
Jak wykorzystać urządzenia Sophos XG Firewall po 31 marca 2025?
Zgodnie z ogłoszonym przez Sophos w 2021 cyklem życia dla urządzeń z serii XG, z dniem 31 marca 2025 firewalle te przechodzą na zasłużoną emeryturę tj. przestaną być aktualizowane, nie będą ukazywały się nowe wersje oprogramowania oraz nie będzie można zakupić już subskrypcji oferujące funkcje ochrony. Klienci jak i partnerzy ze stosownym wyprzedzeniem informowani byli o możliwości migracji do nowej serii urządzeń z serii XGS. Pozostaje pytanie co zrobić z wykorzystywanymi do tej pory urządzeniami. Jednym z pomysłów może być wykorzystanie sprzętu do celów testowych i/lub do niekomercyjnego zastosowania np. w środowisku domowym przez zainstalowanie oprogramowania Sophos Firewall Operating System w wariancie Home Edition, które zasadniczo nie ustępuje komercyjnemu odpowiednikowi wykorzystywanemu nań do tej pory. Jedynymi ograniczeniami jest możliwość wykorzystania maksymalnie 4 rdzeni CPU oraz 6 GB pamięci operacyjnej RAM.
Instalacja oprogramowania Sophos Firewall
Sophos Firewall poza wariantem dostarczanym jako hardware występuje również jako oprogramowanie, które zainstalować można jako system operacyjny na dowolnej maszynie zgodnej z architekturą x86-64 wyposażonej w co najmniej 4GB pamięci RAM, 64GB przestrzeni dyskowej oraz dwa interfejsy sieciowe Ethernet i dokładnie takie same wymagania dotyczą niekomercyjnej wersji Home Edition. Posiadając „zdjęte z produkcji” urządzenie XG można wykorzystać je jako platformę sprzętową na której zainstalowane zostanie oprogramowanie w wariancie Home.
Proces podzielić można na cztery etapy:
- Rejestracja i pobranie obrazu instalacji
- Przygotowanie urządzenia
- Przygotowanie nośnika instalacji
- Instalacja oprogramowania
Rejestracja i pobranie obrazu instalacji
Pierwsze kroki skierować należy do witryny https://www.sophos.com/en-us/free-tools/sophos-xg-firewall-home-edition. Po wypełnieniu krótkiego formularza, w którym podać należy adres email, na który wysłany zostanie numer seryjny niezbędny do rejestracji na dalszym etapie oraz przeniesieni zostaniemy do kolejnej strony, z której pobrać można obraz instalatora w formie pliku SW-*.iso. Alternatywnie obraz pobrać można również przez https://download.sophos.com/network/SophosFirewall/installers/index.html wybierając odpowiednią wersję pliku i zapisując ją na lokalnym dysku komputera (w chwili powstawania tego artykułu najnowszą dostępną wersją był plik SW-21.0.0_GA-169.iso). Plik obrazu potrzebny będzie w dalszym etapie.
Przygotowanie urządzenia
Przed przystąpieniem do instalacji nowego oprogramowania należy wyczyścić tablicę partycji na dysku urządzenia. Metod jest kilka. Jedną z nich może być wymontowanie dysku SATA SSD i podłączenie go do komputera i wykorzystanie wbudowanych w system operacyjny narzędzi dyskowych. Alternatywnie tablicę usunąć użyć można bezinwazyjnie wykorzystując dowolną dystrybucję linux typu live-cd którą uruchamiamy z pamięci flash podłączonej do firewalla Sophos XG. Dzięki możliwości podłączenia klawiatury, myszy oraz zewnętrznego monitor proces usuwania partycji przeprowadzić można bezpośrednio na urządzeniu.
Na potrzeby artykułu wykorzystany został Linux Mint, gdzie po uruchomieniu systemu z pamięci flash podłączonej przez port USB uruchomiona została aplikacja Disks przy użyciu której usunięto domyślne partycje /dev/sda1 oraz /dev/sda2 znajdujące się na dysku /dev/sda oraz utworzono nową partycję EXT4 wypełniającą całą dostępną przestrzeń dyskową:
Standardowy widok tablicy partycji dysku. Z menu wybrać Format Disk… i partycjonowanie GPT.

Po sformatowaniu dysku utworzyć nową partycję obejmującą całą dostępną przestrzeń dyskową wykorzystującą system plików EXT4.

Ostatecznie struktura dysku powinna przedstawiać się następująco.

Alternatywnie zmiany na dysku wykonać można przy użyciu programu GParted. Z menu wybrać należy Device > Create Partition Table

Następnie wskazać partycję typu GPT.

W kolejnym kroku utworzyć nową partycję obejmującą całą dostępną przestrzeń przez wybór Partition > New.

Po utworzeniu partycji sformatować ją wybierając system plików EXT4.

Ostatecznie po zatwierdzeniu zmian przez przycisk Apply struktura dysku powinna przedstawiać się następująco.

Po takiej modyfikacji zawartości dysku można przejść do instalacji docelowego systemu Sophos Firewall Operating System. Tym samym wykorzystać hardware do uruchomienia zapory w wersji software z niekomercyjną licencją do zastosowań domowych, czyli Sophos Firewall Home Edition.
Przygotowanie nośnika instalacji
Do instalacji potrzebna będzie pamięć USB flash (tzw. Pendrive) oraz oprogramowanie do tworzenia tzw. bootowalnych nośników danych. Sugerowanymi przez autora aplikacjami mogą być Rufus, Balena Etcher, Win32 Disk Imager lub UNetBootin. Pobrany wcześniej plik obrazu SW-*.iso. nagrać należy na nośniku USB który wykorzystany zostanie do instalacji nowego oprogramowania na wyczyszczonym z partycji dysku urządzenia. W przypadku korzystania z Rufus zapis wykonać należy w trybie DD.

Tak przygotowany nośnik umieszczamy w porcie USB i uruchamiamy / restartujemy Sophos XG. Korzystając z podłączonego monitora lub połączenia kablem konsolowym możemy obserwować cały proces.

Jeśli urządzenie wyposażone jest w buzzer (piezoelektryczny emiter dźwięków na płycie głównej) usłyszymy charakterystyczny utwór Dla Elizy autorstwa Ludwiga van Beethovena. To sygnał, że proces instalacji przebiegł prawidłowo. Teraz możemy wyjąć nośnik instalacyjny z portu USB i potwierdzić ponowne uruchomienie urządzenia.

Ostatecznie powinniśmy zaobserwować pytanie o hasło jak poniżej:

Widok menu konsolowego po uwierzytelnieniu:

Po podłączeniu komputera do pierwszego portu Ethernet możemy przejść do konfiguracji przy użyciu przeglądarki. Po wprowadzeniu domyślnego adresu https://172.16.16.16:4444 ujrzeć powinniśmy kreator konfiguracji.

W jednym z pierwszych kroków podać musimy numer seryjny jaki otrzymaliśmy po rejestracji.

Przechodząc przez poszczególne kroki dotrzeć powinniśmy do podsumowania. Wszystkie funkcje urządzenia objęte winny być subskrypcją do 31 grudnia 2999.

UWAGA!
W niektórych przypadkach (np. XG135 w wersji sprzętowej v3) numeracja portów Ethernet ulega przesunięciu o pięć pozycji tj.:
Port fizyczny | Interfejs logiczny |
Port1 | Port6 |
Port2 | Port7 |
Port3 | Port8 |
Port4 | Port9 |
Port5 | Port1 |
Port6 | Port2 |
Port7 | Port3 |
Port8 | Port4 |
Port9 | Port5 |
W takim wypadku by administrować urządzeniem i dostać się do kreatora konfiguracji komputer podłączyć należy do Port5.