HOWTO: Firmware-Upgrade einer WatchGuard Firebox über den WSM

Ein regelmäßiges Firmware-Upgrade ist essenziell, um die Sicherheit und Leistungsfähigkeit Ihrer WatchGuard Firebox zu gewährleisten. In diesem HOWTO-Artikel zeigen wir Ihnen wie Sie ein Firmware-Upgrade über den WatchGuard System Manager (WSM) durchführen können.

Unseren ausführlichen HOWTO-Artikel über alle drei verschiedenen Methoden, mit denen Sie das Firmware-Upgrade Ihrer Firebox sicher und effizient durchführen können finden Sie unter >> HOWTO: WatchGuard Firebox Firmware-Upgrade.

1. Download des WatchGuard System Managers (WSM)

Grundsätzlich gilt: Sie können mit einem neueren System Manager Release immer auf eine Firebox mit einem älteren Firmware-Stand zugreifen und diese managen. Daher muss im ersten Schritt der WatchGuard System Manager aktualisiert werden:

1. Gehen Sie auf https://software.watchguard.com
2. Unten Rechts finden Sie unter den Quick Links den Download-Link für den aktuellen WSM
3. Installieren Sie den WSM

Erst im zweiten Schritt laden Sie das gewünschte Firmware-Release herunter.

2. Download der Firmware-Software

1. Gehen Sie erneut auf https://software.watchguard.com
2. Wählen sie unter “Show downloads for:” bei “Select device” Ihr Hardware-Modell aus
3. Lesen Sie die Release-Notes. Hier sind ggf. wichtige Änderungen vermerkt.
4. Laden Sie das Firmware-Image herunter. Hierbei gibt es zwei Varianten:
   • Fireware XX.YY   <= ein EXE-File
   • Fireware XX.YY Sysa-dl for OS Updates from the web UI
5. Ich empfehle das Windows-Executable. Dies beinhaltet die Sysa-dl (also das eigentliche Image, legt die auf der lokalen Harddisk in genau dem Pfad ab, in dem der Policy-Manager nach dem Image sucht und enthält zusätzlich einen Uninstaller, sodass Sie die Firmware leicht über die Windows-Systemsteuerung (Programme hinzufügen/entfernen) wieder deinstallieren können. Je nach Anzahl der verwendeten verschiedenen Firewalls und Häufigkeit der Upgrades können sich sonst auf der Harddisk schon so einige Images ansammeln.
6. Starten Sie das Executable – dies entpackt das Firmware-Image auf die lokale Festplatte

3. Upgrade der Firmware

1. Starten Sie den Policy Manager
2. Unter File => Upgrade wird der Upgrade-Prozess gestartet:

3. Der Policy Manager fragt nun nach dem Firmware-Image
4. Wenn Sie, wie empfohlen, das Upgrade mit dem Windows-Executable installiert haben, wird der Pfad automatisch vorgeschlagen
5. Es wird hier immer das höchste auf der lokalen Festplatte verfügbare Release angeboten, das zur Hardware passt:

6. Natürlich bedingt ein Firmware-Upgrade einen Reboot, welcher auf den kleinen Desktop-Boxen auch einige Minuten dauern kann. Das Upgrade sollte daher nicht zur Haupt-Nutzungszeit eingespielt werden.
7. (Advanced: Im Cluster-Mode mit zwei Firewalls als Cluster wird die Ausfallzeit auf zwei Failovers von 1-2 Sekunden reduziert).

8. Bevor das Upgrade startet wird nachgefragt, ob vorher ein Backup-Image erstellt werden soll:

4. Backup erstellen

1. Es wird empfohlen, ein Backup-Image der Firewall zu erstellen.
2. Dieses Backup-Image enthält:
   • die aktuelle Firmware
   • alle Policies
   • alle Zertifikate
   • den Feature-Key
3. Das Backup darf ausschließlich auf exakt diese Firebox zurückgespielt werden (identische Seriennummer!)
4. Falls Sie ein Downgrade einspielen wollen, ist dies mit diesem Backup-Image möglich.
5. Das Backup-Image wird, da es die o.g. Daten enthält, lokal verschlüsselt. Notieren Sie sich den Encryption Key, sonst haben Sie keine Chance, dieses Backup jemals wieder einzuspielen. Eventuell wollen Sie das Admin-Passwort (das “schreibende” Kennwort) verwenden:

6. Die Firebox erzeugt nun auf der Firebox das Backup-Image und überträgt es auf den PC:

7. Anschließend wird die neue Firmware auf die Firebox übertragen:

8. Nun erfolgt der angekündigte Reboot:

9. Nachdem das Upgrade abgeschlossen ist können Sie den Policy Manager beenden und neu starten, um die Konfiguration neu von der Box zu lesen
10. Die Abfrage “Do you want to open the updated configuration…” wurde mit Version 12.x eingeführt. In diesem Fall kann auf das Beenden/Neustarten des Policy Managers verzichtet werden. Es geht darum, dass die Konfiguration im Hauptspeicher (altes Release) durch die aktuelle möglicherweise vom System an die neuen Features angepasste Konfiguration ersetzt wird: