Sophos Firewall Config Studio V2: শুধু একটি Viewer-এর চেয়েও বেশি

ফেব্রুয়ারিতে Sophos Configuration Viewer প্রকাশ করেছিল, এমন একটি টুল যা Sophos Firewall জগতের একটি বড় দুর্বলতাকে অন্তত কিছুটা কম কষ্টকর করেছিল: raw XML-এ ডুবে না গিয়ে configuration পড়া, খোঁজা আর compare করা। সেই মূল টুল নিয়ে আমি আগেই লিখেছি এখানে: Sophos Firewall Configuration Viewer নিয়ে আমার আগের পোস্টে ।

১৫ এপ্রিল ২০২৬-এ Sophos আবার এগোল। আগের Configuration Viewer এখন Config Studio V2। এই rename গুরুত্বপূর্ণ, কারণ এটা শুধু cosmetic নয়। Sophos স্পষ্টতই এটাকে আর শুধু viewer হিসেবে দেখছে না, বরং browser-based এমন টুল হিসেবে দেখছে যেটা এখন edit-ও করবে।

আর এখানেই টুলটা সত্যিকারের আকর্ষণীয়। পড়া এক জিনিস। বাস্তবে firewall operation-এ প্রায় সব সময়ই তিনটা কাজ একসঙ্গে করতে হয়: বুঝতে হবে, তুলনা করতে হবে, আর পরিষ্কারভাবে বদলাতে হবে।

এবং ঠিক এখানেই আমার বড় সমালোচনা শুরু। টুলটা অনেক দিক থেকে ভালো, কিন্তু একই সঙ্গে এটা উপেক্ষা করা কঠিন যে Sophos আবারও এই capability-গুলো actual firewall-এর বাইরে, এমনকি Sophos Central বা Firewall Manager-এর বাইরেও তৈরি করছে। কিছু জায়গায় এই side tool-টাই এখন firewall UI বা central management-এর চেয়ে বেশি modern আর powerful মনে হয়। admin-এর দৃষ্টিতে এটা খুবই অস্বস্তিকর।

যারা অনেকদিন ধরে Sophos-কে দেখছেন, তারা pattern-টা চিনবেন। দৃশ্যমান UI improvement খুব ধীরে আসে। widescreen monitor ঠিকভাবে support হতে অ্যাডমিনদের দৃষ্টিতে যেন যুগ লেগে গেছে। একই সময়ে পুরোনো UTM এখনো কিছু ক্ষেত্রে change logging-এ বেশি পরিষ্কার ছিল, যেখানে কোন user কী বদলেছে সেটা বোঝা সহজ ছিল। quality-of-life-এর এই বিষয়গুলো বছরের পর বছর পড়ে থাকে, আর release-এ বেশি দেখা যায় analyst deck বা vendor slide-এ ভালো শোনায় এমন ফিচার।

আপনি যদি আগে Sophos-এর অফিসিয়াল overview দেখতে চান, ভিডিওটি এখানে:

Config Studio V2 আসলে কী

Sophos Config Studio V2-কে browser-based tool হিসেবে বর্ণনা করে, যা firewall configuration দেখা, analyze করা, compare করা, আর এখন edit করাও সম্ভব করে। প্রথম নজরে এটা শুধু নতুন নামের নতুন version মনে হতে পারে। কিন্তু বাস্তবে এর চেয়ে বেশি কিছু।

অফিসিয়াল দিকনির্দেশনা মোটামুটি পরিষ্কার:

• একটি single configuration-কে পূর্ণ report হিসেবে পড়া
• দুইটি configuration compare করা
• একেবারে scratch থেকে নতুন configuration তৈরি করা
• tool-এর ভেতরেই existing configuration edit করা
• result আবার XML, TAR, API বা curl output হিসেবে export করা

আমার কাছে এখানেই টুলটা “সহায়ক documentation utility” থেকে “বাস্তব কাজের tool”-এ পরিণত হয়। আর একই সঙ্গে এটা আরও স্পষ্ট করে দেখায়, Sophos এখনো firewall আর Central-এর ভেতরে কী ঠিকভাবে সমাধান করতে পারেনি।

অফিসিয়াল Sophos ভিডিওটাও দেখায় যে Config Studio V2 পুরোনো viewer-এর তুলনায় অনেক এগিয়েছে। সেখানে দেখানো হয়েছে:

• scratch থেকে নতুন configuration বানানো
• existing XML configuration import ও edit করা
• firewall rule তৈরি এবং rule order বদলানো
• shadowing detect করা এবং move বা delete করে সেটা resolve করা
• bulk change করা, যেমন একসঙ্গে অনেক rule-এ logging enable করা
• object reference দেখানো
• duplicate বা unused object detect করা
• CSV বা অন্যান্য format থেকে bulk object import
• Microsoft JSON-এর মতো vendor data থেকে cloud object তৈরি
• configuration আবার XML বা TAR হিসেবে export করা

এসব কোনো gimmick নয়। এগুলো বাস্তব admin feature।

দৈনন্দিন কাজে এটা কেন গুরুত্বপূর্ণ

থিওরিতে firewall change আমরা process, ticket, peer review আর test plan দিয়ে করি। বাস্তবে আপনি প্রায়ই export, diff, পুরোনো secondary firewall বা inheritance পাওয়া কোনো environment-এর সামনে বসে প্রথমে বোঝার চেষ্টা করেন—আসলে এখানে বানানোটা কী?

ঠিক সেখানেই Config Studio V2 তার মূল্য দেখায়।

audit ও review-এর জন্য

অন্য কারও Sophos Firewall takeover করতে হলে web UI সবসময় সেরা starting point নয়। NAT, firewall rule, object, interface, VPN আর special case-এর মধ্যে ক্লিক করতে করতে ফোকাস হারিয়ে যায়, শেষে পাঁচটা tab-এ screenshot আর note জমে।

একটা clean configuration report অনেক বেশি আরামদায়ক। menu-তে ঘোরাঘুরি না করে rules, policy আর settings-এর একটা coherent view পাওয়া যায়। audit আর review-এর জন্য এটা সত্যিই কাজে লাগে।

change window-এর জন্য

আমার কাছে compare অংশটা আরও বেশি গুরুত্বপূর্ণ। বড় change-এর ক্ষেত্রে আমি শুধু জানতে চাই না যে কিছু বদলেছে। আমি পরিষ্কারভাবে দেখতে চাই কী যোগ হয়েছে, কী সরেছে, আর কী পাল্টেছে।

WAN migration, NAT rewrite, VPN change বা historical rule cleanup-এ একটা proper diff সত্যিকারের সময় বাঁচায় এবং পাশের অন্য কিছু অনিচ্ছায় touch হয়ে যাওয়ার ঝুঁকি কমায়।

MSP, handover ও migration-এর জন্য

যারা অনেক firewall manage করেন বা environment এক টিম থেকে আরেক টিমে দেন, তারা একই সমস্যা জানেন। configuration একসঙ্গে অনেক জায়গায় থাকে:

• firewall-এর ওপর
• ticket-এ
• spreadsheet-এ
• কোনো wiki-তে
• আর যিনি একসময় এটা বানিয়েছিলেন, তার মাথায়

Config Studio V2 এই gap-টা কিছুটা কমাতে সাহায্য করে। ভালো documentation-এর বিকল্প হিসেবে নয়, বরং handover আর review-এর জন্য অনেক ভালো starting point হিসেবে।

পুরোনো viewer-এর তুলনায় আসলে কী বদলেছে

মূল Configuration Viewer ছিল মূলত reading এবং diff tool। সেটাই অনেক উপকারী ছিল, কারণ Sophos XML মানুষের চোখের জন্য বানানো না।

V2-তে যে decisive step এসেছে, সেটা হলো editing।

Sophos এখন এটাকে সরাসরি configuration editor বলছে। অর্থাৎ আপনি এখন শুধু export import আর analyze করবেন না; tool-এর ভেতর edit করতে পারবেন, আবার download করতে পারবেন, আর দরকার হলে API বা curl output ব্যবহার করতে পারবেন।

এই API এবং curl output আমার কাছে আকর্ষণীয়, কারণ এর মানে সবাই হঠাৎ full automation শুরু করবে না—বরং change-গুলো আরও repeatable, documentable আর workflow-friendly হবে।

এটা বিশেষ করে সেই টিমগুলোর জন্য গুরুত্বপূর্ণ যারা firewall change একটু বেশি control ও repeatability-র সঙ্গে করতে চায়, কিন্তু পুরো infrastructure-as-code platform তৈরি না করেই।

এই কারণেই Viewer থেকে Studio নাম বদলটাও আমার কাছে একটু এমন মনে হয়: “আমরা ধীরে ধীরে পাশ দিয়ে এটাকে বড় করছি”। আর যত ফাংশন এখানে আসবে, তত বড় প্রশ্ন হবে: এগুলো firewall বা Sophos Central-এর ভেতরে কেন নেই?

workflow বাস্তবে কেমন

ভালো দিক হলো, শুরুটা এখনো সহজ। Config Studio V2-ও exported configuration-এর ওপর কাজ করে।

1) configuration export করুন

Sophos এখনো firewall configuration থেকে Entities.xml চায়। workflow হলো:

1. WebAdmin-এ Backup & firmware > Import export এ যান
2. full বা selective configuration export করুন
3. ডাউনলোড করা API-xxxxxx.tar unpack করুন
4. ভেতরের Entities.xml Config Studio-তে upload করুন

এটা গুরুত্বপূর্ণ, কারণ community শুরুতেই বিষয়টা ধরেছিল: input file হলো TAR নিজে নয়, extract করা Entities.xml।

2) report পড়ুন বা comparison শুরু করুন

এর পর মূলত দুইটা রাস্তা:

• single configuration পড়ে analyze করা
• দুইটি configuration compare করা

অনেক admin-এর জন্য প্রথমটুকুই যথেষ্ট মূল্যবান। বিশেষত কোনো object কোথায় ব্যবহার হয়েছে, কোন rule group আসলে আছে, বা কোনো policy কীভাবে তৈরি—এসব বোঝার জন্য।

3) এখন নতুন: edit

V2-তে নতুন অংশ হলো edit করা: configuration বদলানো, আবার download করা, এবং প্রয়োজনে XML, API বা curl হিসেবে ব্যবহার করা।

এতে Config Studio firewall UI-এর replacement হয়ে যায় না। কিন্তু এটা পরিষ্কারভাবেই tool-টাকে change workbench-এর দিকে নিয়ে যায়।

কোথায় আমি সবচেয়ে বেশি value দেখি

আমি চারটি practical use case দেখি, যেখানে Config Studio V2 খুব দ্রুত কাজে লাগে।

বড় change প্রস্তুত করতে

maintenance window-এর আগে কোন rule, object বা NAT relation বদলাবে সেটা যদি পরিষ্কারভাবে জানতে চান, তাহলে structured report plus before/after diff XML বা UI-hopping-এর চেয়ে অনেক ভালো।

existing rule set review করতে

বহু Sophos environment বছরের পর বছর বাড়ে। পুরোনো host object, duplicate service, historical NAT rule আর project leftover থেকে যায়। তাই এই টুল শুধু নতুন change-এ নয়, cleanup-এও সাহায্য করে।

অন্য টিম বা provider-কে handover দিতে

configuration review করতে সবার direct admin access দরকার হয় না। clean export বা report অনেক সময় আরও ভালো ভিত্তি।

আরও repeatable change-এর দিকে যেতে

API আর curl output-ই আমার কাছে সবচেয়ে স্পষ্ট সিগন্যাল যে Sophos এই জায়গাটাকে কোথায় নিতে চায়। শুধু visibility নয়, আরও structured configuration work।

এটা সেই টিমগুলোর জন্য খুবই আকর্ষণীয় যারা পুরোপুরি infrastructure as code-এ না গিয়েও কিছু change standardize করতে চায়।

SFOS-এর ভেতরে কী সরাসরি অনুপস্থিত

এখানেই আমার আসল সমালোচনা।

Config Studio V2 যতই useful হোক, এই ফিচারগুলোর অনেকগুলো external না হয়ে SFOS-এর ভেতরেই থাকলে আরও বেশি মূল্যবান হতো। admin ergonomics-এর দিক থেকে আমি সরাসরি SFOS-এ এসব জিনিস দেখতে চাই:

• firewall rule-এর bulk editing
• একসঙ্গে অনেক rule enable, disable বা move করা
• NAT rule ঠিকমতো clone করা
• object bulk rename করা
• host, service বা FQDN reference search and replace দিয়ে বদলানো
• unused object identify ও cleanup করা
• duplicate detect ও merge করা
• rule build করার সময় conflict দেখা
• rule block clone করা বা সরানো
• change commit-এর আগে before/after compare দেখা
• external detour ছাড়া bulk object import

বড় installation-এ এগুলো দৈনন্দিন কাজ অনেক সহজ করে দিত। তার বদলে এখনো export, unpack, upload আর ফেরত যাওয়ার workflow-তেই থাকতে হচ্ছে। কাজ চলে, কিন্তু elegant নয়।

আর আমি এখানে ইচ্ছা করেই কঠোর। ভিডিওটা খুব পরিষ্কারভাবে দেখায় যে Sophos useful usability feature-গুলো আলাদা browser tool-এ ship করতে বেশি স্বচ্ছন্দ, firewall UI আর Sophos Central-কে সত্যিকারের modernize করার চেয়ে। আমরা এখনো basic NAT rule clone-এর মতো জিনিসের অপেক্ষায় আছি। একই সময়ে conflict detection, bulk edit, object analysis আর cloud import Studio-তে চলে যাচ্ছে। vendor-এর দৃষ্টিতে এটা দ্রুত implement করা সহজ হতে পারে। কিন্তু admin-এর দৃষ্টিতে এতে parallel world তৈরি হয়, যেখানে সবচেয়ে আরামদায়ক ফিচারগুলো থাকে কাজের মূল জায়গার বাইরে।

ঠিক এই কারণেই Config Studio আমার কাছে শুধু নতুন tool নয়, confirmation-ও। মনে হয় Sophos firewall UI আর Central নিয়ে বছরের পর বছর stuck হয়ে আছে। low-hanging fruit পড়ে আছে, আর external tool এসে হঠাৎ সেই কাজগুলো ভালো করছে, যেগুলো main platform অনেক আগেই করতে পারত।

import/export model কেন এখনো পুরোপুরি আমাকে আশ্বস্ত করে না

quick review-এর জন্য model-টা ঠিক আছে। কিন্তু productive change-এর জন্য admin-এর দৃষ্টিতে এটা এখনো কিছুটা awkward।

একবার কোনো tool exported configuration-এর ওপর কাজ শুরু করলে, সঙ্গে সঙ্গেই কিছু practical risk চলে আসে:

• exported configuration হয়তো ইতিমধ্যেই outdated
• একাধিক admin parallel-এ কাজ করছে, export পিছিয়ে আছে
• sensitive firewall data এখন laptop বা project folder-এ file হিসেবে পড়ে আছে
• analysis, edit আর re-import-এর মাঝখানে drift তৈরি হতে পারে

এর মানে এই নয় যে Config Studio V2 খারাপ। এর মানে হলো, workflow-টা এখনো clean native solution-এর চেয়ে workaround-এর মতো বেশি লাগে।

audit আর planning-এর জন্য এটা ঠিক আছে। কিন্তু দৈনন্দিন administration-এর জন্য আমি এখনো চাই এমন capability firewall-এর ভেতরেই থাকুক।

security perspective থেকেও আরেকটা পয়েন্ট আছে: Sophos বলছে processing browser-এর ভেতরে local থাকে। এটা ভালো, এবং পুরো firewall configuration কোনো remote cloud service-এ upload করার চেয়ে অবশ্যই ভালো। কিন্তু তবুও এটা একটা trust model, যেটা সচেতনভাবে মেনে নিতে হয়। কারণ এগুলো harmless file নয়। এর মধ্যে network segment, object, rule, NAT relation, VPN definition, এবং export অনুযায়ী আরও sensitive data থাকতে পারে।

অস্বস্তির জায়গাটা শুধু “কিছু Sophos-এর দিকে যায় কি না” এই প্রশ্ন নয়। বরং পুরো browser context। আপনি sensitive data web-delivered tool-এ load করছেন, এবং delivered application, local processing, browser নিজে, extension, local cache এবং admin system-এ file handling—সবকিছুর ওপর ভরসা রাখতে হচ্ছে। সব technically local থাকলেও, integrated firewall বা central management-এর তুলনায় এটা আলাদা trust এবং attack surface।

সেই কারণেই SFOS বা Sophos Central-এর গভীর integration অনেক cleaner path হতো। শুধু convenience-এর জন্য নয়, role, approval, auditability এবং sensitive configuration data handling—সব এক জায়গায় রাখা যেত বলে।

ভিডিও থেকে আরেকটা বিষয়ও স্পষ্ট: এখনো সব configuration component পুরোপুরি supported নয়। import করার সময় tool নিজেই warn করে। unsupported অংশ remove করা যায় বা রেখে দেওয়া যায়, কিন্তু সেগুলো Studio-তে পুরোপুরি visible হবে না। early stage tool-এর জন্য এটা স্বাভাবিক, কিন্তু এটাও প্রমাণ করে যে এটা এখনো real admin surface-এর পূর্ণ replacement নয়।

কোথায় টুলটির এখনো সীমাবদ্ধতা আছে

টুলটি এখনো perfect নয়। এই কয়েকটি বিষয় এখনো missing বা পুরো clean নয়:

linked NAT rule Any হিসেবে দেখা যেতে পারে

অফিসিয়াল feedback thread-এ Sophos বলেছে, কিছু ক্ষেত্রে linked NAT rule source বা destination-এ Any হিসেবে দেখা যেতে পারে। কারণটা classic display bug নয়; exported XML থেকে সব কিছু নির্ভরযোগ্যভাবে infer করা এখনো সম্ভব হচ্ছে না।

এটা গুরুত্বপূর্ণ, কারণ rule shadowing বা rule quality-এর মতো analysis সেই representation-এর ওপর নির্ভর করলে ফল বিভ্রান্তিকর হতে পারে।

Sophos Central .backup file এখনো clean input নয়

community-র আরেকটা প্রশ্ন ছিল encrypted Sophos Central .backup file future-এ support করা হবে কি না। এখন পর্যন্ত হয়নি, কারণ Config Studio Entities.xml-কে ভিত্তি ধরে, আর encrypted Central backup সরাসরি ব্যবহার করা যায় না।

বিশেষ করে MSP-দের জন্য এটা খুবই useful হতো। কিন্তু আপাতত এটা ভবিষ্যতের ইচ্ছা হিসেবেই রয়ে গেছে।

edge case থাকবেই

release-এর প্রথম কয়েক দিনেই কিছু special case deviation-এর ইঙ্গিত এসেছে। এটা নতুন tool-এর জন্য অস্বাভাবিক নয়, কিন্তু এ কারণেই আমি এখন এটাকে এভাবে ব্যবহার করব:

Config Studio V2-কে শক্তিশালী analysis ও preparation tool হিসেবে ব্যবহার করুন, কিন্তু critical edge case firewall UI আর real traffic দিয়ে cross-check করুন।

উপসংহার

Sophos Firewall Config Studio V2 আমার কাছে সেই ধরনের টুল, যেটা প্রথম নজরে যতটা কম নাটকীয় লাগে, বাস্তবে কাজে তার চেয়ে অনেক বেশি মূল্যবান।

এটা security feature নয় narrow sense-এ। এটা attack block করে না, vulnerability patch করে না। কিন্তু firewall configuration বোঝা আর বদলানোর জায়গায় friction কমায়—আর ভুলের বড় অংশ তো সেখানেই হয়।

সেটাই এর সত্যিকারের মূল্য।

পুরোনো Viewer-ও useful ছিল। V2-তে এসে এটা audit, migration, rule cleanup আর বড় change-এর জন্য অনেক বেশি গুরুত্ব পাওয়ার মতো tool হয়ে গেছে। একমাত্র সত্য নয়, কিন্তু Entities.xml ঘিরে খুবই কার্যকর কাজের surface।

একই সঙ্গে, এই tool-এর value এটাও দেখিয়ে দেয় যে Sophos-এর firewall আর Sophos Central-এর অনেক কাছে এসব capability নিয়ে আসা উচিত। আমার কাছে সবচেয়ে ভালো উদাহরণ overshadowed rule detect করা। এটা কোনো bonus feature নয়; rule build আর sort করার সময় এই ধরনের সাহায্য সরাসরি UI-তেই থাকা উচিত।

তাই আমার আসল উপসংহার এই একটিমাত্র টুলের চেয়ে বড়: Config Studio আমাকে মনে করায় Sophos firewall UI আর Central-এ প্রকৃত product care-এর বদলে workarounds-এর ওপর অনেক বেশি দিন নির্ভর করেছে। আজকের agentic development tool দিয়ে অবশ্যই দ্রুত একটি external helper বানানো যায়। কিন্তু সেটাই long-term answer হতে পারে না। workaround যত polished-ই দেখাক, workaround-ই থাকে।

আবার দেখা হবে,
Joe

Sources

• Sophos Firewall Config Studio
• Sophos Firewall Config Studio documentation
• Sophos Firewall: Config Studio 2.0: Feedback and experiences