Configurar el Modelado de Tráfico de Aplicaciones en Sophos Firewall
Con el Modelado de Tráfico de Aplicaciones, Sophos Firewall puede priorizar o limitar aplicaciones. Esto permite que servicios importantes como Microsoft 365, Teams, VoIP o sistemas ERP tengan mejores oportunidades de obtener un ancho de banda estable, mientras que el tráfico menos crítico puede ser restringido.
El modelado de tráfico no reemplaza una correcta dimensionamiento de la línea, pero es una herramienta importante cuando varias aplicaciones compiten por la misma conexión a Internet.
Cuándo es útil el Modelado de Tráfico de Aplicaciones
El modelado de tráfico es especialmente útil en entornos con ancho de banda limitado o altamente compartido.
Ejemplos típicos:
- Se debe dar preferencia a Microsoft Teams o VoIP.
- Microsoft 365 debe funcionar de manera más estable.
- El tráfico de copias de seguridad, actualizaciones o sincronización en la nube debe ser limitado.
- El streaming o las redes sociales deben tener menor prioridad.
- Las aplicaciones críticas para el negocio deben tener prioridad.
- Las redes de invitados deben ser limitadas.
Es importante definir primero el objetivo: ¿Se debe priorizar, garantizar o limitar el tráfico?
⚠️ El modelado de tráfico no puede generar ancho de banda faltante. Si la línea está constantemente sobrecargada, el modelado solo ayuda con la priorización. Aun así, se debe investigar la causa de la sobrecarga.
Requisitos previos
Antes de la configuración, se debe verificar:
- Web Protection está licenciada. Application Control es parte de la licencia de Web Protection y, por lo tanto, también está incluida en el paquete de licencias Standard Protection. El estado de la licencia se verifica en System > Administration > Licensing.
- Las aplicaciones afectadas son reconocidas correctamente por el firewall.
- El ancho de banda de Internet es conocido de manera realista.
- Las reglas de firewall relevantes están identificadas.
- El registro está activado para las reglas afectadas.
- Está claro qué aplicaciones deben ser priorizadas o limitadas.
Para una configuración limpia, no se debe comenzar directamente con muchas reglas. Es mejor tener un caso de uso inicial claro, como la priorización de Teams o la limitación del streaming.
Definir la estrategia de modelado de tráfico
Antes de la implementación técnica, se debe definir la estrategia.
Posibles objetivos:
- Priorizar aplicaciones críticas.
- Limitar aplicaciones no importantes.
- Reservar ancho de banda mínimo para ciertos servicios.
- Establecer ancho de banda máximo para redes de invitados.
- Tratar de manera diferente las cargas y descargas.
En servicios en tiempo real como Teams, VoIP o servicios de conferencia, la latencia suele ser más importante que el ancho de banda puro. Por lo tanto, después de la implementación, se debe verificar no solo la velocidad, sino también la calidad y estabilidad.
Evaluar correctamente el ancho de banda y la dirección
El modelado de tráfico solo es efectivo si está claro dónde está el cuello de botella. En muchas conexiones a Internet, la carga es significativamente más limitada que la descarga. Es precisamente ahí donde primero se notan Teams, VoIP, VPN, copias de seguridad en la nube o sincronizaciones de archivos.
Antes de la política, se debe registrar:
- ¿Qué línea o puerta de enlace WAN está afectada?
- ¿Está sobrecargada la descarga, la carga o ambas?
- ¿El tráfico pasa por una sola línea WAN o por SD-WAN?
- ¿Qué aplicación debe tener prioridad y cuál puede ser más lenta?
- ¿Hay trabajos de copia de seguridad, actualización o sincronización que se ejecuten al mismo tiempo?
Los valores en una política de modelado de tráfico deben coincidir con la línea real, no con la especificación teórica del proveedor. Si una línea entrega nominalmente 100/20 Mbit/s, pero en la práctica solo alcanza 80/15 Mbit/s de manera estable, la planificación debe hacerse con valores realistas.
- Valor máximo superior a la línea real: El firewall no puede gestionar correctamente el cuello de botella
- Se ignora la carga: Las conferencias y VoIP permanecen inestables
- Se priorizan demasiadas aplicaciones: La priorización pierde efectividad
- La red de invitados solo se limita en la descarga: La carga aún puede interferir con servicios productivos
- No se verifica la ruta SD-WAN: La política afecta a una ruta diferente a la esperada
Crear una política de modelado de tráfico
Las políticas de modelado de tráfico se crean en Configure > System services > Traffic shaping.
- Iniciar sesión en el WebAdmin de Sophos Firewall.
- Abrir System services.
- Cambiar a la pestaña Traffic shaping.
- Crear una nueva política de modelado de tráfico.
- En Policy association, seleccionar cómo se utilizará la política más adelante.
- Establecer el tipo de regla, prioridad y valores de ancho de banda.
- Guardar la política.

En Policy association, es importante para qué está destinada la política:
- Rules: La política se selecciona directamente en una regla de firewall en el campo Shape traffic.
- Applications: La política se utiliza basada en aplicaciones. La asignación a una aplicación o categoría de aplicación se realiza en Protect > Applications > Traffic shaping default.
- Users o Web categories: Para escenarios basados en usuarios o categorías web.
Para una priorización simple de Teams o VoIP, generalmente Rules es la variante más comprensible. Si varias aplicaciones dentro de la misma regla de firewall deben recibir diferentes políticas de modelado, Applications es más adecuado.
Los valores deben coincidir con la línea real. Si se ingresa un ancho de banda demasiado alto, el firewall no puede gestionar el cuello de botella de manera efectiva.
Preparar el filtro de aplicaciones
Para que el modelado de tráfico se aplique a las aplicaciones, el firewall debe reconocer la aplicación. Para Microsoft Teams, OneDrive u otras aplicaciones conocidas, las firmas ya están disponibles. No es necesario definir la aplicación nuevamente, sino crear una selección adecuada.
La ruta del menú es Protect > Applications > Application filter.
El filtro de aplicaciones asegura que la regla de firewall reconozca el tráfico adecuado como Microsoft Teams, OneDrive, VoIP u otra aplicación.
Si no se trata de priorización o ancho de banda, sino del control de aplicaciones en sí, Configurar y probar el Control de Aplicaciones de Sophos Firewall es el punto de partida más adecuado.
Ejemplo para Microsoft Teams:
- Abrir Protect > Applications > Application filter.
- Crear un nuevo filtro de aplicaciones.
- Asignar un nombre descriptivo, por ejemplo,
Microsoft Teams. - Añadir una nueva regla de aplicación.
- Buscar
microsoft teamscon el filtro inteligente. - Seleccionar las aplicaciones de Microsoft Teams adecuadas.
- Establecer la acción en Allow.
- Guardar el filtro.

En Protect > Applications > Application object, también se pueden agrupar aplicaciones. Sin embargo, para la selección clásica en una regla de firewall, el filtro de aplicaciones suele ser el punto de partida más comprensible.

Para los servicios en la nube, se debe probar con precaución. Microsoft 365 consta de muchos servicios. A menudo es mejor verificar específicamente Teams, OneDrive, SharePoint o Exchange en lugar de formar una categoría muy amplia de manera general.
Asignar el Modelado de Tráfico de Aplicaciones
Si se desea utilizar la variante basada en aplicaciones, la política de modelado de tráfico no solo se asigna en la regla de firewall. La asignación real a la aplicación se realiza en Protect > Applications > Traffic shaping default.
- Abrir Protect > Applications > Traffic shaping default.
- Buscar la aplicación o categoría de aplicación, por ejemplo, Microsoft Teams o la categoría de nube adecuada.
- Editar la entrada.
- Seleccionar una política de modelado de tráfico compatible.
- Guardar el cambio.
Una política en una aplicación individual tiene prioridad sobre una política a nivel de categoría. Esto es útil si se limita toda una categoría, pero se desea garantizar o priorizar más alto aplicaciones críticas para el negocio dentro de ella.
Si solo se desea utilizar una política simple basada en reglas, se puede omitir este paso. Entonces basta con seleccionar en el campo Shape traffic de la regla de firewall.
Aplicar la política en la regla de firewall
El modelado de tráfico generalmente se aplica a través de una regla de firewall. La ruta del menú es Protect > Rules and policies > Firewall rules.
- Abrir la regla de firewall a través de la cual realmente pasa el tráfico.
- Abrir la sección Other security features.
- En Identify and control applications (App control), seleccionar el filtro de aplicaciones adecuado.
- En Shape traffic, seleccionar la política de modelado de tráfico.
- Decidir si se debe activar Apply application-based traffic shaping policy.
- Guardar la regla de firewall.
- Probar la aplicación afectada.
La pregunta más importante es la casilla en Apply application-based traffic shaping policy:
- Casilla no marcada: La política seleccionada en Shape traffic se aplica directamente al tráfico de esta regla de firewall. Esta es la variante más sencilla si toda la regla debe recibir el mismo valor de modelado.
- Casilla marcada: El firewall considera las políticas de modelado de tráfico basadas en aplicaciones de Protect > Applications > Traffic shaping default. Esto es útil si se desea tratar de manera diferente aplicaciones o categorías de aplicaciones individuales dentro de la misma regla de firewall.


Para comenzar, generalmente recomiendo la variante simple: seleccionar el filtro de aplicaciones, crear una política de modelado de tráfico con Policy association > Rules, seleccionarla en Shape traffic y no marcar la casilla. Solo si se desea priorizar o limitar de manera diferente varias aplicaciones en la misma regla, vale la pena la variante basada en aplicaciones con Traffic shaping default y la casilla activada.
El orden de las reglas es importante. Si el tráfico pasa por una regla más general más arriba, como una regla existente LAN to WAN, no alcanzará la nueva regla específica creada. Entonces, ni el Control de Aplicaciones ni el Modelado de Tráfico se aplicarán en la regla esperada.
Planificar el despliegue y ajuste
El modelado de tráfico no debe entenderse como una única casilla. La primera política suele ser solo un punto de partida. Solo con registros reales, informes y comentarios de los usuarios se puede ver si la aplicación se reconoce correctamente y si los valores establecidos coinciden con la línea.
Para entornos productivos, es recomendable un despliegue pequeño:
- Seleccionar un caso de uso concreto, como priorizar Teams o limitar el tráfico de copias de seguridad.
- Documentar la carga actual de la línea y la regla de firewall afectada.
- Crear una política de modelado de tráfico con valores conservadores.
- Aplicar la política primero a una regla o grupo de usuarios claramente delimitado.
- Verificar registros en vivo, registros de Control de Aplicaciones y Aplicaciones Principales.
- Ajustar los valores después de algunos días basándose en observaciones reales.
- Documentar el propietario y la fecha de revisión de la política.
Es especialmente importante la dirección de carga. Muchas quejas sobre servicios de conferencia, VoIP o aplicaciones en la nube no se deben a la falta de descarga, sino a la carga limitada, copias de seguridad paralelas o sincronización en la nube. Si solo se considera la descarga, a menudo la verdadera restricción permanece invisible.
Con varias líneas WAN, también se debe verificar qué ruta se está utilizando realmente. Las rutas SD-WAN, el estado de la puerta de enlace y la precedencia de rutas pueden influir en si la política de modelado esperada afecta al tráfico relevante. Para la evaluación de rutas SD-WAN, Verificar el enrutamiento SD-WAN de Sophos Firewall para paquetes de respuesta y tráfico del sistema es adecuado.
Para mediciones comparativas antes y después del cambio, Probar el rendimiento de Sophos Firewall con iPerf es útil. Es importante usar la misma dirección, la misma fuente, el mismo destino y, preferiblemente, la misma hora del día. De lo contrario, un servidor externo, Wi-Fi o tráfico paralelo se confunde fácilmente con el efecto de la política de modelado.
Verificar el efecto
Después de la configuración, se debe verificar si la aplicación se reconoce y gestiona correctamente.
Se debe verificar:
- Registros en vivo del firewall.
- Registros de Control de Aplicaciones.
- Informes de Aplicaciones Principales.
- Uso de ancho de banda por regla.
- Comentarios de los usuarios en servicios en tiempo real.
- Pruebas de velocidad solo como complemento.
Para pruebas de ancho de banda puras, un iPerf o Speedtest puede ser útil. La guía adecuada es Solución de problemas de Sophos Firewall con iPerf y Speedtest.
Errores comunes
La aplicación no se reconoce
Verifique si en la regla de firewall en Other security features se ha seleccionado un filtro de aplicaciones. Además, el tráfico debe pasar realmente por esta regla.
El modelado no muestra efecto
Verifique los valores de ancho de banda de la política y el orden de las reglas. Si la línea no está saturada, a menudo no se ve un efecto visible.
Si Apply application-based traffic shaping policy está activado, también debe haber una aplicación o categoría adecuada con una política de modelado de tráfico en Protect > Applications > Traffic shaping default. La casilla por sí sola no genera priorización.
El tráfico pasa por una regla general
Si hay una regla general como LAN to WAN por encima de la nueva regla, el tráfico puede ser procesado allí. La regla específica para Microsoft Teams, VoIP o aplicaciones en la nube nunca se alcanza. En este caso, la regla específica debe estar por encima de la regla general o la regla existente debe ajustarse en consecuencia.
Microsoft 365 funciona peor
Microsoft 365 consta de muchos servicios y conexiones. No limite toda la categoría de manera general, sino pruebe específicamente y observe Teams, Exchange, SharePoint y OneDrive por separado.
La red de invitados sigue usando demasiado ancho de banda
Verifique si el tráfico de invitados pasa por la regla de firewall correcta y si la política de modelado de tráfico está activa allí.
Preguntas frecuentes
¿El Modelado de Tráfico de Aplicaciones requiere una licencia?
¿Por qué no se ve diferencia a pesar del Modelado de Tráfico?
¿Debería priorizarse Microsoft Teams o todo Microsoft 365?
¿El Modelado de Tráfico ayuda con poco ancho de banda?
¿Qué es mejor: Modelado de Tráfico basado en reglas o en aplicaciones?
Operación y revisión
Es mejor comenzar con pocas políticas claras. Las aplicaciones críticas para el negocio se priorizan y el tráfico que realmente molesta se limita de manera específica. Luego, se deben observar el Log Viewer, los registros de Control de Aplicaciones, los informes y los comentarios de los usuarios durante varios días antes de ampliar o endurecer los valores.
Para la operación, cada política productiva debe estar brevemente documentada:
- Propósito de la política: Más tarde se puede ver si la política todavía se necesita o si solo ha crecido históricamente.
- Regla de firewall afectada: En caso de cambios en la regla, se ve de inmediato si el modelado aún está en el lugar correcto.
- Aplicación priorizada o limitada: Las categorías amplias pueden afectar involuntariamente a demasiados servicios.
- Valores de ancho de banda planificados: Después de un cambio de proveedor o una reestructuración de SD-WAN, los valores deben reevaluarse.
- Fecha de revisión y propietario: Sin responsabilidad, las políticas ineficaces a menudo permanecen activas durante años.
El Modelado de Tráfico solo sigue siendo útil si se revisa regularmente. Nuevas aplicaciones en la nube, servicios de Microsoft 365 modificados, líneas WAN adicionales, nuevos procesos de copia de seguridad u otras reglas de firewall pueden hacer que una política antigua ya no se ajuste a la operación. Las buenas políticas tienen, por lo tanto, un propósito, un propietario, una fecha de revisión y un camino claro de desmantelamiento si ya no muestran efecto.
Una revisión no solo debe preguntar si la política aún existe. Lo más importante es si todavía ayuda de manera medible:
- ¿El tráfico sigue alcanzando la misma regla de firewall?
- ¿La aplicación todavía se reconoce de manera confiable?
- ¿Los valores de ancho de banda ingresados siguen siendo realistas?
- ¿Hay nuevos cuellos de botella debido a copias de seguridad, sincronización en la nube, red de invitados o SD-WAN?
- ¿Los usuarios siguen informando problemas de calidad con Teams, VoIP u otros servicios en tiempo real?
- ¿Se puede eliminar o suavizar una limitación temporal?
Si ya no se ve ningún efecto, la política no debe simplemente dejarse como un legado. Es mejor un desmantelamiento controlado: desactivar o eliminar la política, verificar la regla afectada, observar durante algunos días y documentar el resultado. Así, el Modelado de Tráfico sigue siendo una herramienta operativa consciente y no se convierte en una fuente de errores invisible.