Aller au contenu
Avanet

Application Traffic Shaping sur Sophos Firewall

Avec Application Traffic Shaping, la Sophos Firewall peut prioriser ou limiter certaines applications. Les services importants comme Microsoft 365, Teams, la VoIP ou les systèmes ERP ont ainsi de meilleures chances de disposer d’une bande passante stable, tandis que le trafic moins critique peut être restreint.

Traffic Shaping ne remplace pas un dimensionnement correct de la connexion, mais c’est un outil important lorsque plusieurs applications se partagent la même ligne Internet.

Quand Application Traffic Shaping est utile

Traffic Shaping aide surtout dans les environnements où la bande passante est limitée ou fortement partagée.

Exemples typiques :

  • Microsoft Teams ou la VoIP doivent être priorisés.
  • Microsoft 365 doit fonctionner de manière plus stable.
  • Le trafic de sauvegarde, de mise à jour ou de synchronisation cloud doit être limité.
  • Le streaming ou les réseaux sociaux doivent recevoir une priorité plus faible.
  • Les applications critiques pour l’entreprise doivent passer en priorité.
  • Les réseaux invités doivent être limités.

L’important est de définir l’objectif avant de commencer : faut-il prioriser, garantir ou limiter le trafic ?

⚠️ Traffic Shaping ne peut pas créer de bande passante inexistante. Si la ligne est durablement saturée, le shaping aide seulement à prioriser. La cause de la surcharge doit tout de même être analysée.

Prérequis

Avant la configuration, il faut vérifier les points suivants :

  • Web Protection est sous licence. Application Control fait partie de la licence Web Protection et est donc également inclus dans le bundle Standard Protection. L’état de la licence se vérifie sous System > Administration > Licensing. La vue d’ensemble Sophos des licences décrit aussi Application Control comme faisant partie de Web Protection : Sophos Firewall licensing info.
  • Les applications concernées sont correctement reconnues par la firewall.
  • La bande passante Internet réelle est connue.
  • Les règles firewall pertinentes sont identifiées.
  • Le logging est activé pour les règles concernées.
  • Les applications à prioriser ou à limiter sont clairement définies.

Pour une configuration propre, il vaut mieux ne pas commencer directement avec de nombreuses règles. Un premier cas d’usage clair, par exemple la priorisation de Teams ou la limitation du streaming, est préférable.

Définir la stratégie de Traffic Shaping

Avant la mise en oeuvre technique, il faut définir la stratégie.

Objectifs possibles :

  • Prioriser les applications critiques.
  • Limiter les applications non essentielles.
  • Réserver une bande passante minimale pour certains services.
  • Définir une bande passante maximale pour les réseaux invités.
  • Traiter différemment l’upload et le download.

Pour les services temps réel comme Teams, la VoIP ou les visioconférences, la latence est souvent plus importante que la bande passante pure. Après la mise en place, il faut donc contrôler non seulement la vitesse, mais aussi la qualité et la stabilité.

Créer une Traffic-Shaping-Policy

Les Traffic-Shaping-Policies se créent sous Configure > System services > Traffic shaping.

  1. Connecte-toi au WebAdmin de la Sophos Firewall.
  2. Ouvre System services.
  3. Passe à l’onglet Traffic shaping.
  4. Crée une nouvelle Traffic-Shaping-Policy.
  5. Dans Policy association, choisis comment la policy sera utilisée ensuite.
  6. Choisis le Rule type, la priorité et les valeurs de bande passante.
  7. Enregistre la policy.
Sophos Firewall - création d'une Traffic-Shaping-Policy sous System services
Sophos Firewall - System services > Traffic shaping

Dans Policy association, il est important de comprendre à quoi la policy est destinée :

  • Rules : la policy est sélectionnée directement dans une règle firewall, dans le champ Shape traffic.
  • Applications : la policy est utilisée par application. Elle peut être attribuée à une application ou à une catégorie d’applications sous Protect > Applications > Traffic shaping default.
  • Users ou Web categories : pour des scénarios basés sur les utilisateurs ou les catégories web.

Pour une priorisation simple de Teams ou de la VoIP, Rules est généralement la variante la plus compréhensible. Si plusieurs applications doivent recevoir des Shaping-Policies différentes au sein de la même règle firewall, Applications est plus adapté.

Les valeurs doivent correspondre à la ligne réelle. Si la bande passante renseignée est trop élevée, la firewall ne peut pas piloter correctement le goulot d’étranglement.

Préparer l’Application Filter

Pour que Traffic Shaping s’applique aux applications, la firewall doit reconnaître l’application. Pour Microsoft Teams, OneDrive ou d’autres applications connues, les signatures existent déjà. Il n’est donc pas nécessaire de redéfinir l’application, mais de créer une sélection adaptée.

Le chemin de menu est Protect > Applications > Application filter.

L’Application Filter permet à la règle firewall de reconnaître le trafic correspondant comme Microsoft Teams, OneDrive, VoIP ou une autre application.

Exemple pour Microsoft Teams :

  1. Ouvre Protect > Applications > Application filter.
  2. Crée un nouvel Application Filter.
  3. Donne-lui un nom explicite, par exemple Microsoft Teams.
  4. Ajoute une nouvelle règle d’application.
  5. Recherche microsoft teams avec le Smart Filter.
  6. Sélectionne les applications Microsoft Teams appropriées.
  7. Défini l’Action sur Allow.
  8. Enregistre le filtre.
Sophos Firewall - Application Filter pour Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

Sous Protect > Applications > Application object, il est aussi possible de regrouper des applications. Pour une sélection classique dans une règle firewall, l’Application Filter est toutefois souvent le point d’entrée le plus simple.

Sophos Firewall - création d'un Application object pour Microsoft Teams
Sophos Firewall - Protect > Applications > Application object

Pour les services cloud, il faut tester avec prudence. Microsoft 365 se compose de nombreux services. Il est souvent préférable de contrôler Teams, OneDrive, SharePoint ou Exchange de manière ciblée plutôt que de créer une catégorie très large.

Assigner Application Traffic Shaping

Si l’on souhaite utiliser la variante basée sur les applications, la Traffic-Shaping-Policy ne se définit pas seulement dans la règle firewall. L’affectation réelle à l’application se fait sous Protect > Applications > Traffic shaping default.

  1. Ouvre Protect > Applications > Traffic shaping default.
  2. Recherche l’application ou la catégorie d’applications, par exemple Microsoft Teams ou la catégorie cloud correspondante.
  3. Modifie l’entrée.
  4. Sélectionne une Traffic-Shaping-Policy compatible.
  5. Enregistre la modification.

Une policy appliquée à une application individuelle a priorité sur une policy au niveau de la catégorie. C’est utile lorsqu’une catégorie entière est limitée, mais que certaines applications critiques qu’elle contient doivent malgré tout être garanties ou priorisées.

Si l’on veut seulement utiliser une policy simple basée sur les règles, cette étape peut être ignorée. Dans ce cas, la sélection dans le champ Shape traffic de la règle firewall suffit.

Appliquer la policy dans une règle firewall

Traffic Shaping prend généralement effet via une règle firewall. Le chemin de menu est Protect > Rules and policies > Firewall rules.

  1. Ouvre la règle firewall par laquelle le trafic passe réellement.
  2. Ouvre la section Other security features.
  3. Dans Identify and control applications (App control), sélectionne l’Application Filter approprié.
  4. Dans Shape traffic, sélectionne la Traffic-Shaping-Policy.
  5. Décide si Apply application-based traffic shaping policy doit être activé.
  6. Enregistre la règle firewall.
  7. Teste l’application concernée.

La question la plus importante concerne la case Apply application-based traffic shaping policy :

  • Case non cochée : la policy sélectionnée sous Shape traffic s’applique directement au trafic de cette règle firewall. C’est la variante la plus simple si toute la règle doit recevoir la même valeur de shaping.
  • Case cochée : la firewall tient compte des Traffic-Shaping-Policies basées sur les applications depuis Protect > Applications > Traffic shaping default. C’est utile si certaines applications ou catégories d’applications doivent être traitées différemment au sein de la même règle firewall.
Sophos Firewall - règle firewall avec Application Control et Traffic Shaping sans policy applicative activée
Règle firewall sans Traffic-Shaping-Policy applicative activée
Sophos Firewall - règle firewall avec l'option Apply application-based traffic shaping policy activée
Règle firewall avec Traffic-Shaping-Policy applicative activée

Pour commencer, je recommande généralement la variante simple : sélectionner l’Application Filter, créer une Traffic-Shaping-Policy avec Policy association > Rules, la sélectionner dans Shape traffic et ne pas cocher la case. La variante applicative avec Traffic shaping default et la case activée devient intéressante lorsque plusieurs applications dans la même règle doivent être priorisées ou limitées différemment.

L’ordre des règles est important. Si le trafic passe par une règle plus générale placée au-dessus, par exemple une règle LAN to WAN existante, il n’atteint pas la nouvelle règle spécifique. Dans ce cas, ni Application Control ni Traffic Shaping ne s’appliquent dans la règle attendue.

Vérifier l’effet

Après la configuration, il faut vérifier que l’application est correctement reconnue et contrôlée.

Contrôle notamment :

  • Les Live Logs de la firewall.
  • Les logs Application Control.
  • Les rapports Top Applications.
  • L’utilisation de bande passante par règle.
  • Le retour des utilisateurs pour les services temps réel.
  • Les tests de débit uniquement comme complément.

Pour les tests de bande passante purs, iPerf ou un Speedtest peuvent être utiles. Voir aussi : Sophos Firewall Troubleshooting mit iPerf und Speedtest

Erreurs fréquentes

L’application n’est pas reconnue

Vérifie qu’un Application Filter est sélectionné dans la règle firewall sous Other security features. Le trafic doit en plus passer réellement par cette règle.

Le shaping n’a aucun effet

Vérifie les valeurs de bande passante de la policy et l’ordre des règles. Si la ligne n’est pas saturée, on ne voit souvent aucun effet visible.

Si Apply application-based traffic shaping policy est activé, une application ou une catégorie adaptée doit réellement avoir reçu une Traffic-Shaping-Policy sous Protect > Applications > Traffic shaping default. La case seule ne crée aucune priorisation.

Le trafic passe par une règle générale

Si une règle générale comme LAN to WAN se trouve au-dessus de la nouvelle règle, le trafic peut être traité à cet endroit. La règle spécifique pour Microsoft Teams, la VoIP ou les apps cloud n’est alors jamais touchée. Dans ce cas, la règle spécifique doit être placée au-dessus de la règle générale ou la règle existante doit être ajustée.

Microsoft 365 fonctionne moins bien

Microsoft 365 se compose de nombreux services et connexions. Ne limite pas toute la catégorie de manière globale : teste de façon ciblée et observe Teams, Exchange, SharePoint et OneDrive séparément.

Le réseau invité consomme encore trop de bande passante

Vérifie que le trafic invité passe par la bonne règle firewall et que la Traffic-Shaping-Policy y est active.

Recommandation

Commence avec quelques policies claires. Priorise les applications critiques pour l’entreprise et limite le trafic qui pose réellement problème. Ensuite, surveille les logs et les rapports, puis ajuste les valeurs progressivement. Traffic Shaping est le plus efficace lorsqu’il reste ciblé et compréhensible.