Sophos Firewall Config Studio V2: أكثر من مجرد أداة عرض

في فبراير، أطلقت Sophos أداة Configuration Viewer، وهي أداة جعلت واحدة من أكبر نقاط الضعف في عالم Sophos Firewall أقل إيلامًا قليلًا: قراءة الإعدادات والبحث فيها ومقارنتها من دون الغرق في XML الخام. وقد كتبت عن الأداة الأصلية سابقًا هنا: مقالتي عن Sophos Firewall Configuration Viewer .

وفي 15 أبريل 2026، عادت Sophos بخطوة جديدة. الأداة التي كانت تُعرف بـ Configuration Viewer أصبحت الآن Config Studio V2. وهذا مهم لأن إعادة التسمية ليست مجرد تجميل. Sophos لم تعد تتعامل معها كـ viewer فقط، بل كأداة متصفح يفترض بها الآن أن تقوم بالتحرير أيضًا.

وهنا تصبح الأداة مثيرة للاهتمام. فالقراءة شيء، لكن العمل اليومي مع الجدران النارية يدور غالبًا حول ثلاثة أمور في الوقت نفسه: الفهم، والمقارنة، والتعديل بشكل نظيف.

وهنا أيضًا تبدأ انتقاداتي الكبيرة. فبقدر ما أرى الأداة جيدة في نقاط كثيرة، يبقى من المزعج بالنسبة لي أن Sophos تبني هذه القدرات مرة أخرى خارج الـ firewall نفسها، وخارج Sophos Central وFirewall Manager. في بعض الجوانب تبدو هذه الأداة الجانبية اليوم أكثر حداثة وقوة من واجهة الجدار الناري نفسها أو من الإدارة المركزية. ومن منظور admin، هذا يصعب تبريره.

من يتابع Sophos منذ فترة يعرف هذا النمط. تحسينات الـ UI الظاهرة تأتي ببطء شديد. ومن منظور admin، استغرق الأمر ما يشبه الأبدية حتى تم دعم الشاشات العريضة بشكل معقول. وفي الوقت نفسه، ما زالت UTM القديمة في بعض الأماكن تقدم سجل تغييرات أوضح يبيّن من غيّر ماذا. هذه النوعية من quality-of-life ما زالت مؤجلة منذ سنوات، بينما تذهب كل release غالبًا إلى وظائف تبدو جيدة في عروض المصنعين والمحللين.

إذا أردت أولًا مشاهدة العرض الرسمي من Sophos نفسها، فهذا هو الفيديو:

ما هو Config Studio V2 أصلًا

تصف Sophos Config Studio V2 بأنه أداة قائمة على المتصفح لعرض إعدادات الجدار الناري وتحليلها ومقارنتها والآن أيضًا تعديلها. للوهلة الأولى يبدو الأمر كأنه نسخة جديدة مع اسم جديد، لكن الواقع أكبر من ذلك.

الاتجاه الرسمي واضح نسبيًا:

• قراءة إعداد واحد على شكل تقرير كامل
• مقارنة إعدادين معًا
• إنشاء إعداد جديد من الصفر
• تعديل إعداد موجود مباشرة داخل الأداة
• تصدير النتيجة مرة أخرى كـ XML أو TAR أو API أو curl

وهنا تحديدًا تنتقل الأداة من “وسيلة توثيق مفيدة” إلى “أداة عمل حقيقية”. وفي الوقت نفسه، يصبح واضحًا أكثر ما الذي لم تحله Sophos جيدًا حتى الآن داخل الـ firewall وداخل Central.

ويُظهر الفيديو الرسمي أيضًا أن Config Studio V2 تجاوز viewer القديم بكثير. من بين ما تعرضه Sophos:

• إنشاء إعدادات جديدة من الصفر
• استيراد إعدادات XML الحالية وتحريرها
• إنشاء firewall rules جديدة وإعادة ترتيبها
• اكتشاف shadowing ومعالجته عبر تحريك القواعد أو حذفها
• إجراء bulk changes مثل تفعيل logging على عدد كبير من القواعد
• إظهار مراجع objects
• اكتشاف objects المكررة أو غير المستخدمة
• استيراد objects بشكل جماعي من CSV وصيغ أخرى
• إنشاء cloud objects من بيانات مورّدين مثل Microsoft JSON
• إعادة تصدير الإعدادات كـ XML أو TAR

هذه ليست ألعابًا جانبية. هذه وظائف إدارية حقيقية.

لماذا يهم ذلك في الحياة اليومية

نظريًا، نحن ننفذ تغييرات الجدار الناري عبر عمليات واضحة وتذاكر ومراجعة مزدوجة وخطط اختبار. عمليًا، تجد نفسك كثيرًا أمام export أو diff أو firewall ثانوية قديمة أو بيئة ورثتها من فريق آخر، وتحتاج أولًا أن تفهم ما الذي بُني أصلًا.

وهنا بالضبط تظهر قيمة Config Studio V2.

للتدقيق والمراجعات

إذا كان عليك استلام Sophos Firewall من طرف آخر، فواجهة الويب ليست دائمًا أفضل نقطة بداية. تتنقل بين NAT وfirewall rules وobjects وinterfaces وVPNs والحالات الخاصة، ثم تضيع الخيط، وتنتهي مع screenshots وملاحظات موزعة على عدة tabs.

أما التقرير المنظم للإعدادات فهو أكثر راحة بكثير. بدل التنقل بين القوائم، تحصل على رؤية متماسكة للقواعد والسياسات والإعدادات. ولأعمال التدقيق والمراجعة، هذا مفيد فعلًا.

لنافذة التغيير

أما جزء المقارنة، فهو بالنسبة لي أكثر أهمية. في التغييرات الأكبر، لا أريد فقط أن أعرف أن شيئًا ما تغيّر. أريد أن أرى بوضوح ما الذي أضيف، وما الذي حُذف، وما الذي عُدّل.

في هجرات WAN، أو إعادة بناء NAT، أو تغييرات VPN، أو تنظيف rule sets القديمة، يوفر diff منظم وقتًا حقيقيًا ويقلل من خطر العبث بأشياء جانبية دون قصد.

لمزودي الخدمات والإحالات والهجرات

كل من يدير عددًا كبيرًا من الجدران النارية أو ينقل البيئات بين فرق مختلفة يعرف المشكلة نفسها. الإعدادات تعيش غالبًا في عدة أماكن في الوقت ذاته:

• على الجدار الناري نفسه
• في التذكرة
• في spreadsheet
• في wiki ما
• وفي رأس الشخص الذي بنى كل ذلك أصلًا

يساعد Config Studio V2 في تقليص هذه الفجوة قليلًا. ليس كبديل عن التوثيق الجيد، بل كنقطة انطلاق أفضل بكثير لعمليات handover والمراجعة.

ما الذي تغيّر فعليًا مقارنة بالـ viewer القديم

كان Configuration Viewer الأصلي أداة للقراءة والمقارنة أساسًا. وهذا كان مفيدًا بالفعل، لأن XML الخاصة بـ Sophos ليست مهيأة لتُقرأ بسهولة من قبل البشر.

مع V2 تأتي الخطوة الحاسمة الجديدة: التحرير.

Sophos تسميه الآن صراحة configuration editor. وهذا يعني أنك لم تعد تكتفي باستيراد الإعدادات وتحليلها، بل تستطيع تعديلها داخل الأداة، ثم تنزيلها مجددًا، واستخدام مخرجات API أو curl عند الحاجة.

وما يهمني هنا ليس أن كل admin سيبدأ فجأة بالأتمتة الكاملة، بل أن هذه المخرجات تجعل التعديلات أكثر قابلية للإعادة والتوثيق والإدماج في workflows موجودة أصلًا.

وهذا مهم خصوصًا للفرق التي تريد تغييرات أكثر انضباطًا وقابلية للتكرار، من دون أن تبني فورًا منصة كاملة من Infrastructure as Code.

ولهذا أيضًا تبدو لي إعادة التسمية من Viewer إلى Studio وكأنها تقول: “نحن نبني شيئًا أكبر بجانب المنصة الأصلية خطوة بخطوة”. وكلما زادت الوظائف هنا، صار السؤال أوضح: لماذا لا تظهر مباشرة داخل الـ firewall أو داخل Sophos Central؟

كيف يبدو الـ workflow عمليًا

النقطة الإيجابية أن البداية ما زالت بسيطة. فـ Config Studio V2 يعمل هو أيضًا على أساس الإعدادات المصدّرة.

1) تصدير الإعدادات

ما زالت Sophos تعتمد على ملف Entities.xml من إعدادات الجدار الناري. والخطوات هي:

1. الذهاب إلى Backup & firmware > Import export داخل WebAdmin
2. تصدير full أو selective configuration
3. فك ضغط الملف المحمّل API-xxxxxx.tar
4. رفع ملف Entities.xml الموجود بداخله إلى Config Studio

وهذه نقطة مهمة لأن المجتمع لاحظها بسرعة: ملف الإدخال ليس TAR نفسه، بل Entities.xml بعد استخراجه.

2) قراءة تقرير أو بدء مقارنة

بعد ذلك، لديك مساران أساسيان:

• قراءة إعداد واحد وتحليله
• مقارنة إعدادين معًا

وبالنسبة لكثير من المدراء، يكفي المسار الأول وحده أصلًا. خصوصًا إذا كنت تريد معرفة أين يُستخدم object ما، أو ما هي rule groups الموجودة فعلًا، أو كيف بُنيت policy معينة.

3) الجديد الآن: التحرير

مع V2 تأتي خطوة التحرير: تعديل الإعداد، تنزيله مجددًا، ثم استخدامه كـ XML أو API أو curl.

هذا لا يجعل Config Studio بديلًا لواجهة الـ firewall. لكنه يحركه بوضوح نحو أداة Change Workbench حقيقية.

أين أرى أكبر قيمة

أرى أربع حالات استخدام عملية تجعل Config Studio V2 منطقيًا مباشرة.

التحضير للتغييرات الأكبر

إذا كنت تحتاج قبل نافذة صيانة إلى فهم ما الذي سيتغير من قواعد وobjects وعلاقات NAT، فالتقرير المنظم مع before/after diff أفضل بكثير من XML والتنقل بين الواجهات.

مراجعة مجموعات القواعد الحالية

كثير من بيئات Sophos تكبر عبر السنوات. تبقى host objects القديمة، والخدمات المكررة، وقواعد NAT التاريخية، وبقايا المشاريع. ولهذا فالأداة التي تجعل هذه الأشياء أوضح، لا تساعد فقط في التغييرات الجديدة، بل أيضًا في أعمال التنظيف.

التسليم لفرق أخرى أو لمزودين خارجيين

ليس كل شخص يحتاج إلى مراجعة الإعداد يجب أن يحصل على direct admin access إلى الجدار الناري. في كثير من الأحيان يكون export أو report نظيفًا هو الأساس الأفضل.

خطوة نحو تغييرات أكثر قابلية للتكرار

مخرجات API وcurl هي أوضح إشارة بالنسبة لي إلى الاتجاه الذي تريد Sophos أخذ هذا الموضوع إليه. ليس مجرد عرض، بل إدارة تغييرات أكثر تنظيمًا.

وهذا يصبح مهمًا جدًا للفرق التي تريد standardization جزئيًا من دون الدخول الكامل في Infrastructure as Code.

ما الذي ينقص مباشرة داخل SFOS

وهنا أصل إلى النقطة النقدية الأساسية.

على الرغم من فائدة Config Studio V2، إلا أن كثيرًا من هذه الوظائف كانت ستكون أفضل لو أنها لم تكن خارجية من الأصل. إذا تحدثنا عن ergonomics حقيقية للمسؤولين، فهذه بالضبط أمور أفضّل رؤيتها مباشرة داخل SFOS:

• bulk editing لقواعد الجدار الناري
• تفعيل أو تعطيل أو نقل عدة قواعد معًا
• cloning محترم لقواعد NAT أخيرًا
• إعادة تسمية objects بشكل جماعي
• تعديل مراجع hosts أو services أو FQDNs عبر search and replace
• التعرف على objects غير المستخدمة وتنظيفها
• اكتشاف المكرر ودمجه
• إظهار تعارضات القواعد أثناء بنائها
• cloning أو نقل blocks من القواعد
• رؤية before/after comparison قبل commit التغيير
• دعم mass import للـ objects من دون الالتفاف عبر أداة خارجية

في البيئات الأكبر، كان ذلك سيحسن العمل اليومي بشكل كبير. لكننا بدلًا من ذلك نبقى مع export وunpack وupload ثم طريق العودة. نعم، هذا يعمل، لكنه ليس أنيقًا.

وأنا هنا متعمد في حدتي: الفيديو يوضح جدًا أن Sophos تفضل تسليم وظائف usability مفيدة في أداة متصفح منفصلة بدل تطوير firewall UI وSophos Central بشكل جاد. ما زلنا ننتظر أشياء أساسية جدًا مثل clone function معقولة لقواعد NAT. وفي الوقت نفسه، تذهب conflict detection وbulk editing وobject analysis وcloud imports إلى الـ Studio. قد يكون هذا أسرع وأسهل من ناحية المورّد. لكن من ناحية admin، نحن أمام عالم موازٍ تعيش فيه وظائف الراحة الأقوى خارج المكان الذي نعمل فيه فعليًا.

ولهذا يبدو لي Config Studio ليس فقط كأداة جديدة، بل أيضًا كتأكيد على أن Sophos ظلت عالقة لسنوات في ما يخص Firewall UI وCentral. الثمار المتدلية ما زالت في مكانها، بينما أداة خارجية تحل فجأة أمورًا كان لدى المنصة الأساسية وقت كافٍ جدًا لمعالجتها.

لماذا لا يقنعني نموذج import/export بالكامل بعد

للمراجعات السريعة، النموذج مقبول. أما للتغييرات الإنتاجية، فما زال يبدو awkward قليلًا من منظور admin.

بمجرد أن تعمل أداة على exported configurations، تظهر عدة مخاطر عملية مباشرة:

• قد يكون الـ export قديمًا أصلًا
• قد يعمل عدة admins بالتوازي بينما الـ export متأخر
• تصبح بيانات firewall الحساسة ملفات على حواسيب محمولة أو داخل مجلدات مشاريع
• يمكن أن يظهر drift بين التحليل والتحرير وإعادة الاستيراد

هذا لا يعني أن Config Studio V2 أداة سيئة. لكنه يعني فقط أن الـ workflow ما زال يبدو كـ workaround أكثر من كونه الحل native الأنظف.

للتدقيق والتخطيط، هذا مناسب. أما للإدارة اليومية المباشرة، فأنا ما زلت أتمنى رؤية المزيد من ذلك داخل الجدار الناري نفسه.

ومن منظور أمني، هناك نقطة أخرى: Sophos تقول إن المعالجة تبقى محلية داخل المتصفح. وهذا جيد، وبالتأكيد أفضل من رفع إعدادات الجدار الناري الكاملة إلى خدمة cloud بعيدة. لكن هذا يظل trust model يجب أن تقبله بوعي. نحن هنا لا نتحدث عن ملفات عادية، بل غالبًا عن بيانات شديدة الحساسية تشمل network segments وobjects وrules وعلاقات NAT وتعريفات VPN وبيانات أمنية أخرى حسب نوع الـ export.

والنقطة غير المريحة ليست فقط سؤال “هل يذهب شيء إلى Sophos أم لا؟"، بل سياق المتصفح كله. أنت تحمّل بيانات حساسة إلى أداة تُقدَّم عبر الويب، وتثق في التطبيق الذي يصل إلى متصفحك، وفي المعالجة المحلية، وفي المتصفح نفسه، وفي الإضافات المحتملة، وفي الـ caches المحلية، وفي طريقة التعامل مع هذه الملفات على جهاز الـ admin. وحتى لو بقي كل شيء محليًا تقنيًا، فهذه تبقى attack surface وtrust surface مختلفة عن وظيفة مدمجة جيدًا داخل الـ firewall أو الإدارة المركزية.

ولهذا أرى أن دمجًا أعمق داخل SFOS أو Sophos Central سيكون الطريق الأنظف بكثير. ليس فقط من ناحية الراحة، بل أيضًا لأن الأدوار والموافقات وقابلية التدقيق والتعامل مع البيانات الحساسة يمكن حينها جمعها في مكان واحد.

وهناك نقطة أخرى من الفيديو: ليس كل مكونات الإعدادات مدعومة بالكامل بعد. الأداة نفسها تحذر من ذلك عند الاستيراد. ويمكنك حذف الأجزاء غير المدعومة أو الإبقاء عليها، لكنها لن تكون ظاهرة بالكامل داخل Studio. وهذا مفهوم في مرحلة مبكرة، لكنه يوضح أيضًا أن الأداة ما زالت ليست بديلًا كاملًا عن واجهة الإدارة الحقيقية.

أين ما زالت حدود الأداة اليوم

الأداة ليست مثالية بعد. وهناك نقاط ما زالت ناقصة أو غير نظيفة بالكامل حتى الآن:

قواعد NAT المرتبطة قد تظهر على أنها Any

في thread الرسمي للتغذية الراجعة، تشير Sophos إلى أن linked NAT rules قد تظهر حاليًا في بعض الحالات على أنها Any للمصدر أو الوجهة. والسبب ليس display bug كلاسيكيًا، بل محدودية ما يمكن استنتاجه بثقة من الـ XML المصدّر.

وهذا مهم لأن تحليلات لاحقة، مثل تقييم جودة القواعد أو الكشف عن shadowing، قد تصبح مضللة إذا كان التمثيل نفسه غير دقيق بالكامل.

ملفات Sophos Central ذات الامتداد .backup ليست input نظيفًا بعد

جاء أيضًا من المجتمع سؤال مباشر عمّا إذا كانت النسخ الاحتياطية المشفرة من Sophos Central بصيغة .backup ستُدعَم مستقبلًا. وحتى الآن، الجواب لا، لأن Config Studio يعتمد على Entities.xml، ولا يمكن استخدام تلك النسخ الاحتياطية المشفرة مباشرة.

وبالنسبة إلى MSPs على وجه الخصوص، ستكون هذه الوظيفة مفيدة جدًا طبعًا. لكن في الوقت الحالي، تبقى أمنية لإصدار قادم.

الحالات الطرفية ستبقى موجودة

منذ الأيام الأولى بعد الإطلاق ظهرت مؤشرات على اختلافات في بعض الحالات الخاصة. وهذا ليس أمرًا غير طبيعي لأداة شابة، لكنه السبب الذي يجعلني أتعامل معها حاليًا بهذا الشكل:

أستخدم Config Studio V2 كأداة قوية للتحليل والتحضير، لكنني ما زلت أتحقق من الحالات الحرجة عبر واجهة الجدار الناري الحقيقية وعبر الترافيك الحقيقي.

الخلاصة

Sophos Firewall Config Studio V2 بالنسبة لي من تلك الأدوات التي تبدو أقل إثارة عند النظرة الأولى مما هي عليه فعلًا في العمل اليومي.

هي ليست security feature بالمعنى الضيق. لا تمنع هجمات ولا تسد ثغرات. لكنها تقلل الاحتكاك في المنطقة التي تحدث فيها أخطاء كثيرة: فهم إعدادات الجدار الناري وتعديلها.

وهذه قيمة حقيقية جدًا.

كان الـ Viewer القديم مفيدًا بالفعل. أما مع V2، فالأداة أصبحت شيئًا ينبغي أخذه بجدية أكبر بكثير في التدقيق والهجرات وتنظيف القواعد والتغييرات الأكبر. ليست الحقيقة الوحيدة، لكنها بالتأكيد واجهة عمل مفيدة جدًا حول Entities.xml.

وفي الوقت نفسه، فإن قيمة هذه الأداة تكشف أيضًا ما الذي يجب على Sophos أن تقرّبه أكثر إلى الـ firewall وإلى Sophos Central. وأفضل مثال بالنسبة لي هو كشف القواعد التي تظلل قواعد أخرى. هذا ليس bonus، بل النوع نفسه من المساعدة الذي تريد رؤيته أثناء بناء القواعد وترتيبها.

ولذلك فإن خلاصي الفعلي أكبر من هذه الأداة نفسها: Config Studio يبدو لي كتأكيد على أن Sophos اعتمدت طويلًا على workarounds بدل العناية الحقيقية بالمنتج في ما يخص Firewall UI وCentral. ومع أدوات التطوير agentic الحالية، من السهل طبعًا بناء helper خارجي بسرعة ورميه في وجه admins كحل مؤقت. لكن ذلك لا يجب أن يصبح الإجابة طويلة الأمد. فالـ workaround يبقى workaround، حتى لو بدا أنيقًا.

إلى اللقاء في المرة القادمة،
Joe

Sources

• Sophos Firewall Config Studio
• Sophos Firewall Config Studio documentation
• Sophos Firewall: Config Studio 2.0: Feedback and experiences