trueNetLab ⚡️
Sophos Firewall Config Studio V2: Lebih daripada sekadar viewer

Sophos Firewall Config Studio V2: Lebih daripada sekadar viewer

12 min read
Network Sophos Security

Jadual kandungan

Pada Februari, Sophos melancarkan Configuration Viewer, iaitu tool yang akhirnya membuat satu kelemahan besar dalam dunia Sophos Firewall menjadi sedikit kurang menyakitkan: membaca, mencari dan membandingkan konfigurasi tanpa perlu bergelut dengan XML mentah. Saya sudah menulis tentang tool asal itu di sini: artikel saya tentang Sophos Firewall Configuration Viewer .

Pada 15 April 2026, Sophos melangkah lebih jauh. Configuration Viewer yang lama kini menjadi Config Studio V2. Penjenamaan semula ini penting kerana ia bukan sekadar kosmetik. Sophos jelas tidak lagi melihatnya hanya sebagai viewer, tetapi sebagai tool berasaskan browser yang kini juga boleh digunakan untuk editing.

Di sinilah tool ini menjadi menarik. Membaca adalah satu perkara. Dalam operasi firewall yang sebenar, kita hampir sentiasa perlukan tiga perkara sekali gus: memahami, membandingkan dan mengubah dengan bersih.

Dan di sinilah juga kritikan besar saya bermula. Sebagus mana pun tool ini dalam banyak aspek, sukar untuk tidak melihat bahawa Sophos sekali lagi membina capability ini di luar firewall sebenar, dan juga di luar Sophos Central atau Firewall Manager. Dalam beberapa bahagian, tool sampingan ini kini terasa lebih moden dan lebih berkuasa daripada firewall UI atau lapisan pengurusan pusat. Dari perspektif admin, itu memang sukar untuk diterima dengan tenang.

Siapa yang sudah lama memerhati Sophos tentu kenal pola ini. Peningkatan UI yang benar-benar terasa datang sangat perlahan. Dari perspektif pentadbir, sokongan skrin widescreen pun terasa mengambil masa terlalu lama. Pada masa yang sama, UTM lama masih ada bahagian yang lebih sedap digunakan, termasuk change logging yang lebih jelas tentang siapa ubah apa. Topik quality-of-life seperti inilah yang sering tertinggal bertahun-tahun, sedangkan setiap release lebih cenderung menyerlahkan perkara yang kedengaran bagus dalam slide vendor atau penganalisis.

Jika anda mahu melihat gambaran rasmi dari Sophos terlebih dahulu, videonya ada di sini:

Apa sebenarnya Config Studio V2

Sophos menerangkan Config Studio V2 sebagai tool berasaskan browser untuk melihat, menganalisis, membandingkan dan kini juga mengedit konfigurasi firewall. Pada pandangan pertama, ini mungkin kedengaran seperti versi baru dengan nama baru. Dalam praktik, ia lebih daripada itu.

Arah rasminya agak jelas:

  • membaca satu konfigurasi sebagai laporan penuh
  • membandingkan dua konfigurasi
  • membina konfigurasi baru dari kosong
  • mengubah konfigurasi sedia ada secara langsung dalam tool
  • mengeksport hasil semula sebagai XML, TAR, API atau output curl

Bagi saya, inilah titik di mana tool ini berubah daripada “alat bantu dokumentasi” menjadi “alat kerja sebenar”. Pada masa yang sama, ia juga membuatkan apa yang belum diselesaikan dengan baik oleh Sophos dalam firewall dan Central menjadi lebih jelas.

Video rasmi Sophos juga menunjukkan bahawa Config Studio V2 kini jauh melangkaui viewer lama. Antara yang ditunjukkan ialah:

  • mencipta konfigurasi baru sepenuhnya dari kosong
  • mengimport dan mengedit konfigurasi XML yang sedia ada
  • mencipta firewall rules dan menukar susunannya
  • mengesan shadowing dan menyelesaikannya dengan memindahkan atau memadam rule
  • membuat bulk changes, contohnya mengaktifkan logging pada banyak rule sekaligus
  • memaparkan object references
  • mengesan object yang duplicate atau tidak digunakan
  • mengimport object secara pukal daripada CSV dan format lain
  • menjana cloud objects daripada data vendor seperti Microsoft JSON
  • mengeksport semula konfigurasi sebagai XML atau TAR

Itu bukan gimmick. Itu benar-benar fungsi admin yang berguna.

Mengapa ini penting dalam kerja harian

Secara teori, kita mengurus firewall changes dengan proses, tiket, four-eyes principle dan test plan. Dalam realiti, anda sering duduk di depan satu export, diff, firewall kedua yang lama atau environment yang diwarisi, dan cuba faham dahulu apa sebenarnya yang telah dibina.

Di situlah Config Studio V2 menunjukkan nilainya.

Untuk audit dan review

Jika anda perlu mengambil alih Sophos Firewall milik orang lain, web UI selalunya bukan titik mula yang terbaik. Anda akan klik melalui NAT, firewall rules, objects, interfaces, VPN dan pelbagai special case, kemudian hilang rentak, dan berakhir dengan screenshot serta nota dalam banyak tab.

Laporan konfigurasi yang tersusun jauh lebih selesa digunakan. Daripada melompat melalui menu, anda mendapat pandangan yang lebih menyeluruh terhadap rules, policies dan settings. Untuk audit dan review, itu sangat membantu.

Untuk change window

Bagi saya, bahagian compare adalah lebih penting lagi. Dalam change yang lebih besar, saya tidak hanya mahu tahu bahawa ada sesuatu yang berubah. Saya mahu melihat dengan jelas apa yang ditambah, dibuang atau diubah.

Untuk migration WAN, penstrukturan semula NAT, perubahan VPN atau cleanup terhadap rule set yang berkembang bertahun-tahun, diff yang baik benar-benar menjimatkan masa dan mengurangkan risiko menyentuh perkara yang tidak berkaitan secara tidak sengaja.

Untuk MSP, handover dan migration

Sesiapa yang mengurus banyak firewall atau menyerahkan environment antara pasukan tahu masalah yang sama. Konfigurasi selalunya hidup di beberapa tempat serentak:

  • pada firewall itu sendiri
  • dalam tiket
  • dalam spreadsheet
  • dalam wiki
  • dan dalam kepala orang yang mula-mula membinanya

Config Studio V2 membantu mengecilkan jurang itu sedikit. Bukan sebagai pengganti dokumentasi yang baik, tetapi sebagai titik permulaan yang jauh lebih baik untuk handover dan review.

Apa yang benar-benar berubah berbanding viewer lama

Configuration Viewer yang asal pada dasarnya ialah tool membaca dan diff. Itu pun sudah berguna kerana XML Sophos memang tidak dibuat untuk mata manusia.

Dengan V2, langkah penentu yang baru ialah editing.

Sophos kini secara rasmi memanggilnya configuration editor. Ini bermaksud anda bukan sekadar mengimport dan menganalisis export, tetapi juga boleh mengubah konfigurasi dalam tool, memuat turunnya semula, dan jika perlu menggunakannya sebagai output API atau curl.

Output API dan curl itu menarik bagi saya bukan kerana setiap pentadbir firewall tiba-tiba akan mengautomasi semuanya, tetapi kerana ia membolehkan perubahan menjadi lebih mudah diulang, didokumentasikan dan diintegrasikan ke dalam workflow sedia ada.

Ini sangat relevan bagi pasukan yang mahu membuat perubahan firewall lebih terkawal dan lebih reproducible tanpa terus membina platform infrastructure as code yang lengkap.

Disebabkan itu juga, rename daripada Viewer ke Studio terasa sedikit seperti Sophos sedang membina sesuatu yang lebih besar secara sampingan. Semakin banyak fungsi mendarat di sini, semakin jelas soalannya: kenapa ia tidak terus wujud dalam firewall atau Sophos Central?

Bagaimana workflow ini kelihatan dalam amalan

Perkara baiknya ialah permulaan masih ringkas. Config Studio V2 juga berfungsi berasaskan konfigurasi yang dieksport.

1) Eksport konfigurasi

Sophos masih memerlukan Entities.xml daripada konfigurasi firewall. Workflow-nya ialah:

  1. pergi ke Backup & firmware > Import export dalam WebAdmin
  2. eksport full atau selective configuration
  3. unpack fail API-xxxxxx.tar yang dimuat turun
  4. upload Entities.xml yang terkandung di dalamnya ke Config Studio

Perincian ini penting, kerana komuniti dengan cepat menyedari perkara yang sama: format input sebenar bukan fail TAR itu sendiri, tetapi Entities.xml yang diekstrak.

2) Baca report atau mulakan comparison

Selepas itu, tool ini pada asasnya menawarkan dua arah:

  • membaca dan menganalisis satu konfigurasi
  • membandingkan dua konfigurasi

Bagi ramai pentadbir, fungsi pertama itu sahaja pun sudah cukup berguna. Terutama apabila anda mahu tahu di mana sesuatu object digunakan, rule group mana yang benar-benar wujud, atau bagaimana sesuatu policy dibina.

3) Yang baru sekarang: edit

Dengan V2, bahagian baru ialah editing: ubah konfigurasi, muat turun semula, dan gunakan semula dalam bentuk XML, API atau curl jika perlu.

Ini tidak menjadikan Config Studio pengganti kepada firewall UI. Tetapi ia jelas mengalihkannya ke arah change workbench yang sebenar.

Di mana saya melihat nilai terbesar

Saya melihat empat use case praktikal di mana Config Studio V2 terus masuk akal.

Persediaan untuk change yang lebih besar

Jika sebelum maintenance window anda perlu tahu rule, object dan hubungan NAT mana yang akan berubah, laporan konfigurasi yang tersusun dengan diff sebelum dan selepas jauh lebih selesa daripada XML dan UI hopping.

Review terhadap rule set sedia ada

Banyak instalasi Sophos berkembang selama bertahun-tahun. Host object lama, service duplicate, rule NAT bersejarah dan sisa project terus tinggal. Tool yang menjadikan semua ini lebih mudah dibaca bukan sahaja membantu pada change baru, tetapi juga semasa cleanup.

Handover kepada pasukan lain atau provider

Tidak semua orang yang perlu review konfigurasi memerlukan direct admin access ke firewall. Export atau report yang bersih sering kali menjadi asas yang lebih baik.

Langkah ke arah perubahan yang lebih reproducible

Output API dan curl ialah isyarat paling jelas bagi saya tentang ke mana Sophos mahu membawa topik ini. Bukan sekadar visibility, tetapi kerja konfigurasi yang lebih tersusun.

Ini sangat menarik bagi pasukan yang mahu menyeragamkan sebahagian change tanpa terus masuk penuh ke infrastructure as code.

Apa yang kurang secara langsung dalam SFOS

Di sinilah kritikan utama saya.

Seberguna mana pun Config Studio V2, banyak fungsi ini akan menjadi lebih bernilai jika ia tidak perlu wujud secara external. Jika kita benar-benar bercakap tentang admin ergonomics, saya lebih mahu melihat perkara berikut secara terus dalam SFOS:

  • bulk editing untuk firewall rules
  • mengaktifkan, menyahaktifkan atau mengalihkan banyak rule sekali gus
  • cloning NAT rules dengan betul
  • rename objects secara pukal
  • mengubah references host, service atau FQDN melalui search and replace
  • mengenal pasti dan membersihkan object yang tidak digunakan
  • mengesan dan menggabungkan duplicate
  • melihat konflik rule semasa rule dibina
  • cloning atau memindahkan blok rule
  • melihat comparison sebelum dan selepas sebelum commit
  • sokongan bulk import untuk objects tanpa perlu tool luar

Dalam environment yang lebih besar, ini akan sangat memperbaiki operasi harian. Sebaliknya, kita masih bergantung pada export, unpack, upload dan perjalanan balik semula. Ia berfungsi, tetapi tidak elegan.

Dan di sini saya memang sengaja kritikal: video itu menunjukkan dengan jelas bahawa Sophos lebih suka menghantar usability features yang berguna ke dalam tool browser berasingan daripada menaik taraf firewall UI dan Sophos Central secara serius. Kita masih menunggu perkara asas seperti fungsi clone yang munasabah untuk NAT rules. Pada masa yang sama, conflict detection, bulk editing, object analysis dan cloud import masuk ke Studio. Dari sudut vendor, itu mungkin lebih cepat dibina dan lebih mudah di-whitelist. Dari sudut admin, ia mewujudkan dunia selari di mana feature keselesaan terbaik tidak hidup di tempat kerja utama.

Sebab itu Config Studio bagi saya bukan hanya tool baru, tetapi juga satu pengesahan. Ia memberi rasa bahawa Sophos sudah terlalu lama tersekat pada firewall UI dan Central. Low-hanging fruit masih ada, sementara tool external tiba-tiba menyelesaikan perkara yang platform utama sepatutnya sudah lama tangani.

Mengapa model import/export masih belum benar-benar meyakinkan saya

Untuk review kecil, model ini okay. Untuk change dalam production, dari perspektif admin ia masih terasa sedikit janggal.

Sebaik sahaja sesuatu tool bekerja atas exported configurations, beberapa risiko praktikal muncul serta-merta:

  • konfigurasi yang dieksport mungkin sudah lapuk
  • beberapa admin mungkin bekerja secara selari sementara export ketinggalan
  • data firewall yang sensitif kini wujud sebagai fail pada laptop atau folder projek
  • drift boleh berlaku antara analisis, editing dan re-import

Ini tidak bermaksud Config Studio V2 buruk. Ia cuma bermaksud workflow semasa masih terasa lebih seperti workaround daripada solusi native yang paling bersih.

Untuk audit dan perancangan, ia sesuai. Untuk pentadbiran harian, saya masih lebih suka melihat lebih banyak capability seperti ini terus dalam firewall.

Dari sudut security, ada satu lagi perkara: Sophos mengatakan bahawa pemprosesan kekal local dalam browser. Itu bagus, dan jelas lebih baik daripada memuat naik keseluruhan konfigurasi firewall ke remote cloud service. Tetapi ia tetap trust model yang perlu diterima secara sedar. Ini bukan fail biasa. Ia sering mengandungi data konfigurasi yang sangat sensitif: network segment, objects, rules, hubungan NAT, definisi VPN dan metadata lain yang relevan terhadap keselamatan.

Bahagian yang tidak selesa bukan hanya soalan “adakah sesuatu dihantar kepada Sophos atau tidak?” Sebaliknya, ia adalah keseluruhan browser context. Anda memuatkan data sensitif ke tool yang dihantar melalui web, dan perlu mempercayai application yang dihantar, pemprosesan local, browser itu sendiri, extensions, local cache dan cara fail export itu diurus pada sistem admin. Walaupun semuanya secara teknikal kekal local, itu tetap trust surface dan attack surface yang berbeza berbanding feature yang terintegrasi kemas dalam firewall atau central management.

Sebab itulah integrasi yang lebih mendalam ke dalam SFOS atau Sophos Central akan menjadi jalan yang jauh lebih bersih. Bukan hanya dari sudut keselesaan, tetapi juga kerana roles, approvals, auditability dan pengendalian data konfigurasi sensitif boleh dikumpulkan di satu tempat.

Ada satu lagi perkara daripada video itu: bukan semua komponen konfigurasi disokong sepenuhnya lagi. Tool itu sendiri memberi amaran tentang hal tersebut semasa import. Bahagian yang tidak disokong boleh dibuang atau dikekalkan, tetapi ia tidak akan kelihatan sepenuhnya dalam Studio. Itu boleh difahami untuk tool yang masih muda, tetapi ia juga menunjukkan bahawa ini masih belum menjadi pengganti penuh kepada permukaan pentadbiran yang sebenar.

Di mana tool ini masih ada had

Tool ini belum sempurna. Beberapa perkara berikut masih belum ada atau belum sepenuhnya kemas:

Linked NAT rules boleh kelihatan sebagai Any

Dalam feedback thread rasmi, Sophos menyatakan bahawa linked NAT rules pada masa ini dalam sesetengah kes boleh kelihatan sebagai Any untuk source atau destination. Ini bukan diterangkan sebagai display bug klasik, tetapi sebagai had kepada apa yang boleh disimpulkan secara boleh dipercayai daripada XML yang dieksport.

Ini penting, kerana analisis seterusnya seperti quality checks atau pengesanan rule shadowing boleh menjadi mengelirukan jika representasi itu sendiri belum tepat sepenuhnya.

Fail Sophos Central .backup masih belum menjadi input yang bersih

Soalan lain daripada komuniti ialah sama ada backup Sophos Central yang dienkripsi dengan sambungan .backup akan disokong pada masa depan. Setakat ini belum, kerana Config Studio dibina berasaskan Entities.xml dan backup Central yang dienkripsi itu tidak boleh digunakan secara langsung.

Terutama untuk MSP, fungsi itu tentu sangat menarik. Buat masa ini, ia masih menjadi harapan untuk versi akan datang.

Edge case akan tetap wujud

Dalam beberapa hari pertama selepas release, sudah ada petunjuk tentang penyimpangan pada beberapa special case. Itu tidak luar biasa untuk tool yang masih baru, tetapi itulah sebabnya saya akan menggunakannya seperti ini buat masa sekarang:

Gunakan Config Studio V2 sebagai tool analisis dan persediaan yang kuat, tetapi tetap sahkan edge case yang kritikal terhadap firewall UI sebenar dan traffic sebenar.

Kesimpulan

Sophos Firewall Config Studio V2 bagi saya ialah salah satu tool yang pada pandangan pertama nampak kurang dramatik berbanding nilai sebenarnya dalam operasi harian.

Ia bukan security feature dalam erti kata sempit. Ia tidak menghalang attack dan tidak menampal vulnerability. Tetapi ia mengurangkan friction tepat di kawasan di mana banyak kesilapan berlaku: memahami dan mengubah konfigurasi firewall.

Dan itu sangat bernilai dalam praktik.

Viewer lama sudah pun berguna. Dengan V2, ia menjadi sesuatu yang patut diambil lebih serius untuk audit, migration, rule cleanup dan change yang lebih besar. Ia bukan satu-satunya kebenaran, tetapi jelas merupakan working surface yang sangat berguna di sekitar Entities.xml.

Pada masa yang sama, nilai tool ini juga menyerlahkan capability apa yang sepatutnya Sophos bawa lebih dekat kepada firewall dan Sophos Central. Contoh terbaik bagi saya ialah pengesanan rules yang menindih rule lain. Itu bukan bonus. Itulah jenis bantuan yang kita mahu lihat terus semasa membina dan menyusun rules.

Jadi kesimpulan sebenar saya lebih besar daripada tool ini sahaja: Config Studio terasa seperti pengesahan bahawa Sophos sudah terlalu lama bergantung pada workaround berbanding product care yang sebenar bagi firewall UI dan Central. Dengan agentic development tools hari ini, tentu mudah untuk membina helper external dengan cepat. Tetapi itu tidak patut menjadi jawapan jangka panjang. Workaround tetap workaround, walaupun ia nampak kemas.

Sampai jumpa lagi,
Joe

Sources

Related Posts

Sophos Firewall v22 MR1: Naik taraf sekarang atau tunggu dulu?

Sophos Firewall v22 MR1: Naik taraf sekarang atau tunggu dulu?

Sophos Firewall: Tiada CVE, Tetapi Penuh dengan Pepijat (v21.5 hingga v22)

Sophos Firewall: Tiada CVE, Tetapi Penuh dengan Pepijat (v21.5 hingga v22)

Anthropic Mythos dan Project Glasswing: apa yang menanti keselamatan IT

Anthropic Mythos dan Project Glasswing: apa yang menanti keselamatan IT

© 2026 trueNetLab

Cari