Hoppa till innehållet
Avanet

Utföra Sophos Firewall Firmware-uppdatering

Denna artikel förklarar hur man praktiskt utför en Sophos Firewall Firmware-uppdatering via WebAdmin: hämta firmware, ladda upp bild, starta installation och vid behov återgå till den tidigare versionen.

För större uppdateringar bör den tekniska genomförandet inte förväxlas med planeringen. Den faktiska uppdateringsförberedelsen med release notes, uppgraderingsväg, säkerhetskopiering, HA, lagringsutrymme, testplan och återställningskriterier finns i Sophos Firewall Firmware Update: Förberedelse och bästa praxis. Denna artikel är det rätta steget när det är klart vilken version som ska installeras.

⚠️ Viktig anmärkning om äldre enheter: SFOS 21.5 GA och senare versioner stöder inte längre XG- och SG-hårdvaruenheter. De som fortfarande använder en XG bör kontrollera om en migrering till XGS är nödvändig innan varje uppgradering. Hjälp finns i Vad är skillnaden mellan en XG och XGS Firewall? och Sophos Product Lifecycle Kalender.

Info: Instruktionen förutsätter att en stödd enhet med giltigt Enhanced Support finns eller att enheten fortfarande är inom de tre kostnadsfria firmware upgrades. Innan varje uppdatering bör en säkerhetskopiering av Sophos Firewall skapas. Uppdateringen installeras på den inaktiva firmwarepartitionen och rollback finns normalt som återgång. Man bör dock aldrig uppdatera utan säkerhetskopiering.

Viktigt: firmware slots är inte bara filer. Sophos Firewall håller aktiv och tidigare firmware med respektive konfigurationsstatus i separata partitioner. En rollback startar därför inte bara den äldre SFOS-koden, utan även det tillhörande äldre konfigurationsläget.

Innan en uppgradering till SFOS 22 eller senare bör dessutom SFOS 22 Upgrade-Check genomföras. Där kontrolleras plattformsstöd, lagringsutrymme, gränssnittnamn, HA-status, STAS och Legacy Remote Access IPsec som typiska uppgraderingsblockerare.

Förberedelse eller genomförande?

För administratörer är två frågor viktiga:

För produktiva brandväggar bör förberedelsen först vara klar. Därefter är själva installationen oftast den kortare delen av underhållsfönstret.

Sista kontroll före uppladdning och start

Precis före start bör man kontrollera att allt verkligen är redo för omstarten. Denna korta kontroll ersätter inte uppdateringsplaneringen, men förhindrar typiska fel i underhållsfönstret.

  • Backup finns och SSMK är känd: En rollback till den gamla partitionen ersätter inte en återställbar backup.
  • Åtkomst efter omstart är klar: På fjärrplatser behövs en väg tillbaka om WAN, VPN eller routing inte kommer upp direkt.
  • HA-roll och klusterstatus kontrollerade: En uppdatering i ett redan instabilt kluster ökar risken i onödan.
  • Kritiska VPN och WAN-uplinks är kända: Efter omstarten kan man målmedvetet kontrollera om de viktigaste anslutningarna fungerar igen.
  • Rollback-kriterium är definierat: Vid fel bör det vara tydligt när man går tillbaka och när man fortsätter analysera.

Särskilt vid avlägsna platser bör man inte bara lita på WebAdmin-sessionen. Om möjligt bör en andra åtkomstväg förberedas: lokal kontakt, Out-of-Band-åtkomst, management-VPN, Sophos Central eller en tydlig eskaleringsväg. Annars kan ett normalt firmwarefönster snabbt bli ett platsproblem.

Ladda ner SFOS-firmware manuellt

Innan den nya firmware kan installeras måste den hämtas via Sophos Central, direkt i WebAdmin eller via firmware-nedladdningssidan. För registrerade firewalls är Sophos Central den renaste startpunkten: öppna profilmenyn, välj Licensing > Firewall licenses, expandera firewall och hämta rätt firmware under Downloads. Om önskad version inte syns direkt leder Other downloads till installerarna, där plattformstyp väljs.

Före nedladdningen bör aktuell version, målversion, appliance-serie och planerad image dokumenteras i change. Det hindrar att fel image laddas upp under underhållsfönstret eller att en gammal nedladdning återanvänds. Vid manuella nedladdningar är det särskilt viktigt att imagen passar plattformen: hardware appliance, software/VM appliance och cloud appliance är olika vägar.

Anmärkning: Med Enhanced Support kan den senaste firmware ofta laddas ner direkt via GUI. Om de första tre kostnadsfria firmware upgrades redan har använts och ingen lämplig support subscription är aktiv kan installationen blockeras i GUI. Den manuella metoden är dock fortfarande användbar när en uppdatering ska förberedas, kontrolleras eller tidsstyras.

Offline är inte automatiskt Air-Gap: Denna artikel beskriver den manuella uppladdningen av en SFOS-firmware-bild. I strikt isolerade miljöer förblir licensavstämning och mönsteruppdateringar separata driftsprocesser. För detta passar Sophos Firewall Air-Gap-licensiering och mönsteruppdateringar.

Kontrollera image och uppgraderingsväg

Före uppladdningen bör man inte bara kontrollera filnamnet. Avgörande är om imagen passar till appliancen, den aktiva versionen och den planerade målvägen.

  • XGS-hårdvara: Använd hardware-image för rätt appliance-serie och planera inte av misstag med XG-/SG-hårdvara.
  • Virtuell eller Software Appliance: Använd software- eller VM-image och kontrollera hypervisor- och resurskrav.
  • Cloud Appliance: Kontrollera cloud-image och plattformsväg, särskilt vid BYOL- och Marketplace-distributioner.
  • Air-Gap-miljö: Planera firmware-image, licenssynkronisering och Pattern Updates som separata steg.
  • Major Release: Kontrollera upgrade path, Release Notes och Known Issues före underhållsfönstret.

Om ett versionsbyte inte erbjuds i WebAdmin eller om en inkompatibel väg skulle krävas ska man inte fortsätta med en vanlig uppladdning. Då bör man först klargöra om ett mellansteg, ett reimage eller en migrering till stödd hårdvara behövs.

Installera SFOS-firmware manuellt

Den nedladdade firmware kan nu installeras på Sophos Firewall.

  1. Logga in på Sophos Firewall.
  2. Öppna Backup & Firmware i navigeringen och kontrollera området Firmware.
  3. Under rubriken Firmware välj önskad version och klicka på uppladdningsikonen.
  4. I fönstret Firmware Upgrade/Downgrade välj firmwarefilen från datorn.
  5. Välj Upload Firmware om imagen bara ska läggas upp.
  6. Välj Upload & Boot om underhållsfönstret pågår och firewall ska starta direkt med den nya versionen.

Sophos Firewall visar högst två firmwareversioner i området Firmware: den aktiva versionen och en inaktiv version. Den inaktiva versionen är antingen den tidigare versionen för rollback eller en manuellt uppladdad kompatibel image. Därför bör man före uppladdningen kontrollera vilken version som just nu ligger i den andra slotten och om den fortfarande behövs som återgångsalternativ.

Om bara Upload Firmware väljs hamnar imagen i den inaktiva slotten. Firewall byter då ännu inte till den nya versionen. Inte heller en senare oplanerad omstart startar automatiskt denna image. Först Upload & Boot eller Boot firmware image utlöser det faktiska bytet, avslutar befintliga sessioner och startar om firewall.

Följande skärmdumpar visar uppladdningsdialogen och valet av firmware-bilden.

Sophos Firewall Ladda upp firmware-bild dialog
I uppladdningsdialogen väljs den lokala firmware-bilden och förbereds för installation.
Sophos Firewall Välj firmware-bild
Innan uppladdning bör man kontrollera att bilden passar till enhetsserien och den planerade uppgraderingsvägen.

Anmärkning: Valet mellan Upload Firmware och Upload & Boot bör göras medvetet. Vid Upload Firmware laddas bilden endast upp. Vid Upload & Boot startas installationen direkt.

  • Upload Firmware: Lämpligt om imagen ska läggas upp före underhållsfönstret. Risk: en senare administratör startar kanske en image vars sammanhang inte är dokumenterat.
  • Upload & Boot: Lämpligt när underhållsfönstret pågår och backup, åtkomst och tester är klara. Risk: brandväggen startar om direkt och befintliga sessioner bryts.
  • Boot firmware image: Lämpligt när en redan uppladdad image ska startas vid en definierad tidpunkt. Risk: versionen i slotten startas, inte automatiskt den senaste tillgängliga versionen.

HA-kluster vid firmware update

Om ett HA-kluster är konfigurerat startas uppdateringen på primary-enheten och klustret genomför processen för båda appliances. Auxiliary appliance bör inte uppdateras separat. Den typiska ordningen är: primary startar processen, auxiliary uppdateras och startas om först, därefter sker ett rollbyte och sedan uppdateras tidigare primary. Om Preferred Primary är definierad kan ytterligare failback ske i slutet.

Även med HA bör ett underhållsfönster planeras. Vid rollbytet kan enskilda sessioner brytas, VPN-tunnlar byggas upp kort igen eller några pingar förloras. Efter uppdateringen bör HA-status, roller, VPN och centrala anslutningar kontrolleras medvetet.

En HA-enhet i standalone-läge är ett specialfall och bör inte uppdateras som ett rent synkroniserat kluster. Före uppdateringen måste HA-status, synkronisering och roller vara tydliga. För förberedelser passar Sophos Firewall HA cluster variants.

Pattern Updates och Hotfixes är inte samma sak som en firmware upgrade. I HA-miljöer uppdateras Pattern Updates på primary och synkroniseras sedan; Hotfixes hanteras separat av Sophos. Efter ett firmwarefönster bör man därför kontrollera inte bara SFOS-versionen, utan även Pattern-status, Hotfix-status och HA-synkronisering.

Om bara Upload Firmware valdes kan installationstidpunkten bestämmas senare. Använd då ikonen med de två pilarna i området Firmware när tiden för installationen passar.

Sophos Firewall Boot Firmware Image-åtgärd
Med Boot-åtgärden startas en redan uppladdad firmware-image vid en senare tidpunkt.

Installera SFOS-firmware automatiskt

Om en giltig Enhanced Support-licens finns kan firmware ofta laddas ner direkt i GUI.

Anmärkning: Om en ny firmware-version inte visas tillräckligt snabbt i GUI eller om en specifik image ska planeras kan den manuella varianten alltid användas.

  1. Logga in på Sophos Firewall.
  2. Öppna Backup & Firmware i navigeringen.
  3. Under Latest Available Firmware, använd Check for new firmware för att söka efter nya versioner.
  4. Välj Download vid den listade uppdateringen. Om en firmware-notis visas i Control center under Messages leder den också till firmwareområdet.
  5. Efter avslutad nedladdning starta installationen med Install. Åtgärden avslutar befintliga sessioner och startar om firewall med ny firmware.
  6. Efter omstarten, logga in igen och kontrollera uppe till vänster i Control center samt under Backup & Firmware > Firmware att förväntad version är aktiv.
Ladda ner Sophos Firewall Firmware i WebAdmin
Med giltig behörighet kan brandväggen ladda ner tillgänglig firmware direkt i WebAdmin.
Installera ny firmwareversion på Sophos Firewall
Efter nedladdningen erbjuds den nya firmwareversionen för installation i firmwareområdet.

Planera firmware via Sophos Central

Om uppdateringen inte planeras eller utlöses lokalt i WebAdmin utan via Sophos Central gäller några extra punkter. Sophos Central erbjuder firmware upgrades endast för behöriga firewalls som kör en stödd GA-firmwareversion. Planerade uppdateringar startar enligt respektive firewalls tidszon, inte enligt webbläsarens eller administratörens tidszon.

Flödet är kort i praktiken: i Sophos Central öppna berörd firewall under My Products > Firewall Management > Firewalls, välj download-knappen för tillgänglig upgrade, öppna Schedule Upgrades, välj målversion om flera versioner finns och sätt datum och tid. Alternativt kan update startas direkt. Planerade uppdateringar kan redigeras eller avbrytas innan de startar.

Efter underhållsfönstret bör Sophos Central Firewall Management Task Queue också kontrolleras. Där ser man om Central-uppgiften har slutförts eller om en misslyckad uppgift blockerar ytterligare ändringar. Lokal kontroll i WebAdmin är fortfarande obligatorisk, eftersom Central-status och faktiskt aktiv firmwareversion inte bör likställas utan kontroll.

När en update-åtgärd saknas

Om en väntad åtgärd saknas i WebAdmin eller Sophos Central är det oftast ingen anledning att snabbt ladda upp images igen. Kontrollera först vilket krav som saknas:

  • Install är gråmarkerat: kontrollera support entitlement. Efter de tre kostnadsfria firmware upgrades kräver normala firmwarebyten Enhanced Support eller Enhanced Plus Support.
  • Central visar ingen download-knapp: kontrollera om firewall är online, hanteras i Sophos Central, kör en GA-firmwareversion och är behörig för målversionen.
  • Upload nekas: kontrollera plattformstyp, appliance-serie, aktiv version, kompatibel upgrade path och filintegritet.
  • Målversion passar inte: kontrollera Release Notes och tabellen över stödda upgrades. Vid inkompatibla byten är reimage eller migrering ofta rätt väg, inte ett nytt upload-försök.
  • Många gateways eller särskild konfiguration: före versionsbytet, kontrollera om målversionen har kända gränser eller migrationsnoteringar för den egna konfigurationen.

Kontrollera efter uppdateringen

Efter omstarten bör man inte omedelbart gå vidare till nästa ändring. Först måste det vara klart om brandväggen verkligen är stabil på den nya firmware och de viktigaste driftsfunktionerna är tillgängliga.

Kontrollera direkt:

  • Backup & Firmware > Firmware visar den förväntade aktiva versionen.
  • Control center visar inga nya kritiska varningar.
  • Gränssnitt, WAN-uppkopplingar, SD-WAN-rutter och standardgateway är rimliga.
  • HA-status och roller stämmer, om ett kluster används.
  • Site-to-Site VPN, Remote Access VPN och RED-anslutningar byggs upp.
  • DNS, DHCP, NAT, WAF och centrala brandväggsregler fungerar med riktiga tester.
  • Sophos Central-synkronisering och Central Firewall Management är aktuella.
  • Övervakning, Syslog eller SIEM tar emot data igen, om de används.

Om regler, NAT eller VPN inte fungerar som förväntat efter uppdateringen bör man först avgränsa med Log Viewer, Policy Test, Packet Capture och relevanta serviceloggar. För strukturerad felsökning passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture och Sophos Firewall Troubleshooting: Tjänster och loggar.

Om upload eller installationen själv misslyckas bör man inte bara ladda upp samma image flera gånger. Typiska orsaker är fel plattformstyp, ej stödd upgrade path, skadad nedladdning, otillräckligt lagringsutrymme, HA-synkroniseringsproblem eller en konfigurationsmigrering som misslyckas under upgrade. Sedan SFOS 20.0 kan Sophos Firewall vid vissa migreringsfel automatiskt gå tillbaka till föregående version och föregående konfigurationsstatus. Därefter krävs ändå en ren orsaksanalys innan update startas igen.

Om WebAdmin inte längre kan nås på grund av skadad firmware är det inte längre ett normalt firmwarebyte. På XG-/SG-enheter kan SFLoader vara relevant beroende på situationen; på XGS-enheter är reimage vanligtvis den rena recovery-vägen vid skadad firmware. Rätt process finns i Installera om Sophos Firewall OS: Reimage med USB-minne.

Återställning till tidigare version

Efter en uppdatering kan det hända att vissa funktioner inte fungerar som förväntat. I detta fall kan man återgå till den tidigare firmwarepartitionen. Klicka på den markerade återställningsikonen bredvid den aktuella versionen. I ett HA-kluster startas även båda enheterna med den valda versionen.

En rollback är inte detsamma som en restore. Brandväggen startar igen med den tidigare firmwareversionen och konfigurationsstatusen för den partitionen. En återställbar backup, en känd Secure Storage Master Key och en tydlig recovery-plan behövs fortfarande. Konfigurationsändringar som gjordes efter versionsbytet kan gå förlorade eller få annan effekt när man går tillbaka till den äldre firmwareversionen. Därför bör man inte göra onödiga sidändringar efter uppdateringen innan det är klart att den nya versionen är stabil.

Rollback och downgrade är inte heller samma sak:

  • Rollback: Byte till den tidigare installerade kompatibla versionen i den andra firmware-slotten.
  • Downgrade: Byte till en tidigare kompatibel version som inte nödvändigtvis är den direkta föregående versionen.
  • Reimage: Nyinstallation av Sophos Firewall OS, vanligtvis med dataförlust på enheten och efterföljande restore.

Innan en återställning bör man kort notera varför man återgår. Meningsfulla kriterier är till exempel: WAN-anslutning kommer inte stabilt upp, centrala VPN förblir nere trots kontroll, HA synkroniserar inte korrekt, kritiska brandväggsregler fungerar inte eller en känd bugg påverkar precis den produktiva miljön. Om endast en enskild tjänst är märkbar kan riktad felsökning först vara mer meningsfull än en omedelbar återställning.

  • WAN, HA eller centrala VPN faller bort under underhållsfönstret: Rollback är rimligt om orsaken inte snabbt kan stabiliseras. Om ett tydligt konfigurationsfel syns bör man först analysera det riktat.
  • Enskild regel, NAT eller WAF-publicering beter sig fel: Överväg rollback bara vid bred störning eller känt firmwareproblem. Annars bör Log Viewer, Policy Test, Packet Capture och serviceloggar kontrolleras först.
  • WebAdmin känns långsam men traffic går stabilt: Rollback är sällan första åtgärden. Kontrollera hellre last, tjänster, webbläsare, loggar och kända hänvisningar.
  • HA-klustret är osynkroniserat efter uppdateringen: Rollback är möjligt om produktiv drift är hotad. Först bör dock HA-roller, sync-status, länkar och loggar kontrolleras.

Innan klicket bör minst aktiv version, målversion, tidpunkt, symptom, berörda tjänster, HA-status och redan testade punkter dokumenteras. I HA-miljöer bör det dessutom vara klart vilken nod som är aktiv och att vid återgång är avbrott i sessioner, VPN eller hanteringsåtkomst möjliga igen.

Efter rollback börjar kontrollen om från början: kontrollera aktiv firmwareversion, kontrollera Control center, WAN, VPN, HA, centrala regler, NAT, WAF, DNS, DHCP, Central-synkronisering och logging med riktiga tester. Därefter bör man inte bara stanna kvar på den gamla versionen. Bättre är en kort uppföljningsplan: avgränsa orsaken, kontrollera support- eller release-noteringar, säkra backup och bevis och planera mål-uppdateringen igen först när orsaken är förstådd.

Sophos Firewall rollback till tidigare firmwareversion
Med rollback-ikonen kan den tidigare firmwarepartitionen startas igen.

FAQ

Är en firmware-uppdatering i HA-kluster avbrottsfri?

Inte garanterat. Brandväggarna uppdateras i tur och ordning, men vid rollbyte kan enskilda sessioner avbrytas, VPN-tunnlar byggas om kort eller några pingar gå förlorade. Därför bör även vid HA ett underhållsfönster planeras och efter uppdateringen bör HA-status, roller, VPN och viktiga anslutningar kontrolleras.

Varför är uppdateringar inte längre gratis?

Utan Support Subscription är tre firmware-upgrades tillåtna. Därefter krävs Enhanced Support eller Enhanced Plus Support för fler normala firmwarebyten. Pattern Updates, Hotfixes, Reimage, Mandatory Firmware Upgrades och Assistant Firmware Upgrades behöver bedömas separat. Bakgrund: Sophos Firewall-uppdateringar är inte längre gratis

Vad är en Enhanced Support-licens?

Enhanced Support-licensen ger tillgång till uppdateringar och teknisk support. Denna licens ingår antingen i varje licenspaket eller kan köpas separat. Utan en giltig Enhanced Support-licens kan inga ytterligare uppdateringar installeras efter de första tre kostnadsfria uppdateringarna, vilket kan medföra säkerhetsrisker.