Application Traffic Shaping su Sophos Firewall
Con Application Traffic Shaping, Sophos Firewall puo dare priorita alle applicazioni o limitarle. In questo modo servizi importanti come Microsoft 365, Teams, VoIP o sistemi ERP hanno maggiori possibilita di ottenere banda stabile, mentre il traffico meno critico puo essere ridotto.
Traffic Shaping non sostituisce un corretto dimensionamento della linea, ma e uno strumento importante quando piu applicazioni competono per la stessa connessione Internet.
Quando ha senso usare Application Traffic Shaping
Traffic Shaping e particolarmente utile negli ambienti con banda limitata o molto condivisa.
Esempi tipici:
- Microsoft Teams o VoIP devono avere priorita.
- Microsoft 365 deve funzionare in modo piu stabile.
- Il traffico di backup, update o cloud sync deve essere limitato.
- Streaming o social media devono avere priorita piu bassa.
- Le applicazioni business critical devono avere precedenza.
- Le reti guest devono essere limitate.
Prima di tutto e importante definire l’obiettivo: il traffico deve essere prioritizzato, garantito o limitato?
⚠️ Traffic Shaping non puo creare banda che non esiste. Se la linea e costantemente satura, lo shaping aiuta solo a stabilire le priorita. La causa della saturazione deve comunque essere analizzata.
Prerequisiti
Prima della configurazione occorre verificare:
- Web Protection e licenziata. Application Control fa parte della licenza Web Protection ed e quindi inclusa anche nel bundle Standard Protection. Lo stato della licenza si verifica in System > Administration > Licensing. Anche la panoramica delle licenze Sophos indica Application Control come parte di Web Protection: Sophos Firewall licensing info.
- Le applicazioni interessate vengono riconosciute correttamente dalla Firewall.
- La banda Internet reale e nota.
- Le Firewall rules rilevanti sono state identificate.
- Il logging e attivo per le regole interessate.
- E chiaro quali applicazioni devono essere prioritizzate o limitate.
Per una configurazione pulita non conviene iniziare subito con molte regole. Meglio partire da un primo caso d’uso chiaro, per esempio la prioritizzazione di Teams o la limitazione dello streaming.
Definire la strategia di Traffic Shaping
Prima dell’implementazione tecnica conviene definire la strategia.
Obiettivi possibili:
- Dare priorita alle applicazioni critiche.
- Limitare le applicazioni non importanti.
- Riservare una banda minima per determinati servizi.
- Definire una banda massima per le reti guest.
- Gestire upload e download in modo diverso.
Per servizi real-time come Teams, VoIP o videoconferenze, la latenza e spesso piu importante della sola banda. Dopo l’implementazione, quindi, non bisogna verificare solo la velocita, ma anche qualita e stabilita.
Creare una Traffic-Shaping-Policy
Le Traffic-Shaping-Policies si creano in Configure > System services > Traffic shaping.
- Accedi al WebAdmin della Sophos Firewall.
- Apri System services.
- Vai al tab Traffic shaping.
- Crea una nuova Traffic-Shaping-Policy.
- In Policy association, scegli come verra usata la policy.
- Seleziona Rule type, priorita e valori di banda.
- Salva la policy.
In Policy association e importante capire a cosa serve la policy:
- Rules: la policy viene selezionata direttamente in una Firewall rule nel campo Shape traffic.
- Applications: la policy viene usata in modo application-based. Puo essere assegnata a un’applicazione o a una categoria in Protect > Applications > Traffic shaping default.
- Users o Web categories: per scenari basati su utenti o categorie web.
Per una semplice prioritizzazione di Teams o VoIP, Rules e di solito la variante piu comprensibile. Se piu applicazioni all’interno della stessa Firewall rule devono ricevere Shaping-Policies diverse, Applications e piu adatta.
I valori devono corrispondere alla linea reale. Se la banda configurata e troppo alta, la Firewall non puo gestire correttamente il collo di bottiglia.
Preparare l’Application Filter
Per applicare Traffic Shaping alle applicazioni, la Firewall deve riconoscere l’applicazione. Per Microsoft Teams, OneDrive o altre applicazioni note, le firme sono gia disponibili. Non serve quindi definire di nuovo l’applicazione, ma creare una selezione adatta.
Il percorso e Protect > Applications > Application filter.
L’Application Filter fa in modo che la Firewall rule riconosca il traffico corretto come Microsoft Teams, OneDrive, VoIP o un’altra applicazione.
Esempio per Microsoft Teams:
- Apri Protect > Applications > Application filter.
- Crea un nuovo Application Filter.
- Assegna un nome chiaro, per esempio
Microsoft Teams. - Aggiungi una nuova Application rule.
- Cerca
microsoft teamscon lo Smart Filter. - Seleziona le applicazioni Microsoft Teams corrette.
- Imposta Action su Allow.
- Salva il filtro.
In Protect > Applications > Application object si possono anche raggruppare applicazioni. Per la classica selezione in una Firewall rule, tuttavia, l’Application Filter e spesso il punto di partenza piu chiaro.
Per i servizi cloud bisogna testare con attenzione. Microsoft 365 e composto da molti servizi. Spesso e meglio verificare Teams, OneDrive, SharePoint o Exchange in modo mirato, invece di creare una categoria troppo ampia.
Assegnare Application Traffic Shaping
Se si vuole usare la variante application-based, la Traffic-Shaping-Policy non viene assegnata solo nella Firewall rule. L’associazione effettiva all’applicazione avviene in Protect > Applications > Traffic shaping default.
- Apri Protect > Applications > Traffic shaping default.
- Cerca l’applicazione o la categoria, per esempio Microsoft Teams o la categoria cloud corretta.
- Modifica la voce.
- Seleziona una Traffic-Shaping-Policy compatibile.
- Salva la modifica.
Una policy su una singola applicazione ha priorita rispetto a una policy a livello di categoria. Questo e utile se una categoria intera viene limitata, ma alcune applicazioni business critical al suo interno devono comunque essere garantite o prioritizzate.
Se si vuole usare solo una semplice policy rule-based, questo passaggio puo essere saltato. In quel caso basta la selezione nel campo Shape traffic della Firewall rule.
Applicare la policy nella Firewall rule
Traffic Shaping diventa normalmente efficace tramite una Firewall rule. Il percorso e Protect > Rules and policies > Firewall rules.
- Apri la Firewall rule attraverso cui passa realmente il traffico.
- Apri la sezione Other security features.
- In Identify and control applications (App control) seleziona l’Application Filter corretto.
- In Shape traffic seleziona la Traffic-Shaping-Policy.
- Decidi se attivare Apply application-based traffic shaping policy.
- Salva la Firewall rule.
- Testa l’applicazione interessata.
Il punto decisivo e il checkbox Apply application-based traffic shaping policy:
- Checkbox non selezionato: la policy selezionata in Shape traffic vale direttamente per il traffico di questa Firewall rule. E la variante piu semplice se l’intera regola deve ricevere lo stesso valore di shaping.
- Checkbox selezionato: la Firewall considera le Traffic-Shaping-Policies application-based da Protect > Applications > Traffic shaping default. Questo ha senso se singole applicazioni o categorie all’interno della stessa Firewall rule devono essere trattate diversamente.
Per iniziare, di solito consiglio la variante semplice: selezionare l’Application Filter, creare una Traffic-Shaping-Policy con Policy association > Rules, selezionarla in Shape traffic e lasciare il checkbox non selezionato. Solo quando piu applicazioni nella stessa regola devono essere prioritizzate o limitate in modo diverso, conviene usare la variante application-based con Traffic shaping default e checkbox attivo.
L’ordine delle regole e importante. Se il traffico passa attraverso una regola piu generale posizionata sopra, per esempio una regola LAN to WAN esistente, non raggiunge la nuova regola specifica. In quel caso ne Application Control ne Traffic Shaping agiscono nella regola prevista.
Verificare l’effetto
Dopo la configurazione bisogna verificare se l’applicazione viene riconosciuta e gestita correttamente.
Controlla:
- Live Logs della Firewall.
- Application Control Logs.
- Reports sulle Top Applications.
- Utilizzo della banda per regola.
- Feedback degli utenti sui servizi real-time.
- Speedtest solo come controllo aggiuntivo.
Per test puramente di banda possono essere utili iPerf o Speedtest. Vedi anche: Troubleshooting Sophos Firewall con iPerf e Speedtest
Errori frequenti
L’applicazione non viene riconosciuta
Verifica che nella Firewall rule, sotto Other security features, sia selezionato un Application Filter. Inoltre il traffico deve passare realmente attraverso quella regola.
Lo shaping non produce effetti
Controlla i valori di banda della policy e l’ordine delle regole. Se la linea non e satura, spesso non si vede alcun effetto evidente.
Se Apply application-based traffic shaping policy e attivo, in Protect > Applications > Traffic shaping default deve esistere davvero un’applicazione o categoria corretta con una Traffic-Shaping-Policy associata. Il checkbox da solo non crea alcuna priorita.
Il traffico passa da una regola generale
Se sopra la nuova regola esiste gia una regola generale come LAN to WAN, il traffico potrebbe essere elaborato li. La regola specifica per Microsoft Teams, VoIP o Cloud Apps non viene quindi mai raggiunta. In questo caso la regola specifica deve stare sopra quella generale, oppure la regola esistente deve essere adattata.
Microsoft 365 funziona peggio
Microsoft 365 e composto da molti servizi e connessioni. Non limitare in modo generico l’intera categoria, ma testa in modo mirato e osserva separatamente Teams, Exchange, SharePoint e OneDrive.
La rete guest usa ancora troppa banda
Verifica che il traffico guest passi attraverso la Firewall rule corretta e che li la Traffic-Shaping-Policy sia attiva.
Raccomandazione
Inizia con poche policy chiare. Dai priorita alle applicazioni business critical e limita il traffico che crea davvero problemi. Poi osserva Logs e Reports e adatta i valori passo dopo passo. Traffic Shaping funziona al meglio quando e mirato e comprensibile.