trueNetLab ⚡️
Sophos Firewall Config Studio V2: muito mais que um viewer

Sophos Firewall Config Studio V2: muito mais que um viewer

13 min read
Network Sophos Security

Índice

A Sophos lançou em fevereiro o Configuration Viewer, uma ferramenta que finalmente tornava um pouco menos dolorosa uma fraqueza conhecida do universo Sophos Firewall: ler, pesquisar e comparar configurações sem sofrer com XML bruto. Eu já tinha escrito sobre essa ferramenta original aqui: Sophos Firewall Configuration Viewer: Audit and Compare Configs .

Em 15 de abril de 2026, a Sophos deu o próximo passo. O antigo Configuration Viewer passa a se chamar Config Studio V2. E isso importa, porque a mudança de nome não é apenas estética. A Sophos já não trata a ferramenta apenas como um viewer, mas como uma ferramenta de navegador que agora também quer editar.

E é exatamente isso que a torna interessante. Ler é uma coisa. Na administração real de firewall, quase sempre são necessárias três coisas ao mesmo tempo: entender, comparar e mudar com cuidado.

E é exatamente aqui que a minha crítica começa. Por melhor que a ferramenta seja em muitos pontos, é difícil ignorar que a Sophos está construindo essas capacidades mais uma vez fora do próprio firewall e também fora do Sophos Central ou do Firewall Manager. Em alguns aspectos, essa ferramenta paralela já parece mais moderna e mais poderosa do que a interface do próprio firewall ou a camada central de gerenciamento.

Quem observa a Sophos há mais tempo reconhece o padrão. Melhorias visíveis de UI chegam muito devagar. Do ponto de vista de um admin, pareceu levar uma eternidade até que monitores widescreen fossem suportados de forma decente. Ao mesmo tempo, a antiga UTM ainda tinha, em alguns pontos, um log de mudanças mais agradável, onde era mais fácil ver qual usuário tinha alterado o quê. Esses temas de qualidade de vida ficam parados durante anos, enquanto em cada release aparecem sobretudo recursos que ficam bonitos nos slides do fabricante ou dos analistas.

Se você quiser primeiro ver a visão oficial da Sophos, aqui está o vídeo:

O Que o Config Studio V2 Realmente É

A Sophos descreve o Config Studio V2 como uma ferramenta baseada em navegador para ver, analisar, comparar e agora também editar configurações de firewall. À primeira vista, isso soa como uma nova versão com um novo nome. Na prática, é mais do que isso.

A direção oficial é bastante clara:

  • ler uma configuração como relatório completo
  • comparar duas configurações
  • criar uma configuração nova do zero
  • modificar uma configuração existente dentro da ferramenta
  • exportar novamente o resultado como XML, TAR, API ou curl

Esse é o ponto em que a ferramenta deixa de ser apenas um utilitário documental e passa a ser uma superfície real de trabalho. Ao mesmo tempo, ela também deixa mais evidente aquilo que a Sophos ainda não resolveu bem dentro do firewall e do Central.

O vídeo oficial também mostra que o Config Studio V2 vai muito além do viewer original. A Sophos mostra, entre outras coisas:

  • criação de novas configurações do zero
  • importação e edição de XMLs existentes
  • criação de regras de firewall e mudança da ordem delas
  • detecção de shadowing e resolução movendo ou apagando regras
  • mudanças em massa, por exemplo ativar logging em várias regras
  • visualização de referências de objetos
  • detecção de objetos duplicados ou não utilizados
  • importação em massa de objetos a partir de CSV e outros formatos
  • criação de cloud objects a partir de dados de fornecedores como JSON da Microsoft
  • nova exportação das configurações em XML ou TAR

Isso não são brinquedos. São funções reais para administradores.

Por Que Isso Importa no Dia a Dia

Na teoria, lidamos com mudanças de firewall com processos limpos, tickets, revisão e planos de teste. Na prática, muitas vezes alguém se vê diante de um export, um diff, um firewall secundário antigo ou um ambiente herdado e precisa primeiro entender o que foi construído ali.

É exatamente aí que o Config Studio V2 mostra valor.

Para Auditorias e Revisões

Quando você precisa assumir um Sophos Firewall desconhecido, a web UI raramente é o melhor ponto de partida. Você clica em NAT, regras de firewall, objetos, interfaces, VPNs e casos especiais, perde o fio da meada e termina com capturas de tela e anotações em várias abas.

Um relatório de configuração bem apresentado é muito mais agradável. Em vez de navegar por menus, você ganha uma visão coerente de regras, políticas e configurações. Para auditorias e revisões, isso tem valor real.

Para Janelas de Mudança

A parte de comparação me parece ainda mais importante. Em mudanças maiores, eu não quero apenas saber que algo foi alterado. Quero ver claramente o que foi adicionado, removido ou modificado.

Em migrações de WAN, reestruturações de NAT, mudanças em VPN ou limpeza de regras históricas, um bom diff economiza tempo de verdade e reduz o risco de mexer em assuntos laterais sem querer.

Para MSPs, Handover e Migrações

Quem gerencia muitos firewalls ou passa ambientes entre equipes conhece o mesmo problema. A configuração costuma existir em vários lugares ao mesmo tempo:

  • no próprio firewall
  • no ticket
  • em uma planilha
  • em algum wiki
  • e na cabeça de quem montou o ambiente anos atrás

O Config Studio V2 ajuda a reduzir um pouco essa lacuna. Não substitui boa documentação, mas oferece uma base muito melhor para handover e revisão.

O Que Mudou de Verdade em Relação ao Viewer Antigo

O Configuration Viewer original era sobretudo uma ferramenta de leitura e diff. Isso já era útil, porque o XML da Sophos não foi feito para olhos humanos.

Com a V2 chega o salto decisivo: editar.

A Sophos o apresenta claramente como configuration editor. Isso significa que agora não é mais só importar e analisar exports, mas também modificar a configuração dentro da ferramenta, baixá-la de novo e reutilizá-la em API ou curl se necessário.

Esse output em API e curl me interessa não porque todos os admins de firewall vão automatizar tudo amanhã cedo, mas porque isso torna as mudanças mais reproduzíveis e mais fáceis de documentar ou integrar a fluxos existentes.

Isso é especialmente útil para equipes que querem tornar suas mudanças de firewall mais controladas sem construir imediatamente uma plataforma completa de infrastructure as code.

E é também por isso que a passagem de Viewer para Studio dá a sensação de algo que está sendo ampliado pouco a pouco “ao lado”. Quanto mais funções pousam ali, mais evidente fica a pergunta: por que elas não pousam diretamente no firewall ou no Sophos Central?

Como o Fluxo Funciona na Prática

A base continua simples. O Config Studio V2 também trabalha sobre configurações exportadas.

1) Exportar a Configuração

A Sophos continua esperando a Entities.xml da configuração do firewall. O fluxo é:

  1. ir em Backup & firmware > Import export no WebAdmin
  2. exportar uma configuração completa ou seletiva
  3. descompactar o API-xxxxxx.tar
  4. enviar a Entities.xml para o Config Studio

Esse detalhe importa porque a comunidade percebeu isso muito rápido: a entrada direta não é o TAR, mas a Entities.xml extraída.

2) Ler um Relatório ou Iniciar uma Comparação

A partir daí, a ferramenta se divide basicamente em duas direções:

  • ler e analisar uma configuração
  • comparar duas configurações

Para muitos admins, só o primeiro ponto já é útil. Especialmente quando é preciso saber onde um objeto é usado, quais grupos de regras realmente existem ou como uma determinada policy foi construída.

3) Agora Também: Editar

Com a V2 chega a parte nova: modificar configurações, baixá-las novamente e reutilizá-las em XML, API ou curl.

Isso não transforma o Config Studio em substituto da UI do firewall. Mas o move claramente para uma espécie de bancada de change.

Onde Eu Vejo Mais Valor

Vejo quatro casos de uso especialmente claros.

Preparação de Mudanças Maiores

Quando antes de uma janela de manutenção é preciso entender quais regras, objetos ou relações NAT vão mudar, um relatório estruturado com diff antes/depois é muito mais agradável do que XML puro e troca constante de telas na UI.

Revisão de Regras Existentes

Muitos ambientes Sophos crescem por anos. Ficam objetos antigos, serviços duplicados, regras NAT históricas e restos de projetos. Uma ferramenta que torne tudo isso mais legível ajuda não só em mudanças novas, mas também na limpeza.

Handover para Outras Equipes ou Fornecedores

Nem toda pessoa que precisa revisar uma configuração deveria precisar de acesso admin ao firewall. Um export limpo ou um relatório pode ser uma base melhor.

Mudanças Mais Reproduzíveis

O output em API e curl é, para mim, o sinal mais claro de onde a Sophos quer levar esse tema. Não apenas visibilidade, mas uma gestão de mudanças um pouco mais estruturada.

Isso é interessante sobretudo para equipes que querem padronizar parte das mudanças sem mergulhar completamente em infrastructure as code.

O Que Falta Diretamente no SFOS

É aqui que a minha crítica principal começa.

Por mais útil que o Config Studio V2 seja, muitas dessas funções seriam ainda mais valiosas se não fossem externas. Se falamos de ergonomia real para administradores, eu preferiria ver diretamente no SFOS coisas como estas:

  • edição em massa de regras de firewall
  • ativar, desativar ou mover várias regras ao mesmo tempo
  • finalmente clonar regras NAT de forma decente
  • renomear objetos em massa
  • ajustar referências de host, service ou FQDN com buscar e substituir
  • identificar e limpar objetos não utilizados
  • detectar e unir duplicados
  • ver conflitos de regras enquanto elas são criadas
  • clonar ou mover blocos de regras
  • ver comparações antes/depois antes de confirmar uma mudança
  • importar objetos em massa sem precisar de uma ferramenta externa

Em ambientes maiores isso melhoraria enormemente o trabalho diário. Em vez disso, continuamos com export, descompactação, upload e volta atrás. Funciona, mas não é elegante.

E aqui eu sou deliberadamente crítico: o vídeo mostra com bastante clareza que a Sophos prefere entregar melhorias úteis de usabilidade em uma ferramenta de navegador separada em vez de modernizar seriamente a web UI do firewall e o Sophos Central. Ainda estamos esperando coisas tão básicas quanto uma função decente para clonar regras NAT. Enquanto isso, detecção de conflitos, mudanças em massa, análise de objetos e imports cloud chegam ao Studio. Do ponto de vista do fabricante, isso pode ser mais rápido de construir e mais fácil de whitelistear. Do ponto de vista de um admin, cria uma realidade paralela em que as melhores funções não vivem onde o trabalho realmente acontece.

É por isso que o Config Studio não me parece apenas uma nova ferramenta, mas também uma confirmação. Dá para perceber que a Sophos está emperrada há anos quando se trata da GUI do firewall e do Central. Os low-hanging fruits continuam lá, enquanto uma ferramenta externa resolve de repente temas que a plataforma principal teve tempo mais do que suficiente para tratar.

Por Que o Modelo de Export/Import Ainda Não Me Convence Totalmente

Para revisões rápidas, o modelo é aceitável. Para mudanças em produção, ele continua parecendo um pouco desconfortável do ponto de vista de um administrador.

Assim que uma ferramenta trabalha sobre configurações exportadas, aparecem imediatamente alguns riscos práticos:

  • a configuração exportada pode já estar desatualizada
  • vários admins podem estar trabalhando em paralelo enquanto o export fica para trás
  • dados sensíveis do firewall passam a existir como arquivos em laptops ou pastas de projeto
  • pode surgir drift entre análise, edição e reimport

Isso não significa que o Config Studio V2 seja ruim. Significa que o workflow ainda se parece mais com um workaround do que com uma solução nativa realmente limpa.

Para auditorias e planejamento, isso funciona. Para o trabalho cotidiano, eu ainda preferiria mais dessas funções diretamente no firewall.

Do ponto de vista de segurança, há outro ponto: a Sophos diz que o processamento fica local no navegador. Isso é positivo, e claramente melhor do que subir configurações completas para um serviço cloud remoto. Mas continua sendo um modelo de confiança que precisa ser aceito conscientemente. Não estamos falando de arquivos inocentes. Muitas vezes eles contêm dados muito sensíveis: segmentos de rede, objetos, regras, relações NAT, definições de VPN e outros detalhes relevantes de segurança dependendo do tipo de export.

A parte desconfortável não é apenas a pergunta “alguma coisa vai para a Sophos ou não?”. É todo o contexto do navegador. Você carrega dados sensíveis em uma aplicação web e precisa confiar na aplicação entregue, no processamento local, no próprio navegador, em possíveis extensões, nos caches locais e na forma como esses arquivos são tratados no sistema do administrador. Mesmo que tecnicamente tudo fique local, isso continua sendo uma superfície de confiança e ataque diferente de uma função bem integrada ao firewall ou à camada de gestão central.

Por isso, uma integração mais profunda no SFOS ou no Sophos Central seria o caminho muito mais limpo. Não apenas por conveniência, mas também porque papéis, aprovações, auditabilidade e tratamento de dados sensíveis poderiam permanecer agrupados em um só lugar.

Há ainda outro ponto que aparece no vídeo: nem todos os componentes de configuração ainda são suportados completamente. A própria ferramenta avisa isso no import. As partes não suportadas podem ser removidas ou mantidas, mas nesse caso não ficam totalmente visíveis dentro do Studio. Isso é compreensível em uma fase inicial, mas mostra também que ainda não estamos diante de um substituto completo da superfície administrativa real.

Onde a Ferramenta Ainda Tem Limites

A ferramenta ainda não é perfeita. Estes pontos ainda faltam ou não estão completamente limpos hoje:

Linked NAT Rules Podem Aparecer como Any

No thread oficial de feedback, a Sophos explica que linked NAT rules podem em alguns casos aparecer como Any para source ou destination. Não parece ser um simples bug de interface, mas uma limitação naquilo que pode ser inferido de forma confiável a partir do XML exportado.

Isso importa porque análises posteriores, como detecção de regras que se sobrepõem, podem se tornar enganosas se a representação base não estiver totalmente correta.

Backups .backup do Sophos Central Ainda Não São um Input Limpo

Outra pergunta da comunidade foi sobre o suporte futuro a backups criptografados do Sophos Central com extensão .backup. Por enquanto isso não existe, porque o Config Studio gira em torno da Entities.xml e esses backups criptografados não podem ser usados diretamente.

Para MSPs isso seria obviamente muito útil. No momento, continua sendo mais um desejo do que realidade.

Edge Cases Continuarão Existindo

Já nos primeiros dias após o release apareceram sinais de comportamentos especiais em alguns casos limite. Isso não é surpreendente para uma ferramenta jovem, e é justamente por isso que eu hoje a usaria assim:

Usar o Config Studio V2 como uma ferramenta forte de preparação e análise, mas continuar validando casos críticos contra a UI real do firewall e contra tráfego real.

Conclusão

O Sophos Firewall Config Studio V2 é uma daquelas ferramentas que à primeira vista parecem menos espetaculares do que realmente são na prática.

Não é uma função de segurança em sentido estrito. Não bloqueia ataques nem corrige vulnerabilidades. Mas reduz atrito exatamente na área em que muitos erros nascem: entender e mudar configurações de firewall.

E isso tem valor real.

O antigo Viewer já era útil. Com a V2, temos algo muito mais sério para auditorias, migrações, limpeza de regras e mudanças grandes. Não como verdade única, mas sim como uma superfície de trabalho realmente útil em torno da Entities.xml.

Ao mesmo tempo, o valor dessa ferramenta torna ainda mais claro quais funções a Sophos deveria aproximar muito mais do firewall e do Sophos Central. O melhor exemplo para mim é a detecção de regras que se sobrepõem. Isso não é um bônus. É exatamente o tipo de ajuda que a gente quer ver enquanto cria e reorganiza regras.

Minha conclusão real vai além desta ferramenta específica: o Config Studio parece a confirmação de que a Sophos confiou por tempo demais em workarounds em vez de fazer trabalho real de produto em torno da GUI do firewall e do Central. Com as ferramentas agentic de hoje, é claro que dá para criar rapidamente um helper externo e entregar isso aos admins como solução prática. Mas isso não deveria se tornar a resposta permanente. Um workaround continua sendo um workaround, mesmo quando parece bonito.

Até a próxima,
Joe

Sources

Related Posts

Sophos Firewall v22 MR1: atualizar agora ou esperar?

Sophos Firewall v22 MR1: atualizar agora ou esperar?

Sophos Firewall: Sem CVEs, mas cheio de bugs (v21.5 a v22)

Sophos Firewall: Sem CVEs, mas cheio de bugs (v21.5 a v22)

Anthropic Mythos e Project Glasswing: o que vem para a cibersegurança

Anthropic Mythos e Project Glasswing: o que vem para a cibersegurança

© 2026 trueNetLab

Pesquisar