Sophos Firewall Config Studio gebruiken

Sophos Firewall Config Studio is een browsergebaseerd Sophos-hulpmiddel waarmee je firewallconfiguraties kunt bekijken, vergelijken en voorbereiden. Het is vooral nuttig als je niet alleen wilt weten dat er iets is veranderd, maar ook welke regel, welk object of welke instelling is beïnvloed.

In de praktijk is Config Studio nuttig in drie situaties:

Twee configuraties vergelijken voor en na een onderhoudsvenster.
Een bestaande firewallconfiguratie leesbaarder maken voor beoordeling, overdracht of audit.
Wijzigingen voorbereiden voordat ze op een productieve firewall worden toegepast.

Config Studio vervangt echter geen back-up, wijzigingsproces of test. Het is een analyse- en voorbereidingstool. Wijzigingen moeten nog steeds gecontroleerd worden, gedocumenteerd en met een rollback-plan worden beveiligd.

Videohandleiding

De video toont Config Studio als tool om Sophos Firewall-configuraties te bekijken, vergelijken en voorbereiden.

Wat Config Studio kan

Config Studio is de opvolger of doorontwikkeling van de eerdere Sophos Firewall Configuration Viewer. Voor de werking zijn vooral drie functies relevant:

Functie	Dagelijks gebruik
Configuration report	Regels, beleidsregels en instellingen in een samenhangend rapport bekijken
Compare configurations	Twee configuraties vergelijken en toegevoegde, gewijzigde, verwijderde of ongewijzigde items herkennen
Configuration editor	Configuraties voorbereiden en vervolgens gebruiken als configuratiebestand, API- of `curl`-formaat

De belangrijkste meerwaarde ligt in de vergelijking. Wie na een update, migratie of wijziging moet weten wat er echt is veranderd, komt met een zichtbaar verschil veel sneller verder dan met handmatig lezen van back-upbestanden.

Wanneer Config Studio gebruiken

Config Studio is vooral de moeite waard bij wijzigingen die meerdere delen van de firewall beïnvloeden.

Typische voorbeelden:

Migratie van XG naar XGS.
Herstel op andere hardware of een virtuele appliance.
Beoordeling van een groot firewallregelwerk.
Vergelijking voor en na een firmware-update.
Controle na een grote NAT- of VPN-herstructurering.
Overdracht van een firewall van het ene team naar het andere.
Analyse na een ongeplande wijziging.

Als het alleen om een enkele live-verbinding gaat, zijn andere hulpmiddelen meestal directer. Voor verkeersproblemen passen Log Viewer, Policy Test en Packet Capture beter. Het artikel Firewall-regel testen met Log Viewer, Policy Test en Packet Capture toont deze procedure.

Eerst een schone back-up maken

Config Studio werkt met configuratiegegevens. Daarom moet eerst een volledige en actuele back-up van de firewall worden gemaakt.

Het WebAdmin-pad is:

Backup & Firmware > Backup & Restore

Voor productieve werkzaamheden wordt deze procedure aanbevolen:

Maak een actuele back-up van de firewall.
Sla de back-up veilig buiten de firewall op.
Als er een wijziging is gepland, documenteer dan ook de gewenste doelstatus.
Maak na de wijziging een tweede back-up.
Vergelijk beide configuraties in Config Studio.

Het eigenlijke back-up- en herstelthema wordt beschreven in het artikel Sophos Firewall Backup maken of herstellen. Daar worden ook Secure Storage Master Key, herstelcompatibiliteit en interface-mapping behandeld.

⚠️ Firewall-back-ups bevatten gevoelige informatie over netwerkstructuur, regels, objecten, VPN’s en diensten. Voordat een analysehulpmiddel wordt gebruikt, moet intern duidelijk zijn waar het bestand wordt verwerkt, wie toegang heeft en hoe het daarna weer wordt verwijderd of gearchiveerd.

Entities.xml veilig behandelen

Config Studio werkt met de geëxporteerde configuratie. De verwerking vindt plaats in de browser van het eindapparaat; configuratiegegevens worden daarbij niet naar een externe dienst geüpload. Toch blijft het bestand veiligheidsrelevant, omdat het de firewallstructuur zeer gedetailleerd beschrijft.

Voor de werking moet men daarom niet alleen de download van het bestand plannen, maar ook de omgang daarna:

Bestand alleen openen op een vertrouwd beheerdersapparaat.
Bestand niet delen via privécloudopslag, messenger of ongecontroleerde e-maildistributies.
Toegang beperken tot betrokkenen bij wijzigingen, audits of migraties.
Bestand na afronding van de analyse verwijderen of archiveren op een gedefinieerde, beveiligde locatie.
Bij overdracht aan ondersteuning of externe partners eerst duidelijk maken welke gegevens zijn opgenomen en of er toestemming is.

Vooral bij audits en migraties is een eenvoudige naamgevingsconventie nuttig. Voorbeeld: firewall-locatie-voor-wijziging-2026-06-21.xml en firewall-locatie-na-wijziging-2026-06-21.xml. Hierdoor wordt later duidelijker welk bestand welke status weergeeft en of het voor of na een onderhoudsvenster is gemaakt.

Configuratie als rapport controleren

Het Configuration Report helpt om een firewall gestructureerd te lezen. Dit is vooral nuttig als je een bestaande omgeving overneemt of voor een audit moet begrijpen welke regels en objecten aanwezig zijn.

Bij de beoordeling moet je niet zomaar zoeken naar “veel regels”. Belangrijker zijn concrete operationele vragen:

Zijn er regels met zeer brede bronnen, doelen of diensten?
Zijn oude VPN-, NAT- of WAF-regels nog actief?
Zijn er objecten die meerdere keren vergelijkbaar zijn benoemd?
Zijn beheerstoegangen netjes beperkt tot eigen netwerken?
Zijn logging, IPS, Web Protection, TLS Inspection of NDR bewust ingesteld?
Passen regelgroepen, namen en beschrijvingen bij de daadwerkelijke werking?

Voor beheerstoegangen moet je ook Device Access correct configureren controleren. Normale firewallregels bepalen niet wie toegang heeft tot lokale diensten van de firewall zoals WebAdmin, SSH, User Portal of VPN Portal.

Twee configuraties vergelijken

De vergelijking is de sterkste toepassing van Config Studio. Je laadt twee configuratiestanden en controleert vervolgens welke items zijn toegevoegd, verwijderd of gewijzigd.

Zinvolle vergelijkingsparen zijn:

Vergelijking	Doel
Back-up voor wijziging vs. back-up na wijziging	Controleren of alleen de geplande wijzigingen zijn doorgevoerd
Back-up voor firmware-update vs. na firmware-update	Onverwachte configuratiewijzigingen herkennen
oude hardware vs. nieuwe hardware	Migratie, interface-mapping en objectstatus controleren
productieve firewall vs. referentieconfiguratie	Standaardafwijkingen zichtbaar maken
voor storing vs. na storing	Verdachte wijzigingen beperken

De vergelijking vervangt niet de Audit Trail. Config Studio toont wat er tussen twee configuraties anders is. De Audit Trail helpt daarentegen om te zien wie wanneer welke wijziging heeft aangebracht. In een grondige analyse gebruik je beide: eerst de periode en verantwoordelijke via Audit Logs beperken, daarna het configuratieverschil in detail controleren.

Diff-resultaat interpreteren

Een configuratievergelijking is alleen nuttig als het resultaat wordt getrieerd. Niet elke wijziging is inhoudelijk relevant, en niet elke ontbrekende wijziging is automatisch onkritisch.

Bij de beoordeling moet je de verschillen in groepen sorteren:

Wijzigingstype	Typische beoordeling
Geplande wijziging	Vergelijken met wijzigingsdoel en ticket
Automatische of systeemgebonden wijziging	Versie, firmware, certificaat, object-ID of interne referentie controleren
Onverwachte wijziging	Vergelijken met Audit Trail, beheerdersaccount en tijdstip
Ontbrekende wijziging	Controleren of de wijziging echt is opgeslagen, gesynchroniseerd of geïmporteerd
Verwijderd object	Afhankelijkheden in regels, NAT, VPN, WAF en Device Access controleren

Bijzonder belangrijk zijn wijzigingen aan firewallregels, NAT-regels, interfaces, VPN’s, certificaten, authenticatie, Device Access en Hosts and services. In deze gebieden kan een klein verschil direct beïnvloeden of een dienst bereikbaar blijft, of een VPN-tunnel routeert of of een beheerdersaccount toegang heeft vanuit het juiste netwerk.

Voor productieve wijzigingsbeoordelingen moet je niet alleen het Config Studio-resultaat opslaan. Het is zinvol om een korte notitie te maken: gecontroleerde back-upbestanden, opvallende objecten, verwachte wijzigingen, onverwachte wijzigingen, open vragen en beslissing of de wijziging is afgerond of moet worden herzien.

Wijzigingen voorbereiden

Config Studio kan ook configuraties bewerken of wijzigingen als API- of curl-formaat beschikbaar stellen. Dit is krachtig, maar moet niet worden gezien als een verkorting voor ongecontroleerde massa-aanpassingen. Als dergelijke exporten productief worden gebruikt, moet de XML API-toegang goed worden beperkt.

Voorbereide wijzigingen moeten minimaal deze controlepunten doorlopen:

Wijziging in Config Studio voorbereiden.
Betrokken objecten, regels en afhankelijkheden controleren.
Wijziging indien mogelijk in een test- of vervangingsomgeving valideren.
Back-up en rollback-plan voor de productieve firewall voorbereiden.
Wijziging tijdens het onderhoudsvenster doorvoeren.
Daarna Log Viewer, betrokken diensten en configuratievergelijking controleren.

Bijzonder voorzichtig moet men zijn bij NAT, VPN, interfaces, Device Access, authenticatie en HA-configuraties. Een schijnbaar klein verschil kan daar direct invloed hebben op bereikbaarheid of failover-gedrag.

⚠️ Editor-uitvoer uit Config Studio mag nooit direct vanuit de browser in een productieve firewall worden gekopieerd zonder afhankelijkheden, back-up, test en rollback te controleren. Dit geldt vooral voor massa-aanpassingen aan objecten, regels, VPN’s en interfaces.

Gebruik bij migraties

Bij migraties is Config Studio een goed hulpmiddel, maar niet de eerste stap. Eerst moet worden gecontroleerd of de back-up bij het doelplatform past.

Belangrijke vragen:

Wordt er gemigreerd van XG naar XGS?
Verandert het aantal of de volgorde van de interfaces?
Wordt er overgeschakeld van hardware naar virtueel of cloud?
Is er een HA-cluster betrokken?
Moet na het herstel een interface-mapping worden aangepast?
Zijn er oude VPN-, RED-, draadloze of legacy-configuraties?

Config Studio moet in deze procedure op het juiste moment worden ingezet. Het toont verschillen en helpt bij de beoordeling, maar beslist niet alleen of een herstel technisch wordt ondersteund of of de nieuwe firewall na de migratie echt goed werkt.

Stap	Waarvoor het bedoeld is
Back-up- en herstelcompatibiliteit controleren	Controleren of bron, doelplatform, firmware en interface-toewijzing in principe compatibel zijn
Herstel in test- of onderhoudsvenster uitvoeren	Configuratie gecontroleerd naar de doelfirewall brengen
Config Studio-vergelijking evalueren	Afwijkingen tussen oude en nieuwe status zichtbaar maken
Functionele test uitvoeren	VPN, NAT, WAF, routing, DHCP, DNS, HA en beheerstoegang met echte tests controleren

Voor de acceptatie is daarom geen groen buikgevoel na de import voldoende. Men moet van tevoren definiëren welke diensten na de migratie noodzakelijkerwijs moeten werken, welke regels kritisch zijn en welke meetpunten moeten worden gecontroleerd. Dit omvatten minimaal Log Viewer, Policy Test, Packet Capture, centrale logs en de belangrijkste gebruikers- of locatiecontroles.

Voor XG-naar-XGS-projecten past ook Wat is het verschil tussen een XG en XGS Firewall?. Als er een HA-cluster in het spel is, moet voor het herstel ook Sophos Firewall High Availability instellen worden overwogen.

Problemen oplossen bij Config Studio-analyses

Import werkt niet

Als Config Studio een bestand niet kan laden, moet eerst worden gecontroleerd of echt het juiste exportbestand is gebruikt. Voor Config Studio is de Entities.xml uit Backup & Firmware > Import export relevant, niet een of ander gecomprimeerd back-upbestand of een screenshot van de firewall.

Daarnaast controleren:

Bestand is volledig gedownload.
Browser blokkeert lokale bestand- of JavaScript-functies niet.
Bestand is afkomstig van een ondersteunde Sophos-firewallversie.
Export is niet achteraf handmatig bewerkt.

Diff bevat zeer veel wijzigingen

Veel verschillen betekenen niet automatisch dat een wijziging slecht was. Bij firmware-updates, migraties of hersteltests kunnen systeemgebonden wijzigingen optreden. Doorslaggevend is of de inhoudelijk relevante gebieden plausibel zijn: regels, NAT, interfaces, VPN, certificaten, authenticatie, hosts and services en Device Access.

Als de vergelijking onoverzichtelijk wordt, moet men eerst op modules filteren en niet alles tegelijk beoordelen. Voor storingen na een wijziging is vaak de combinatie van Config Studio, Audit Trail, Log Viewer en Packet Capture sneller dan een volledige handmatige beoordeling van alle objecten.

Editor-export past niet bij geplande import

Als een voorbereide export niet zoals verwacht past, moet de wijziging niet geïmproviseerd productief worden doorgevoerd. Eerst controleren:

Is de juiste uitgangsconfiguratie gebruikt?
Zijn er afhankelijke objecten die in het doelsysteem ontbreken?
Komen namen, zones, interfaces en diensten overeen met de doelfirewall?
Is de XML API-toegang voor het gebruikte account toegestaan en voldoende beperkt?
Is er een actuele back-up en een terugweg?

Bij API- of curl-uitvoer hoort de controle van het API-account, de bron-IP en de rechten bij de wijziging. Het artikel Sophos Firewall XML API-toegang beveiligen beschrijft dit deel nauwkeuriger.

Typische fouten

Fout	Gevolg
Geen verse back-up voor de wijziging	De vergelijking is onvolledig of de rollback is onveilig
Back-upbestanden ongecontroleerd doorgegeven	Gevoelige firewallinformatie komt buiten de beoogde kring terecht
Diff wordt zonder context geïnterpreteerd	Automatische of systeemgebonden wijzigingen worden verward met inhoudelijke wijzigingen
Editor-uitvoer ongecontroleerd doorgevoerd	Verkeerde afhankelijkheden kunnen regels, NAT, VPN of interfaces verstoren
Audit Trail wordt genegeerd	Het is zichtbaar wat anders is, maar niet duidelijk wie het heeft gewijzigd
HA- of migratiecontext ontbreekt	Interface-mapping, rol van de nodes of platformverschillen worden over het hoofd gezien
Exportbestanden worden slecht benoemd	Voor- en na-staten worden verward

Checklist voor beheerders

Voor gebruik:

Actuele back-up maken.
Toegang tot back-upbestanden intern regelen.
Entities.xml alleen verwerken op een vertrouwd beheerdersapparaat.
Doel van de analyse vaststellen: audit, migratie, wijzigingsbeoordeling of probleemoplossing.
Relevante tijdstippen en wijzigingstickets gereed hebben.

Bij de vergelijking:

Juiste back-upversies selecteren.
Toegevoegde, verwijderde en gewijzigde items afzonderlijk controleren.
Firewallregels, NAT, interfaces, hosts and services, VPN en Device Access bijzonder in de gaten houden.
Opvallende wijzigingen vergelijken met configuration-audit.log.
Onverwachte wijzigingen documenteren en toewijzen aan een verantwoordelijke persoon.

Na de analyse:

Resultaat documenteren.
Onverwachte verschillen ophelderen.
Bij productieve wijzigingen nieuwe back-upstatus veiligstellen.
Als een herstel of import is gepland, vooraf rollback en onderhoudsvenster vaststellen.

FAQ

Wat is Sophos Firewall Config Studio?

Sophos Firewall Config Studio is een browsergebaseerd Sophos-hulpmiddel voor het bekijken, vergelijken en voorbereiden van Sophos-firewallconfiguraties. Het vervangt de eerdere Configuration Viewer en voegt vergelijkings- en editorfuncties toe.

Vervangt Config Studio een firewallback-up?

Nee. Config Studio gebruikt configuratiegegevens voor analyse of voorbereiding. Een schone back-up en een rollback-plan blijven verplicht voor wijzigingen.

Wanneer is de configuratievergelijking bijzonder nuttig?

De vergelijking is bijzonder nuttig na onderhoudsvensters, firmware-updates, migraties, hersteltests of ongeplande wijzigingen. Hierdoor zie je sneller welke regels, objecten of instellingen echt anders zijn.

Wat is het verschil tussen Config Studio en Audit Trail Logs?

Config Studio toont verschillen tussen configuratiestanden. Audit Trail Logs tonen wanneer en door wie bepaalde wijzigingen zijn aangebracht. Voor wijzigingsanalyses zijn beide hulpmiddelen samen het sterkst.

Kunnen wijzigingen direct vanuit Config Studio productief worden overgenomen?

Wijzigingen kunnen worden voorbereid en afhankelijk van de workflow worden gebruikt als configuratie, API- of curl-formaat. Productief moet dit alleen na controle, back-up, test en rollback-plan gebeuren.