Använda Sophos Firewall Config Studio

Sophos Firewall Config Studio är ett webbläsarbaserat Sophos-verktyg som låter dig visa, jämföra och förbereda brandväggskonfigurationer. Det är särskilt användbart när du inte bara vill veta att något har ändrats, utan vilken regel, vilket objekt eller vilken inställning som påverkas.

I praktiken passar Config Studio bra i tre situationer:

Jämföra två konfigurationer före och efter ett underhållsfönster.
Göra en befintlig brandväggskonfiguration mer läsbar för granskning, överlämning eller revision.
Förbereda ändringar innan de implementeras på en produktiv brandvägg.

Config Studio ersätter dock inte en backup, en ändringsprocess eller ett test. Det är ett analys- och förberedelseverktyg. Ändringar måste fortfarande kontrolleras, dokumenteras och säkras med en återställningsplan.

Videoguide

Videon visar Config Studio som verktyg för att visa, jämföra och förbereda Sophos Firewall-konfigurationer.

Vad Config Studio kan göra

Config Studio är efterföljaren eller vidareutvecklingen av den tidigare Sophos Firewall Configuration Viewer. För driften är framför allt tre funktioner relevanta:

Funktion	Nytta i vardagen
Configuration report	Visa regler, policies och inställningar i en sammanhängande rapport
Compare configurations	Jämföra två konfigurationer och identifiera tillagda, ändrade, borttagna eller oförändrade poster
Configuration editor	Förbereda konfigurationer och sedan använda dem som konfigurationsfil, API- eller `curl`-format

Den största fördelen ligger i jämförelsen. Den som efter en uppdatering, migration eller ändring behöver veta vad som verkligen har ändrats, kommer mycket snabbare framåt med en synlig diff än med manuell läsning av backup-filer.

När man bör använda Config Studio

Config Studio är särskilt värt vid ändringar som påverkar flera områden av brandväggen.

Typiska exempel:

Migration från XG till XGS.
Återställning till annan hårdvara eller en virtuell appliance.
Granskning av en stor brandväggsregeluppsättning.
Jämförelse före och efter en firmware-uppdatering.
Kontroll efter en större NAT- eller VPN-ombyggnad.
Överlämning av en brandvägg från ett team till ett annat.
Analys efter en oplanerad ändring.

Om det bara handlar om en enskild live-anslutning är andra verktyg oftast mer direkta. För trafikproblem passar Log Viewer, Policy Test och Packet Capture bättre. Artikeln Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture visar detta förlopp.

Skapa en ren backup i förväg

Config Studio arbetar med konfigurationsdata. Därför bör först en fullständig och aktuell backup av brandväggen skapas.

WebAdmin-sökvägen är:

Backup & Firmware > Backup & Restore

För produktivt arbete rekommenderas följande förlopp:

Skapa aktuell backup av brandväggen.
Säkert lagra backup utanför brandväggen.
Om en ändring är planerad, dokumentera dessutom det önskade målstadiet.
Skapa en andra backup efter ändringen.
Jämför båda konfigurationerna i Config Studio.

Det egentliga backup- och återställningstemat beskrivs i artikeln Skapa eller återställa Sophos Firewall Backup. Där behandlas även Secure Storage Master Key, återställningskompatibilitet och interface-mappning.

⚠️ Brandväggsbackuper innehåller känslig information om nätverksstruktur, regler, objekt, VPN:er och tjänster. Innan ett analysverktyg används bör det internt vara klart var filen bearbetas, vem som har tillgång och hur den sedan raderas eller arkiveras.

Hantera Entities.xml säkert

Config Studio arbetar med den exporterade konfigurationen. Bearbetningen sker i enhetens webbläsare; konfigurationsdata laddas inte upp till en extern tjänst. Trots detta förblir filen säkerhetsrelevant eftersom den beskriver brandväggsstrukturen mycket detaljerat.

För driften bör man därför inte bara planera nedladdningen av filen, utan även hanteringen därefter:

Öppna filen endast på en betrodd administratörenhet.
Dela inte filen via privata molnlagringar, meddelandetjänster eller okontrollerade e-postlistor.
Begränsa åtkomst till ändrings-, revisions- eller migrationsdeltagare.
Radera filen efter analysen eller arkivera den på en definierad, skyddad plats.
Vid vidarebefordran till support eller externa partners, klargör först vilka data som ingår och om ett godkännande finns.

Särskilt vid revisioner och migrationer är en enkel namngivningskonvention hjälpsam. Exempel: firewall-plats-före-ändring-2026-06-21.xml och firewall-plats-efter-ändring-2026-06-21.xml. Detta gör det senare tydligare vilken fil som avbildar vilket tillstånd och om den skapades före eller efter ett underhållsfönster.

Granska konfiguration som rapport

Configuration Report hjälper till att läsa en brandvägg strukturerat. Detta är särskilt användbart när man tar över en befintlig miljö eller måste förstå vilka regler och objekt som finns före en revision.

Vid granskning bör man inte bara leta efter “många regler”. Viktigare är konkreta driftsfrågor:

Finns det regler med mycket breda källor, mål eller tjänster?
Är gamla VPN-, NAT- eller WAF-regler fortfarande aktiva?
Finns det objekt som är namngivna på liknande sätt flera gånger?
Är hanteringsåtkomster ordentligt begränsade till egna nätverk?
Är loggning, IPS, Web Protection, TLS Inspection eller NDR medvetet inställda?
Passar regelgrupper, namn och beskrivningar till den faktiska driften?

För hanteringsåtkomster bör man dessutom kontrollera konfigurera Device Access korrekt. Normala brandväggsregler styr inte vem som får åtkomst till brandväggens lokala tjänster som WebAdmin, SSH, User Portal eller VPN Portal.

Jämföra två konfigurationer

Jämförelsen är det starkaste användningsfallet för Config Studio. Man laddar två konfigurationslägen och kontrollerar sedan vilka poster som har lagts till, tagits bort eller ändrats.

Meningsfulla jämförelsepar är:

Jämförelse	Mål
Backup före ändring vs. Backup efter ändring	Kontrollera om endast de planerade ändringarna har genomförts
Backup före firmware-uppdatering vs. efter firmware-uppdatering	Upptäcka oväntade konfigurationsändringar
gammal hårdvara vs. ny hårdvara	Kontrollera migration, interface-mappning och objektstatus
produktiv brandvägg vs. referenskonfiguration	Synliggöra standardavvikelser
före störning vs. efter störning	Begränsa misstänkta ändringar

Jämförelsen ersätter inte Audit Trail. Config Studio visar vad som är annorlunda mellan två konfigurationer. Audit Trail hjälper däremot till att se vem som gjorde vilken ändring och när. I en noggrann analys använder man båda: först begränsa tidsperioden och ansvarig via Audit Logs, sedan granska konfigurationsskillnaden i detalj.

Tolka diff-resultat

En konfigurationsjämförelse är endast användbar om resultatet triageras. Inte varje ändring är relevant, och inte varje saknad ändring är automatiskt okritisk.

Vid granskning bör man sortera skillnaderna i grupper:

Ändringstyp	Typisk bedömning
Planerad ändring	Jämför med ändringsmål och biljett
Automatisk eller systembetingad ändring	Kontrollera version, firmware, certifikat, objekt-ID eller intern referens
Oväntad ändring	Jämför med Audit Trail, administratörskonto och tidpunkt
Saknad ändring	Kontrollera om ändringen verkligen sparades, synkroniserades eller importerades
Borttaget objekt	Kontrollera beroenden i regler, NAT, VPN, WAF och Device Access

Särskilt viktiga är ändringar i brandväggsregler, NAT-regler, gränssnitt, VPN:er, certifikat, autentisering, Device Access och Hosts and services. Inom dessa områden kan en liten skillnad direkt påverka om en tjänst förblir tillgänglig, om en VPN-tunnel routar eller om en administratörsåtkomst är möjlig från rätt nätverk.

För produktiva ändringsgranskningar bör man inte bara spara Config Studio-resultatet. Det är meningsfullt med en kort notering: granskade backup-filer, iögonfallande objekt, förväntade ändringar, oväntade ändringar, öppna frågor och beslut om ändringen är avslutad eller behöver bearbetas vidare.

Förbereda ändringar

Config Studio kan också redigera konfigurationer eller tillhandahålla ändringar som API- eller curl-format. Detta är kraftfullt, men bör inte ses som en genväg för oprövade massändringar. Om sådana exporter används produktivt bör XML API-åtkomst begränsas ordentligt i förväg.

Förberedda ändringar bör åtminstone genomgå dessa kontrollpunkter:

Förbered ändringen i Config Studio.
Kontrollera berörda objekt, regler och beroenden.
Validera ändringen om möjligt i en test- eller ersättningsmiljö.
Förbered backup och återställningsplan för den produktiva brandväggen.
Implementera ändringen under ett underhållsfönster.
Kontrollera sedan Log Viewer, berörda tjänster och konfigurationsjämförelse.

Man bör vara särskilt försiktig med NAT, VPN, gränssnitt, Device Access, autentisering och HA-konfigurationer. En till synes liten skillnad kan där direkt påverka tillgänglighet eller failover-beteende.

⚠️ Editor-utdata från Config Studio bör aldrig kopieras direkt från webbläsaren till en produktiv brandvägg utan att kontrollera beroenden, backup, test och återställning. Detta gäller särskilt för massändringar av objekt, regler, VPN:er och gränssnitt.

Användning vid migrationer

Vid migrationer är Config Studio ett bra hjälpmedel, men inte det första steget. Först bör man kontrollera om backupen passar till målplattformen.

Viktiga frågor:

Migreras från XG till XGS?
Ändras antalet eller ordningen på gränssnitten?
Byts från hårdvara till virtuell eller moln?
Är ett HA-kluster inblandat?
Måste ett interface-mappning justeras efter återställningen?
Finns det gamla VPN-, RED-, trådlösa eller äldre konfigurationer?

Config Studio bör användas vid rätt tidpunkt i detta förlopp. Det visar skillnader och hjälper vid granskning, men avgör inte ensam om en återställning tekniskt stöds eller om den nya brandväggen verkligen fungerar korrekt efter migrationen.

Steg	Vad det är avsett för
Kontrollera backup- och återställningskompatibilitet	Klargöra om källa, målplattform, firmware och interface-tilldelning i grunden passar ihop
Utföra återställning i test- eller underhållsfönster	Kontrollera konfigurationen på målbrandväggen
Utvärdera Config Studio-jämförelse	Synliggöra avvikelser mellan gammalt och nytt läge
Utföra funktionstest	Testa VPN, NAT, WAF, routing, DHCP, DNS, HA och hanteringsåtkomst med riktiga tester

För godkännande räcker därför inte en bra magkänsla efter importen. Man bör i förväg definiera vilka tjänster som måste fungera efter migrationen, vilka regler som är kritiska och vilka mätpunkter som ska kontrolleras. Detta inkluderar minst Log Viewer, Policy Test, Packet Capture, centrala loggar och de viktigaste användar- eller platsproven.

För XG-till-XGS-projekt passar dessutom Vad är skillnaden mellan en XG och XGS Firewall?. Om ett HA-kluster är inblandat bör även Konfigurera Sophos Firewall High Availability beaktas före återställningen.

Felsökning vid Config Studio-analyser

Import fungerar inte

Om Config Studio inte kan ladda en fil bör man först kontrollera om rätt exportfil verkligen används. För Config Studio är Entities.xml från Backup & Firmware > Import export relevant, inte någon komprimerad backup eller en skärmdump från brandväggen.

Kontrollera dessutom:

Filen har laddats ner fullständigt.
Webbläsaren blockerar inte lokala fil- eller JavaScript-funktioner.
Filen kommer från en stödd Sophos-brandväggsversion.
Exporten har inte redigerats manuellt i efterhand.

Diff innehåller väldigt många ändringar

Många skillnader betyder inte automatiskt att en ändring var dålig. Vid firmware-uppdateringar, migrationer eller återställningstester kan systembetingade ändringar dyka upp. Avgörande är om de relevanta områdena är rimliga: regler, NAT, gränssnitt, VPN, certifikat, autentisering, Hosts and services och Device Access.

Om jämförelsen blir oöverskådlig bör man först filtrera efter moduler och inte bedöma allt samtidigt. För störningar efter en ändring är ofta kombinationen av Config Studio, Audit Trail, Log Viewer och Packet Capture snabbare än en fullständig manuell granskning av alla objekt.

Editor-export passar inte till planerad import

Om en förberedd export inte passar som förväntat bör ändringen inte improviserat implementeras produktivt. Kontrollera först:

Användes rätt utgångskonfiguration?
Finns det beroende objekt som saknas i målsystemet?
Stämmer namn, zoner, gränssnitt och tjänster med målbrandväggen?
Är XML API-åtkomst tillåten och tillräckligt begränsad för det använda kontot?
Finns en aktuell backup och en återgångsväg?

Vid API- eller curl-utdata ingår kontroll av API-kontot, käll-IP och rättigheter i ändringen. Artikeln Säkra Sophos Firewall XML API-åtkomst beskriver denna del mer detaljerat.

Typiska fel

Fel	Effekt
Ingen färsk backup före ändringen	Jämförelsen är ofullständig eller återställningen osäker
Backup-filer delas okontrollerat	Känslig brandväggsinformation hamnar utanför den avsedda kretsen
Diff tolkas utan kontext	Automatiska eller systembetingade ändringar förväxlas med relevanta ändringar
Editor-utdata implementeras utan kontroll	Felaktiga beroenden kan störa regler, NAT, VPN eller gränssnitt
Audit Trail ignoreras	Det är synligt vad som är annorlunda, men inte klart vem som ändrade det
HA- eller migrationskontext saknas	Interface-mappning, nodernas roll eller plattforms skillnader förbises
Exportfiler namnges dåligt	Före-/efterlägen förväxlas

Checklista för administratörer

Innan användning:

Skapa aktuell backup.
Reglera åtkomst till backup-filer internt.
Bearbeta Entities.xml endast på en betrodd administratörenhet.
Fastställ syftet med analysen: revision, migration, ändringsgranskning eller felsökning.
Förbered relevanta tidpunkter och ändringsbiljetter.

Vid jämförelse:

Välj rätt backup-versioner.
Kontrollera tillagda, borttagna och ändrade poster separat.
Var särskilt uppmärksam på brandväggsregler, NAT, gränssnitt, Hosts and services, VPN och Device Access.
Jämför iögonfallande ändringar med configuration-audit.log.
Dokumentera oväntade ändringar och tilldela en ansvarig person.

Efter analysen:

Dokumentera resultatet.
Klargör oväntade skillnader.
Vid produktiva ändringar, säkra ny backup-status.
Om en återställning eller import planeras, fastställ återställnings- och underhållsfönster i förväg.

FAQ

Vad är Sophos Firewall Config Studio?

Sophos Firewall Config Studio är ett webbläsarbaserat Sophos-verktyg för att visa, jämföra och förbereda Sophos-brandväggskonfigurationer. Det ersätter den tidigare Configuration Viewer och kompletterar den med jämförelse- och editorfunktioner.

Ersätter Config Studio en brandväggsbackup?

Nej. Config Studio använder konfigurationsdata för analys eller förberedelse. En ren backup och en återställningsplan förblir obligatoriska före ändringar.

När är konfigurationsjämförelsen särskilt användbar?

Jämförelsen är särskilt användbar efter underhållsfönster, firmware-uppdateringar, migrationer, återställningstester eller oplanerade ändringar. Man ser snabbare vilka regler, objekt eller inställningar som verkligen är annorlunda.

Vad är skillnaden mellan Config Studio och Audit Trail Logs?

Config Studio visar skillnader mellan konfigurationslägen. Audit Trail Logs visar när och av vem specifika ändringar gjordes. För ändringsanalyser är båda verktygen tillsammans starkast.

Kan man direkt implementera ändringar från Config Studio?

Ändringar kan förberedas och beroende på arbetsflöde användas som konfiguration, API- eller curl-format. Produktivt bör detta endast ske efter kontroll, backup, test och återställningsplan.