din egen Release gren.
- Kontrollera dessutom de officiella Release-anteckningarna för målversionen och Kända problem så att kända problem inte bara blir uppenbara efter uppdateringen.
- Dokumentera befintlig version, målversion och uppgraderingsväg som stöds.
- Viktigt: Välj endast uppgraderingsvägar som stöds. Om uppgraderingssökvägen inte stöds kan brandväggen återställas till fabriksinställningarna efter firmwareuppdateringen.
- För SFOS 22, notera att XG- och SG-hårdvara inte längre stöds.
- För SFOS 21.5, notera att inte varje målväg automatiskt leder till SFOS 22 GA. Release-anteckningarna för den specifika målversionen är auktoritativa.
- För många VLANs, bryggor, LAGs, RED eller XFRM gränssnitt, kontrollera om gränssnittsnamn med långa block av nummer kan utlösa ett WebAdmin visningsproblem.
- För äldre fjärråtkomst IPsec, kontrollera om en uppgradering till SFOS 22 MR1 eller nyare är blockerad.
- För STAS och användarbaserade regler, kontrollera om kända uppgraderingsanteckningar är relevanta för din egen konfiguration.
- För programvara, virtuell, Azure eller AWS BYOL-brandväggar, klargör om brandväggen måste göras anspråk på i Sophos Central före uppgraderingen.
- Om det finns inkompatibla versionshopp, planera inte med en normal uppdatering, utan förbered ett reimage-koncept.
För konkreta uppgraderingsbeslut är det inte tillkännagivanden som räknas, utan snarare Release-anteckningar, kända problem, uppgraderingsvägar som stöds och lokal firmware-planering. Om en Release bara låter intressant, men uppgraderingsvägen, plattformen, stödberättigande eller återställning inte är klar, bör ändringen inte släppas ännu.
I praktiken är ett kort beslut direkt under ändringen användbart: aktuell version, målversion, sökväg som stöds, kända blockerare, påverkad plattform och förväntad returväg. Detta gör det klart senare varför just denna version installerades och inte bara “den senaste”.
2. Förtydliga licens- och stödberättigande
Sedan SFOS 19.0 MR1, Enhanced Support eller Enhanced Plus Support krävs för ytterligare firmwareuppgraderingar efter de tre kostnadsfria firmwareuppgraderingarna. Utan lämplig supportauktorisering kan den fasta programvaran kanske ses eller laddas ner, men efterföljande regelbundna uppgraderingar kan blockeras.
Undantag gäller för bland annat Mönsteruppdateringar, Hotfixes, Reimage, Obligatoriska Firmware Uppgraderingar och Assistant Firmware Uppgraderingar. Dessa undantag ersätter dock inte korrekt uppdateringsplanering.
Innan du gör ändringen bör du därför kontrollera:
- Administration > Licensing visar giltig licens och supportbehörighet.
- Sophos Central visar brandväggen med korrekt serienummer.
- Supportåtkomst och kontaktpersoner är kända.
- Nedladdning av målversionen är möjlig.
- Vid behov förbereds Avanet eller Sophos supportåtkomst.
Om Avanet ska ge stöd för ändringen är artikeln Sätta upp Avanet supportåtkomst till Sophos Firewall lämplig.
3. Förbered säkerhetskopiering, SSMK och återställning
En firmware-uppdatering installeras på en andra firmware-plats. En återställning till den tidigare versionen är därför ofta möjlig. Ändå är en återställning inte en ersättning för en säkerhetskopia eftersom konfigurationsstatus, återställningskompatibilitet och driftstatus måste kontrolleras separat.
Den viktigaste punkten underskattas ofta: Sophos Firewall behåller aktiv och tidigare firmware med lämplig konfigurationsstatus i separata partitioner. Så en återställning sätter inte bara den gamla SFOS-koden i drift igen, utan också den tidigare konfigurationen. Ändringar som gjorts efter uppgraderingen kan saknas eller ha en annan effekt efteråt.
Innan uppdateringen:
- Ladda ner ny säkerhetskopia av konfigurationen.
- Kontrollera Secure Storage Master Key i lösenordshanteraren.
- Ange säkerhetskopieringslösenord och administratörsåtkomst.
- Dokumentera befintlig firmwareversion och målversion.
- Dokumentera aktuell konfiguration, kritiska skärmdumpar och ändra tid.
- För större ändringar, kontrollera även en central backup eller externt lagrad backup.
Säkerhetskopierings- och återställningsprocessen beskrivs i Sophos Firewall Skapa eller återställa säkerhetskopia. Om en normal firmwareändring inte är möjlig, kommer artikeln Sophos Firewall Installera om OS: Reimage med USB-minne att hjälpa.
Från och med SFOS 20.0 kan brandväggen automatiskt rulla tillbaka till föregående version och konfigurationsstatus vid vissa problem under konfigurationsmigreringen. Detta är en säkerhetsfunktion, men inte en licens för oförberedda uppdateringar. Efter en automatisk återställning måste orsaken klargöras innan nästa försök görs.
4. Förbered bevis på förändring
För enkelt underhåll Releases räcker ofta en säkerhetskopia, en skärmdump av firmwaresidan och ett kort ändringsmeddelande. För större uppdateringar bör du även registrera vilken konfiguration som gällde före underhållsfönstret och vilka ändringar som gjordes under uppföljningskontrollen.
Dessa verktyg svarar på olika frågor:
- Säkerhetskopiering: Vilken konfigurationsstatus kan återställas?
- Config Studio: Vad är skillnaden mellan två konfigurationslägen?
- Audit Trail: Vem gjorde vilken konfigurationsändring som stöds och när?
Sophos Firewall Config Studio är användbart om du vill jämföra konfigurationstillstånd före och efter en uppgradering. Detta ersätter inte en säkerhetskopia, men det hjälper till med frågan om regler, objekt, gränssnitt eller policyer oväntat ändrades under ett underhållsfönster.
Sophos Firewall Audit Trail är lämplig för tidsmässig spårbarhet. Det är särskilt användbart när flera administratörer är inblandade eller när en centralt styrd ändring löpte parallellt med firmwareuppdateringen. Om uppdateringen eller en konfigurationsändring utlöses via Sophos Central, är Sophos Central Firewall Management Task Queue också en del av uppföljningskontrollen.
5. Kontrollera lagringsutrymme och systemstatus
Otillräckligt lagringsutrymme, gamla loggar eller ett instabilt HA-tillstånd kan göra en uppdatering onödigt riskabel. Innan en större uppgradering bör du medvetet kontrollera systemets status.
I WebAdmin:
- Kontrollera Kontrollcentral för varningar.
- Öppna Backup & Firmware > Firmware och kontrollera tillgängliga versioner.
- Kontrollera Diagnostics > Log viewer för återkommande systemfel.
- Kontrollera Systemtjänster och relevanta tjänster.
- För SFOS 22, titta även på brandväggen Health Check, om tillgänglig.
Det lediga lagringsutrymmet kan kontrolleras med SSH eller Advanced Shell:
df -kh
Om en partition är mycket full bör du inte uppdatera blint. Klargör först om gamla lokala filer, loggar, rapporter eller supportdumpar tar upp plats. Om orsaken är oklar är ett supportärende säkrare än att manuellt ta bort det i Advanced Shell. Den praktiska processen är i Sophos Firewall Kontrollera lagringsutrymme och hantera rapporter.
Om apparaten är gammal, skriver många lokala rapporter eller redan visar I/O- eller databasproblem, bör SSD-tillståndet via SMART också kontrolleras och dokumenteras.
För status- och logganalys, Sophos Firewall Felsökning: tjänster och loggar, Sophos Firewall Använd Packet Capture i WebAdmin och Sophos Firewall Använd hälsokontroll korrekt hjälp.
6. Planera HA-kluster separat
HA-kluster ska inte behandlas som enskilda brandväggar. Sophos skriver att HA inte behöver inaktiveras för firmwareuppdateringen. Ändå kräver en HA-uppdatering mer kontroll eftersom både apparater, fasta programplatser, roller och failover-beteende påverkas.
Innan uppdateringen:
- Kontrollera HA status i WebAdmin.
- Identifiera tydligt primära och extra apparater.
- Kontrollera HA länk och synkronisering.
- Säkerställ samma utgångsläge för fast programvara på båda apparaterna.
- Planera även underhållsfönster för Active-Passive-HA.
- Kommunicera förväntade korta avbrott vid rollbyte.
I det anslutna HA-tillståndet startas firmwareuppdateringen på den primära enheten och bearbetas av klustret för båda apparaterna. Vanligtvis uppdateras och startas den extra enheten först, följt av en rollbyte, och sedan uppdateras den tidigare primära. Beroende på HA-konfigurationen kan den föredragna primära bli aktiv igen i slutet. Auxiliary Appliance bör inte uppdateras separat. Mönsteruppdateringar och Hotfixes tillämpas oberoende av enheterna.

För HA miljöer bör Sophos Firewall HA kluster: Active-Passive, Active-Active och Auxiliary Appliance också läsas.
7. Definiera underhållsfönster och tester
Ett bra underhållsfönster inkluderar inte bara installationstiden utan även tydliga tester efteråt.
Ställ in före uppdatering:
- Starttid, senaste avbrottstid och återställningsbeslut.
- Ansvarig för brandvägg, nätverk, servrar, applikationer och support.
- Testlista för Internet, DNS, DHCP, VLANs, NAT, VPN, WAF, e-post, Web Protection och kritiska applikationer.
- Tillgänglighet via lokal hanteringsport eller alternativ åtkomst.
- Övervakningspaus eller underhållsläge i övervakningssystemet.
- Kommunikationsväg om fjärråtkomst misslyckas under ändringen.
Tester ska inte bara bestå av ping. För produktiva brandväggar är riktiga anslutningskontroller viktigare: VPN inloggning, åtkomst till interna applikationer, DNS upplösning, webbåtkomst, publicerade tjänster, e-postflöde, SD WAN rutter och central autentisering.
Om firmwareuppdateringen är schemalagd via Sophos Central, hör brandväggens tidszon till ändringen. Sophos Central startar schemalagda firmwareuppgraderingar enligt respektive brandväggs tidszon. För internationellt distribuerade platser är det inte administratörens lokala webbläsartid som är avgörande, utan snarare tiden som gäller för brandväggen.
Dessutom visar Sophos Central endast firmwareuppgraderingar för lämpliga brandväggar. Om en Hämta- eller Schemalägg-knapp saknas i Central, bör du inte omedelbart anta ett UI-fel. Första kontroll: körs brandväggen på en GA-firmwareversion, är den online, hanteras den korrekt i Central, är licensen/supportauktoriseringen korrekt och är målversionen släppt för denna plattform?
8. Validera efter uppdatering
Efter omstarten är ändringen ännu inte slutförd. Först måste du kontrollera om brandväggen verkligen körs i det förväntade tillståndet.
Direkt efter uppdateringen:
- Kontrollera aktiv version SFOS.
- Kontrollera om den förväntade fasta programvaran är aktiv och om en automatisk återställning har skett.
- Kontrollera licens- och mönsteruppdateringsstatus.
- Kontrollera system- och kärnloggar för märkbara fel.
- Kontrollera gränssnitt, SD WAN rutter, VPN tunnlar och HA status.
- Validera brandväggsregler, NAT, Web Protection, TLS Inspection och WAF med riktiga tester.
- Sophos Central Kontrollera synkroniseringen.
- Återaktivera övervakningen.
- Complete change documentation with results, times and deviations.
Om en firmwareuppdatering planerades eller utlöstes via Sophos Central, är Sophos Central Firewall Management Task Queue också en del av uppföljningskontrollen. Där kan du kontrollera om den centrala uppgiften slutfördes framgångsrikt eller om en misslyckad uppgift blockerar senare ändringar.
Om oväntade fel uppstår efter uppdateringen, bör skillnaden mellan konfigurationsproblem, firmware-bugg, licensproblem och externt systemproblem först minskas. Log Viewer, Packet Capture och riktade tjänstloggar är mer användbara än omedelbara flera omstarter.
En rollback ska inte klickas av nervositet, men det ska inte heller vara för sent. Om WAN, HA, centrala VPNs eller produktionskritiska releaser inte kan stabiliseras inom det definierade analysfönstret, är den planerade returvägen ofta renare än att kontinuerligt göra nya individuella korrigeringar under ett pågående avbrott. Å andra sidan, om bara en enda regel, objekt eller extern tjänst är onormal, ger Log Viewer, Packet Capture och tjänsteloggar vanligtvis ett bättre svar.
Typiska fel med firmwareuppdateringar
- Uppdatering utan en ny säkerhetskopia: Återställning eller återställning blir onödigt riskabelt. Säkerhetskopiering och SSMK bör kontrolleras före ändring.
- Release Anteckningar läs endast ytligt: Kända buggar, plattformsblockerare eller uppgraderingsvägar som inte stöds förbises. Sophos Release Anteckningar, kända problem och uppgraderingsväg som stöds hör hemma i ändringsdokumentationen.
- SFOS-22 kontroll överhoppad: Plattform, lagringsutrymme, gränssnitt, STAS eller äldre IPsec blockerare märks bara i underhållsfönstret. Den separata uppgraderingskontrollen bör bearbetas före SFOS 22 eller senare.
- HA antas vara felfri: Failover kan avbryta sessioner och individuella anslutningar. Underhållsfönster och testplanerare för nödvändiga även med HA.
- Ingen lokal nödåtkomst: En fjärrbyte kan fastna i VPN eller WAN problem. Out-of-band access eller alternativ på plats bör klargöras i förväg.
- Endast Ping-testade: Problem med applikationer, DNS, TLS eller VPN förblir oupptäckta. Tekniska tester per tjänst är viktigare än ett enda ICMP-test.
- Återställning beslutad för sent: Avbrottstiden blir längre än nödvändigt. Uppsägningstiden och återställningskriterierna bör fastställas före start.
- Central schemaläggning missförstås: För centralt schemalagda uppdateringar räknas brandväggens tidszon. Detta är särskilt viktigt för platser i andra länder.
- Central visar ingen firmwareuppdatering: Brandväggen kanske inte körs på en GA-firmware-nivå, kanske inte är auktoriserad, kan vara offline eller kanske inte är lämplig för målversionen. Kontrollera licens, central status, plattform och Release-anteckningar.
Checklista
- Target version and upgrade path checked.
- Sophos Release Notes, officiella Release Notes, Kända problem och stödd uppgraderingssökväg kontrolleras.
- SFOS 22 Uppgraderingskontroll utförd på relevanta uppgraderingar, inklusive plattform, gränssnittsnamn, lagringsutrymme, STAS och äldre fjärråtkomst IPsec.
- Licens och förbättrad support kontrolleras.
- Backup heruntergeladen och SSMK tillgängliga.
- Ändra bevis förberett med Backup, Config Studio, Audit Trail eller Central Task Queue om flera administratörer eller Central är inblandade.
- Lagringsutrymme och systemstatus kontrolleras.
- HA status och roller dokumenterade.
- Underhållsfönster, testplan och återställningskriterier definierade.
- For Sophos Central updates, the time zone of the firewall and the planned time were checked.
- Om den centrala uppdateringsknappen saknas kontrolleras GA-firmwareversion, onlinestatus, licens, plattform och målversion.
- Firmware-fil eller GUI-nedladdning förberedd.
- Lokal eller alternativ förvaltningstillgång förtydligas.
- Efter uppdateringsversionen kontrollerades tjänster, VPNs, NAT, WAF, loggar, central uppgiftskö och övervakning.