Hoppa till innehållet
Avanet

Sophos Firewall-firmwareuppdatering - förberedelse och bästa praxis

Sophos Firewall

Firmwareuppdateringar är en central del av att hålla Sophos Firewall säker, stabil och aktuell. De ger nya funktioner, stänger kända säkerhetshål och förbättrar den övergripande prestandan. För att uppdateringen ska gå så smidigt som möjligt bör den förberedas ordentligt. Den här guiden visar steg för steg hur du förbereder Sophos Firewall-firmwareuppdateringar och undviker typiska fel.

Varför förberedelsen är viktig

En firmwareuppdatering innehåller inte bara nya funktioner, utan även buggfixar och viktiga säkerhetsförbättringar. Utan ordentlig förberedelse kan uppdateringen leda till avbrott, rollback eller i värsta fall en oväntad factory reset. Det kan påverka den löpande driften kraftigt. Med följande bästa praxis minskar du risken och får ett mer kontrollerat arbetssätt.

Vanliga problem vid oförberedda Sophos Firewall-firmwareuppdateringar är till exempel:

  • för lite ledigt utrymme för uppdateringspaketet,
  • felaktig HA-synkronisering,
  • saknade eller gamla backuper,
  • servicefönster som inte är avstämda med andra parallella ändringar i nätverket.

Före uppdateringen: förberedande steg

1. Kontrollera release notes

  • Läs igenom Sophos Release Notes.
  • Viktigt: välj bara upgrade paths som stöds. Annars kan firewallen återställas till fabriksinställningar efter uppdateringen.
  • Kontrollera dessutom om kända problem (Known Issues) är dokumenterade för den nya versionen och om de kan påverka den egna miljön.

2. Kontrollera ledigt utrymme

  • Kontrollera via Advanced Shell att det finns tillräckligt med ledigt utrymme:
df -kh
  • Om en partition är mer än 95 % full bör du frigöra utrymme.
  • För lite utrymme kan orsaka problem under uppdateringen och i värsta fall avbryta hela upgraden.
  • Radera gamla backuper, loggfiler eller filer som inte längre behövs.

3. Starta om före uppdateringen

  • En omstart tömmer cache och ser till att firewallen går in i uppdateringen i ett rent läge.
  • I ett HA-cluster bör båda enheterna startas om.
  • Om problem uppstår kan de upptäckas och lösas innan firmware uppdateras.
  • Detta är särskilt viktigt på enheter som inte har startats om på länge, eftersom det kan förebygga prestandaproblem.

4. Stäm av servicefönster

  • Sophos Firewall-firmwareuppdateringar bör bara göras i planerade servicefönster.
  • Säkerställ att inga andra underhållsarbeten pågår samtidigt i infrastrukturen.
  • Informera berörda team i god tid, till exempel nätverk, applikationer och säkerhet.
  • Ett tydligt kommunicerat tidsfönster minskar överraskningar för slutanvändare och gör arbetet enklare att följa.

5. Kontrollera åtkomst och behörigheter

Innan du börjar bör all nödvändig information och alla inloggningsuppgifter finnas till hands:

  • adminlösenord
  • Secure Storage Master Keys
  • backuplösenord
  • inloggning till supportsystem
  • åtkomst från rätt nät eller, i ett worst case-scenario, direkt till appliance via Device Access ACL rules

6. Skapa backuper

  • Utöver de vanliga backuperna bör du skapa en färsk extra backup.
  • Denna backup ska vara snabbt tillgänglig om rollback behövs.
  • Spara gärna både en konfigurationsbackup och information om licenserna, till exempel via åtkomst till Sophos Central.

7. Ladda ned firmware

  • Ha offlinekopior av både aktuell och ny firmwareversion redo.
  • Då kan du snabbare rulla tillbaka vid behov.
  • Ladda helst ned firmware via det officiella Sophos Support-kontot och spara filen på säker lagring.
  • Kontrollera att den nedladdade filen är komplett och oskadad, till exempel genom att jämföra hashvärden.

Särskilt för High Availability (HA)

Active-passive-cluster

  • Efter en Sophos Firewall-firmwareuppdatering bör du kontrollera att den ursprungliga primary node är aktiv igen.
  • Om den inte är det kan du göra ett manuellt failover i menyn: System → High Availability → Switch to passive device
  • I mer komplexa miljöer är det klokt att dokumentera HA-rollen före och efter uppdateringen, så att ursprungsläget går att återskapa.

Identifiera primary node

  • Logga in via SSH som admin och öppna Advanced Shell.
  • Kör kommandona:
nvram get "#li.serial"nvram get "#li.master"
Sophos Firewall Firmware Updates - HA Cluster
Sophos Firewall Firmware Updates - HA Cluster
  • Resultatet YES betyder primary node.
  • Resultatet NO betyder aux node.
  • Serienumret hjälper dig att skilja enheterna åt tydligt.

Kontrollera synkronisering

  • Kontrollera sync-loggen på aux-noden:
/log/msync.log
  • Vid många vrrp timeout errors bör HA-kabeln kontrolleras och vid behov bytas.
  • Starta även här om båda enheterna för att få ett rent läge.
  • Kontrollera dessutom synkroniseringsstatusen i WebAdmin.

Genomföra uppdateringen

1. Följ planen

  • Följ det förberedda arbetsschemat konsekvent.
  • Undvik improviserade beslut, eftersom de ofta skapar följdproblem.
  • Skapa gärna ett detaljerat runbook i förväg där varje steg och möjliga rollback-scenarier beskrivs.

2. Genomför rollback konsekvent

  • Om uppdateringen misslyckas ska den förberedda rollback-planen användas direkt.
  • Snabba workarounds kan göra mer skada än nytta.
  • En planerad rollback sparar tid i ett skarpt läge och minimerar avbrott.

3. Använd monitoring aktivt

  • Verktyg som SNMP, monitoringsystem eller enkla pingtester hjälper under uppdateringen.
  • Fortsätt övervaka miljön tätt en stund efter uppdateringen för att upptäcka oväntade effekter.

4. Dokumentera testresultat

  • Efter varje steg bör resultaten kommuniceras till berörda team och tjänsteägare.
  • Det minskar risken för missförstånd.
  • Alla kritiska applikationer bör testas aktivt efter uppdateringen och resultaten dokumenteras.

5. Förbered troubleshooting

  • Vid fel bör så mycket information som möjligt samlas in.
  • Dessa data gör det enklare att skapa ett snabbt och träffsäkert supportärende.
  • Samla loggfiler, skärmbilder, exakta tidsstämplar och en lista över redan genomförda åtgärder.

Efter uppdateringen: dokumentation

  • Logga kommandon: spara terminalutskrifter eller spela in arbetsflödet om uppdateringen görs via GUI.
  • Dokumentera beroende system: notera ändringar i angränsande system och informera ansvariga administratörer.
  • Notera avvikelser från planen: dokumentera allt som avvek från den ursprungliga planen, så blir nästa uppdatering enklare.
  • Lessons learned: gör en kort genomgång efteråt och skriv ned vad som fungerade bra och vad som kan förbättras.

Slutsats

Med bra förberedelser kan Sophos Firewall-firmwareuppdateringar genomföras strukturerat, tillförlitligt och utan större avbrott. Viktigast är att följa tydliga rutiner, ha backuper nära till hands, använda monitoring aktivt och dokumentera erfarenheterna efteråt. På så sätt förblir firewallen säker, stabil och långsiktigt hållbar. Samtidigt minskar arbetet inför framtida uppdateringar.

👉 Se även: