Sophos Firewall Config Studio V2: больше, чем просто viewer
Содержание
В феврале Sophos выпустил Configuration Viewer — tool, который наконец сделал одну из больших слабых сторон мира Sophos Firewall чуть менее болезненной: читать, искать и сравнивать конфигурации, не мучаясь с сырым XML. О самом первом варианте этого инструмента я уже подробно писал здесь: в статье про Sophos Firewall Configuration Viewer .
15 апреля 2026 года Sophos пошел дальше. Прежний Configuration Viewer превратился в Config Studio V2. Это важно, потому что речь не просто о переименовании. Sophos уже явно смотрит на него не как на viewer, а как на browser-based tool, который теперь должен еще и редактировать.
Именно здесь tool становится по-настоящему интересным. Читать — это одно. В реальной работе с firewall почти всегда нужны сразу три вещи: понять, сравнить и аккуратно изменить.
И вот здесь начинается моя большая критика. Tool сам по себе во многом хорош, но трудно игнорировать тот факт, что Sophos снова развивает такие возможности вне самой firewall и вне Sophos Central или Firewall Manager. В некоторых местах этот внешний инструмент уже сейчас выглядит современнее и мощнее, чем сама firewall UI или централизованное управление. С точки зрения admin это выглядит странно.
Кто давно наблюдает за Sophos, тот знает этот паттерн. Заметные UI-изменения приходят очень медленно. С позиции администратора даже поддержка widescreen-мониторов ощущалась как бесконечное ожидание. При этом старая UTM в ряде мест до сих пор приятнее, например по change logging, где было понятнее видно, какой user что менял. Именно такие quality-of-life темы годами остаются на обочине, тогда как в release notes чаще появляются функции, которые хорошо смотрятся в slide decks.
Если сначала хотите посмотреть официальный обзор от Sophos, вот видео:
Что вообще такое Config Studio V2
Sophos описывает Config Studio V2 как browser-based tool для просмотра, анализа, сравнения и теперь уже редактирования firewall-конфигураций. На первый взгляд это просто новая версия с новым названием. На практике это уже нечто большее.
Официальный вектор довольно понятен:
- читать одну конфигурацию как полный отчет
- сравнивать две конфигурации
- создавать новую конфигурацию с нуля
- менять существующую конфигурацию прямо в tool
- снова выгружать результат как XML, TAR, API или
curl
Для меня это та точка, где tool перестает быть просто “удобной документационной надстройкой” и становится реальным рабочим инструментом. Одновременно он еще сильнее подсвечивает, что Sophos до сих пор не решил внутри самой firewall и Central.
Официальное видео Sophos также показывает, что Config Studio V2 уже заметно превосходит старый viewer. Там, среди прочего, демонстрируются:
- создание новых конфигураций с чистого листа
- импорт и редактирование существующих XML-конфигураций
- создание firewall rules и изменение их порядка
- обнаружение shadowing и исправление через перемещение или удаление rules
- bulk changes, например массовое включение logging на большом количестве rules
- показ object references
- обнаружение duplicate и unused objects
- массовый импорт objects из CSV и других форматов
- создание cloud objects из vendor data вроде Microsoft JSON
- повторная выгрузка конфигураций в XML или TAR
Это не gimmicks. Это реальные admin-функции.
Почему это важно в повседневной работе
В теории firewall changes мы делаем через процессы, tickets, four-eyes principle и test plans. На практике вы очень часто сидите перед export, diff, старой второй firewall или унаследованной environment и сначала просто пытаетесь понять, что там вообще построено.
Вот именно здесь Config Studio V2 и раскрывается.
Для audit и review
Если вам нужно принять на сопровождение чужую Sophos Firewall, web UI далеко не всегда лучший старт. Вы прокликиваете NAT, firewall rules, objects, interfaces, VPN и special cases, теряете нить и в итоге остаетесь с кучей screenshot и заметок в нескольких tab.
Хорошо подготовленный configuration report гораздо удобнее. Вместо блуждания по меню вы получаете цельную картину правил, policies и settings. Для review и audit это реально полезно.
Для change windows
Для меня compare-часть еще важнее. При крупных изменениях я хочу не просто знать, что “что-то поменяли”. Я хочу отчетливо видеть, что было добавлено, удалено или изменено.
При WAN migration, переделке NAT, VPN changes или cleanup исторически разросшихся rule sets хороший diff действительно экономит время и снижает риск случайно зацепить что-то лишнее.
Для MSP, handover и migration
Те, кто управляет множеством firewall или передает среды между командами, знают ту же проблему. Конфигурация часто живет сразу в нескольких местах:
- на самой firewall
- в ticket
- в spreadsheet
- в каком-нибудь wiki
- и в голове того, кто когда-то это все строил
Config Studio V2 помогает немного сократить этот разрыв. Не как замена хорошей документации, а как гораздо лучшая отправная точка для handover и review.
Что реально изменилось по сравнению со старым viewer
Изначальный Configuration Viewer был прежде всего инструментом для чтения и diff. И это уже было неплохо, потому что XML у Sophos явно не рассчитан на человеческие глаза.
С V2 добавился решающий следующий шаг: editing.
Sophos теперь официально называет это configuration editor. То есть теперь вы можете не только импортировать и анализировать export, но и править конфигурацию внутри самого tool, снова ее выгружать и при необходимости использовать как API или curl output.
Именно этот API/curl output для меня особенно интересен. Не потому, что теперь каждый firewall admin внезапно станет автоматизатором. А потому, что изменения становится проще повторять, документировать и встраивать в существующие workflows.
Это особенно важно для команд, которые хотят делать firewall changes более контролируемыми и reproducible, не строя сразу полную платформу infrastructure as code.
Именно поэтому rename из Viewer в Studio ощущается для меня немного как “мы постепенно наращиваем это сбоку”. Чем больше функций туда уходит, тем очевиднее становится вопрос: почему этого нет прямо в firewall или Sophos Central?
Как workflow выглядит на практике
Хорошая новость в том, что вход по-прежнему довольно простой. Config Studio V2 работает на основе exported configurations.
1) Экспорт конфигурации
Sophos по-прежнему ожидает Entities.xml из firewall-конфигурации. Последовательность действий такая:
- перейти в
Backup & firmware > Import exportв WebAdmin - экспортировать full или selective configuration
- распаковать загруженный
API-xxxxxx.tar - загрузить содержащийся внутри
Entities.xmlв Config Studio
Это важная деталь, потому что community быстро обратила внимание именно на это: входным форматом является не TAR как таковой, а извлеченный Entities.xml.
2) Чтение report или запуск comparison
Дальше, по сути, есть два основных направления:
- читать и анализировать одну конфигурацию
- сравнивать две конфигурации
Для многих admin уже первый сценарий сам по себе очень полезен. Особенно когда нужно понять, где используется объект, какие rule groups действительно существуют и как устроена определенная policy.
3) Теперь новое: редактирование
С V2 появляется новый этап: менять конфигурацию, снова ее выгружать и при необходимости использовать в виде XML, API или curl.
Это не превращает Config Studio в замену firewall UI. Но это однозначно смещает инструмент в сторону полноценного change workbench.
Где я вижу наибольшую ценность
Я вижу четыре практических сценария, в которых Config Studio V2 сразу имеет смысл.
Подготовка больших changes
Если перед maintenance window нужно понять, какие rules, objects и NAT relationships изменятся, структурированный отчет плюс before/after diff гораздо удобнее, чем XML и UI hopping.
Review существующих rule sets
Многие Sophos-installations растут годами. Старые host objects, duplicate services, исторические NAT rules и остатки проектов никуда не исчезают. Tool, который делает все это более читаемым, помогает не только при новых changes, но и при cleanup.
Handover другим командам или подрядчикам
Не каждому, кто должен проверить конфигурацию, нужен direct admin access к firewall. Аккуратный export или report часто становится лучшей базой.
Шаг к более reproducible changes
API и curl output для меня — самый явный сигнал того, куда Sophos хочет двигать этот подход. Не просто дать обзор, а сделать саму конфигурационную работу более структурированной.
Это особенно интересно командам, которые хотят сильнее стандартизировать firewall changes, но без полного перехода в infrastructure as code.
Чего напрямую не хватает в SFOS
И вот здесь мой основной упрек.
Как бы ни был полезен Config Studio V2, многие из этих функций были бы еще ценнее, если бы не жили снаружи. Если говорить о реальной admin ergonomics, то именно такие вещи я хотел бы видеть напрямую в SFOS:
- bulk editing для firewall rules
- одновременное включение, отключение или перемещение нескольких rules
- нормальный clone для NAT rules
- массовое переименование objects
- изменение references на host, service или FQDN через search and replace
- поиск и cleanup unused objects
- обнаружение и merge duplicate
- видимость rule conflicts прямо в момент построения rules
- clone или перенос целых блоков rules
- before/after comparison прямо перед commit changes
- bulk import objects без external detour
В больших installations это радикально улучшило бы повседневную работу. Вместо этого у нас остается схема export, unpack, upload и обратный путь. Это работает, но не выглядит элегантно.
И здесь я сознательно резок: видео довольно ясно показывает, что Sophos предпочитает поставлять полезные usability features в отдельный browser tool, а не последовательно развивать firewall UI и Sophos Central. Мы до сих пор ждем банальных вещей вроде нормальной clone function для NAT rules. В то же время conflict detection, bulk changes, object analysis и cloud import уже оказываются в Studio. С точки зрения вендора это может быть быстрее реализовать и проще whitelist’ить. С точки зрения admin получается параллельный мир, где лучшие удобства живут не там, где ты работаешь каждый день.
И поэтому Config Studio для меня не просто новый инструмент, а еще и подтверждение. Продукт как будто показывает, что Sophos на годы застрял с firewall UI и Central. Low-hanging fruit по-прежнему валяются на месте, тогда как внешний tool внезапно решает задачи, на которые у основной платформы было более чем достаточно времени.
Почему import/export model меня пока не убеждает полностью
Для небольших review эта модель нормальна. Для продуктивных изменений с точки зрения admin она все еще кажется немного awkward.
Как только tool работает с exported configurations, сразу появляется несколько практических рисков:
- экспортированная конфигурация уже может быть устаревшей
- несколько admins могут работать параллельно, а export отставать
- чувствительные firewall-данные лежат файлами на ноутбуках или в project folders
- между analysis, edit и re-import может появиться drift
Это не значит, что Config Studio V2 плох. Это лишь значит, что текущий workflow все еще ощущается скорее как workaround, а не как самая чистая native solution.
Для audit и planning это подходит. Для ежедневного администрирования я бы все равно хотел видеть больше такого прямо внутри firewall.
С точки зрения security есть и еще один момент: Sophos говорит, что обработка остается local в browser. Это хорошо и явно лучше, чем заливать полные firewall-конфигурации в удаленный cloud-service. Но это все равно trust model, который нужно осознанно принять. Мы здесь говорим не о безобидных файлах, а о чувствительных конфигурационных данных с network segments, objects, rules, NAT relationships, VPN definitions и другой security-relevant information.
Неудобство здесь не только в вопросе “уходит ли что-то на Sophos или нет?” Речь вообще о browser context как таковом. Вы загружаете чувствительные данные в web-delivered tool и должны доверять самому доставленному приложению, local processing, browser, extensions, local caches и тому, как export files обрабатываются на admin system. Даже если технически все остается локально, trust surface и attack surface здесь все равно другие, чем у хорошо интегрированной функции внутри firewall или central management.
Именно поэтому более глубокая интеграция в SFOS или Sophos Central была бы куда более чистым путем. Не только ради удобства, но и потому что roles, approvals, auditability и работа с чувствительными данными могли бы быть собраны в одном месте.
Еще один момент из видео: сейчас поддерживаются не все части конфигурации. Tool сам предупреждает об этом при import. Неподдерживаемые части можно удалить или оставить, но тогда они не будут полностью отображаться внутри Studio. Для раннего этапа развития это понятно, но это также показывает, что до полноценной замены реальной admin surface еще далеко.
Где у tool все еще есть ограничения
Tool пока не идеален. Некоторые вещи все еще отсутствуют или реализованы не до конца аккуратно:
Linked NAT rules могут выглядеть как Any
В официальном feedback thread Sophos указывает, что linked NAT rules в отдельных случаях сейчас могут отображаться как Any для source или destination. Причина описывается не как классический display bug, а как ограничение того, что вообще можно надежно вывести из экспортированного XML.
Это важно, потому что следующие анализы — вроде quality checks или rule shadowing — могут оказаться вводящими в заблуждение, если само представление не полностью корректно.
Sophos Central .backup files пока не являются чистым input
Еще один вопрос из community касался того, будет ли когда-нибудь поддержка encrypted Sophos Central backups с расширением .backup. На текущий момент — нет, потому что Config Studio построен вокруг Entities.xml, а такие зашифрованные backup нельзя использовать напрямую.
Особенно для MSP это было бы действительно полезно. Пока же это скорее wishlist для будущей версии.
Edge cases никуда не денутся
Уже в первые дни после release появились сообщения о расхождениях в отдельных special cases. Для молодого tool это нормально, но именно поэтому я бы пока работал с ним так:
Использовать Config Studio V2 как сильный analysis и preparation tool, но критичные edge cases все равно проверять по реальной firewall UI и реальному traffic.
Итог
Sophos Firewall Config Studio V2 для меня — один из тех инструментов, которые на первый взгляд выглядят менее эффектно, чем оказываются на практике.
Это не security feature в узком смысле. Он не блокирует attacks и не patch’ит vulnerabilities. Но он снижает friction именно там, где часто рождаются ошибки: в понимании и изменении firewall-конфигураций.
И в практике это очень ценно.
Старый Viewer уже был полезен. С V2 это становится инструментом, который стоит куда серьезнее держать в поле зрения для audit, migration, rule cleanup и больших changes. Не как единственную истину, но как очень полезную working surface вокруг Entities.xml.
Одновременно именно ценность этого tool подчеркивает, какие функции Sophos давно стоило бы подтянуть ближе к firewall и Sophos Central. Лучший пример для меня — детекция правил, которые перекрывают другие rules. Это не bonus. Это та помощь, которую хочется видеть прямо при построении и упорядочивании правил.
Поэтому мой настоящий вывод шире, чем сам этот инструмент: Config Studio для меня выглядит подтверждением того, что Sophos слишком долго полагался на workarounds вместо настоящего product care вокруг firewall UI и Central. С сегодняшними agentic development tools, конечно, легко быстро собрать внешний helper. Но это не должно становиться долгосрочным ответом. Workaround остается workaround, даже если выглядит аккуратно.
До следующего раза,
Joe
