Vorlagen für Sophos XG Umgebungen

IT-Dienstleister verwenden in der Regel Standards zum Aufbau von Kundenumgebungen. Solche Standards ermöglichen die Wartung der Umgebung durch unterschiedliche Engineers, auch wenn diese nicht direkt mit der Umgebung vertraut sind. Vorlagen können das Umsetzen von solchen Standards erleichtern.

Sophos kennt bei den Sophos XG Firewalls solche vorlagen nicht direkt, hat jedoch ein sehr aufwändiges Import-/Export-Feature für Konfigurationen implementiert. Dieses kann mit etwas Hintergrundwissen relativ einach zum Umsetzen von Standarts eingesetzt werden.

Templates durch Export erstellen

Ich empfehle die Verwendung einer gesonderten virtuellen Lab-Appliance zum Erstellen der Vorlagen zu nutzen.

Schritt 1: Exportieren der Konfiguration

Die Export-Funktion von Sophos XG Appliances ist unter «Backup & firmware» -> «Import export» zu finden. Die Exportfunktion ist sehr mächtig: Die Konfigurationsobjekte können sehr selektiv und auf Wunsch auch mit Abhängigkeiten exportiert werden.

Die Konfiguration von Sophos XG Firewalls kann selektiv exportiert werden.
Abhängige Objekte (z.B. Services beim Export von Service Groups) können durch das Anwählen der Funktion «Include dependent entity» einfach mitverlinken.
Der Export der Konfiguration erfolgt als TAR-Datei.

Schritt 2: Bearbeiten der Konfiguration

Da die Exporte immer Vollumfänglich sind, müssen die Konfigurationen so bearbeitet werden, dass sie als Vorlagen verwendet werden können. Dabei sollten nicht benötigte Konfigurations-Objekte aus den Konfigurationen entfernt werden. Grundsätzlich ist auch ein manueller «Bau» einer Vorlage möglich.

Zum Bearbeiten muss die Entities.xml aus den heruntergeladenen TAR-Dateien entpackt werden. Ich empfehle hierfür die Verwendung von 7-Zip. Die Enthaltene Entities.xml kann danach mit einem beliebigen Text-Editor bearbeitet werden. Natürlich ist die Bearbeitung mit einem Editor der XML-Markups unterstützt um einiges komfortabler. Ich habe jeweils Notepad++ verwendet.

Die XML-Dateien sind relativ leicht verständlich. Es ist gut zu wissen, dass die Konfigurationsdateien chronologisch aufgebaut zu sein scheinen. Zuletzt hinzugefügte Objekte befinden sich also am Ende der Datei. Die Referenzierung unter den Konfigurationsobjekten erfolgt ebenfalls nicht über IDs sondern über die Objekt-Namen. Was die Bearbeitung der Dateien stark vereinfacht.

Sammlung fertiger Vorlagen für Services & Service-Groups

Ich habe damit begonnen Service-Objekte und Service-Groups auf Github zu sammeln:

This repo contains multiple (edited) XML exports of services & service groups from Sophos XG appliances. These exports can be used to rapid deploy services and service groups in Sophos XG enviroments.
https://github.com/hifishch/sophosxg-templates
0 forks.
4 stars.
0 open issues.

Recent commits:

Update README.md, GitHub
Update README.md, GitHub
Rename EX N-Able URL Exeptions/N-AbleExeptions.tar to EX N-Able URL Exceptions/N-AbleExceptions.tar, GitHub
Rename EX N-Able URL Exeptions/README.md to EX N-Able URL Exceptions/README.md, GitHub
Update README.mdRemoved some typos, GitHub

Zuwachs ist jederzeit willkommen 😁.

Schritt 3: Bearbeitete XML-Files für den Upload vorbereiten (TAR-balls erstellen)

Sophos Appliances akzeptieren nicht die «nackten» XML-Dateien. Die Entities.xml müsen also wieder als TAR-Dateien gepackt werden.

Konfigurations-Dateien können nur im TAR-Format hochgeladen werden.

Das Erstellen der TAR-Files geht am besten mit 7-Zip:

Die Funktion «Add to Archive…» von 7-Zip im Datei-Kontextmenü reicht vollkommen aus.
Das Archiv-Format muss unter «Archive format» auf «tar» umgestellt werden. Ansonsten sind keine Anpassungen an den Standardeinstellungen erforderlich.

Templates bereitstellen

Die fertigen Vorlagen können im Unternehmen via File-Shares, Sharepoints, GitHub-Repos Wikis usw. geteilt werden.