Utilizzare Sophos Firewall Config Studio
Sophos Firewall Config Studio è uno strumento Sophos basato su browser che consente di visualizzare, confrontare e preparare le configurazioni del firewall. È particolarmente utile quando si vuole sapere non solo che qualcosa è cambiato, ma quale regola, oggetto o impostazione è stata interessata.
Nella pratica, Config Studio è adatto a tre situazioni:
- Confrontare due configurazioni prima e dopo una finestra di manutenzione.
- Rendere una configurazione del firewall esistente più leggibile per revisione, consegna o audit.
- Preparare modifiche prima che vengano implementate su un firewall in produzione.
Tuttavia, Config Studio non sostituisce un backup, un processo di modifica o un test. È uno strumento di analisi e preparazione. Le modifiche devono essere comunque controllate, documentate e supportate da un piano di rollback.
Video guida
Cosa può fare Config Studio
Config Studio è il successore o l’evoluzione del precedente Sophos Firewall Configuration Viewer. Per l’operatività, sono rilevanti soprattutto tre funzioni:
| Funzione | Utilità nella vita quotidiana |
|---|---|
| Configuration report | Visualizzare regole, policy e impostazioni in un report coerente |
| Compare configurations | Confrontare due configurazioni e riconoscere voci aggiunte, modificate, rimosse o inalterate |
| Configuration editor | Preparare configurazioni e successivamente utilizzarle come file di configurazione, formato API o curl |
Il valore aggiunto principale risiede nel confronto. Chi deve sapere cosa è realmente cambiato dopo un aggiornamento, una migrazione o una modifica, procede molto più velocemente con un diff visibile rispetto alla lettura manuale dei file di backup.
Quando utilizzare Config Studio
Config Studio è particolarmente utile per modifiche che interessano più aree del firewall.
Esempi tipici:
- Migrazione da XG a XGS.
- Ripristino su altro hardware o appliance virtuale.
- Revisione di un ampio set di regole del firewall.
- Confronto prima e dopo un aggiornamento del firmware.
- Verifica dopo una ristrutturazione significativa di NAT o VPN.
- Consegna di un firewall da un team a un altro.
- Analisi dopo una modifica non pianificata.
Se si tratta solo di una singola connessione live, altri strumenti sono spesso più diretti. Per problemi di traffico, Log Viewer, Policy Test e Packet Capture sono più adatti. L’articolo Testare una regola del firewall con Log Viewer, Policy Test e Packet Capture mostra questo processo.
Creare un backup pulito in anticipo
Config Studio lavora con dati di configurazione. Pertanto, dovrebbe essere creato prima un backup completo e aggiornato del firewall.
Il percorso WebAdmin è:
Backup & Firmware > Backup & Restore
Per lavori produttivi si consiglia questo processo:
- Creare un backup aggiornato del firewall.
- Conservare il backup in modo sicuro al di fuori del firewall.
- Se è pianificata una modifica, documentare anche lo stato desiderato.
- Creare un secondo backup dopo la modifica.
- Confrontare entrambe le configurazioni in Config Studio.
Il tema del backup e del ripristino è descritto nell’articolo Creare o ripristinare un backup di Sophos Firewall. Lì sono anche classificati il Secure Storage Master Key, la compatibilità del ripristino e il mapping delle interfacce.
⚠️ I backup del firewall contengono informazioni sensibili sulla struttura della rete, regole, oggetti, VPN e servizi. Prima di utilizzare uno strumento di analisi, dovrebbe essere chiaro internamente dove viene elaborato il file, chi ha accesso e come viene successivamente eliminato o archiviato.
Trattare con sicurezza Entities.xml
Config Studio lavora con la configurazione esportata. L’elaborazione avviene nel browser del dispositivo finale; i dati di configurazione non vengono caricati su un servizio esterno. Tuttavia, il file rimane rilevante per la sicurezza, poiché descrive in dettaglio la struttura del firewall.
Per l’operatività, non si dovrebbe solo pianificare il download del file, ma anche il suo trattamento successivo:
- Aprire il file solo su un dispositivo amministrativo fidato.
- Non condividere il file tramite cloud storage privati, messaggistica o distribuzioni e-mail non controllate.
- Limitare l’accesso ai partecipanti a modifiche, audit o migrazioni.
- Eliminare il file dopo l’analisi o archiviarlo in un luogo di archiviazione definito e protetto.
- Prima di condividerlo con il supporto o partner esterni, chiarire quali dati sono contenuti e se esiste un’autorizzazione.
Particolarmente in caso di audit e migrazioni, una semplice convenzione di denominazione è utile. Esempio: firewall-luogo-prima-della-modifica-2026-06-21.xml e firewall-luogo-dopo-la-modifica-2026-06-21.xml. In questo modo sarà più chiaro in seguito quale file rappresenta quale stato e se è stato creato prima o dopo una finestra di manutenzione.
Verificare la configurazione come report
Il Configuration Report aiuta a leggere una firewall in modo strutturato. Questo è particolarmente utile quando si assume un ambiente esistente o si deve comprendere prima di un audit quali regole e oggetti sono presenti.
Durante la revisione, non si dovrebbe semplicemente cercare “molte regole”. Sono più importanti le domande operative concrete:
- Ci sono regole con fonti, destinazioni o servizi molto ampi?
- Sono ancora attive vecchie regole VPN, NAT o WAF?
- Ci sono oggetti con nomi simili ripetuti?
- Gli accessi di gestione sono limitati correttamente alle reti proprie?
- Logging, IPS, Web Protection, TLS Inspection o NDR sono impostati consapevolmente?
- I gruppi di regole, i nomi e le descrizioni corrispondono all’operatività effettiva?
Per gli accessi di gestione, si dovrebbe anche verificare Configurare correttamente Device Access. Le normali regole del firewall non controllano chi può accedere ai servizi locali del firewall come WebAdmin, SSH, User Portal o VPN Portal.
Confrontare due configurazioni
Il confronto è il caso d’uso più forte di Config Studio. Si caricano due stati di configurazione e si verifica quali voci sono state aggiunte, rimosse o modificate.
Coppie di confronto sensate sono:
| Confronto | Obiettivo |
|---|---|
| Backup prima della modifica vs. Backup dopo la modifica | Controllare se sono state implementate solo le modifiche pianificate |
| Backup prima dell’aggiornamento del firmware vs. dopo l’aggiornamento del firmware | Riconoscere modifiche di configurazione inaspettate |
| vecchio hardware vs. nuovo hardware | Verificare migrazione, mapping delle interfacce e stato degli oggetti |
| firewall produttivo vs. configurazione di riferimento | Rendere visibili le deviazioni standard |
| prima del guasto vs. dopo il guasto | Limitare le modifiche sospette |
Il confronto non sostituisce l’Audit Trail. Config Studio mostra cosa è diverso tra due configurazioni. L’Audit Trail aiuta invece a sapere chi ha effettuato quale modifica e quando. In un’analisi accurata si utilizzano entrambi: prima si delimita il periodo e il responsabile tramite i log di audit, poi si verifica nel dettaglio la differenza di configurazione.
Interpretare il risultato del diff
Un confronto di configurazione è utile solo se il risultato viene triagolato. Non ogni modifica è rilevante dal punto di vista tecnico, e non ogni modifica mancante è automaticamente non critica.
Durante la revisione, si dovrebbero ordinare le differenze in gruppi:
| Tipo di modifica | Valutazione tipica |
|---|---|
| Modifica pianificata | Confrontare con l’obiettivo della modifica e il ticket |
| Modifica automatica o sistematica | Verificare versione, firmware, certificato, ID oggetto o riferimento interno |
| Modifica inaspettata | Confrontare con Audit Trail, account amministrativo e momento |
| Modifica mancante | Controllare se la modifica è stata effettivamente salvata, sincronizzata o importata |
| Oggetto rimosso | Verificare dipendenze in regole, NAT, VPN, WAF e Device Access |
Particolarmente importanti sono le modifiche alle regole del firewall, alle regole NAT, alle interfacce, alle VPN, ai certificati, all’autenticazione, al Device Access e agli host e servizi. In queste aree, una piccola differenza può influenzare direttamente se un servizio rimane raggiungibile, se un tunnel VPN instrada o se un accesso amministrativo è possibile dalla rete corretta.
Per revisioni di modifiche produttive, non si dovrebbe solo salvare il risultato di Config Studio. È utile una breve nota: file di backup verificati, oggetti evidenti, modifiche attese, modifiche inaspettate, domande aperte e decisione se la modifica è completata o deve essere rivista.
Preparare modifiche
Config Studio può anche modificare configurazioni o fornire modifiche come formato API o curl. Questo è potente, ma non dovrebbe essere inteso come scorciatoia per modifiche di massa non verificate. Se tali esportazioni vengono utilizzate in produzione, l’accesso XML API dovrebbe essere limitato in modo sicuro in anticipo.
Le modifiche preparate dovrebbero attraversare almeno questi punti di controllo:
- Preparare la modifica in Config Studio.
- Verificare oggetti, regole e dipendenze interessate.
- Validare la modifica, se possibile, in un ambiente di test o sostitutivo.
- Preparare backup e piano di rollback per il firewall produttivo.
- Applicare la modifica nella finestra di manutenzione.
- Successivamente, verificare Log Viewer, servizi interessati e confronto di configurazione.
Particolarmente cauti si dovrebbe essere con NAT, VPN, interfacce, Device Access, autenticazione e configurazioni HA. Una differenza apparentemente piccola può avere un impatto diretto sulla raggiungibilità o sul comportamento del failover.
⚠️ Le uscite dell’editor da Config Studio non dovrebbero mai essere copiate direttamente dal browser su un firewall produttivo senza verificare dipendenze, backup, test e piano di rollback. Questo vale particolarmente per modifiche di massa a oggetti, regole, VPN e interfacce.
Utilizzo nelle migrazioni
Nelle migrazioni, Config Studio è un buon strumento, ma non il primo passo. Prima si dovrebbe verificare se il backup è compatibile con la piattaforma di destinazione.
Domande importanti:
- Si sta migrando da XG a XGS?
- Cambia il numero o l’ordine delle interfacce?
- Si passa da hardware a virtuale o cloud?
- È coinvolto un cluster HA?
- Dopo il ripristino, è necessario adattare un mapping delle interfacce?
- Ci sono vecchie configurazioni VPN, RED, Wireless o Legacy?
Config Studio dovrebbe essere utilizzato in questo processo al momento giusto. Mostra le differenze e aiuta nella revisione, ma non decide da solo se un ripristino è tecnicamente supportato o se il nuovo firewall funziona davvero correttamente dopo la migrazione.
| Passo | A cosa serve |
|---|---|
| Verificare compatibilità backup e ripristino | Chiarire se fonte, piattaforma di destinazione, firmware e assegnazione delle interfacce sono fondamentalmente compatibili |
| Eseguire il ripristino in una finestra di test o manutenzione | Portare la configurazione controllata sul firewall di destinazione |
| Valutare il confronto di Config Studio | Rendere visibili le deviazioni tra lo stato vecchio e nuovo |
| Eseguire test funzionali | Verificare VPN, NAT, WAF, routing, DHCP, DNS, HA e accesso di gestione con test reali |
Per l’accettazione, quindi, non basta una sensazione positiva dopo l’importazione. Si dovrebbe definire in anticipo quali servizi devono funzionare obbligatoriamente dopo la migrazione, quali regole sono critiche e quali punti di misurazione devono essere verificati. Questi includono almeno Log Viewer, Policy Test, Packet Capture, log centrali e i test utente o sito più importanti.
Per i progetti da XG a XGS, è utile anche Qual è la differenza tra un firewall XG e XGS?. Se è coinvolto un cluster HA, prima del ripristino dovrebbe essere considerato anche Configurare Sophos Firewall High Availability.
Risoluzione dei problemi nelle analisi di Config Studio
Importazione non funziona
Se Config Studio non riesce a caricare un file, si dovrebbe prima verificare se è stato effettivamente utilizzato il file di esportazione corretto. Per Config Studio è rilevante il Entities.xml da Backup & Firmware > Import export, non un backup compresso o uno screenshot dal firewall.
Verificare inoltre:
- Il file è stato scaricato completamente.
- Il browser non blocca funzioni locali di file o JavaScript.
- Il file proviene da una versione di Sophos Firewall supportata.
- L’esportazione non è stata modificata manualmente in seguito.
Il diff contiene molte modifiche
Molte differenze non significano automaticamente che una modifica sia stata negativa. Durante aggiornamenti del firmware, migrazioni o test di ripristino possono emergere modifiche sistematiche. È cruciale se le aree rilevanti dal punto di vista tecnico sono plausibili: regole, NAT, interfacce, VPN, certificati, autenticazione, host e servizi e Device Access.
Se il confronto diventa confuso, si dovrebbe prima filtrare per moduli e non valutare tutto contemporaneamente. Per problemi dopo una modifica, spesso la combinazione di Config Studio, Audit Trail, Log Viewer e Packet Capture è più veloce di una revisione manuale completa di tutti gli oggetti.
L’export dell’editor non corrisponde all’import pianificato
Se un export preparato non corrisponde come previsto, la modifica non dovrebbe essere improvvisata in produzione. Verificare prima:
- È stata utilizzata la configurazione di partenza corretta?
- Ci sono oggetti dipendenti che mancano nel sistema di destinazione?
- Nomi, zone, interfacce e servizi corrispondono al firewall di destinazione?
- L’accesso XML API è consentito e sufficientemente limitato per l’account utilizzato?
- Esiste un backup aggiornato e un percorso di ritorno?
Per le uscite API o curl, la verifica dell’account API, dell’IP di origine e dei diritti fa parte della modifica. L’articolo Proteggere l’accesso XML API di Sophos Firewall descrive questa parte in modo più dettagliato.
Errori tipici
| Errore | Impatto |
|---|---|
| Nessun backup recente prima della modifica | Il confronto è incompleto o il rollback è insicuro |
| File di backup condivisi senza controllo | Informazioni sensibili sul firewall finiscono al di fuori del cerchio previsto |
| Il diff viene interpretato senza contesto | Modifiche automatiche o sistematiche vengono confuse con modifiche tecniche |
| Output dell’editor applicato senza verifica | Dipendenze errate possono disturbare regole, NAT, VPN o interfacce |
| Audit Trail ignorato | È visibile cosa è diverso, ma non chi lo ha cambiato |
| Mancanza di contesto HA o di migrazione | Mapping delle interfacce, ruolo dei nodi o differenze di piattaforma vengono trascurati |
| File di esportazione mal denominati | Gli stati prima/dopo vengono confusi |
Checklist per gli amministratori
Prima dell’uso:
- Creare un backup aggiornato.
- Regolare internamente l’accesso ai file di backup.
- Elaborare
Entities.xmlsolo su un dispositivo amministrativo fidato. - Definire l’obiettivo dell’analisi: audit, migrazione, revisione delle modifiche o risoluzione dei problemi.
- Preparare i tempi rilevanti e i ticket di modifica.
Durante il confronto:
- Selezionare le versioni di backup corrette.
- Verificare separatamente le voci aggiunte, rimosse e modificate.
- Prestare particolare attenzione a regole del firewall, NAT, interfacce, host e servizi, VPN e Device Access.
- Confrontare le modifiche evidenti con
configuration-audit.log. - Documentare le modifiche inaspettate e assegnarle a una persona responsabile.
Dopo l’analisi:
- Documentare il risultato.
- Chiarire le differenze inaspettate.
- In caso di modifiche produttive, salvare un nuovo stato di backup.
- Se è pianificato un ripristino o un import, definire in anticipo rollback e finestra di manutenzione.
FAQ
Cos'è Sophos Firewall Config Studio?
Config Studio sostituisce un backup del firewall?
Quando è particolarmente utile il confronto delle configurazioni?
Qual è la differenza tra Config Studio e Audit Trail Logs?
È possibile applicare direttamente modifiche da Config Studio in produzione?
curl. In produzione, ciò dovrebbe avvenire solo dopo verifica, backup, test e piano di rollback.