Upgrade Firmware Sophos XG
I. Lý thuyết
Việc nâng cấp Firmware (Firmware Upgrade) là một quy trình quản trị bắt buộc nhằm đảm bảo hệ thống hoạt động ổn định và an toàn.
a. Tăng cường An toàn thông tin và Vá lỗ hổng bảo mật (Security Hardening)
Mục tiêu tiên quyết của việc nâng cấp là cập nhật các bản vá an ninh (Security Patches) mới nhất. Các bản cập nhật này nhằm xử lý các lỗ hổng CVE (Common Vulnerabilities and Exposures) đã được công bố, giúp hệ thống:
- Ngăn chặn nguy cơ bị khai thác bởi tin tặc và mã độc.
- Giảm thiểu bề mặt tấn công
- Đảm bảo tuân thủ các tiêu chuẩn bảo mật hiện hành.
Các bản Firmware mới tập trung vào việc khắc phục các sự cố kỹ thuật tồn tại trong phiên bản tiền nhiệm.
- Xử lý triệt để các lỗi gây gián đoạn dịch vụ như: treo hệ thống, rớt gói tin mạng hoặc rò rỉ bộ nhớ
- Tối ưu hóa mã nguồn giúp thiết bị vận hành mượt mà hơn, giảm downtime không mong muốn.
Việc nâng cấp mang lại khả năng tiếp cận với các công nghệ mới nhất mà phần cứng hỗ trợ. Điều này bao gồm:
- Bổ sung các tính năng quản trị mạng hiện đại
- Cải tiến giao diện quản trị (GUI) giúp nâng cao trải nghiệm người dùng và hiệu quả cấu hình.
- Tăng cường khả năng tích hợp với các hệ sinh thái bảo mật khác.
II. Thực hành
TH1: Sophos XG Standalone
Mô hình:
Bước 1: Thực hiện Backup trước khi Upgrade Firmware
Hình 1. Backup SophosXG
Hình 2. Lưu trữ bản backup
Bước 2: Kiểm tra cấu hình hiện tại của SophosXG
Hình 3. Thông tin cấu hình trên Sophos trước khi backup, cho phép Nội bộ truy cập Internet
Bước 3: Kiểm tra các firmware mới nhất được đề xuất
Hình 4. Các phiên bản Firmware mới được đề xuất
Bước 4: Tải Firmware mới
Hình 5. Download Firmware
Bước 5: Boot Firmware mới
Hình 6. Kiểm tra Firmware trước khi Upgrade và Thực hiện Boot sử dụng Firmware mới
Bước 6: Kiểm tra
Hình 7. Kiểm tra sau khi Upgrade Firmware
Hình 8. Kiểm tra Log Views
TH2: Sophos XG HA (active-passive)
Mô hình:
Cơ chế:
Giai đoạn 1: Máy Phụ (Auxiliary) sẽ thực hiện Upgrade Firmware trước
- Máy Primary đẩy file firmware sang máy Auxiliary.
- Máy Auxiliary tiến hành cài đặt và khởi động lại (Reboot).
- Lúc này: Mạng vẫn chạy bình thường qua máy Primary cũ.
- Khi máy Auxiliary khởi động xong (lúc này nó đã ở bản firmware mới)
- Máy Primary (đang chạy bản cũ) sẽ lập tức chuyển quyền điều khiển mạng sang cho máy Auxiliary.
- Kết quả: Máy Auxiliary trở thành New Primary (Master mới). Mạng chỉ bị ngắt khoảng thời gian ngắn
- Sau khi chuyển quyền xong, máy Primary cũ (bây giờ là Auxiliary) sẽ tự động khởi động lại để cài firmware mới.
- Khi nó boot lên xong, nó sẽ gia nhập lại cụm HA với tư cách là máy Phụ (hoặc giành lại quyền Chính tùy cấu hình "Preferred Master").
Hình 1. Kiểm tra firmware trên 2 Firewall SophosXG trước khi cấu hình HA
Bước 2: Cấu hình HA cho 2 Firewall theo QuickHA mode (active-passive)
Hình 2. Cấu hình HA (Active-Passive) - QuickHA mode trên Primary
Hình 3. Cấu hình HA (Active-Passive) - QuickHA mode trên Auxiliary
Kiểm tra kết nối HA trên 2 thiết bị
Hình 4. Cấu hình Peer administration IP để truy cập vào Auxiliary, không cấu hình chế độ chiếm quyền Primary
Bước 3: Kiểm tra kết nối HA giữa 2 Firewall
Hình 5. Kiểm tra HA trên Primary (SophosXG1)
Hình 6. Kiểm tra HA trên Auxiliary (SophosXG2)
Bước 4: Kiểm tra Firmware của 2 firewall sau khi thiết lập HA
Hình 7. Firmware của 2 Firewall sau khi cấu hình HA
Bước 5: Tải firmware mới trên Primary và Upgrade firmware trên Primary
Hình 8. Trên Primary tải firmware mới
Hình 9. Boot Firmware mới trên Primary
Bước 6: Kiểm tra: Firmware trên 2 thiết bị Sophos XG đã upgrade -> Chuyển đổi vai trò Primary-Auxiliary của 2 thiết bị SophosXG
Hình 10. SophosXG1 đã được upgrade firmware đồng thời chuyển đổi thành Auxiliary
Hình 11. SophosXG2 đã được upgrade firmware đồng thời chuyển đổi thành Primary
Hình 12. Kiểm tra HA trên 2 Firewall sau khi upgrade firmware
Xem chi tiết cấu hình HA Sophos XG tại đây: LINK HA SOPHOS XG