trueNetLab ⚡️
Sophos Firewall Config Studio V2: Lebih dari sekadar viewer

Sophos Firewall Config Studio V2: Lebih dari sekadar viewer

12 min read
Network Sophos Security

Daftar isi

Pada Februari, Sophos merilis Configuration Viewer, sebuah tool yang akhirnya membuat satu kelemahan besar di dunia Sophos Firewall sedikit lebih mudah ditangani: membaca, mencari, dan membandingkan konfigurasi tanpa harus tersiksa dengan XML mentah. Saya sudah membahas tool awal itu di sini: post saya tentang Sophos Firewall Configuration Viewer .

Pada 15 April 2026, Sophos melangkah lebih jauh. Configuration Viewer yang lama kini menjadi Config Studio V2. Pergantian nama ini penting, karena ini lebih dari sekadar kosmetik. Sophos jelas tidak lagi melihatnya hanya sebagai viewer, tetapi sebagai tool berbasis browser yang sekarang juga ditujukan untuk editing.

Di situlah tool ini menjadi menarik. Membaca adalah satu hal. Dalam operasi firewall nyata, hampir selalu ada tiga kebutuhan sekaligus: memahami, membandingkan, dan mengubah dengan rapi.

Dan justru di sini kritik besar saya dimulai. Sebagus apa pun tool ini dalam banyak hal, sulit untuk mengabaikan bahwa Sophos sekali lagi membangun kemampuan ini di luar firewall itu sendiri, dan juga di luar Sophos Central atau Firewall Manager. Di beberapa area, tool sampingan ini sekarang terasa lebih modern dan lebih kuat daripada UI firewall atau lapisan manajemen pusat. Dari sudut pandang admin, itu sulit dijustifikasi.

Siapa pun yang sudah lama mengamati Sophos pasti kenal pola ini. Perubahan UI yang nyata datang sangat lambat. Dari perspektif admin, butuh waktu yang terasa sangat lama sampai monitor widescreen didukung dengan layak. Pada saat yang sama, UTM lama di beberapa bagian masih punya change logging yang lebih enak, karena lebih jelas siapa user yang mengubah apa. Topik quality-of-life seperti ini tertinggal bertahun-tahun, sementara tiap release sering kali lebih menonjolkan hal-hal yang terdengar bagus di slide vendor atau analis.

Kalau Anda ingin melihat overview resmi dari Sophos dulu, videonya ada di sini:

Apa sebenarnya Config Studio V2

Sophos mendeskripsikan Config Studio V2 sebagai tool berbasis browser untuk melihat, menganalisis, membandingkan, dan sekarang juga mengedit konfigurasi firewall. Sekilas, ini mungkin terdengar hanya seperti versi baru dengan nama baru. Dalam praktiknya, lebih dari itu.

Arah resminya cukup jelas:

  • membaca satu konfigurasi sebagai laporan penuh
  • membandingkan dua konfigurasi
  • membuat konfigurasi baru dari nol
  • mengubah konfigurasi yang ada langsung di dalam tool
  • mengekspor hasil lagi sebagai XML, TAR, API, atau output curl

Di titik ini, menurut saya tool ini bergeser dari “alat bantu dokumentasi” menjadi “alat kerja sungguhan”. Pada saat yang sama, hal itu juga makin memperjelas apa yang belum diselesaikan Sophos dengan baik di dalam firewall dan Central.

Video resmi Sophos juga menunjukkan bahwa Config Studio V2 kini jauh melampaui viewer lama. Yang ditampilkan antara lain:

  • membuat konfigurasi baru dari kosong
  • mengimpor dan mengedit konfigurasi XML yang ada
  • membuat firewall rules dan mengubah urutannya
  • mendeteksi shadowing dan menyelesaikannya dengan memindah atau menghapus rule
  • melakukan bulk changes, misalnya mengaktifkan logging pada banyak rule sekaligus
  • menampilkan object references
  • mendeteksi object yang duplikat atau tidak terpakai
  • mengimpor object secara massal dari CSV dan format lain
  • membuat cloud objects dari data vendor seperti Microsoft JSON
  • mengekspor konfigurasi lagi sebagai XML atau TAR

Ini bukan gimmick. Ini fitur admin yang nyata.

Mengapa ini penting dalam pekerjaan sehari-hari

Dalam teori, kita mengelola firewall changes lewat proses, ticket, four-eyes principle, dan test plan. Dalam kenyataan, sering kali Anda duduk di depan sebuah export, diff, firewall sekunder lama, atau environment warisan, lalu pertama-tama mencoba memahami sebenarnya apa yang sudah dibangun di sana.

Tepat di situ Config Studio V2 menunjukkan nilainya.

Untuk audit dan review

Kalau Anda harus mengambil alih Sophos Firewall milik orang lain, web UI sering kali bukan titik awal terbaik. Anda klik NAT, firewall rules, objects, interfaces, VPNs, dan berbagai special case, lalu kehilangan alurnya, dan berakhir dengan screenshots serta catatan di banyak tab.

Laporan konfigurasi yang rapi jauh lebih enak dipakai. Daripada berputar-putar di menu, Anda mendapat pandangan yang menyatu tentang rules, policies, dan settings. Untuk review dan audit, ini sangat membantu.

Untuk change windows

Bagian compare bahkan lebih relevan buat saya. Pada change yang lebih besar, saya tidak hanya ingin tahu bahwa sesuatu berubah. Saya ingin melihat dengan jelas apa yang ditambahkan, dihapus, atau dimodifikasi.

Untuk migrasi WAN, rewrite NAT, perubahan VPN, atau cleanup rules yang tumbuh bertahun-tahun, diff yang rapi menghemat waktu nyata dan menurunkan risiko menyentuh hal lain tanpa sadar.

Untuk MSP, handover, dan migrasi

Siapa pun yang menangani banyak firewall atau menyerahkan environment antar tim mengenal masalah yang sama. Konfigurasi sering hidup di beberapa tempat sekaligus:

  • di firewall itu sendiri
  • di ticket
  • di spreadsheet
  • di wiki
  • dan di kepala orang yang dulu pertama kali membangunnya

Config Studio V2 membantu mengecilkan gap itu. Bukan sebagai pengganti dokumentasi yang baik, tetapi sebagai titik awal yang jauh lebih baik untuk handover dan review.

Apa yang benar-benar berubah dibanding viewer lama

Configuration Viewer yang asli pada dasarnya adalah tool untuk membaca dan membandingkan. Itu pun sudah sangat membantu, karena konfigurasi XML Sophos memang tidak dibuat untuk mata manusia.

Dengan V2, langkah penentu yang baru adalah editing.

Sophos sekarang secara resmi menyebutnya sebagai configuration editor. Artinya Anda tidak lagi hanya bisa mengimpor dan menganalisis export, tetapi juga mengedit konfigurasi di dalam tool, lalu mengunduhnya lagi, dan bila perlu memanfaatkannya sebagai API atau output curl.

Output API dan curl itu menarik buat saya, bukan karena setiap admin firewall akan mendadak mengotomasi semuanya, tetapi karena perubahan jadi lebih mudah direplikasi, didokumentasikan, dan diintegrasikan ke workflow yang sudah ada.

Ini sangat relevan untuk tim yang mulai ingin membuat perubahan firewall lebih terkendali dan lebih reproducible tanpa harus langsung membangun platform infrastructure as code yang lengkap.

Karena itulah rename dari Viewer ke Studio juga terasa seperti, “kami sedang membangun ini jadi sesuatu yang lebih besar di samping produk utama.” Semakin banyak fungsi masuk ke sini, semakin besar pertanyaannya: kenapa tidak masuk langsung ke firewall atau Sophos Central?

Seperti apa workflow-nya dalam praktik

Hal baiknya, langkah awal tetap sederhana. Config Studio V2 juga bekerja berdasarkan exported configurations.

1) Export konfigurasi

Sophos masih mengharuskan Entities.xml dari konfigurasi firewall. Workflow-nya adalah:

  1. buka Backup & firmware > Import export di WebAdmin
  2. export full atau selective configuration
  3. unpack file API-xxxxxx.tar yang diunduh
  4. upload Entities.xml yang ada di dalamnya ke Config Studio

Ini penting, karena komunitas dengan cepat menyorot satu hal ini: format input langsung bukan file TAR-nya, tetapi Entities.xml yang diekstrak.

2) Baca report atau mulai comparison

Setelah itu, pada intinya ada dua arah:

  • membaca dan menganalisis satu konfigurasi
  • membandingkan dua konfigurasi

Bagi banyak admin, poin pertama saja sudah sangat berguna. Terutama ketika ingin tahu object tertentu dipakai di mana, rule group mana yang benar-benar ada, atau bagaimana sebuah policy dibangun.

3) Yang baru sekarang: edit

Dengan V2, bagian barunya adalah editing: ubah konfigurasi, unduh lagi, dan bila perlu gunakan ulang dalam bentuk XML, API, atau curl.

Ini tidak menjadikan Config Studio pengganti UI firewall. Tetapi dengan jelas menggeser manfaatnya ke arah change workbench yang nyata.

Di mana saya melihat value terbesar

Saya melihat empat use case praktis di mana Config Studio V2 langsung masuk akal.

Persiapan untuk change yang lebih besar

Jika sebelum maintenance window harus jelas rule, object, dan relasi NAT mana yang akan berubah, laporan konfigurasi yang terstruktur plus diff sebelum/sesudah jauh lebih nyaman daripada XML dan lompat-lompat UI.

Review rule set yang sudah ada

Banyak instalasi Sophos tumbuh selama bertahun-tahun. Host objects lama, service duplikat, rule NAT historis, dan sisa-sisa project tetap tinggal. Tool yang membuat semua itu lebih mudah dibaca membantu bukan hanya untuk change baru, tetapi juga untuk cleanup.

Handover ke tim lain atau provider

Tidak semua orang yang perlu meninjau konfigurasi harus punya direct admin access ke firewall. Export atau report yang rapi sering kali menjadi dasar yang lebih baik.

Langkah menuju perubahan yang lebih reproducible

Output API dan curl bagi saya adalah sinyal paling jelas ke arah mana Sophos ingin membawa topik ini. Bukan hanya visibility, tetapi pekerjaan konfigurasi yang lebih terstruktur.

Ini khususnya menarik bagi tim yang ingin menstandardisasi sebagian perubahan mereka tanpa langsung masuk penuh ke infrastructure as code.

Apa yang langsung kurang di SFOS

Di sinilah kritik utama saya.

Seberguna apa pun Config Studio V2, banyak fungsi ini justru akan lebih berharga kalau tidak perlu menjadi tool eksternal. Kalau kita bicara admin ergonomics yang nyata, saya justru ingin melihat hal-hal seperti ini langsung di SFOS:

  • bulk editing untuk firewall rules
  • mengaktifkan, menonaktifkan, atau memindahkan banyak rule sekaligus
  • akhirnya cloning NAT rules dengan benar
  • rename objects secara massal
  • mengubah referensi host, service, atau FQDN dengan search and replace
  • mengidentifikasi dan membersihkan object yang tidak terpakai
  • mendeteksi dan menggabungkan duplikat
  • melihat konflik rule saat rule sedang dibangun
  • cloning atau memindahkan blok rule
  • melihat perbandingan sebelum/sesudah sebelum commit changes
  • mass import objects tanpa perlu tool eksternal

Untuk environment yang lebih besar, ini akan sangat meningkatkan kenyamanan sehari-hari. Sebaliknya, kita masih harus melalui export, unpack, upload, lalu jalan balik. Ini bekerja, tetapi tidak elegan.

Dan saya memang sengaja kritis di sini: videonya cukup jelas menunjukkan bahwa Sophos lebih memilih mengirimkan usability features yang berguna ke tool browser terpisah daripada benar-benar memodernisasi firewall UI dan Sophos Central. Kita sampai hari ini masih menunggu hal-hal mendasar seperti fungsi clone yang layak untuk NAT rules. Pada saat yang sama, conflict detection, bulk editing, object analysis, dan cloud import masuk ke Studio. Dari sudut pandang vendor, ini mungkin lebih cepat dibangun dan lebih mudah di-whitelist. Dari sudut pandang admin, ini justru menciptakan dunia paralel di mana fitur kenyamanan terbaik tidak hidup di tempat kerja utama.

Karena itu, Config Studio bagi saya bukan cuma tool baru, tetapi juga semacam konfirmasi. Produk ini terasa seperti menunjukkan bahwa Sophos sudah terlalu lama mandek di UI firewall dan Central. Low-hanging fruit masih tergeletak, sementara tool eksternal tiba-tiba menyelesaikan hal-hal yang platform utama sebenarnya sudah punya banyak waktu untuk kerjakan.

Mengapa model import/export belum sepenuhnya meyakinkan saya

Untuk review kecil, model ini oke. Untuk perubahan produktif, dari sudut pandang admin rasanya masih agak canggung.

Begitu sebuah tool bekerja di atas exported configurations, beberapa risiko praktis langsung muncul:

  • konfigurasi yang diekspor mungkin sudah tidak terbaru
  • beberapa admin mungkin bekerja paralel sementara export tertinggal
  • data firewall yang sensitif kini tersimpan sebagai file di laptop atau folder proyek
  • drift bisa muncul di antara analisis, edit, dan re-import

Ini tidak berarti Config Studio V2 buruk. Hanya berarti workflow saat ini masih terasa lebih seperti workaround daripada solusi native yang paling bersih.

Untuk audit dan planning, itu cocok. Untuk administrasi harian, saya tetap lebih ingin melihat lebih banyak dari ini langsung di firewall.

Dari sisi security ada satu hal lagi: Sophos mengatakan prosesnya tetap lokal di browser. Itu bagus, dan jelas lebih baik daripada mengunggah seluruh konfigurasi firewall ke layanan cloud jarak jauh. Tetapi itu tetap sebuah trust model yang harus diterima secara sadar. Ini bukan file biasa. Sering kali isinya data konfigurasi yang sangat sensitif: network segments, objects, rules, relasi NAT, definisi VPN, dan metadata lain yang relevan secara keamanan.

Bagian yang tidak nyaman bukan cuma pertanyaan “apakah ada sesuatu yang dikirim ke Sophos atau tidak?” Melainkan seluruh konteks browser. Anda memuat data sensitif ke tool berbasis web dan harus mempercayai aplikasi yang dikirim ke browser, pemrosesan lokal, browser itu sendiri, extension yang mungkin terpasang, local cache, dan cara file-file export itu ditangani di sistem admin. Walaupun semuanya secara teknis tetap lokal, trust surface dan attack surface-nya tetap berbeda dibanding fitur yang terintegrasi rapi di firewall atau central management.

Karena itulah integrasi lebih dalam ke SFOS atau Sophos Central akan menjadi jalur yang jauh lebih bersih. Bukan hanya soal kenyamanan, tetapi juga karena roles, approvals, auditability, dan penanganan data konfigurasi sensitif bisa dikumpulkan di satu tempat.

Ada satu hal lagi dari video itu: belum semua komponen konfigurasi didukung penuh. Tool-nya sendiri memperingatkan soal itu saat import. Bagian yang tidak didukung bisa dihapus atau dipertahankan, tetapi tidak akan sepenuhnya terlihat di dalam Studio. Itu masuk akal untuk tahap awal, tetapi tetap menunjukkan bahwa ini belum menjadi pengganti penuh untuk admin surface yang sesungguhnya.

Di mana tool ini masih punya batas

Tool ini belum sempurna. Beberapa poin berikut masih belum ada atau belum sepenuhnya rapi saat ini:

Linked NAT rules bisa terlihat seperti Any

Di feedback thread resmi, Sophos mencatat bahwa linked NAT rules saat ini dalam beberapa kasus dapat terlihat sebagai Any untuk source atau destination. Ini tidak dijelaskan sebagai display bug klasik, melainkan keterbatasan dari apa yang bisa disimpulkan secara andal dari XML hasil export.

Itu penting, karena analisis lanjutan seperti quality checks atau rule shadowing bisa menyesatkan kalau representasinya sendiri belum sepenuhnya akurat.

File Sophos Central .backup belum menjadi input yang rapi

Pertanyaan lain dari komunitas adalah apakah backup Sophos Central terenkripsi dengan ekstensi .backup akan didukung nanti. Untuk saat ini, belum, karena Config Studio dibangun di sekitar Entities.xml, dan backup Central terenkripsi itu tidak bisa dipakai langsung.

Khusus untuk MSP, fitur seperti itu tentu akan sangat menarik. Saat ini, itu masih jadi wish list untuk versi berikutnya.

Edge case akan tetap ada

Dalam beberapa hari pertama setelah rilis, sudah ada indikasi adanya penyimpangan pada beberapa kasus khusus. Itu wajar untuk tool yang masih muda, tetapi itu juga alasan mengapa saya akan menggunakannya seperti ini untuk saat ini:

Gunakan Config Studio V2 sebagai tool analisis dan persiapan yang kuat, tetapi tetap verifikasi edge case yang kritis terhadap firewall UI yang asli dan traffic nyata.

Kesimpulan

Sophos Firewall Config Studio V2 adalah salah satu tool yang pada pandangan pertama tampak kurang spektakuler daripada nilainya yang sebenarnya di operasi sehari-hari.

Ini bukan security feature dalam arti sempit. Ia tidak memblokir serangan dan tidak menambal kerentanan. Tetapi ia mengurangi friction tepat di area di mana banyak kesalahan muncul: memahami dan mengubah konfigurasi firewall.

Dan itu sangat berharga dalam praktik.

Viewer lama sudah berguna. Dengan V2, ia menjadi sesuatu yang jauh lebih layak diperhatikan untuk audit, migration projects, rule cleanup, dan change yang lebih besar. Bukan sebagai satu-satunya kebenaran, tetapi jelas sebagai working surface yang sangat berguna di sekitar Entities.xml.

Pada saat yang sama, nilai tool ini juga menyoroti kemampuan apa saja yang seharusnya Sophos bawa lebih dekat ke firewall dan Sophos Central. Contoh terbaik bagi saya adalah deteksi rules yang menimpa rule lain. Itu bukan bonus. Itulah jenis bantuan yang seharusnya terlihat langsung saat rule dibangun dan diurutkan.

Karena itu, kesimpulan saya sebenarnya lebih besar daripada tool ini saja: Config Studio terasa seperti konfirmasi bahwa Sophos terlalu lama mengandalkan workaround alih-alih perawatan produk yang nyata di sekitar firewall UI dan Central. Dengan agentic development tools masa kini, tentu mudah membangun helper eksternal dengan cepat. Tetapi itu tidak boleh menjadi jawaban jangka panjang. Workaround tetaplah workaround, walaupun terlihat rapi.

Sampai jumpa lagi,
Joe

Sources

Related Posts

Sophos Firewall v22 MR1: Upgrade sekarang atau tunggu dulu?

Sophos Firewall v22 MR1: Upgrade sekarang atau tunggu dulu?

Sophos Firewall: Tanpa CVE, Tetapi Penuh dengan Bug (v21.5 hingga v22)

Sophos Firewall: Tanpa CVE, Tetapi Penuh dengan Bug (v21.5 hingga v22)

Anthropic Mythos dan Project Glasswing: apa yang menanti keamanan TI

Anthropic Mythos dan Project Glasswing: apa yang menanti keamanan TI

© 2026 trueNetLab

Cari