Firmware Upgrade einer WatchGuard Firebox

Herunterladen der Software

Sie können immer mit einem neueren System Manager Release auf eine Box mit einem älteren Firmware-Stand zugreifen und diese managen, daher muss zuerst der System Manager aktualisiert werden:

  • gehen Sie auf http://software.watchguard.com/
  • unten Rechts finden Sie unter den Quick Links den Download-Link auf den aktuellen WSM.
  • Installieren Sie den WSM

Anschließend laden Sie das gewünschte Firmware-Release herunter.

  • gehen Sie auf http://software.watchguard.com/
  • Wählen sie unter “Show downloads for:” bei “Select device” Ihre Hardware aus
  • Lesen Sie die Release-Notes. Hier sind ggf. wichtige Änderungen vermerkt.
  • Laden Sie das Firmware-Image herunter. Hierbei gibt es zwei Varianten:
    • Fireware XX.YY   <= ein EXE-File
    • Fireware XX.YY Sysa-dl for OS Updates from the web UI
  • Ich empfehle das Windows-Executable. Dies beinhaltet die Sysa-dl (also das eigentliche Image, legt die auf der lokalen Harddisk in genau dem Pfad ab, in dem der Policy-Manager nach dem Image sucht und enthält zusätzlich einen Uninstaller, sodass Sie die Firmware leicht über die Windows-Systemsteuerung (Programme hinzufügen/entfernen) wieder deinstallieren können. Je nach Anzahl der verwendeten verschiedenen Firewalls und Häufigkeit der Upgrades können sich sonst auf der Harddisk schon so einige Images ansammeln.
  • Starten Sie das Executable – dies entpackt das Firmware-Image auf die lokale Festplatte

Upgrade der Firmware

  • Starten Sie den Policy Manager
  • Unter File => Upgrade wird der Upgrade-Prozess gestartet.

  • Der Policy-Manager fragt nun nach dem Firmware-Image
  • wenn Sie, wie empfohlen, das Upgrade mit dem Windows-Executable installiert haben, wird der Pfad automatisch vorgeschlagen
  • Es wird hier immer das höchste auf der lokalen Festplatte verfügbare Release angeboten, das zur Hardware passt.

  • Natürlich bedingt ein Firware-Upgrade einen Reboot, das kann auf den kleinen Desktop-Boxen auch einige Minuten dauern. Das Upgrade sollte daher nicht zur Haupt-Nutzungszeit eingespielt werden
  • (Advanced: Im Cluster-Mode mit zwei Firewalls als Cluster wird die Ausfallzeit auf zwei Failovers von 1-2 Sekunden reduziert).

  • Es wird empfohlen, ein Backup-Image der Firewall zu erstellen.
  • dieses Backup-Image enthält:
    • die aktuelle Firmware
    • alle Policies
    • alle Zertifikate
    • den Feature-Key
  • und darf ausschließlich auf exakt diese Box zurückgespielt werden (identische Seriennummer!)
  • Falls Sie ein Downgrade einspielen wollen, ist dies mit diesem Backup Image möglich.

  • das Backup-Image wird, da es die o.g. Daten enthält, lokal verschlüsselt. Notieren Sie sich den Encryption Key, sonst haben Sie keine Chance, dieses Backup jemals wieder einzuspielen. Eventuell wollen Sie das Admin-Passwort (das “schreibende” Kennwort) verwenden.

  • Die Firebox erzeugt nun auf der Firebox das Backup-Image und überträgt es zum PC

  • Anschließend wird die neue Firmware auf die Firebox übertagen

  • nun erfolgt der angekündigte Reboot

  • Und fertig ist das Upgrade
  • Danach bitte den Policy Manager beenden und neu starten und die Konfiguration neu von der Box lesen
  • Die Abfrage “Do you want to open the updated configuration…” wurde mit Version 12.x eingeführt, in diesem Fall kann auf das Beenden/Neustarten des Policy Managers verzichtet werden. Es geht darum, dass die Konfiguration im Hauptspeicher (altes Release) durch die aktuelle möglicherweise vom System an die neuen Features angepasste Konfiguration ersetzt wird.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>