trueNetLab ⚡️
Sophos Firewall Config Studio V2: Mehr als ein Viewer

Sophos Firewall Config Studio V2: Mehr als ein Viewer

12 min read
Network Sophos Security

Inhaltsverzeichnis

Im Februar hatte Sophos mit dem Configuration Viewer ein Tool veröffentlicht, das eine große Schwäche der Sophos-Firewall-Welt endlich etwas angenehmer gemacht hat: Konfigurationen lesen, durchsuchen und vergleichen, ohne an XML zu verzweifeln. Über das ursprüngliche Tool habe ich hier schon ausführlich geschrieben: Sophos Firewall Configuration Viewer: Konfig prüfen und vergleichen .

Am 15. April 2026 hat Sophos nun nachgelegt. Aus dem bisherigen Configuration Viewer wird Config Studio V2. Das ist wichtig, weil die Umbenennung mehr ist als Kosmetik. Sophos behandelt das Tool nicht mehr nur als Viewer, sondern als nächste Ausbaustufe eines Browser-Werkzeugs, das nun auch bearbeiten soll.

Und genau das macht das Tool interessant. Denn lesen ist das eine. In der Praxis geht es bei Firewalls fast immer um drei Dinge gleichzeitig: verstehen, vergleichen und sauber ändern.

Und genau hier beginnt bei mir bereits die massive Kritik. So gut ich das Tool in vielen Punkten finde, so irritierend ist für mich, dass Sophos diese Funktionen wieder außerhalb der eigentlichen Firewall und auch außerhalb von Sophos Central beziehungsweise des Firewall Managers ausbaut. An mehreren Stellen wirkt dieses Zusatzwerkzeug schon heute moderner und mächtiger als die Oberfläche der Firewall selbst oder als das zentrale Management. Genau das ist aus Admin-Sicht schwer nachvollziehbar.

Wer Sophos schon länger beobachtet, kennt dieses Muster. Sichtbare UI-Verbesserungen kommen extrem selten. Es hat aus Admin-Sicht gefühlt ewig gedauert, bis Widescreen-Monitore vernünftig unterstützt wurden. Gleichzeitig hatte die alte UTM an manchen Stellen bis heute das angenehmere Änderungsprotokoll, bei dem klarer sichtbar war, welcher Benutzer was angepasst hat. Genau solche Quality-of-Life-Themen bleiben bei der Firewall seit Jahren liegen, während pro Release oft eher Funktionen sichtbar werden, die strategisch gut klingen oder gerade in Analysten- und Herstellerfolien gut aussehen.

Wenn du dir zuerst den offiziellen Überblick von Sophos selbst ansehen willst, hier ist das passende Video:

Was Config Studio V2 überhaupt ist

Sophos beschreibt Config Studio V2 als browserbasiertes Werkzeug, mit dem sich Firewall-Konfigurationen ansehen, analysieren, vergleichen und jetzt eben auch editieren lassen. Das klingt erst einmal nach einem Versionssprung mit neuem Namen. In der Praxis steckt aber mehr dahinter.

Die offizielle Richtung ist ziemlich klar:

  • Eine einzelne Konfiguration als vollständigen Report lesen
  • Zwei Konfigurationen gegeneinander vergleichen
  • Eine neue Konfiguration von Grund auf erstellen
  • Konfigurationen direkt im Tool ergänzen oder anpassen
  • Das Ergebnis wieder herunterladen oder als API- beziehungsweise curl-Befehle ausgeben lassen

Das ist der Punkt, an dem das Tool aus meiner Sicht von “nützliches Doku-Hilfsmittel” zu “echtes Arbeitswerkzeug” wechselt. Gleichzeitig wird damit aber auch sichtbarer, was Sophos in Firewall und Central bisher nicht sauber gelöst hat.

Das offizielle Sophos-Video macht außerdem deutlich, dass Config Studio V2 inzwischen deutlich mehr kann als der alte Viewer. Gezeigt werden dort unter anderem:

  • neue Konfigurationen komplett von leer weg anlegen
  • bestehende XML-Konfigurationen importieren und bearbeiten
  • Firewall-Regeln neu anlegen und in der Reihenfolge verschieben
  • Shadowing erkennen und direkt durch Verschieben oder Löschen auflösen
  • Massenänderungen durchführen, zum Beispiel Logging auf vielen Regeln gleichzeitig aktivieren
  • Objektverwendungen anzeigen
  • doppelte oder unbenutzte Objekte erkennen
  • Objekte per Massenimport aus CSV oder anderen Formaten übernehmen
  • Cloud-Objekte aus Herstellerdaten wie Microsoft-JSON erzeugen
  • Konfigurationen als XML oder TAR wieder ausgeben

Das sind keine Spielereien. Das sind echte Admin-Funktionen.

Warum das für den Alltag relevant ist

In der Theorie machen wir Firewall-Changes sauber über Prozesse, Tickets, Vier-Augen-Prinzip und Testpläne. In der Realität sitzt man oft vor einem Export, einem Diff, einer älteren Zweitfirewall oder einer übernommenen Umgebung und versucht erst einmal herauszufinden, was da eigentlich gebaut wurde.

Genau dort spielt Config Studio V2 seine Stärke aus.

Für Audits und Reviews

Wenn man eine fremde Sophos-Firewall übernehmen muss, ist die Web-UI oft kein guter Startpunkt. Man klickt sich durch NAT, Firewall-Regeln, Objekte, Interfaces, VPNs und Sonderfälle, verliert den Faden und endet mit Screenshots oder Notizen in fünf Tabs.

Ein sauber aufbereiteter Konfigurationsreport ist da deutlich angenehmer. Statt Menüs abzulaufen, bekommt man eine zusammenhängende Sicht auf Regeln, Policies und Einstellungen. Für Reviews und Audits ist das Gold wert, weil man schneller Struktur erkennt.

Für Change Windows

Noch relevanter ist für mich der Compare-Teil. Bei größeren Änderungen will ich nicht nur wissen, dass etwas angepasst wurde. Ich will nachher schwarz auf weiß sehen, was hinzugekommen, entfernt oder verändert worden ist.

Gerade bei WAN-Migrationen, NAT-Umbauten, VPN-Änderungen oder Bereinigungen historisch gewachsener Regelwerke spart so ein Diff richtig Zeit. Und es reduziert das Risiko, dass man unbemerkt noch ein Nebenthema mitverändert hat.

Für MSPs, Handover und Migrationen

Wer viele Firewalls betreut oder Umgebungen zwischen Teams übergibt, kennt das Problem ebenfalls. Die Konfiguration lebt oft an mehreren Stellen gleichzeitig:

  • auf der Firewall selbst
  • im Ticket
  • in einer Excel-Liste
  • in irgendeinem Wiki
  • und im Kopf der Person, die den ursprünglichen Umbau einmal gemacht hat

Config Studio V2 hilft dabei, diese Lücke etwas zu verkleinern. Nicht als Ersatz für gute Dokumentation, aber als deutlich besserer Ausgangspunkt für Übergaben und Reviews.

Was sich gegenüber dem alten Viewer wirklich geändert hat

Der ursprüngliche Configuration Viewer war vor allem ein Lese- und Diff-Werkzeug. Das war schon gut, weil Sophos-Konfigs in XML-Form nicht gerade für menschliche Augen gebaut sind.

Mit V2 kommt jetzt aber der entscheidende Schritt dazu: editieren.

Sophos nennt das offiziell einen “Configuration editor”. Man kann also nicht nur Exporte importieren und analysieren, sondern Konfigurationen im Tool bearbeiten, wieder herunterladen und bei Bedarf als API- oder curl-Format weiterverwenden.

Genau diese API-/curl-Ausgabe finde ich spannend. Nicht, weil jetzt plötzlich jeder Firewall-Admin nur noch automatisiert arbeitet. Sondern weil sich damit Änderungen sauberer nachziehen, dokumentieren oder in bestehende Abläufe integrieren lassen.

Das ist besonders interessant für Teams, die anfangen, ihre Firewall-Änderungen kontrollierter und reproduzierbarer zu machen, ohne gleich eine komplette Automatisierungsplattform aufzubauen.

Genau deshalb fühlt sich die Umbenennung von Viewer zu Studio für mich auch ein wenig nach “wir bauen das jetzt Schritt für Schritt nebenher groß” an. Je mehr Funktionen dort landen, desto deutlicher stellt sich die Frage, warum sie nicht direkt in der Firewall oder in Sophos Central auftauchen.

Wie der Workflow in der Praxis aussieht

Der Einstieg bleibt erfreulich simpel. Auch Config Studio V2 arbeitet auf Basis der exportierten Konfiguration.

1) Konfiguration exportieren

Sophos verlangt weiterhin die Entities.xml aus der Firewall-Konfiguration. Der Ablauf ist:

  1. In der WebAdmin-Konsole zu Backup & firmware > Import export gehen
  2. Full oder selective configuration exportieren
  3. Das heruntergeladene API-xxxxxx.tar entpacken
  4. Die enthaltene Entities.xml in Config Studio hochladen

Das ist wichtig, weil die Community anfangs genau an dieser Stelle schon auf die Beschreibung geschaut hat: Nicht die TAR-Datei direkt ist das Eingabeformat, sondern die daraus extrahierte Entities.xml.

2) Report lesen oder Vergleich starten

Danach geht es im Kern in zwei Richtungen:

  • einzelne Konfiguration lesen und analysieren
  • zwei Konfigurationen miteinander vergleichen

Für viele Admins ist schon der erste Punkt hilfreich genug. Gerade wenn man wissen will, wo ein Objekt verwendet wird, welche Regelgruppen wirklich existieren oder wie eine bestimmte Policy gebaut ist.

3) Jetzt neu: editieren

Mit V2 kommt dann der neue Teil: Konfigurationen ergänzen oder bearbeiten, wieder herunterladen und bei Bedarf in API- oder curl-Form übernehmen.

Das macht Config Studio nicht automatisch zu einem Ersatz für die Firewall-UI. Aber es verschiebt den Nutzen ganz klar Richtung Change-Werkzeug.

Wo ich den größten Mehrwert sehe

Ich sehe vier praktische Einsatzfelder, in denen Config Studio V2 sofort sinnvoll ist.

Vorbereitung von größeren Changes

Wenn vor einem Wartungsfenster klar sein muss, welche Regeln, Objekte und NAT-Beziehungen sich ändern, ist ein aufbereiteter Konfig-Report plus Vorher-/Nachher-Diff deutlich angenehmer als XML und UI-Hopping.

Review von bestehenden Regeln

Viele Sophos-Installationen wachsen über Jahre. Alte Hostobjekte, doppelte Services, historische NAT-Regeln und Sonderfälle aus Projekten bleiben liegen. Ein Tool, das diese Dinge besser lesbar macht, hilft deshalb nicht nur bei neuen Changes, sondern auch beim Aufräumen.

Übergabe an andere Teams oder Dienstleister

Nicht jede Person, die eine Konfiguration prüfen muss, braucht direkten Admin-Zugriff auf die Firewall. Ein sauberer Export oder Report kann hier die bessere Grundlage sein.

Einstieg in reproduzierbarere Änderungen

Die API-/curl-Ausgabe ist für mich das eigentliche Signal, wohin Sophos das Thema bewegen will. Nicht nur Ansicht, sondern kontrollierbarere Konfigurationsarbeit.

Das ist vor allem dann spannend, wenn man Änderungen künftig stärker standardisieren will, ohne gleich komplett in Infrastructure as Code zu springen.

Was direkt in SFOS fehlt

Und genau hier kommt mein eigentlicher Kritikpunkt.

So nützlich Config Studio V2 auch ist: Noch schöner wäre es, wenn viele dieser Funktionen gar nicht erst außerhalb der Firewall nötig wären. Wenn man über echte Admin-Ergonomie spricht, dann wären meiner Meinung nach genau solche Dinge direkt in SFOS viel wertvoller:

  • Bulk Editing für Firewall-Regeln
  • mehrere Regeln gleichzeitig aktivieren, deaktivieren oder verschieben
  • NAT-Regeln endlich sauber klonen
  • Objekte gesammelt umbenennen
  • Referenzen auf Hosts, Services oder FQDNs per Suche und Ersetzen anpassen
  • unbenutzte Objekte sauber identifizieren und aufräumen
  • doppelte Objekte erkennen und zusammenführen
  • Regelkonflikte direkt beim Regelbau sichtbar machen
  • Regelblöcke klonen oder gesammelt zwischen Bereichen verschieben
  • Vorher-/Nachher-Vergleiche direkt vor dem Commit eines Changes sehen
  • Massenimporte für Objekte ohne externen Umweg unterstützen

Gerade bei größeren Installationen würde das die Bedienung massiv verbessern. Stattdessen bleiben wir weiterhin bei Export, Entpacken, Upload und anschließendem Rückweg. Das funktioniert, aber elegant ist es nicht.

Und hier bin ich bewusst kritisch: Das Video zeigt ziemlich klar, dass Sophos sinnvolle Bedienfunktionen lieber in einem separaten Browser-Werkzeug nachliefert, statt Firewall-GUI und Sophos Central konsequent aufzuwerten. Wir warten bis heute auf banale Dinge wie eine brauchbare Klonfunktion für NAT-Regeln. Gleichzeitig landen Regelkonflikt-Erkennung, Massenänderungen, Objektanalyse und Cloud-Importe im Studio. Das mag aus Herstellersicht schneller umzusetzen und einfacher zu whitelisten sein. Aus Admin-Sicht entsteht dadurch aber eine Parallelwelt, in der die starken Komfortfunktionen nicht dort leben, wo man täglich arbeitet.

Und genau deshalb fühlt sich Config Studio für mich nicht nur wie ein neues Werkzeug an, sondern auch wie eine Bestätigung. Man merkt dem Produkt an, dass sich Sophos bei Firewall-GUI und Central über Jahre festgefahren hat. Die Low-Hanging-Fruits liegen weiter herum, während ein externes Tool plötzlich Dinge besser löst, für die man in der eigentlichen Plattform mehr als genug Zeit gehabt hätte.

Warum mich das Import-/Export-Modell noch nicht ganz überzeugt

Für kleine Reviews ist das Modell okay. Für produktive Änderungen fühlt es sich aus Admin-Sicht trotzdem etwas heikel an.

Sobald ein Tool auf exportierten Konfigurationen arbeitet, hat man sofort ein paar praktische Risiken im Raum:

  • Die exportierte Konfiguration ist vielleicht schon nicht mehr aktuell
  • mehrere Admins arbeiten parallel und der Export hinkt hinterher
  • sensible Firewall-Daten liegen als Datei auf Notebooks oder in Projektordnern
  • zwischen Analyse, Edit und Rückimport kann Drift entstehen

Das heißt nicht, dass Config Studio V2 schlecht ist. Es heißt nur, dass der Workflow aktuell noch eher wie ein Hilfskonstrukt wirkt als wie die sauberste native Lösung.

Für Audits und Planungen passt das. Für das tägliche, direkte Administrieren würde ich mir langfristig mehr davon direkt in der Firewall selbst wünschen.

Aus Security-Sicht kommt noch etwas dazu: Sophos sagt, dass die Verarbeitung lokal im Browser bleibt. Das ist grundsätzlich gut und deutlich besser, als komplette Firewall-Konfigurationen an irgendeinen entfernten Cloud-Dienst hochzuladen. Trotzdem bleibt es ein Vertrauensmodell, das man bewusst akzeptieren muss. Denn wir sprechen hier eben nicht über harmlose Dateien, sondern oft über hochsensible Konfigurationsdaten mit Netzsegmenten, Objekten, Regeln, NAT-Beziehungen, VPN-Definitionen und je nach Export auch weiteren sicherheitsrelevanten Metadaten.

Das Unscharfe daran ist nicht nur die Frage “geht etwas zu Sophos oder nicht?”, sondern der gesamte Browser-Kontext. Man lädt sensible Daten in ein Web-Werkzeug, muss der gelieferten Anwendung vertrauen, der lokalen Verarbeitung, dem Browser selbst, möglichen Erweiterungen, lokalen Caches und dem Umgang mit den exportierten Dateien auf dem Admin-System. Selbst wenn technisch alles lokal bleibt, ist das aus Security-Sicht einfach eine andere Vertrauens- und Angriffsoberfläche als eine sauber integrierte Funktion direkt in der Firewall oder im zentralen Management.

Genau deshalb wäre eine tiefere Integration in SFOS oder in Sophos Central der deutlich angenehmere Weg. Nicht nur aus Komfortsicht, sondern auch, weil sich damit Rollen, Freigaben, Auditierbarkeit und der Umgang mit sensiblen Konfigurationsdaten sauberer an einem Ort bündeln ließen.

Hinzu kommt noch ein weiterer Punkt aus dem Video: Nicht alle Konfigurationsbestandteile werden aktuell vollständig unterstützt. Das Tool weist beim Import sogar selbst darauf hin. Man kann nicht unterstützte Teile entfernen oder behalten, sie werden dann aber nicht komplett im Studio sichtbar. Auch das ist nachvollziehbar für eine frühe Ausbaustufe, zeigt aber eben ebenfalls, dass hier noch kein vollständiger Ersatz für die echte Admin-Oberfläche entstanden ist.

Wo das Tool aktuell noch Grenzen hat

Das Tool ist noch nicht perfekt. Vor allem diese Punkte fehlen oder sind derzeit noch nicht ganz sauber gelöst:

Linked NAT Rules können falsch wie “Any” aussehen

Im offiziellen Feedback-Thread weist Sophos darauf hin, dass verlinkte NAT-Regeln im Tool aktuell in manchen Fällen mit Any für Quelle oder Ziel dargestellt werden können. Der Grund ist laut Sophos nicht ein klassischer Anzeige-Bug, sondern die Tatsache, dass sich aus der exportierten XML allein nicht eindeutig erkennen lässt, ob eine Regel intern als “linked rule” behandelt wird.

Das ist wichtig. Denn sobald daraus Folgeanalysen wie “shadowed rules” entstehen, kann man sich sonst auf eine falsch interpretierte Darstellung verlassen.

Sophos-Central-Backups mit .backup sind noch kein sauberer Input

Ebenfalls aus der Community kam direkt die Nachfrage, ob verschlüsselte Sophos-Central-Backups mit der Endung .backup künftig unterstützt werden. Stand heute ist das noch nicht der Fall, weil Config Studio auf Entities.xml basiert und die verschlüsselten Central-Backups dafür nicht direkt nutzbar sind.

Gerade für MSPs wäre genau das natürlich spannend. Im Moment bleibt das eher ein Wunsch für eine spätere Version.

Edge Cases wird es weiterhin geben

Schon in den ersten Tagen nach dem Release gab es Hinweise auf Abweichungen bei bestimmten Spezialfällen. Das ist für ein junges Tool nicht ungewöhnlich, aber es ist der Grund, warum ich damit derzeit so arbeiten würde:

Config Studio V2 als starkes Analyse- und Vorbereitungswerkzeug nutzen, aber kritische Sonderfälle weiterhin gegen die echte Firewall-UI und den realen Traffic gegenprüfen.

Mein Fazit

Sophos Firewall Config Studio V2 ist für mich eines dieser Tools, die auf den ersten Blick unspektakulärer wirken, als sie im Alltag tatsächlich sind.

Es ist kein Sicherheitsfeature im engeren Sinn. Es blockiert keine Angriffe und patcht keine Schwachstelle. Aber es reduziert Reibung in genau dem Bereich, in dem viele Fehler entstehen: beim Verstehen und Ändern von Firewall-Konfigurationen.

Und das ist in der Praxis enorm viel wert.

Der alte Viewer war schon nützlich. Mit V2 wird daraus jetzt ein Werkzeug, das man bei Audits, Migrationsprojekten, Rule-Cleanups und größeren Changes viel ernster auf dem Radar haben sollte. Noch nicht als einzige Wahrheit, aber definitiv als sehr brauchbare Arbeitsoberfläche rund um die Entities.xml.

Gleichzeitig zeigt gerade der Mehrwert des Tools, welche Funktionen Sophos viel näher an Firewall und Sophos Central bringen müsste. Das beste Beispiel ist für mich die Erkennung überschatteter Regeln. Das ist kein Bonus, sondern genau die Art Hilfestellung, die man direkt beim Bauen und Sortieren von Regeln sehen will.

Mein eigentliches Fazit ist deshalb größer als dieses eine Tool: Config Studio wirkt für mich wie die Bestätigung, dass Sophos sich bei Firewall-GUI und Central zu lange auf Workarounds statt auf echte Produktpflege verlassen hat. Mit heutigen agentischen Entwicklungswerkzeugen lässt sich natürlich schnell ein externes Hilfstool bauen, das Admins kurzfristig Probleme abnimmt. Aber genau das darf nicht zur Dauerlösung werden. Denn ein Workaround bleibt ein Workaround, auch wenn er hübsch aussieht.

Bis zum nächsten Mal,
Joe

Sources

Related Posts

Sophos Firewall v22 MR1: Upgrade jetzt oder noch warten?

Sophos Firewall v22 MR1: Upgrade jetzt oder noch warten?

Sophos Firewall: Keine CVEs, aber Bugs (v21.5 bis v22)

Sophos Firewall: Keine CVEs, aber Bugs (v21.5 bis v22)

Anthropic Mythos und Project Glasswing: Was auf IT-Security zukommt

Anthropic Mythos und Project Glasswing: Was auf IT-Security zukommt

© 2026 trueNetLab

Suche