Aller au contenu
Avanet

Configurer le Traffic Shaping des applications sur Sophos Firewall

Avec le Traffic Shaping des applications, Sophos Firewall peut prioriser ou limiter les applications. Cela permet aux services importants comme Microsoft 365, Teams, VoIP ou les systèmes ERP d’avoir de meilleures chances d’obtenir une bande passante stable, tandis que le trafic moins critique peut être restreint.

Le Traffic Shaping ne remplace pas une dimensionnement de ligne propre, mais c’est un outil important lorsque plusieurs applications se disputent la même connexion Internet.

Quand le Traffic Shaping des applications est-il utile ?

Le Traffic Shaping est particulièrement utile dans les environnements où la bande passante est limitée ou fortement partagée.

Exemples typiques :

  • Microsoft Teams ou VoIP doivent être priorisés.
  • Microsoft 365 doit fonctionner de manière plus stable.
  • Le trafic de sauvegarde, de mise à jour ou de synchronisation cloud doit être limité.
  • Le streaming ou les réseaux sociaux doivent avoir une priorité plus basse.
  • Les applications critiques pour l’entreprise doivent être prioritaires.
  • Les réseaux invités doivent être limités.

Il est important de définir d’abord l’objectif : le trafic doit-il être priorisé, garanti ou limité ?

⚠️ Le Traffic Shaping ne peut pas créer de bande passante manquante. Si la ligne est constamment surchargée, le Shaping n’aide qu’à la priorisation. La cause de la surcharge doit néanmoins être examinée.

Prérequis

Avant la configuration, il convient de vérifier :

  • La Web Protection est sous licence. Le contrôle des applications fait partie de la licence Web Protection et est donc inclus dans le bundle de licence Standard Protection. Le statut de la licence peut être vérifié sous System > Administration > Licensing.
  • Les applications concernées sont correctement reconnues par le pare-feu.
  • La bande passante Internet est connue de manière réaliste.
  • Les règles de pare-feu pertinentes sont identifiées.
  • La journalisation est activée pour les règles concernées.
  • Il est clair quelles applications doivent être priorisées ou limitées.

Pour une configuration propre, il ne faut pas commencer directement avec de nombreuses règles. Il est préférable de commencer par un cas d’utilisation clair, par exemple la priorisation de Teams ou la limitation du streaming.

Définir une stratégie de Traffic Shaping

Avant la mise en œuvre technique, il convient de définir la stratégie.

Objectifs possibles :

  • Prioriser les applications critiques.
  • Limiter les applications non essentielles.
  • Réserver une bande passante minimale pour certains services.
  • Définir une bande passante maximale pour les réseaux invités.
  • Traiter différemment les uploads ou les downloads.

Pour les services en temps réel comme Teams, VoIP ou les services de conférence, la latence est souvent plus importante que la simple bande passante. Par conséquent, après la mise en œuvre, il convient de vérifier non seulement la vitesse, mais aussi la qualité et la stabilité.

Évaluer correctement la bande passante et la direction

Le Traffic Shaping n’est efficace que si l’on sait où se situe le goulot d’étranglement. Pour de nombreuses connexions Internet, l’upload est nettement plus limité que le download. C’est précisément là que Teams, VoIP, VPN, les sauvegardes cloud ou les synchronisations de fichiers se remarquent en premier.

Avant la politique, il convient donc de noter :

  • Quelle ligne ou quelle passerelle WAN est concernée ?
  • Le download, l’upload ou les deux sont-ils surchargés ?
  • Le trafic passe-t-il par une seule ligne WAN ou par SD-WAN ?
  • Quelle application doit être priorisée et laquelle peut être ralentie ?
  • Y a-t-il des tâches de sauvegarde, de mise à jour ou de synchronisation qui s’exécutent en même temps ?

Les valeurs dans une politique de Traffic Shaping doivent correspondre à la ligne réelle, et non à l’indication théorique du fournisseur. Si une ligne fournit nominalement 100/20 Mbit/s, mais atteint de manière stable 80/15 Mbit/s au quotidien, la planification doit se faire avec des valeurs réalistes.

  • Valeur maximale supérieure à la ligne réelle: Le pare-feu ne peut pas gérer correctement le goulot d’étranglement
  • L’upload est ignoré: Les conférences et le VoIP restent instables
  • Trop d’applications sont priorisées: La priorisation perd de son efficacité
  • Le réseau invité est limité uniquement en download: L’upload peut continuer à perturber les services productifs
  • Le chemin SD-WAN n’est pas vérifié: La politique agit sur un autre chemin que prévu

Créer une politique de Traffic Shaping

Les politiques de Traffic Shaping se créent sous Configure > System services > Traffic shaping.

  1. Connectez-vous au WebAdmin de Sophos Firewall.
  2. Ouvrez System services.
  3. Passez à l’onglet Traffic shaping.
  4. Créez une nouvelle politique de Traffic Shaping.
  5. Dans Policy association, sélectionnez comment la politique sera utilisée plus tard.
  6. Définissez le type de règle, la priorité et les valeurs de bande passante.
  7. Enregistrez la politique.
Sophos Firewall - Créer une politique de Traffic Shaping sous System services
Sophos Firewall - System services > Traffic shaping

Dans Policy association, il est important de savoir à quoi la politique est destinée :

  • Rules : La politique est directement sélectionnée dans une règle de pare-feu dans le champ Shape traffic.
  • Applications : La politique est utilisée sur la base des applications. L’association à une application ou une catégorie d’application se fait sous Protect > Applications > Traffic shaping default.
  • Users ou Web categories : Pour des scénarios basés sur les utilisateurs ou les catégories web.

Pour une simple priorisation de Teams ou VoIP, Rules est généralement la variante la plus compréhensible. Si plusieurs applications au sein de la même règle de pare-feu doivent recevoir des politiques de Shaping différentes, Applications est plus approprié.

Les valeurs doivent correspondre à la ligne réelle. Si la bande passante est inscrite trop haut, le pare-feu ne peut pas gérer efficacement le goulot d’étranglement.

Préparer le filtre d’application

Pour que le Traffic Shaping soit appliqué aux applications, le pare-feu doit reconnaître l’application. Pour Microsoft Teams, OneDrive ou d’autres applications connues, les signatures sont déjà présentes. Il n’est donc pas nécessaire de redéfinir l’application, mais de créer une sélection appropriée.

Le chemin de menu est Protect > Applications > Application filter.

Le filtre d’application garantit que la règle de pare-feu reconnaît le trafic approprié comme Microsoft Teams, OneDrive, VoIP ou une autre application.

Si l’objectif n’est pas la priorisation ou la bande passante, mais le contrôle des applications lui-même, Configurer et tester le contrôle des applications Sophos Firewall est le point de départ approprié.

Exemple pour Microsoft Teams :

  1. Ouvrez Protect > Applications > Application filter.
  2. Créez un nouveau filtre d’application.
  3. Donnez un nom explicite, par exemple Microsoft Teams.
  4. Ajoutez une nouvelle règle d’application.
  5. Recherchez microsoft teams avec le filtre intelligent.
  6. Sélectionnez les applications Microsoft Teams appropriées.
  7. Réglez l’action sur Allow.
  8. Enregistrez le filtre.
Sophos Firewall - Filtre d'application pour Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

Sous Protect > Applications > Application object, vous pouvez également regrouper des applications. Pour la sélection classique dans une règle de pare-feu, le filtre d’application est cependant généralement le point de départ le plus compréhensible.

Sophos Firewall - Créer un objet d'application pour Microsoft Teams
Sophos Firewall - Protect > Applications > Application object

Pour les services cloud, il convient de tester avec prudence. Microsoft 365 se compose de nombreux services. Il est souvent préférable de tester spécifiquement Teams, OneDrive, SharePoint ou Exchange, plutôt que de former une catégorie très large.

Attribuer le Traffic Shaping des applications

Si vous souhaitez utiliser la variante basée sur les applications, vous n’attribuez pas seulement la politique de Traffic Shaping dans la règle de pare-feu. L’attribution réelle à l’application se fait sous Protect > Applications > Traffic shaping default.

  1. Ouvrez Protect > Applications > Traffic shaping default.
  2. Recherchez l’application ou la catégorie d’application, par exemple Microsoft Teams ou la catégorie cloud appropriée.
  3. Modifiez l’entrée.
  4. Sélectionnez une politique de Traffic Shaping compatible.
  5. Enregistrez la modification.

Une politique sur une application individuelle a la priorité sur une politique au niveau de la catégorie. Cela est utile si une catégorie entière est limitée, mais que certaines applications critiques pour l’entreprise doivent néanmoins être garanties ou priorisées plus haut.

Si vous souhaitez simplement utiliser une politique basée sur les règles, vous pouvez sauter cette étape. Dans ce cas, il suffit de sélectionner dans le champ Shape traffic de la règle de pare-feu.

Appliquer la politique dans la règle de pare-feu

Le Traffic Shaping est généralement appliqué via une règle de pare-feu. Le chemin de menu est Protect > Rules and policies > Firewall rules.

  1. Ouvrez la règle de pare-feu par laquelle le trafic passe réellement.
  2. Ouvrez la section Other security features.
  3. Dans Identify and control applications (App control), sélectionnez le filtre d’application approprié.
  4. Dans Shape traffic, sélectionnez la politique de Traffic Shaping.
  5. Décidez si Apply application-based traffic shaping policy doit être activé.
  6. Enregistrez la règle de pare-feu.
  7. Testez l’application concernée.

La question la plus importante est la coche dans Apply application-based traffic shaping policy :

  • Coche non activée : La politique sélectionnée dans Shape traffic s’applique directement au trafic de cette règle de pare-feu. C’est la variante la plus simple si toute la règle doit recevoir la même valeur de Shaping.
  • Coche activée : Le pare-feu prend en compte les politiques de Traffic Shaping basées sur les applications de Protect > Applications > Traffic shaping default. Cela est utile si certaines applications ou catégories d’applications au sein de la même règle de pare-feu doivent être traitées différemment.
Sophos Firewall - Règle de pare-feu avec contrôle des applications et Traffic Shaping sans politique basée sur les applications activée
Règle de pare-feu sans politique de Traffic Shaping basée sur les applications activée
Sophos Firewall - Règle de pare-feu avec l'option Apply application-based traffic shaping policy activée
Règle de pare-feu avec politique de Traffic Shaping basée sur les applications activée

Pour commencer, je recommande généralement la variante simple : sélectionnez le filtre d’application, créez une politique de Traffic Shaping avec Policy association > Rules, sélectionnez-la dans Shape traffic et ne cochez pas la case. Ce n’est que si plusieurs applications dans la même règle doivent être priorisées ou limitées différemment que la variante basée sur les applications avec Traffic shaping default et la case cochée vaut la peine.

L’ordre des règles est important. Si le trafic passe par une règle plus générale en haut, par exemple une règle existante LAN to WAN, il n’atteint pas la règle spécifique nouvellement créée. Dans ce cas, ni le contrôle des applications ni le Traffic Shaping ne s’appliquent dans la règle attendue.

Planifier le déploiement et le réglage

Le Traffic Shaping ne doit pas être considéré comme une simple case à cocher. La première politique est généralement un point de départ. Ce n’est qu’avec de vrais journaux, des rapports et des retours d’utilisateurs que l’on peut voir si l’application est correctement reconnue et si les valeurs définies correspondent à la ligne.

Pour les environnements productifs, un petit déploiement est judicieux :

  1. Choisissez un cas d’utilisation concret, par exemple prioriser Teams ou limiter le trafic de sauvegarde.
  2. Documentez l’utilisation actuelle de la ligne et la règle de pare-feu concernée.
  3. Créez une politique de Traffic Shaping avec des valeurs conservatrices.
  4. Appliquez la politique d’abord à une règle ou un groupe d’utilisateurs clairement délimité.
  5. Vérifiez les journaux en direct, les journaux de contrôle des applications et les principales applications.
  6. Ajustez les valeurs après quelques jours en fonction des observations réelles.
  7. Documentez le propriétaire et la date de révision de la politique.

La direction de l’upload est particulièrement importante. De nombreuses plaintes concernant les services de conférence, le VoIP ou les applications cloud ne sont pas dues à un manque de download, mais à un upload limité, des sauvegardes parallèles ou une synchronisation cloud. Si seul le download est pris en compte, le véritable goulot d’étranglement reste souvent invisible.

Avec plusieurs lignes WAN, il convient également de vérifier quel chemin est réellement utilisé. Les routes SD-WAN, le statut des passerelles et la priorité des routes peuvent influencer si la politique de Shaping attendue s’applique au trafic pertinent. Pour évaluer les chemins SD-WAN, Vérifier le routage SD-WAN de Sophos Firewall pour les paquets de réponse et le trafic système est approprié.

Pour les mesures de comparaison avant et après le changement, Tester la performance de Sophos Firewall avec iPerf est approprié. Il est important d’utiliser la même direction, la même source, le même objectif et autant que possible la même heure de la journée. Sinon, un serveur externe, le WLAN ou le trafic parallèle est rapidement confondu avec l’effet de la politique de Shaping.

Vérifier l’effet

Après la configuration, il convient de vérifier si l’application est correctement reconnue et contrôlée.

Pour cela, vérifiez :

  • Les journaux en direct du pare-feu.
  • Les journaux de contrôle des applications.
  • Les rapports sur les principales applications.
  • L’utilisation de la bande passante par règle.
  • Les retours des utilisateurs pour les services en temps réel.
  • Les tests de vitesse uniquement en complément.

Pour les tests de bande passante purs, un test iPerf ou Speedtest peut être utile. Le guide approprié est Dépannage de Sophos Firewall avec iPerf et Speedtest.

Erreurs fréquentes

L’application n’est pas reconnue

Vérifiez si un filtre d’application a été sélectionné dans la règle de pare-feu sous Other security features. De plus, le trafic doit réellement passer par cette règle.

Le Shaping n’a aucun effet

Vérifiez les valeurs de bande passante de la politique et l’ordre des règles. Si la ligne n’est pas saturée, on ne voit souvent aucun effet visible.

Si Apply application-based traffic shaping policy est activé, une application ou une catégorie appropriée doit également être associée à une politique de Traffic Shaping sous Protect > Applications > Traffic shaping default. La coche seule ne crée pas de priorisation.

Le trafic passe par une règle générale

Si une règle générale comme LAN to WAN se trouve au-dessus de la nouvelle règle, le trafic peut être traité là-bas. La règle spécifique pour Microsoft Teams, VoIP ou les applications cloud n’est alors jamais atteinte. Dans ce cas, la règle spécifique doit être placée au-dessus de la règle générale ou la règle existante doit être ajustée en conséquence.

Microsoft 365 fonctionne moins bien

Microsoft 365 se compose de nombreux services et connexions. Ne limitez pas toute la catégorie de manière générale, mais testez spécifiquement et observez Teams, Exchange, SharePoint et OneDrive séparément.

Le réseau invité utilise toujours trop de bande passante

Vérifiez si le trafic invité passe par la bonne règle de pare-feu et si la politique de Traffic Shaping y est active.

Questions fréquentes

Le Traffic Shaping des applications nécessite-t-il une licence ?

Le contrôle des applications fait partie de la Web Protection. Il convient donc de vérifier sous System > Administration > Licensing si la licence appropriée est active avant la configuration.

Pourquoi ne voit-on pas de différence malgré le Traffic Shaping ?

Souvent, la ligne n’est pas saturée, le trafic passe par une autre règle de pare-feu, l’application n’est pas reconnue ou les valeurs de bande passante saisies ne correspondent pas à la ligne réelle.

Faut-il prioriser Microsoft Teams ou tout Microsoft 365 ?

Pour commencer, une politique ciblée pour Teams est généralement meilleure qu’une règle large pour Microsoft 365. Microsoft 365 se compose de nombreux services avec des exigences différentes. Teams, Exchange, SharePoint et OneDrive doivent être observés séparément.

Le Traffic Shaping aide-t-il en cas de manque de bande passante ?

Le Traffic Shaping ne crée pas de bande passante supplémentaire. Il peut privilégier des applications importantes ou limiter des applications moins importantes. Si la ligne est constamment surchargée, la capacité ou le comportement du trafic doit néanmoins être examiné.

Qu'est-ce qui est mieux : le Traffic Shaping basé sur les règles ou sur les applications ?

Pour des scénarios simples, le Traffic Shaping basé sur les règles est souvent plus compréhensible. Le Traffic Shaping basé sur les applications vaut la peine si plusieurs applications au sein de la même règle de pare-feu doivent être priorisées ou limitées différemment.

Exploitation et révision

Il est préférable de commencer avec peu de politiques claires. Les applications critiques pour l’entreprise sont priorisées et le trafic qui dérange vraiment est limité de manière ciblée. Ensuite, les journaux du Log Viewer, les journaux de contrôle des applications, les rapports et les retours des utilisateurs doivent être observés pendant plusieurs jours avant que les valeurs ne soient élargies ou renforcées.

Pour l’exploitation, chaque politique productive doit être brièvement documentée :

  • Objectif de la politique: Plus tard, il est possible de voir si la politique est encore nécessaire ou si elle est simplement historique.
  • Règle de pare-feu concernée: En cas de modifications de règles, on voit immédiatement si le Shaping est encore au bon endroit.
  • Application priorisée ou limitée: Les catégories larges peuvent affecter involontairement trop de services.
  • Valeurs de bande passante prévues: Après un changement de fournisseur ou une réorganisation SD-WAN, les valeurs doivent être réévaluées.
  • Date de révision et propriétaire: Sans responsabilité, les politiques inefficaces restent souvent actives pendant des années.

Le Traffic Shaping reste utile uniquement s’il est régulièrement vérifié. De nouvelles applications cloud, des services Microsoft 365 modifiés, des lignes WAN supplémentaires, de nouveaux processus de sauvegarde ou d’autres règles de pare-feu peuvent faire qu’une ancienne politique ne correspond plus à l’exploitation. De bonnes politiques ont donc un objectif, un propriétaire, une date de révision et un chemin de retour clair si elles ne montrent plus d’effet.

Une révision ne doit pas seulement demander si la politique existe encore. Il est plus important de savoir si elle aide encore de manière mesurable :

  • Le trafic passe-t-il toujours par la même règle de pare-feu ?
  • L’application est-elle encore reconnue de manière fiable ?
  • Les valeurs de bande passante saisies sont-elles encore réalistes ?
  • Y a-t-il de nouveaux goulots d’étranglement dus à la sauvegarde, la synchronisation cloud, le réseau invité ou le SD-WAN ?
  • Les utilisateurs signalent-ils toujours des problèmes de qualité avec Teams, VoIP ou d’autres services en temps réel ?
  • Une limitation temporaire peut-elle être supprimée ou atténuée ?

Si aucun effet n’est plus visible, la politique ne doit pas simplement rester comme un fardeau historique. Il est préférable de procéder à un retour contrôlé : désactiver ou supprimer la politique, vérifier la règle concernée, observer quelques jours et documenter le résultat. Ainsi, le Traffic Shaping reste un outil d’exploitation conscient et ne devient pas une source d’erreur invisible.