Korzystanie z Sophos Firewall Config Studio

Sophos Firewall Config Studio to narzędzie Sophos oparte na przeglądarce, które umożliwia wyświetlanie, porównywanie i przygotowywanie konfiguracji zapory. Jest szczególnie przydatne, gdy chcesz wiedzieć nie tylko, że coś się zmieniło, ale także która reguła, obiekt lub ustawienie zostało zmienione.

W praktyce Config Studio sprawdza się w trzech sytuacjach:

Porównywanie dwóch konfiguracji przed i po oknie konserwacyjnym.
Ułatwienie odczytu istniejącej konfiguracji zapory dla przeglądu, przekazania lub audytu.
Przygotowywanie zmian przed ich wdrożeniem na produkcyjnej zaporze.

Config Studio nie zastępuje kopii zapasowej, procesu zmian ani testów. Jest to narzędzie do analizy i przygotowania. Zmiany muszą być nadal kontrolowane, dokumentowane i zabezpieczone planem przywracania.

Przewodnik wideo

Film pokazuje Config Studio jako narzędzie do przeglądania, porównywania i przygotowywania konfiguracji Sophos Firewall.

Co potrafi Config Studio

Config Studio jest następcą lub rozwinięciem wcześniejszego Sophos Firewall Configuration Viewer. Dla działania są szczególnie istotne trzy funkcje:

Funkcja	Zastosowanie w codziennej pracy
Raport konfiguracyjny	Przeglądanie reguł, polityk i ustawień w jednym spójnym raporcie
Porównywanie konfiguracji	Porównywanie dwóch konfiguracji i identyfikowanie dodanych, zmienionych, usuniętych lub niezmienionych wpisów
Edytor konfiguracji	Przygotowywanie konfiguracji i późniejsze wykorzystanie jako plik konfiguracyjny, format API lub `curl`

Największą wartością dodaną jest porównanie. Osoby, które po aktualizacji, migracji lub zmianie muszą wiedzieć, co naprawdę się zmieniło, z widocznym różnicą (diff) mogą znacznie szybciej postępować niż przy ręcznym odczytywaniu plików kopii zapasowych.

Kiedy używać Config Studio

Config Studio jest szczególnie przydatne przy zmianach, które dotyczą wielu obszarów zapory.

Typowe przykłady:

Migracja z XG na XGS.
Przywracanie na innym sprzęcie lub wirtualnej aplikacji.
Przegląd dużego zestawu reguł zapory.
Porównanie przed i po aktualizacji oprogramowania.
Sprawdzenie po większej przebudowie NAT lub VPN.
Przekazanie zapory z jednego zespołu do innego.
Analiza po nieplanowanej zmianie.

Jeśli chodzi tylko o pojedyncze połączenie na żywo, inne narzędzia są zazwyczaj bardziej bezpośrednie. Do problemów z ruchem lepiej pasują Log Viewer, Policy Test i Packet Capture. Artykuł Testowanie reguły zapory za pomocą Log Viewer, Policy Test i Packet Capture pokazuje ten proces.

Najpierw utwórz czystą kopię zapasową

Config Studio pracuje z danymi konfiguracyjnymi. Dlatego najpierw należy utworzyć pełną i aktualną kopię zapasową zapory.

Ścieżka WebAdmin to:

Backup & Firmware > Backup & Restore

Dla prac produkcyjnych zaleca się następujący proces:

Utwórz aktualną kopię zapasową zapory.
Bezpiecznie przechowuj kopię zapasową poza zaporą.
Jeśli planowana jest zmiana, dodatkowo udokumentuj pożądany stan docelowy.
Po zmianie utwórz drugą kopię zapasową.
Porównaj obie konfiguracje w Config Studio.

Temat tworzenia i przywracania kopii zapasowych jest opisany w artykule Tworzenie lub przywracanie kopii zapasowej Sophos Firewall. Tam również omówiono Secure Storage Master Key, kompatybilność przywracania i mapowanie interfejsów.

⚠️ Kopie zapasowe zapory zawierają wrażliwe informacje o strukturze sieci, regułach, obiektach, VPN i usługach. Przed użyciem narzędzia analitycznego należy wewnętrznie ustalić, gdzie plik będzie przetwarzany, kto ma do niego dostęp i jak zostanie usunięty lub zarchiwizowany.

Bezpieczne obchodzenie się z Entities.xml

Config Studio pracuje z wyeksportowaną konfiguracją. Przetwarzanie odbywa się w przeglądarce urządzenia końcowego; dane konfiguracyjne nie są przesyłane do zewnętrznej usługi. Mimo to plik pozostaje istotny z punktu widzenia bezpieczeństwa, ponieważ szczegółowo opisuje strukturę zapory.

Dla działania należy nie tylko zaplanować pobranie pliku, ale także sposób postępowania po nim:

Otwieraj plik tylko na zaufanym urządzeniu administracyjnym.
Nie przesyłaj pliku przez prywatne chmury, komunikatory ani niekontrolowane listy e-mail.
Ogranicz dostęp do uczestników zmian, audytów lub migracji.
Usuń plik po zakończeniu analizy lub zarchiwizuj w określonym, chronionym miejscu.
Przed przekazaniem do wsparcia lub partnerów zewnętrznych najpierw ustal, jakie dane są zawarte i czy istnieje zgoda na ich udostępnienie.

Szczególnie przy audytach i migracjach pomocna jest prosta konwencja nazewnictwa. Przykład: firewall-lokalizacja-przed-zmiana-2026-06-21.xml i firewall-lokalizacja-po-zmiana-2026-06-21.xml. Dzięki temu później jest jasne, który plik przedstawia jaki stan i czy został utworzony przed czy po oknie konserwacyjnym.

Sprawdzanie konfiguracji jako raportu

Raport konfiguracyjny pomaga w strukturalnym odczytywaniu zapory. Jest to szczególnie przydatne, gdy przejmujesz istniejące środowisko lub przed audytem musisz zrozumieć, jakie reguły i obiekty są obecne.

Podczas przeglądu nie należy po prostu szukać “wielu reguł”. Ważniejsze są konkretne pytania operacyjne:

Czy istnieją reguły z bardzo szerokimi źródłami, celami lub usługami?
Czy stare reguły VPN, NAT lub WAF są nadal aktywne?
Czy istnieją obiekty o podobnych nazwach?
Czy dostęp do zarządzania jest ograniczony do własnych sieci?
Czy logowanie, IPS, Web Protection, TLS Inspection lub NDR są świadomie ustawione?
Czy grupy reguł, nazwy i opisy pasują do rzeczywistej operacji?

Dla dostępu do zarządzania należy dodatkowo sprawdzić Prawidłową konfigurację Device Access. Normalne reguły zapory nie kontrolują, kto może uzyskać dostęp do lokalnych usług zapory, takich jak WebAdmin, SSH, User Portal czy VPN Portal.

Porównywanie dwóch konfiguracji

Porównanie jest najsilniejszym zastosowaniem Config Studio. Ładujesz dwa stany konfiguracji i sprawdzasz, które wpisy zostały dodane, usunięte lub zmienione.

Sensowne pary do porównania to:

Porównanie	Cel
Kopia zapasowa przed zmianą vs. kopia zapasowa po zmianie	Sprawdzenie, czy wdrożono tylko planowane zmiany
Kopia zapasowa przed aktualizacją oprogramowania vs. po aktualizacji oprogramowania	Rozpoznanie nieoczekiwanych zmian konfiguracyjnych
stara sprzęt vs. nowa sprzęt	Sprawdzenie migracji, mapowania interfejsów i stanu obiektów
produkcyjna zapora vs. konfiguracja referencyjna	Uwidocznienie odchyleń od standardu
przed awarią vs. po awarii	Ograniczenie podejrzanych zmian

Porównanie nie zastępuje Audit Trail. Config Studio pokazuje, co jest inne między dwoma konfiguracjami. Audit Trail pomaga natomiast ustalić, kto i kiedy dokonał zmian. W czystej analizie korzystasz z obu: najpierw ograniczasz okres i odpowiedzialnych za pomocą Audit Logs, a następnie szczegółowo sprawdzasz różnice w konfiguracji.

Interpretacja wyniku różnicy

Porównanie konfiguracji jest pomocne tylko wtedy, gdy wynik jest odpowiednio oceniony. Nie każda zmiana jest istotna z punktu widzenia biznesowego, a brakująca zmiana nie jest automatycznie nieistotna.

Podczas przeglądu różnice należy sortować w grupy:

Typ zmiany	Typowa ocena
Planowana zmiana	Porównaj z celem zmiany i biletem
Automatyczna lub systemowa zmiana	Sprawdź wersję, oprogramowanie, certyfikat, ID obiektu lub wewnętrzne odniesienie
Nieoczekiwana zmiana	Porównaj z Audit Trail, kontem administratora i czasem
Brakująca zmiana	Sprawdź, czy zmiana została naprawdę zapisana, zsynchronizowana lub zaimportowana
Usunięty obiekt	Sprawdź zależności w regułach, NAT, VPN, WAF i Device Access

Szczególnie ważne są zmiany w regułach zapory, regułach NAT, interfejsach, VPN, certyfikatach, uwierzytelnianiu, Device Access oraz Hosts and services. W tych obszarach mała różnica może bezpośrednio wpłynąć na dostępność usługi, trasowanie tunelu VPN lub dostęp administratora z właściwej sieci.

Dla produktywnych przeglądów zmian nie należy tylko zapisywać wyniku Config Studio. Warto sporządzić krótką notatkę: sprawdzone pliki kopii zapasowych, zauważone obiekty, oczekiwane zmiany, nieoczekiwane zmiany, otwarte pytania i decyzję, czy zmiana jest zakończona, czy wymaga dalszej pracy.

Przygotowywanie zmian

Config Studio może również edytować konfiguracje lub przygotowywać zmiany w formacie API lub curl. Jest to potężne, ale nie powinno być traktowane jako skrót do nieprzetestowanych masowych zmian. Jeśli takie eksporty są używane produkcyjnie, wcześniej należy odpowiednio ograniczyć dostęp do XML API.

Przygotowane zmiany powinny przejść co najmniej przez te punkty kontrolne:

Przygotuj zmianę w Config Studio.
Sprawdź dotknięte obiekty, reguły i zależności.
Jeśli to możliwe, zweryfikuj zmianę w środowisku testowym lub zastępczym.
Przygotuj kopię zapasową i plan przywracania dla produkcyjnej zapory.
Wprowadź zmianę w oknie konserwacyjnym.
Następnie sprawdź Log Viewer, dotknięte usługi i porównanie konfiguracji.

Szczególnie ostrożnie należy postępować z NAT, VPN, interfejsami, Device Access, uwierzytelnianiem i konfiguracjami HA. Pozornie mała różnica może tam bezpośrednio wpłynąć na dostępność lub zachowanie failover.

⚠️ Eksporty edytora z Config Studio nigdy nie powinny być bezpośrednio kopiowane z przeglądarki do produkcyjnej zapory bez sprawdzenia zależności, kopii zapasowej, testu i planu przywracania. Dotyczy to szczególnie masowych zmian w obiektach, regułach, VPN i interfejsach.

Zastosowanie przy migracjach

Przy migracjach Config Studio jest dobrym narzędziem pomocniczym, ale nie pierwszym krokiem. Najpierw należy sprawdzić, czy kopia zapasowa pasuje do docelowej platformy.

Ważne pytania:

Czy migrujesz z XG na XGS?
Czy zmienia się liczba lub kolejność interfejsów?
Czy przechodzisz z hardware na wirtualne lub chmurowe?
Czy uczestniczy w tym klaster HA?
Czy po przywróceniu trzeba dostosować mapowanie interfejsów?
Czy istnieją stare konfiguracje VPN, RED, Wireless lub Legacy?

Config Studio powinno być używane w tym procesie we właściwym miejscu. Pokazuje różnice i pomaga w przeglądzie, ale nie decyduje samodzielnie, czy przywracanie jest technicznie wspierane, czy nowa zapora po migracji działa poprawnie.

Krok	Do czego jest przeznaczony
Sprawdzenie kompatybilności kopii zapasowej i przywracania	Ustalenie, czy źródło, docelowa platforma, oprogramowanie i przypisanie interfejsów są zgodne
Przywracanie w środowisku testowym lub oknie konserwacyjnym	Kontrolowane przeniesienie konfiguracji na docelową zaporę
Ocena porównania Config Studio	Uwidocznienie różnic między starym a nowym stanem
Przeprowadzenie testu funkcjonalnego	Testowanie VPN, NAT, WAF, routingu, DHCP, DNS, HA i dostępu do zarządzania za pomocą rzeczywistych testów

Dlatego do odbioru nie wystarczy tylko pozytywne odczucie po imporcie. Należy wcześniej zdefiniować, które usługi muszą działać po migracji, które reguły są krytyczne i jakie punkty pomiarowe będą sprawdzane. Obejmuje to co najmniej Log Viewer, Policy Test, Packet Capture, centralne logi i najważniejsze testy użytkowników lub lokalizacji.

Dla projektów XG-zu-XGS dodatkowo pasuje Jaka jest różnica między zaporą XG a XGS?. Jeśli w grę wchodzi klaster HA, przed przywróceniem należy również uwzględnić Konfigurację wysokiej dostępności Sophos Firewall.

Rozwiązywanie problemów przy analizach Config Studio

Import nie działa

Jeśli Config Studio nie może załadować pliku, najpierw należy sprawdzić, czy użyto właściwego pliku eksportu. Dla Config Studio istotny jest Entities.xml z Backup & Firmware > Import export, a nie jakakolwiek skompresowana kopia zapasowa lub zrzut ekranu z zapory.

Dodatkowo sprawdź:

Plik został pobrany w całości.
Przeglądarka nie blokuje lokalnych funkcji plików ani JavaScript.
Plik pochodzi z obsługiwanej wersji Sophos Firewall.
Eksport nie został ręcznie zmodyfikowany po fakcie.

Różnica zawiera bardzo wiele zmian

Wiele różnic nie oznacza automatycznie, że zmiana była zła. Przy aktualizacjach oprogramowania, migracjach lub testach przywracania mogą pojawić się zmiany systemowe. Kluczowe jest, czy obszary istotne z punktu widzenia biznesowego są wiarygodne: reguły, NAT, interfejsy, VPN, certyfikaty, uwierzytelnianie, Hosts and services i Device Access.

Jeśli porównanie staje się nieczytelne, najpierw należy filtrować według modułów, a nie oceniać wszystko jednocześnie. W przypadku problemów po zmianie często kombinacja Config Studio, Audit Trail, Log Viewer i Packet Capture jest szybsza niż pełny ręczny przegląd wszystkich obiektów.

Eksport edytora nie pasuje do planowanego importu

Jeśli przygotowany eksport nie pasuje tak, jak oczekiwano, zmiana nie powinna być improwizowana i wdrażana produkcyjnie. Najpierw sprawdź:

Czy użyto właściwej konfiguracji wyjściowej?
Czy istnieją zależne obiekty, które brakuje w systemie docelowym?
Czy nazwy, strefy, interfejsy i usługi są zgodne z zaporą docelową?
Czy dostęp do XML API dla używanego konta jest dozwolony i odpowiednio ograniczony?
Czy istnieje aktualna kopia zapasowa i plan powrotu?

Przy eksportach API lub curl kontrola konta API, źródłowego IP i uprawnień jest częścią zmiany. Artykuł Zabezpieczanie dostępu do XML API Sophos Firewall opisuje ten aspekt dokładniej.

Typowe błędy

Błąd	Skutek
Brak świeżej kopii zapasowej przed zmianą	Porównanie jest niekompletne lub powrót niepewny
Nieautoryzowane przekazywanie plików kopii zapasowych	Wrażliwe informacje o zaporze trafiają poza przewidziany krąg
Różnica jest interpretowana bez kontekstu	Automatyczne lub systemowe zmiany są mylone z biznesowymi zmianami
Eksport edytora wdrażany bez sprawdzenia	Nieprawidłowe zależności mogą zakłócać reguły, NAT, VPN lub interfejsy
Ignorowanie Audit Trail	Widać, co jest inne, ale nie wiadomo, kto to zmienił
Brak kontekstu HA lub migracji	Pomijane jest mapowanie interfejsów, rola węzłów lub różnice platform
Pliki eksportu są źle nazwane	Stany przed i po są mylone

Lista kontrolna dla administratorów

Przed użyciem:

Utwórz aktualną kopię zapasową.
Ustal wewnętrznie dostęp do plików kopii zapasowych.
Przetwarzaj Entities.xml tylko na zaufanym urządzeniu administracyjnym.
Określ cel analizy: audyt, migracja, przegląd zmian lub rozwiązywanie problemów.
Przygotuj odpowiednie punkty czasowe i bilety zmian.

Podczas porównania:

Wybierz właściwe wersje kopii zapasowych.
Osobno sprawdź dodane, usunięte i zmienione wpisy.
Szczególnie zwróć uwagę na reguły zapory, NAT, interfejsy, Hosts and services, VPN i Device Access.
Porównaj zauważone zmiany z configuration-audit.log.
Dokumentuj nieoczekiwane zmiany i przypisz je odpowiedzialnej osobie.

Po analizie:

Udokumentuj wynik.
Wyjaśnij nieoczekiwane różnice.
Przy produkcyjnych zmianach zabezpiecz nowy stan kopii zapasowej.
Jeśli planowane jest przywracanie lub import, wcześniej ustal plan powrotu i okno konserwacyjne.

FAQ

Czym jest Sophos Firewall Config Studio?

Sophos Firewall Config Studio to narzędzie Sophos oparte na przeglądarce do wyświetlania, porównywania i przygotowywania konfiguracji zapory Sophos. Zastępuje wcześniejszy Configuration Viewer i dodaje funkcje porównywania i edytora.

Czy Config Studio zastępuje kopię zapasową zapory?

Nie. Config Studio wykorzystuje dane konfiguracyjne do analizy lub przygotowania. Czysta kopia zapasowa i plan przywracania pozostają obowiązkowe przed zmianami.

Kiedy porównanie konfiguracji jest szczególnie pomocne?

Porównanie jest szczególnie pomocne po oknach konserwacyjnych, aktualizacjach oprogramowania, migracjach, testach przywracania lub nieplanowanych zmianach. Dzięki temu szybciej widać, które reguły, obiekty lub ustawienia są naprawdę inne.

Jaka jest różnica między Config Studio a Audit Trail Logs?

Config Studio pokazuje różnice między stanami konfiguracji. Audit Trail Logs pokazują, kiedy i przez kogo dokonano określonych zmian. Dla analiz zmian oba narzędzia są najsilniejsze razem.

Czy można bezpośrednio przejąć zmiany z Config Studio?

Zmiany można przygotować i w zależności od przepływu pracy wykorzystać jako konfigurację, format API lub curl. Produkcyjnie powinno to nastąpić tylko po sprawdzeniu, kopii zapasowej, teście i planie przywracania.