Utilizar o Sophos Firewall Config Studio

Sophos Firewall Config Studio é uma ferramenta da Sophos baseada em navegador, que permite visualizar, comparar e preparar configurações de firewall. É especialmente útil quando se quer saber não apenas que algo mudou, mas qual regra, objeto ou configuração foi afetada.

Na prática, o Config Studio é adequado para três situações:

Comparar duas configurações antes e depois de uma janela de manutenção.
Tornar uma configuração de firewall existente mais legível para revisão, entrega ou auditoria.
Preparar alterações antes de serem implementadas em um firewall em produção.

No entanto, o Config Studio não substitui um backup, um processo de mudança ou um teste. É uma ferramenta de análise e preparação. As alterações ainda precisam ser verificadas, documentadas e protegidas com um plano de reversão.

Guia em vídeo

O vídeo mostra o Config Studio como ferramenta para visualizar, comparar e preparar configurações do Sophos Firewall.

O que o Config Studio pode fazer

O Config Studio é o sucessor ou evolução do antigo Sophos Firewall Configuration Viewer. Para a operação, três funções são especialmente relevantes:

Função	Utilidade no dia a dia
Configuration report	Visualizar regras, políticas e configurações em um relatório coeso
Compare configurations	Comparar duas configurações e identificar entradas adicionadas, alteradas, removidas ou inalteradas
Configuration editor	Preparar configurações e depois reutilizá-las como arquivo de configuração, formato API ou `curl`

O maior valor está na comparação. Quem precisa saber o que realmente mudou após uma atualização, migração ou alteração, avança muito mais rápido com um diff visível do que com a leitura manual de arquivos de backup.

Quando usar o Config Studio

O Config Studio é especialmente valioso para alterações que afetam várias áreas do firewall.

Exemplos típicos:

Migração de XG para XGS.
Restauração em outro hardware ou appliance virtual.
Revisão de um grande conjunto de regras de firewall.
Comparação antes e depois de uma atualização de firmware.
Verificação após uma grande reestruturação de NAT ou VPN.
Transferência de um firewall de uma equipe para outra.
Análise após uma alteração não planejada.

Se for apenas uma conexão ao vivo individual, outras ferramentas são geralmente mais diretas. Para problemas de tráfego, o Log Viewer, Policy Test e Packet Capture são mais adequados. O artigo Testar regra de firewall com Log Viewer, Policy Test e Packet Capture mostra esse processo.

Criar um backup limpo antes

O Config Studio trabalha com dados de configuração. Portanto, deve-se primeiro criar um backup completo e atualizado do firewall.

O caminho no WebAdmin é:

Backup & Firmware > Backup & Restore

Para trabalhos produtivos, recomenda-se o seguinte procedimento:

Criar um backup atual do firewall.
Armazenar o backup com segurança fora do firewall.
Se uma alteração estiver planejada, documentar também o estado desejado.
Criar um segundo backup após a alteração.
Comparar ambas as configurações no Config Studio.

O tema de backup e restauração em si é descrito no artigo Criar ou restaurar backup do Sophos Firewall. Lá também são abordados o Secure Storage Master Key, compatibilidade de restauração e mapeamento de interfaces.

⚠️ Os backups de firewall contêm informações sensíveis sobre a estrutura da rede, regras, objetos, VPNs e serviços. Antes de usar uma ferramenta de análise, deve-se esclarecer internamente onde o arquivo será processado, quem terá acesso e como ele será excluído ou arquivado posteriormente.

Tratar o Entities.xml com segurança

O Config Studio trabalha com a configuração exportada. O processamento ocorre no navegador do dispositivo final; os dados de configuração não são carregados para um serviço externo. No entanto, o arquivo continua sendo relevante para a segurança, pois descreve a estrutura do firewall em detalhes.

Para a operação, deve-se não apenas planejar o download do arquivo, mas também o manuseio posterior:

Abrir o arquivo apenas em um dispositivo de administração confiável.
Não compartilhar o arquivo através de armazenamento em nuvem privado, mensageiros ou listas de e-mail não controladas.
Restringir o acesso a participantes de mudanças, auditorias ou migrações.
Excluir o arquivo após a análise ou arquivá-lo em um local de armazenamento definido e protegido.
Ao compartilhar com suporte ou parceiros externos, esclarecer primeiro quais dados estão contidos e se há autorização.

Especialmente em auditorias e migrações, uma convenção de nomenclatura simples é útil. Exemplo: firewall-local-antes-da-mudança-2026-06-21.xml e firewall-local-depois-da-mudança-2026-06-21.xml. Isso torna mais claro posteriormente qual arquivo representa qual estado e se foi criado antes ou depois de uma janela de manutenção.

Verificar a configuração como relatório

O Configuration Report ajuda a ler uma firewall de forma estruturada. Isso é especialmente útil quando se assume um ambiente existente ou antes de uma auditoria para entender quais regras e objetos estão presentes.

Na revisão, não se deve simplesmente procurar por “muitas regras”. Mais importantes são questões operacionais concretas:

Existem regras com fontes, destinos ou serviços muito amplos?
Regras antigas de VPN, NAT ou WAF ainda estão ativas?
Existem objetos com nomes semelhantes repetidos?
Os acessos de gerenciamento estão restritos de forma adequada às redes próprias?
Logging, IPS, Web Protection, TLS Inspection ou NDR estão configurados conscientemente?
Grupos de regras, nomes e descrições correspondem à operação real?

Para acessos de gerenciamento, deve-se também verificar Configurar corretamente o Device Access. Regras de firewall normais não controlam quem pode acessar serviços locais do firewall como WebAdmin, SSH, User Portal ou VPN Portal.

Comparar duas configurações

A comparação é o caso de uso mais forte do Config Studio. Carregam-se dois estados de configuração e verifica-se quais entradas foram adicionadas, removidas ou alteradas.

Pares de comparação úteis são:

Comparação	Objetivo
Backup antes da mudança vs. Backup após a mudança	Verificar se apenas as alterações planejadas foram implementadas
Backup antes da atualização de firmware vs. após a atualização de firmware	Identificar alterações de configuração inesperadas
Hardware antigo vs. novo hardware	Verificar migração, mapeamento de interfaces e estado dos objetos
Firewall produtivo vs. configuração de referência	Tornar visíveis desvios padrão
Antes da falha vs. após a falha	Restringir alterações suspeitas

A comparação não substitui o Audit Trail. O Config Studio mostra o que é diferente entre duas configurações. O Audit Trail ajuda a saber quem fez qual alteração e quando. Em uma análise limpa, usa-se ambos: primeiro restringe-se o período e o responsável através dos Audit Logs, depois verifica-se a diferença de configuração em detalhe.

Interpretar o resultado do diff

Uma comparação de configuração só é útil se o resultado for triado. Nem toda alteração é relevante tecnicamente, e nem toda alteração ausente é automaticamente irrelevante.

Na revisão, deve-se classificar as diferenças em grupos:

Tipo de alteração	Avaliação típica
Alteração planejada	Comparar com o objetivo da mudança e o ticket
Alteração automática ou sistêmica	Verificar versão, firmware, certificado, ID do objeto ou referência interna
Alteração inesperada	Comparar com o Audit Trail, conta de administrador e horário
Alteração ausente	Verificar se a mudança foi realmente salva, sincronizada ou importada
Objeto removido	Verificar dependências em regras, NAT, VPN, WAF e Device Access

Alterações em regras de firewall, regras NAT, interfaces, VPNs, certificados, autenticação, Device Access e Hosts and services são especialmente importantes. Nessas áreas, uma pequena diferença pode influenciar diretamente se um serviço permanece acessível, se um túnel VPN roteia ou se um acesso de administrador é possível a partir da rede correta.

Para revisões de mudanças produtivas, não se deve apenas salvar o resultado do Config Studio. É útil uma breve anotação: arquivos de backup verificados, objetos notáveis, alterações esperadas, alterações inesperadas, questões em aberto e decisão sobre se a mudança está concluída ou precisa ser revisada.

Preparar alterações

O Config Studio também pode editar configurações ou fornecer alterações no formato API ou curl. Isso é poderoso, mas não deve ser entendido como um atalho para alterações em massa não verificadas. Se tais exportações forem usadas produtivamente, o acesso à API XML deve ser restrito de forma adequada antes.

As alterações preparadas devem passar por pelo menos estes pontos de verificação:

Preparar a alteração no Config Studio.
Verificar objetos, regras e dependências afetadas.
Validar a alteração, se possível, em um ambiente de teste ou substituto.
Preparar backup e plano de reversão para o firewall em produção.
Implementar a alteração na janela de manutenção.
Depois, verificar Log Viewer, serviços afetados e comparação de configuração.

Deve-se ter especial cuidado com NAT, VPN, interfaces, Device Access, autenticação e configurações de HA. Uma diferença aparentemente pequena pode ter impacto direto na acessibilidade ou no comportamento de failover.

⚠️ As saídas do editor do Config Studio nunca devem ser copiadas diretamente do navegador para um firewall em produção sem verificar dependências, backup, teste e plano de reversão. Isso é especialmente verdadeiro para alterações em massa em objetos, regras, VPNs e interfaces.

Uso em migrações

Em migrações, o Config Studio é uma boa ferramenta, mas não o primeiro passo. Primeiro, deve-se verificar se o backup é compatível com a plataforma de destino.

Perguntas importantes:

Está migrando de XG para XGS?
O número ou a ordem das interfaces mudará?
Está mudando de hardware para virtual ou nuvem?
Um cluster HA está envolvido?
Após a restauração, é necessário ajustar o mapeamento de interfaces?
Existem configurações antigas de VPN, RED, Wireless ou Legacy?

O Config Studio deve ser usado no ponto certo deste processo. Ele mostra diferenças e ajuda na revisão, mas não decide sozinho se uma restauração é tecnicamente suportada ou se o novo firewall realmente funciona bem após a migração.

Etapa	Para que serve
Verificar compatibilidade de backup e restauração	Esclarecer se a origem, plataforma de destino, firmware e atribuição de interfaces são compatíveis
Realizar restauração em ambiente de teste ou janela de manutenção	Trazer a configuração de forma controlada para o firewall de destino
Avaliar comparação do Config Studio	Tornar visíveis as diferenças entre o estado antigo e o novo
Realizar teste de funcionalidade	Testar VPN, NAT, WAF, roteamento, DHCP, DNS, HA e acesso de gerenciamento com testes reais

Portanto, para a aceitação, não basta um sentimento positivo após o import. Deve-se definir previamente quais serviços devem funcionar obrigatoriamente após a migração, quais regras são críticas e quais pontos de medição serão verificados. Isso inclui pelo menos Log Viewer, Policy Test, Packet Capture, logs centrais e os testes de usuário ou local mais importantes.

Para projetos de XG para XGS, também é adequado Qual é a diferença entre um firewall XG e XGS?. Se um cluster HA estiver envolvido, deve-se considerar antes da restauração Configurar Sophos Firewall High Availability.

Resolução de problemas em análises do Config Studio

Importação não funciona

Se o Config Studio não conseguir carregar um arquivo, deve-se primeiro verificar se o arquivo de exportação correto está sendo usado. Para o Config Studio, o Entities.xml de Backup & Firmware > Import export é relevante, não algum backup compactado ou uma captura de tela do firewall.

Verifique também:

O arquivo foi baixado completamente.
O navegador não bloqueia funções locais de arquivo ou JavaScript.
O arquivo é de uma versão de firewall Sophos suportada.
O export não foi editado manualmente posteriormente.

O diff contém muitas alterações

Muitas diferenças não significam automaticamente que uma mudança foi ruim. Em atualizações de firmware, migrações ou testes de restauração, podem surgir alterações sistêmicas. O importante é se as áreas tecnicamente relevantes são plausíveis: regras, NAT, interfaces, VPN, certificados, autenticação, Hosts and services e Device Access.

Se a comparação se tornar confusa, deve-se primeiro filtrar por módulos e não avaliar tudo ao mesmo tempo. Para falhas após uma mudança, a combinação de Config Studio, Audit Trail, Log Viewer e Packet Capture é geralmente mais rápida do que uma revisão manual completa de todos os objetos.

Exportação do editor não corresponde ao import planejado

Se uma exportação preparada não corresponder como esperado, a alteração não deve ser improvisada e implementada produtivamente. Primeiro, verifique:

A configuração de origem correta foi usada?
Existem objetos dependentes que faltam no sistema de destino?
Nomes, zonas, interfaces e serviços correspondem ao firewall de destino?
O acesso à API XML para a conta usada é permitido e suficientemente restrito?
Existe um backup atual e um caminho de retorno?

Para saídas de API ou curl, a verificação da conta da API, do IP de origem e dos direitos faz parte da mudança. O artigo Proteger o acesso à API XML do Sophos Firewall descreve essa parte em mais detalhes.

Erros típicos

Erro	Impacto
Nenhum backup recente antes da mudança	A comparação é incompleta ou o rollback é inseguro
Arquivos de backup compartilhados sem controle	Informações sensíveis do firewall acabam fora do círculo pretendido
Diff interpretado sem contexto	Alterações automáticas ou sistêmicas são confundidas com mudanças técnicas
Saída do editor implementada sem verificação	Dependências incorretas podem perturbar regras, NAT, VPN ou interfaces
Audit Trail ignorado	É visível o que é diferente, mas não quem mudou
Contexto de HA ou migração ausente	Mapeamento de interfaces, papel dos nós ou diferenças de plataforma são ignorados
Arquivos de exportação mal nomeados	Estados antes/depois são confundidos

Lista de verificação para administradores

Antes do uso:

Criar backup atual.
Regular internamente o acesso aos arquivos de backup.
Processar Entities.xml apenas em um dispositivo de administração confiável.
Definir o objetivo da análise: auditoria, migração, revisão de mudanças ou resolução de problemas.
Preparar horários relevantes e tickets de mudança.

Na comparação:

Selecionar as versões corretas de backup.
Verificar separadamente entradas adicionadas, removidas e alteradas.
Prestar atenção especial a regras de firewall, NAT, interfaces, Hosts and services, VPN e Device Access.
Comparar alterações notáveis com configuration-audit.log.
Documentar alterações inesperadas e atribuí-las a uma pessoa responsável.

Após a análise:

Documentar o resultado.
Esclarecer diferenças inesperadas.
Em caso de alterações produtivas, garantir um novo estado de backup.
Se um restore ou import estiver planejado, definir previamente rollback e janela de manutenção.

FAQ

O que é o Sophos Firewall Config Studio?

O Sophos Firewall Config Studio é uma ferramenta da Sophos baseada em navegador para visualizar, comparar e preparar configurações de firewall Sophos. Ele substitui o antigo Configuration Viewer e o complementa com funções de comparação e editor.

O Config Studio substitui um backup de firewall?

Não. O Config Studio utiliza dados de configuração para análise ou preparação. Um backup limpo e um plano de reversão continuam sendo obrigatórios antes de alterações.

Quando a comparação de configuração é especialmente útil?

A comparação é especialmente útil após janelas de manutenção, atualizações de firmware, migrações, testes de restauração ou alterações não planejadas. Isso permite ver mais rapidamente quais regras, objetos ou configurações realmente mudaram.

Qual é a diferença entre o Config Studio e os Audit Trail Logs?

O Config Studio mostra diferenças entre estados de configuração. Os Audit Trail Logs mostram quando e por quem certas alterações foram feitas. Para análises de mudanças, ambas as ferramentas juntas são mais eficazes.

É possível adotar alterações diretamente do Config Studio em produção?

As alterações podem ser preparadas e, dependendo do fluxo de trabalho, reutilizadas como configuração, formato API ou curl. Em produção, isso deve ocorrer apenas após verificação, backup, teste e plano de reversão.