HOWTO: WatchGuard Firebox Firmware-Upgrade

Ein regelmäßiges Firmware-Upgrade ist essenziell, um die Sicherheit und Leistungsfähigkeit Ihrer WatchGuard Firebox zu gewährleisten. Mit jeder neuen Version werden Sicherheitslücken geschlossen, neue Funktionen hinzugefügt und die Stabilität verbessert. Doch wie lässt sich ein solches Upgrade am besten durchführen?

In diesem HOWTO-Artikel zeigen wir Ihnen drei verschiedene Methoden, mit denen Sie das Firmware-Upgrade Ihrer Firebox sicher und effizient durchführen können:

1. 1. Upgrade über die WatchGuard Cloud (Unsere Empfehlung)
   2. Upgrade über die Web-UI
   3. Upgrade über den WatchGuard System Manager (WSM)

1. Upgrade über die WatchGuard Cloud

Das Upgrade über die WatchGuard Cloud ist womöglich die einfachste und benutzerfreundlichste Methode für Administratoren und entsprechend unser empfohlener Weg.

1. Melden Sie sich mit Ihrem Benutzerkonto an der WatchGuard Cloud an: https://cloud.watchguard.com.
2. Über den Reiter “Überwachen” oder “Konfigurieren” können Sie auf “Geräte” klicken, um in die Übersicht zu kommen:

3. In dieser Ansicht können Sie auf “Firmware-Upgrade durchführen” klicken:
   
4. Es öffnet sich eine neue Seite, wo die Firmware-Version ausgewählt werden kann:
   
5. Als Default ist die aktuellste Version bereits ausgewählt. Im Dropdown-Menü können Sie aber auch weitere Firmware-Versionen auswählen:
   
6. Nachdem Sie auf “WEITER” geklickt haben können das Upgrade sofort durchführen oder planen:
   
7. Wenn Sie das Upgrade planen, können Sie Tag und Uhrzeit auswählen, um das Upgrade automatisiert durchführen zulassen:
   
8. Danach klicken Sie auf “WEITER” und gelangen zur Übersicht bevor das Upgrade gestartet wird:
   
9. Mit einem Klick auf “SPEICHERN” wird das Firmware-Upgrade gestartet:
   
10. Nach dem Upgrade sehen Sie unter Geräteinformationen die neue Version:
    

Hinweis: Die Ansicht aktualisiert sich nach dem Upgrade nicht automatisch. Aktualisieren Sie deshalb die Geräteinformationen mit einem Klick auf das entsprechende “Aktualisierungs-Symbol” oder aktualisieren Sie manuell den Browser mit F5, um den tatsächlichen Status abzurufen:

2. Upgrade über die Web-UI

2.1 Download der Firmware

Um ein Software-Update einer WatchGuard Firebox vornehmen zu können, benötigen Sie zunächst die richtige Software-Version für Ihre Appliance. Sie finden die entsprechenden Software-Releases unter http://software.watchguard.com und können dort das Modell Ihrer Appliance auswählen:

In der anschließenden Maske finden Sie die aktuellen Release-Notes, in der ggf. Hinweise enthalten sind, falls beim Update Besonderheiten beachtet werden müssen:

Sie können nun wählen, ob Sie das Update als .EXE oder als .ZIP herunterladen wollen. Das EXE-File installiert die Software lokal auf ihrem Windows-PC in der Verzeichnisstruktur unter  C:\Program Files (x86)\Common Files\WatchGuard\resources\FirewareXTM\ und registriert die Software als Windows-Programm, damit Sie später über die Windows-Software-Verwaltung auch wieder entfernt werden kann. Ein Vorteil des Ablegens in dieser Verzeichnisstruktur ist die automatische Erkennung der aktuellen Software aufgrund des entsprechenden Verzeichnisses durch den Policy Manager. Für ein Update mit der Web-UI wird das EXE-File jedoch nicht zwingend benötigt, sondern es kann auch mit der ZIP-Datei gearbeitet werden. Dies ist z.B. notwendig, falls der Administrations-Arbeitsplatz nicht unter einem Windows-Betriebssystem läuft.

Wenn Sie die ZIP-Datei heruntergeladen haben, merken Sie sich bitte, wo Sie diese abgelegt haben.

2.2 Upgrade über die Web-UI (Firebox hat Internetverbindung / ist in Betrieb)

Melden Sie sich am Web-Interface als User admin an und navigieren Sie zu “System” > “Upgrade OS”. Wenn sich die Firebox bereits im Echtbetrieb befindet, mit dem Internet verbunden ist und DNS richtig konfiguriert ist, können Sie über die erste Auswahloption “Download and install an upgrade directly from watchguard.com” gehen und auf “UPGRADE” klicken:

Wenn Sie diesen Schritt auswählen, dauert es natürlich länger, weil ja der Transportweg über das Internet hinzukommt. Entscheidend für die Dauer wird vermutlich die verfügbare Download-Bandbreite von dem Standort sein, von dem Sie den Download starten. Steht nur wenig Bandbreite zur Verfügung und dauert der Download länger als 15 Minuten, wird das Software-Update fehlschlagen, weil dann in der Zwischenzeit im Hintergrund die Admin-Sitzung abgelaufen ist.

Unter “Users and Roles”> “Account Lockout” kann man den Timeout der Admin-Sitzung von 15 Minuten z.B. auf 30 oder 60 Minuten hochsetzen.

In diesem Falle wird es besser sein, die Firmware vorab auf einem PC zu speichern und das Software-Update von dort aus (lokal) durchzuführen (Siehe Punkt 2.3).

2.3. Upgrade über die Web-UI (Ersteinrichtung / Firebox hat keine Internetverbindung)

Wenn Sie jedoch gerade noch bei der Erst-Inbetriebnahme sind und die WatchGuard Firebox noch nicht mit dem Internet verbunden ist, wählen Sie die zweite Auswahloption “I have an upgrade file”, navigieren Sie zu der passenden *.sysa-dl Datei für dieses Hardware-Modell und klicken Sie auf “UPGRADE”:

Wenn Sie wie zuvor beschrieben die passende Softwareversion auf Ihrem PC/Notebook vorinstalliert haben, navigieren Sie über die Schaltfläche “Datei auswählen” zu C:\Program Files (x86)\Common Files\WatchGuard\resources\FirewareXTM\. Dort finden sich dann Unterverzeichnisse für die vorinstallierten Softwareversionen. Gehen Sie in das Unterverzeichnis der neu zu installierenden Version (zum Beispiel 12.11 ) und dort dann in das Unterverzeichnis für das passende Hardware-Modell (zum Beispiel M290_M390). Wählen Sie dann die dort befindliche *.sysa-dl Datei aus (z.B. M290_M390.sysa-dl).

Nach erfolgreichem Upload möchte die WatchGuard Firebox neu booten:

Ein normaler Reboot der WatchGuard Firebox dauert typischerweise 2-3 Minuten. Nach einem Software-Update dauert der Reboot länger, häufig etwa 5-6 Minuten. Während des Vorgangs werden in der Firebox diverse Programmteile ausgetauscht. Es kann durchaus vorkommen, dass der Reboot sogar 10 Minuten oder länger benötigt.

3. Upgrade über den WatchGuard System Manager (WSM)

3.1. Download des WatchGuard System Managers (WSM)

Grundsätzlich gilt: Sie können mit einem neueren System Manager Release immer auf eine Firebox mit einem älteren Firmware-Stand zugreifen und diese managen. Daher muss im ersten Schritt der WatchGuard System Manager aktualisiert werden:

1. Gehen Sie auf https://software.watchguard.com
2. Unten Rechts finden Sie unter den Quick Links den Download-Link für den aktuellen WSM
3. Installieren Sie den WSM

Erst im zweiten Schritt laden Sie das gewünschte Firmware-Release herunter.

3.2 Download der Firmware-Software

1. Gehen Sie erneut auf https://software.watchguard.com
2. Wählen sie unter “Show downloads for:” bei “Select device” Ihr Hardware-Modell aus
3. Lesen Sie die Release-Notes. Hier sind ggf. wichtige Änderungen vermerkt.
4. Laden Sie das Firmware-Image herunter. Hierbei gibt es zwei Varianten:
   • Fireware XX.YY   <= ein EXE-File
   • Fireware XX.YY Sysa-dl for OS Updates from the web UI
5. Ich empfehle das Windows-Executable. Dies beinhaltet die Sysa-dl (also das eigentliche Image, legt die auf der lokalen Harddisk in genau dem Pfad ab, in dem der Policy-Manager nach dem Image sucht und enthält zusätzlich einen Uninstaller, sodass Sie die Firmware leicht über die Windows-Systemsteuerung (Programme hinzufügen/entfernen) wieder deinstallieren können. Je nach Anzahl der verwendeten verschiedenen Firewalls und Häufigkeit der Upgrades können sich sonst auf der Harddisk schon so einige Images ansammeln.
6. Starten Sie das Executable – dies entpackt das Firmware-Image auf die lokale Festplatte

3.3 Upgrade der Firmware

1. Starten Sie den Policy Manager
2. Unter File => Upgrade wird der Upgrade-Prozess gestartet:
   

3. Der Policy Manager fragt nun nach dem Firmware-Image
4. Wenn Sie, wie empfohlen, das Upgrade mit dem Windows-Executable installiert haben, wird der Pfad automatisch vorgeschlagen
5. Es wird hier immer das höchste auf der lokalen Festplatte verfügbare Release angeboten, das zur Hardware passt:
   

6. Natürlich bedingt ein Firmware-Upgrade einen Reboot, welcher auf den kleinen Desktop-Boxen auch einige Minuten dauern kann. Das Upgrade sollte daher nicht zur Haupt-Nutzungszeit eingespielt werden.
7. (Advanced: Im Cluster-Mode mit zwei Firewalls als Cluster wird die Ausfallzeit auf zwei Failovers von 1-2 Sekunden reduziert).

8. Bevor das Upgrade startet wird nachgefragt, ob vorher ein Backup-Image erstellt werden soll:

3.4 Backup erstellen

1. Es wird empfohlen, ein Backup-Image der Firewall zu erstellen.
2. Dieses Backup-Image enthält:
   • die aktuelle Firmware
   • alle Policies
   • alle Zertifikate
   • den Feature-Key
3. Das Backup darf ausschließlich auf exakt diese Firebox zurückgespielt werden (identische Seriennummer!)
4. Falls Sie ein Downgrade einspielen wollen, ist dies mit diesem Backup-Image möglich.
5. Das Backup-Image wird, da es die o.g. Daten enthält, lokal verschlüsselt. Notieren Sie sich den Encryption Key, sonst haben Sie keine Chance, dieses Backup jemals wieder einzuspielen. Eventuell wollen Sie das Admin-Passwort (das “schreibende” Kennwort) verwenden:

6. Die Firebox erzeugt nun auf der Firebox das Backup-Image und überträgt es auf den PC:
   

7. Anschließend wird die neue Firmware auf die Firebox übertragen:
   

8. Nun erfolgt der angekündigte Reboot:
   
   

9. Nachdem das Upgrade abgeschlossen ist können Sie den Policy Manager beenden und neu starten, um die Konfiguration neu von der Box zu lesen
10. Die Abfrage “Do you want to open the updated configuration…” wurde mit Version 12.x eingeführt. In diesem Fall kann auf das Beenden/Neustarten des Policy Managers verzichtet werden. Es geht darum, dass die Konfiguration im Hauptspeicher (altes Release) durch die aktuelle möglicherweise vom System an die neuen Features angepasste Konfiguration ersetzt wird: