Ir al contenido
Avanet

Application Traffic Shaping en Sophos Firewall

Con Application Traffic Shaping, Sophos Firewall puede priorizar o limitar aplicaciones. Así, servicios importantes como Microsoft 365, Teams, VoIP o sistemas ERP tienen más posibilidades de disponer de un ancho de banda estable, mientras que el tráfico menos crítico puede limitarse.

Traffic Shaping no sustituye un dimensionamiento correcto de la conexión, pero es una herramienta importante cuando varias aplicaciones compiten por la misma línea de Internet.

Cuándo tiene sentido Application Traffic Shaping

Traffic Shaping ayuda especialmente en entornos con ancho de banda limitado o muy compartido.

Ejemplos tipicos:

  • Microsoft Teams o VoIP deben tener prioridad.
  • Microsoft 365 debe funcionar de forma más estable.
  • El tráfico de backups, actualizaciones o sincronizacion cloud debe limitarse.
  • Streaming o redes sociales deben recibir menor prioridad.
  • Las aplicaciones críticas para el negocio deben tener preferencia.
  • Las redes de invitados deben limitarse.

Lo importante es definir primero el objetivo: ¿se debe priorizar, garantizar o limitar el tráfico?

⚠️ Traffic Shaping no puede crear ancho de banda inexistente. Si la línea está saturada de forma permanente, el shaping solo ayuda a priorizar. Aun así, debe analizarse la causa de la sobrecarga.

Requisitos

Antes de la configuración conviene comprobar:

  • Web Protection está licenciada. Application Control forma parte de la licencia Web Protection y, por tanto, también está incluida en el paquete Standard Protection. El estado de la licencia se revisa en System > Administration > Licensing. La vista general de licencias de Sophos también describe Application Control como parte de Web Protection: información de licencias de Sophos Firewall.
  • Sophos Firewall reconoce correctamente las aplicaciones afectadas.
  • Se conoce de forma realista el ancho de banda de Internet.
  • Se han identificado las reglas de firewall relevantes.
  • El logging está activado para las reglas afectadas.
  • Esta claro que aplicaciones deben priorizarse o limitarse.

Para una configuración limpia, no conviene empezar directamente con muchas reglas. Es mejor comenzar con un caso de uso claro, por ejemplo priorizar Teams o limitar streaming.

Definir la estrategia de Traffic Shaping

Antes de la implementación técnica se debe definir la estrategia.

Objetivos posibles:

  • Priorizar aplicaciones críticas.
  • Limitar aplicaciones no importantes.
  • Reservar ancho de banda minimo para determinados servicios.
  • Definir ancho de banda maximo para redes de invitados.
  • Tratar uploads y downloads de forma diferente.

En servicios en tiempo real como Teams, VoIP o videoconferencias, la latencia suele ser más importante que el ancho de banda puro. Por eso, después de la implementación no solo se debe comprobar la velocidad, sino también la calidad y la estabilidad.

Crear una Traffic-Shaping-Policy

Las Traffic-Shaping-Policies se crean en Configure > System services > Traffic shaping.

  1. Inicia sesión en el WebAdmin de Sophos Firewall.
  2. Abre System services.
  3. Cambia a la pestaña Traffic shaping.
  4. Crea una nueva Traffic-Shaping-Policy.
  5. En Policy association, elige cómo se usará la policy posteriormente.
  6. Selecciona el Rule type, la prioridad y los valores de ancho de banda.
  7. Guarda la policy.
Sophos Firewall - Crear una Traffic-Shaping-Policy en System services
Sophos Firewall - System services > Traffic shaping

En Policy association es importante entender para para qué está pensada la policy:

  • Rules: La policy se selecciona directamente en una regla de firewall, en el campo Shape traffic.
  • Applications: La policy se usa de forma basada en aplicaciones. Puede asignarse a una aplicación o categoría de aplicaciones en Protect > Applications > Traffic shaping default.
  • Users o Web categories: Para escenarios basados en usuarios o categorías web.

Para una priorizacion sencilla de Teams o VoIP, Rules suele ser la variante más facil de entender. Si varias aplicaciones dentro de la misma regla de firewall deben recibir diferentes Shaping-Policies, Applications tiene más sentido.

Los valores deben ajustarse a la línea real. Si el ancho de banda configurado es demasiado alto, la firewall no podra controlar el cuello de botella de forma útil.

Preparar el Application Filter

Para que Traffic Shaping pueda aplicarse a aplicaciones, Sophos Firewall debe reconocer la aplicación. Para Microsoft Teams, OneDrive u otras aplicaciones conocidas, las firmas ya existen. Por tanto, no hay que definir la aplicación desde cero, sino crear una selección adecuada.

La ruta de menu es Protect > Applications > Application filter.

El Application Filter hace que la regla de firewall identifique el tráfico correspondiente como Microsoft Teams, OneDrive, VoIP u otra aplicación.

Ejemplo para Microsoft Teams:

  1. Abre Protect > Applications > Application filter.
  2. Crea un nuevo Application Filter.
  3. Asigna un nombre claro, por ejemplo Microsoft Teams.
  4. Anade una nueva regla de Application.
  5. Busca microsoft teams mediante el Smart Filter.
  6. Selecciona las aplicaciones de Microsoft Teams adecuadas.
  7. Define la Action como Allow.
  8. Guarda el filtro.
Sophos Firewall - Application Filter para Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

En Protect > Applications > Application object también se pueden agrupar aplicaciones. Sin embargo, para la selección clasica dentro de una regla de firewall, el Application Filter suele ser la entrada más comprensible.

Sophos Firewall - Crear un Application object para Microsoft Teams
Sophos Firewall - Protect > Applications > Application object

Con servicios cloud conviene probar con cuidado. Microsoft 365 se compone de muchos servicios. A menudo es mejor revisar Teams, OneDrive, SharePoint o Exchange de forma específica en lugar de crear una categoría demasiado amplia.

Asignar Application Traffic Shaping

Si se quiere utilizar la variante basada en aplicaciones, la Traffic-Shaping-Policy no se asigna solo en la regla de firewall. La asignación real a la aplicación se realiza en Protect > Applications > Traffic shaping default.

  1. Abre Protect > Applications > Traffic shaping default.
  2. Busca la aplicación o categoría de aplicaciones, por ejemplo Microsoft Teams o la categoría cloud adecuada.
  3. Edita la entrada.
  4. Selecciona una Traffic-Shaping-Policy compatible.
  5. Guarda el cambio.

Una policy aplicada a una aplicación individual tiene prioridad sobre una policy a nivel de categoría. Esto resulta útil si se limita una categoría completa, pero algunas aplicaciones críticas dentro de ella deben seguir garantizadas o con mayor prioridad.

Si solo se quiere usar una policy sencilla basada en reglas, este paso puede omitirse. En ese caso basta con seleccionar la policy en el campo Shape traffic de la regla de firewall.

Aplicar la policy en la regla de firewall

Traffic Shaping suele aplicarse mediante una regla de firewall. La ruta de menu es Protect > Rules and policies > Firewall rules.

  1. Abre la regla de firewall por la que realmente circula el tráfico.
  2. Abre la seccion Other security features.
  3. En Identify and control applications (App control), selecciona el Application Filter adecuado.
  4. En Shape traffic, selecciona la Traffic-Shaping-Policy.
  5. Decide si debe activarse Apply application-based traffic shaping policy.
  6. Guarda la regla de firewall.
  7. Prueba la aplicación afectada.

La pregunta clave es la casilla Apply application-based traffic shaping policy:

  • Casilla no marcada: La policy seleccionada en Shape traffic se aplica directamente al tráfico de esta regla de firewall. Es la variante más sencilla cuando toda la regla debe recibir el mismo valor de shaping.
  • Casilla marcada: Sophos Firewall tiene en cuenta las Traffic-Shaping-Policies basadas en aplicaciones de Protect > Applications > Traffic shaping default. Tiene sentido cuando aplicaciones o categorías individuales dentro de la misma regla de firewall deben tratarse de forma diferente.
Sophos Firewall - Regla de firewall con Application Control y Traffic Shaping sin policy basada en aplicaciones activada
Regla de firewall sin Traffic-Shaping-Policy basada en aplicaciones activada
Sophos Firewall - Regla de firewall con la opción Apply application-based traffic shaping policy activada
Regla de firewall con Traffic-Shaping-Policy basada en aplicaciones activada

Para empezar, normalmente recomiendo la variante sencilla: seleccionar un Application Filter, crear una Traffic-Shaping-Policy con Policy association > Rules, seleccionarla en Shape traffic y no marcar la casilla. Solo cuando varias aplicaciones dentro de la misma regla deban priorizarse o limitarse de forma diferente merece la pena usar la variante basada en aplicaciones con Traffic shaping default y la casilla activada.

El orden de las reglas es importante. Si el tráfico pasa por una regla más general situada arriba, por ejemplo una regla existente LAN to WAN, nunca llegará a la regla específica recién creada. Entonces ni Application Control ni Traffic Shaping se aplicaran en la regla esperada.

Comprobar el efecto

Después de la configuración hay que comprobar si la aplicación se reconoce y se controla correctamente.

Revisa:

  • Live Logs de la firewall.
  • Application Control Logs.
  • Reports de Top Applications.
  • Uso de ancho de banda por regla.
  • Feedback de usuarios en servicios en tiempo real.
  • Pruebas de velocidad solo como complemento.

Para pruebas puras de ancho de banda, iPerf o Speedtest pueden ser útiles. Consulta también: Troubleshooting de Sophos Firewall con iPerf y Speedtest

Errores frecuentes

La aplicación no se reconoce

Comprueba si en la regla de firewall, en Other security features, se ha seleccionado un Application Filter. Además, el tráfico debe pasar realmente por esa regla.

El shaping no tiene efecto

Comprueba los valores de ancho de banda de la policy y el orden de las reglas. Si la línea no está saturada, a menudo no se aprecia ningun efecto visible.

Si Apply application-based traffic shaping policy está activado, en Protect > Applications > Traffic shaping default también debe existir realmente una aplicación o categoría adecuada con una Traffic-Shaping-Policy asignada. La casilla por si sola no genera priorizacion.

El tráfico pasa por una regla general

Si encima de la nueva regla ya existe una regla general como LAN to WAN, puede que el tráfico se procese allí. La regla específica para Microsoft Teams, VoIP o cloud apps no se alcanzará nunca. En ese caso, la regla específica debe situarse por encima de la regla general o debe ajustarse la regla existente.

Microsoft 365 funciona peor

Microsoft 365 se compone de muchos servicios y conexiones. No limites toda la categoría de forma global; prueba de forma específica y observa Teams, Exchange, SharePoint y OneDrive por separado.

La red de invitados sigue usando demasiado ancho de banda

Comprueba si el tráfico de invitados pasa por la regla de firewall correcta y si allí está activa la Traffic-Shaping-Policy.

Recomendacion

Empieza con pocas policies claras. Prioriza las aplicaciones críticas para el negocio y limita el tráfico que realmente molesta. Después, observa logs y reports y ajusta los valores paso a paso. Traffic Shaping funciona mejor cuando se mantiene específico y comprensible.