Ir al contenido
Avanet

Uso de Sophos Firewall Config Studio

Sophos Firewall

Sophos Firewall Config Studio es una herramienta de Sophos basada en navegador que permite visualizar, comparar y preparar configuraciones de firewall. Es especialmente útil cuando no solo se quiere saber que algo ha cambiado, sino qué regla, objeto o configuración se ha visto afectada.

En la práctica, Config Studio es adecuado para tres situaciones:

  • Comparar dos configuraciones antes y después de una ventana de mantenimiento.
  • Hacer que una configuración de firewall existente sea más legible para revisión, transferencia o auditoría.
  • Preparar cambios antes de implementarlos en un firewall en producción.

Sin embargo, Config Studio no reemplaza una copia de seguridad, un proceso de cambio ni una prueba. Es una herramienta de análisis y preparación. Los cambios deben seguir siendo revisados, documentados y asegurados con un plan de reversión.

Vídeo tutorial

El vídeo muestra Config Studio como herramienta para ver, comparar y preparar configuraciones de Sophos Firewall.

Qué puede hacer Config Studio

Config Studio es el sucesor o la evolución del anterior Sophos Firewall Configuration Viewer. Para su operación, son relevantes principalmente tres funciones:

FunciónUso en el día a día
Informe de configuraciónVer reglas, políticas y configuraciones en un informe coherente
Comparar configuracionesComparar dos configuraciones y reconocer entradas añadidas, modificadas, eliminadas o sin cambios
Editor de configuraciónPreparar configuraciones y luego reutilizarlas como archivo de configuración, formato API o curl

El mayor valor añadido reside en la comparación. Quien necesite saber qué ha cambiado realmente tras una actualización, migración o cambio, avanzará mucho más rápido con un diff visible que leyendo manualmente archivos de copia de seguridad.

Cuándo usar Config Studio

Config Studio es especialmente valioso para cambios que afectan a varias áreas del firewall.

Ejemplos típicos:

  • Migración de XG a XGS.
  • Restauración en otro hardware o un dispositivo virtual.
  • Revisión de un gran conjunto de reglas de firewall.
  • Comparación antes y después de una actualización de firmware.
  • Verificación tras una gran reestructuración de NAT o VPN.
  • Transferencia de un firewall de un equipo a otro.
  • Análisis tras un cambio no planificado.

Si solo se trata de una conexión en vivo individual, otras herramientas suelen ser más directas. Para problemas de tráfico, Log Viewer, Policy Test y Packet Capture son más adecuados. El artículo Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture muestra este proceso.

Crear una copia de seguridad limpia antes

Config Studio trabaja con datos de configuración. Por lo tanto, primero se debe crear una copia de seguridad completa y actual del firewall.

La ruta en WebAdmin es:

Backup & Firmware > Backup & Restore

Para trabajos productivos, se recomienda este procedimiento:

  1. Crear una copia de seguridad actual del firewall.
  2. Guardar la copia de seguridad de forma segura fuera del firewall.
  3. Si se planea un cambio, documentar también el estado deseado.
  4. Crear una segunda copia de seguridad después del cambio.
  5. Comparar ambas configuraciones en Config Studio.

El tema de copia de seguridad y restauración se describe en el artículo Crear o restaurar una copia de seguridad de Sophos Firewall. Allí también se abordan la clave maestra de almacenamiento seguro, la compatibilidad de restauración y el mapeo de interfaces.

⚠️ Las copias de seguridad del firewall contienen información sensible sobre la estructura de la red, reglas, objetos, VPNs y servicios. Antes de utilizar una herramienta de análisis, debe estar claro internamente dónde se procesará el archivo, quién tendrá acceso y cómo se eliminará o archivará después.

Manejar Entities.xml de manera segura

Config Studio trabaja con la configuración exportada. El procesamiento se realiza en el navegador del dispositivo final; los datos de configuración no se cargan en un servicio externo. Sin embargo, el archivo sigue siendo relevante para la seguridad, ya que describe la estructura del firewall en detalle.

Para su operación, no solo se debe planificar la descarga del archivo, sino también su manejo posterior:

  • Abrir el archivo solo en un dispositivo de administración confiable.
  • No compartir el archivo a través de almacenamiento en la nube privado, mensajería o listas de correo electrónico no controladas.
  • Limitar el acceso a los involucrados en cambios, auditorías o migraciones.
  • Eliminar el archivo después del análisis o archivarlo en un lugar definido y protegido.
  • Antes de compartirlo con soporte o socios externos, aclarar qué datos contiene y si hay autorización para compartirlo.

Especialmente en auditorías y migraciones, una convención de nombres sencilla es útil. Ejemplo: firewall-ubicacion-antes-del-cambio-2026-06-21.xml y firewall-ubicacion-despues-del-cambio-2026-06-21.xml. Esto aclara más tarde qué archivo representa qué estado y si se creó antes o después de una ventana de mantenimiento.

Revisar la configuración como informe

El Informe de Configuración ayuda a leer una firewall de manera estructurada. Esto es especialmente útil cuando se toma una configuración existente o antes de una auditoría para entender qué reglas y objetos están presentes.

En la revisión, no se debe buscar simplemente “muchas reglas”. Son más importantes las preguntas operativas concretas:

  • ¿Existen reglas con fuentes, destinos o servicios muy amplios?
  • ¿Siguen activas las reglas antiguas de VPN, NAT o WAF?
  • ¿Existen objetos con nombres similares múltiples veces?
  • ¿Están los accesos de administración restringidos adecuadamente a redes propias?
  • ¿Están configurados conscientemente el registro, IPS, Web Protection, TLS Inspection o NDR?
  • ¿Coinciden los grupos de reglas, nombres y descripciones con la operación real?

Para los accesos de administración, también se debe revisar Configurar correctamente Device Access. Las reglas de firewall normales no controlan quién puede acceder a los servicios locales del firewall como WebAdmin, SSH, User Portal o VPN Portal.

Comparar dos configuraciones

La comparación es el caso de uso más fuerte de Config Studio. Se cargan dos estados de configuración y luego se verifica qué entradas se han añadido, eliminado o modificado.

Pares de comparación útiles son:

ComparaciónObjetivo
Copia de seguridad antes del cambio vs. después del cambioVerificar si solo se implementaron los cambios planeados
Copia de seguridad antes de la actualización de firmware vs. después de la actualización de firmwareDetectar cambios de configuración inesperados
Hardware antiguo vs. nuevo hardwareVerificar migración, mapeo de interfaces y estado de objetos
Firewall en producción vs. configuración de referenciaHacer visibles las desviaciones estándar
Antes de la interrupción vs. después de la interrupciónDelimitar cambios sospechosos

La comparación no reemplaza el Audit Trail. Config Studio muestra qué es diferente entre dos configuraciones. El Audit Trail ayuda a saber quién hizo qué cambio y cuándo. En un análisis limpio, se utilizan ambos: primero delimitar el período y el responsable a través de los registros de auditoría, luego examinar la diferencia de configuración en detalle.

Interpretar el resultado del diff

Una comparación de configuraciones solo es útil si el resultado se clasifica. No todos los cambios son relevantes desde el punto de vista técnico, y no todos los cambios ausentes son automáticamente no críticos.

En la revisión, se deben clasificar las diferencias en grupos:

Tipo de cambioEvaluación típica
Cambio planeadoComparar con el objetivo del cambio y el ticket
Cambio automático o sistémicoVerificar versión, firmware, certificado, ID de objeto o referencia interna
Cambio inesperadoComparar con Audit Trail, cuenta de administrador y momento
Cambio ausenteVerificar si el cambio realmente se guardó, sincronizó o importó
Objeto eliminadoVerificar dependencias en reglas, NAT, VPN, WAF y Device Access

Son especialmente importantes los cambios en reglas de firewall, reglas NAT, interfaces, VPNs, certificados, autenticación, Device Access y Hosts and services. En estas áreas, una pequeña diferencia puede influir directamente en si un servicio sigue siendo accesible, si un túnel VPN enruta o si un acceso de administrador es posible desde la red correcta.

Para revisiones de cambios productivos, no solo se debe guardar el resultado de Config Studio. Es útil una breve nota: archivos de copia de seguridad revisados, objetos destacados, cambios esperados, cambios inesperados, preguntas abiertas y decisión sobre si el cambio está completo o necesita más trabajo.

Preparar cambios

Config Studio también puede editar configuraciones o proporcionar cambios en formato API o curl. Esto es poderoso, pero no debe entenderse como un atajo para cambios masivos no verificados. Si se utilizan estos exportes de manera productiva, primero se debe restringir adecuadamente el acceso a la API XML.

Los cambios preparados deben pasar al menos por estos puntos de verificación:

  1. Preparar el cambio en Config Studio.
  2. Verificar objetos, reglas y dependencias afectadas.
  3. Validar el cambio en un entorno de prueba o sustitución si es posible.
  4. Preparar copia de seguridad y plan de reversión para el firewall en producción.
  5. Implementar el cambio en la ventana de mantenimiento.
  6. Luego, verificar Log Viewer, servicios afectados y comparación de configuraciones.

Se debe tener especial cuidado con NAT, VPN, interfaces, Device Access, autenticación y configuraciones de HA. Una diferencia aparentemente pequeña puede tener un impacto directo en la accesibilidad o el comportamiento de failover.

⚠️ Las salidas del editor de Config Studio nunca deben copiarse directamente desde el navegador a un firewall en producción sin verificar dependencias, copia de seguridad, prueba y plan de reversión. Esto es especialmente cierto para cambios masivos en objetos, reglas, VPNs e interfaces.

Uso en migraciones

En migraciones, Config Studio es una buena herramienta, pero no el primer paso. Primero se debe verificar si la copia de seguridad es compatible con la plataforma de destino.

Preguntas importantes:

  • ¿Se migra de XG a XGS?
  • ¿Cambia el número o el orden de las interfaces?
  • ¿Se cambia de hardware a virtual o en la nube?
  • ¿Está involucrado un clúster HA?
  • ¿Se debe ajustar un mapeo de interfaces después de la restauración?
  • ¿Existen configuraciones antiguas de VPN, RED, inalámbricas o heredadas?

Config Studio debe utilizarse en este flujo en el lugar correcto. Muestra diferencias y ayuda en la revisión, pero no decide por sí solo si una restauración es técnicamente compatible o si el nuevo firewall realmente funciona bien después de la migración.

PasoPara qué está pensado
Verificar compatibilidad de copia de seguridad y restauraciónAclarar si la fuente, la plataforma de destino, el firmware y la asignación de interfaces son compatibles en principio
Realizar restauración en ventana de prueba o mantenimientoLlevar la configuración de manera controlada al firewall de destino
Evaluar comparación de Config StudioHacer visibles las desviaciones entre el estado antiguo y el nuevo
Realizar prueba de funcionamientoProbar VPN, NAT, WAF, enrutamiento, DHCP, DNS, HA y acceso de administración con pruebas reales

Por lo tanto, para la aceptación no basta con una sensación positiva tras la importación. Se debe definir de antemano qué servicios deben funcionar obligatoriamente después de la migración, qué reglas son críticas y qué puntos de medición se deben verificar. Esto incluye al menos Log Viewer, Policy Test, Packet Capture, registros centrales y las pruebas de usuario o ubicación más importantes.

Para proyectos de XG a XGS, también es adecuado ¿Cuál es la diferencia entre un firewall XG y XGS?. Si hay un clúster HA involucrado, también se debe considerar Configurar alta disponibilidad en Sophos Firewall antes de la restauración.

Solución de problemas en análisis de Config Studio

El import no funciona

Si Config Studio no puede cargar un archivo, primero se debe verificar si realmente se está utilizando el archivo de exportación correcto. Para Config Studio, es relevante el Entities.xml de Backup & Firmware > Import export, no cualquier copia de seguridad comprimida o una captura de pantalla del firewall.

Además, verificar:

  • El archivo se descargó completamente.
  • El navegador no bloquea funciones locales de archivos o JavaScript.
  • El archivo proviene de una versión de firewall de Sophos compatible.
  • El export no se editó manualmente después.

El diff contiene muchos cambios

Muchos cambios no significan automáticamente que un cambio fue malo. En actualizaciones de firmware, migraciones o pruebas de restauración, pueden aparecer cambios sistémicos. Lo importante es si las áreas relevantes desde el punto de vista técnico son plausibles: reglas, NAT, interfaces, VPN, certificados, autenticación, Hosts and services y Device Access.

Si la comparación se vuelve confusa, primero se debe filtrar por módulos y no evaluar todo al mismo tiempo. Para problemas después de un cambio, a menudo la combinación de Config Studio, Audit Trail, Log Viewer y Packet Capture es más rápida que una revisión manual completa de todos los objetos.

El export del editor no coincide con el import planeado

Si un export preparado no coincide como se esperaba, el cambio no debe improvisarse e implementarse productivamente. Primero verificar:

  • ¿Se utilizó la configuración de origen correcta?
  • ¿Existen objetos dependientes que faltan en el sistema de destino?
  • ¿Coinciden nombres, zonas, interfaces y servicios con el firewall de destino?
  • ¿Está permitido y suficientemente restringido el acceso a la API XML para la cuenta utilizada?
  • ¿Existe una copia de seguridad actual y un camino de retorno?

En las salidas de API o curl, la verificación de la cuenta de API, la IP de origen y los derechos forman parte del cambio. El artículo Asegurar el acceso a la API XML de Sophos Firewall describe esta parte con más detalle.

Errores típicos

ErrorImpacto
No crear una copia de seguridad fresca antes del cambioLa comparación es incompleta o el rollback es inseguro
Compartir archivos de copia de seguridad sin controlInformación sensible del firewall termina fuera del círculo previsto
Interpretar el diff sin contextoCambios automáticos o sistémicos se confunden con cambios técnicos
Implementar la salida del editor sin verificarDependencias incorrectas pueden afectar reglas, NAT, VPN o interfaces
Ignorar el Audit TrailEs visible qué es diferente, pero no está claro quién lo cambió
Falta de contexto de HA o migraciónSe pasan por alto el mapeo de interfaces, el rol de los nodos o las diferencias de plataforma
Nombrar mal los archivos de exportaciónSe confunden los estados antes/después

Lista de verificación para administradores

Antes de usar:

  • Crear una copia de seguridad actual.
  • Regular internamente el acceso a los archivos de copia de seguridad.
  • Procesar Entities.xml solo en un dispositivo de administración confiable.
  • Definir el objetivo del análisis: auditoría, migración, revisión de cambios o solución de problemas.
  • Tener listos los momentos relevantes y los tickets de cambio.

Durante la comparación:

  • Seleccionar las versiones correctas de copia de seguridad.
  • Revisar entradas añadidas, eliminadas y modificadas por separado.
  • Prestar especial atención a reglas de firewall, NAT, interfaces, Hosts and services, VPN y Device Access.
  • Comparar cambios destacados con configuration-audit.log.
  • Documentar cambios inesperados y asignarlos a una persona responsable.

Después del análisis:

  • Documentar el resultado.
  • Aclarar diferencias inesperadas.
  • En caso de cambios productivos, asegurar un nuevo estado de copia de seguridad.
  • Si se planea una restauración o importación, definir previamente el rollback y la ventana de mantenimiento.

FAQ

¿Qué es Sophos Firewall Config Studio?

Sophos Firewall Config Studio es una herramienta de Sophos basada en navegador para visualizar, comparar y preparar configuraciones de firewall de Sophos. Reemplaza al anterior Configuration Viewer y lo complementa con funciones de comparación y edición.

¿Config Studio reemplaza una copia de seguridad de firewall?

No. Config Studio utiliza datos de configuración para análisis o preparación. Una copia de seguridad limpia y un plan de reversión siguen siendo obligatorios antes de realizar cambios.

¿Cuándo es especialmente útil la comparación de configuraciones?

La comparación es especialmente útil después de ventanas de mantenimiento, actualizaciones de firmware, migraciones, pruebas de restauración o cambios no planificados. Permite ver más rápidamente qué reglas, objetos o configuraciones son realmente diferentes.

¿Cuál es la diferencia entre Config Studio y los registros de Audit Trail?

Config Studio muestra diferencias entre estados de configuración. Los registros de Audit Trail muestran cuándo y por quién se realizaron ciertos cambios. Para análisis de cambios, ambas herramientas juntas son más efectivas.

¿Se pueden implementar cambios directamente desde Config Studio en producción?

Los cambios pueden prepararse y, según el flujo de trabajo, reutilizarse como configuración, formato API o curl. En producción, esto solo debe hacerse después de verificación, copia de seguridad, prueba y plan de reversión.