Vai al contenuto
Avanet

Configurare il Traffic Shaping delle Applicazioni su Sophos Firewall

Con il Traffic Shaping delle Applicazioni, Sophos Firewall può dare priorità o limitare le applicazioni. Ciò consente a servizi importanti come Microsoft 365, Teams, VoIP o sistemi ERP di avere maggiori possibilità di una larghezza di banda stabile, mentre il traffico meno critico può essere limitato.

Il Traffic Shaping non sostituisce una corretta dimensionamento della linea, ma è uno strumento importante quando più applicazioni competono per la stessa connessione Internet.

Quando è utile il Traffic Shaping delle Applicazioni

Il Traffic Shaping è particolarmente utile in ambienti con larghezza di banda limitata o fortemente condivisa.

Esempi tipici:

  • Dare priorità a Microsoft Teams o VoIP.
  • Garantire stabilità a Microsoft 365.
  • Limitare il traffico di backup, aggiornamenti o sincronizzazione cloud.
  • Assegnare una priorità inferiore a streaming o social media.
  • Dare priorità alle applicazioni critiche per il business.
  • Limitare le reti ospiti.

È importante definire prima l’obiettivo: il traffico deve essere prioritizzato, garantito o limitato?

⚠️ Il Traffic Shaping non può creare larghezza di banda mancante. Se la linea è costantemente sovraccarica, lo shaping aiuta solo nella priorità. La causa del sovraccarico deve comunque essere esaminata.

Prerequisiti

Prima della configurazione, si dovrebbe verificare:

  • Web Protection è licenziato. Application Control è parte della licenza Web Protection e quindi incluso nel pacchetto di licenze Standard Protection. Lo stato della licenza si verifica in System > Administration > Licensing.
  • Le applicazioni interessate sono correttamente riconosciute dal firewall.
  • La larghezza di banda Internet è realisticamente conosciuta.
  • Le regole del firewall rilevanti sono identificate.
  • Il logging è attivato per le regole interessate.
  • È chiaro quali applicazioni devono essere prioritizzate o limitate.

Per una configurazione pulita, non si dovrebbe iniziare direttamente con molte regole. È meglio avere un chiaro primo caso d’uso, ad esempio la priorità di Teams o la limitazione dello streaming.

Definire la strategia di Traffic Shaping

Prima dell’implementazione tecnica, si dovrebbe definire la strategia.

Obiettivi possibili:

  • Prioritizzare le applicazioni critiche.
  • Limitare le applicazioni non importanti.
  • Riservare una larghezza di banda minima per determinati servizi.
  • Stabilire una larghezza di banda massima per le reti ospiti.
  • Trattare diversamente upload o download.

Per i servizi in tempo reale come Teams, VoIP o servizi di conferenza, la latenza è spesso più importante della pura larghezza di banda. Pertanto, dopo l’implementazione, si dovrebbe verificare non solo la velocità, ma anche la qualità e la stabilità.

Valutare correttamente la larghezza di banda e la direzione

Il Traffic Shaping è efficace solo se è chiaro dove si trova il collo di bottiglia. In molte connessioni Internet, l’upload è significativamente più limitato rispetto al download. È proprio lì che Teams, VoIP, VPN, backup cloud o sincronizzazioni di file si notano per primi.

Prima della policy, si dovrebbe annotare:

  • Quale linea o gateway WAN è interessato?
  • È sovraccaricato il download, l’upload o entrambi?
  • Il traffico passa attraverso una singola linea WAN o tramite SD-WAN?
  • Quale applicazione deve avere la priorità e quale può essere rallentata?
  • Ci sono lavori di backup, aggiornamento o sincronizzazione che si svolgono nello stesso tempo?

I valori in una policy di Traffic Shaping dovrebbero corrispondere alla linea reale, non alla specifica teorica del provider. Se una linea fornisce nominalmente 100/20 Mbit/s, ma nella pratica raggiunge stabilmente solo 80/15 Mbit/s, la pianificazione dovrebbe essere effettuata con valori realistici.

  • Valore massimo superiore alla linea reale: Il firewall non può gestire correttamente il collo di bottiglia
  • L’upload viene ignorato: Conferenze e VoIP rimangono instabili
  • Troppe applicazioni vengono prioritizzate: La priorità perde efficacia
  • La rete ospite è limitata solo nel download: L’upload può continuare a disturbare i servizi produttivi
  • Il percorso SD-WAN non viene verificato: La policy agisce su un percorso diverso da quello previsto

Creare una Traffic-Shaping-Policy

Le Traffic-Shaping-Policies si creano in Configure > System services > Traffic shaping.

  1. Accedere al WebAdmin di Sophos Firewall.
  2. Aprire System services.
  3. Passare alla scheda Traffic shaping.
  4. Creare una nuova Traffic-Shaping-Policy.
  5. In Policy association selezionare come verrà utilizzata la policy in seguito.
  6. Definire il tipo di regola, la priorità e i valori di larghezza di banda.
  7. Salvare la policy.
Sophos Firewall - Creare una policy di Traffic Shaping nei servizi di sistema
Sophos Firewall - System services > Traffic shaping

In Policy association è importante sapere per cosa è pensata la policy:

  • Rules: La policy viene selezionata direttamente in una regola del firewall nel campo Shape traffic.
  • Applications: La policy viene utilizzata in base alle applicazioni. L’associazione a un’applicazione o categoria di applicazioni avviene in Protect > Applications > Traffic shaping default.
  • Users o Web categories: Per scenari basati su utenti o categorie web.

Per una semplice priorità di Teams o VoIP, Rules è spesso la variante più comprensibile. Se più applicazioni all’interno della stessa regola del firewall devono ricevere diverse policy di shaping, Applications è più utile.

I valori dovrebbero corrispondere alla linea effettiva. Se la larghezza di banda è inserita troppo alta, il firewall non può gestire efficacemente il collo di bottiglia.

Preparare il filtro delle applicazioni

Affinché il Traffic Shaping possa essere applicato alle applicazioni, il firewall deve riconoscere l’applicazione. Per Microsoft Teams, OneDrive o altre applicazioni note, le firme sono già presenti. Non è necessario ridefinire l’applicazione, ma creare una selezione appropriata.

Il percorso del menu è Protect > Applications > Application filter.

Il filtro delle applicazioni assicura che la regola del firewall riconosca il traffico appropriato come Microsoft Teams, OneDrive, VoIP o un’altra applicazione.

Se non si tratta di priorità o larghezza di banda, ma di Application Control stesso, Configurare e testare Sophos Firewall Application Control è l’inizio più adatto.

Esempio per Microsoft Teams:

  1. Aprire Protect > Applications > Application filter.
  2. Creare un nuovo filtro delle applicazioni.
  3. Assegnare un nome significativo, ad esempio Microsoft Teams.
  4. Aggiungere una nuova regola di applicazione.
  5. Cercare microsoft teams tramite il filtro intelligente.
  6. Selezionare le applicazioni Microsoft Teams appropriate.
  7. Impostare l’azione su Allow.
  8. Salvare il filtro.
Sophos Firewall - Filtro delle applicazioni per Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

In Protect > Applications > Application object è anche possibile raggruppare le applicazioni. Tuttavia, per la selezione classica in una regola del firewall, il filtro delle applicazioni è generalmente l’approccio più comprensibile.

Sophos Firewall - Creare un oggetto applicazione per Microsoft Teams
Sophos Firewall - Protect > Applications > Application object

Per i servizi cloud, è consigliabile testare con cautela. Microsoft 365 è composto da molti servizi. È spesso meglio verificare specificamente Teams, OneDrive, SharePoint o Exchange, piuttosto che formare una categoria molto ampia.

Assegnare il Traffic Shaping delle Applicazioni

Se si desidera utilizzare la variante basata sulle applicazioni, non si assegna solo la Traffic-Shaping-Policy nella regola del firewall. L’effettiva assegnazione all’applicazione avviene in Protect > Applications > Traffic shaping default.

  1. Aprire Protect > Applications > Traffic shaping default.
  2. Cercare l’applicazione o la categoria di applicazioni, ad esempio Microsoft Teams o la categoria cloud appropriata.
  3. Modificare la voce.
  4. Selezionare una Traffic-Shaping-Policy compatibile.
  5. Salvare la modifica.

Una policy su una singola applicazione ha la precedenza su una policy a livello di categoria. Questo è utile se un’intera categoria è limitata, ma alcune applicazioni critiche per il business devono comunque essere garantite o avere una priorità più alta.

Se si desidera utilizzare solo una semplice policy basata su regole, questo passaggio può essere saltato. In tal caso, è sufficiente la selezione nel campo Shape traffic della regola del firewall.

Applicare la Policy nella Regola del Firewall

Il Traffic Shaping diventa effettivo di solito tramite una regola del firewall. Il percorso del menu è Protect > Rules and policies > Firewall rules.

  1. Aprire la regola del firewall attraverso cui passa effettivamente il traffico.
  2. Aprire la sezione Other security features.
  3. In Identify and control applications (App control) selezionare il filtro delle applicazioni appropriato.
  4. In Shape traffic selezionare la Traffic-Shaping-Policy.
  5. Decidere se è necessario attivare Apply application-based traffic shaping policy.
  6. Salvare la regola del firewall.
  7. Testare l’applicazione interessata.

La domanda più importante è il segno di spunta su Apply application-based traffic shaping policy:

  • Segno di spunta non impostato: La policy selezionata in Shape traffic si applica direttamente al traffico di questa regola del firewall. Questa è la variante più semplice se l’intera regola deve ricevere lo stesso valore di shaping.
  • Segno di spunta impostato: Il firewall considera le Traffic-Shaping-Policies basate sulle applicazioni da Protect > Applications > Traffic shaping default. Questo è utile se singole applicazioni o categorie di applicazioni all’interno della stessa regola del firewall devono essere trattate diversamente.
Sophos Firewall - Regola del firewall con Application Control e Traffic Shaping senza policy basata su applicazioni attivata
Regola del firewall senza policy di Traffic Shaping basata su applicazioni attivata
Sophos Firewall - Regola del firewall con opzione Apply application-based traffic shaping policy attivata
Regola del firewall con policy di Traffic Shaping basata su applicazioni attivata

Per iniziare, consiglio spesso la variante semplice: selezionare il filtro delle applicazioni, creare una Traffic-Shaping-Policy con Policy association > Rules, selezionarla in Shape traffic e non impostare il segno di spunta. Solo quando più applicazioni nella stessa regola devono essere priorizzate o limitate diversamente, vale la pena utilizzare la variante basata su applicazioni con Traffic shaping default e segno di spunta attivato.

L’ordine delle regole è importante. Se il traffico passa attraverso una regola più generale in alto, ad esempio una regola esistente LAN to WAN, non raggiunge la nuova regola specifica creata. In tal caso, né Application Control né Traffic Shaping agiscono nella regola prevista.

Pianificare il Rollout e il Tuning

Il Traffic Shaping non dovrebbe essere considerato come un semplice segno di spunta una tantum. La prima policy è spesso solo un punto di partenza. Solo con log reali, report e feedback degli utenti si può vedere se l’applicazione viene riconosciuta correttamente e se i valori impostati corrispondono alla linea.

Per ambienti produttivi è sensato un rollout limitato:

  1. Selezionare un caso d’uso concreto, ad esempio dare priorità a Teams o limitare il traffico di backup.
  2. Documentare l’attuale utilizzo della linea e la regola del firewall interessata.
  3. Creare una Traffic-Shaping-Policy con valori conservativi.
  4. Applicare la policy prima a una regola o gruppo di utenti chiaramente delimitato.
  5. Verificare i log live, i log di Application Control e le applicazioni principali.
  6. Adattare i valori dopo alcuni giorni in base alle osservazioni reali.
  7. Documentare il proprietario e la data di revisione della policy.

Particolarmente importante è la direzione dell’upload. Molte lamentele sui servizi di conferenza, VoIP o applicazioni cloud non derivano dalla mancanza di download, ma da un upload limitato, backup paralleli o sincronizzazione cloud. Se si considera solo il download, il collo di bottiglia effettivo spesso rimane invisibile.

Con più linee WAN, si dovrebbe anche verificare quale percorso viene effettivamente utilizzato. Le rotte SD-WAN, lo stato del gateway e la precedenza delle rotte possono influenzare se la policy di shaping prevista agisce sul traffico rilevante. Per l’analisi dei percorsi SD-WAN, si adatta Verificare il routing SD-WAN di Sophos Firewall per i pacchetti di risposta e il traffico di sistema.

Per misurazioni comparative prima e dopo la modifica, è utile Testare le prestazioni di Sophos Firewall con iPerf. È importante utilizzare la stessa direzione, la stessa fonte, lo stesso obiettivo e possibilmente la stessa ora del giorno. Altrimenti, un server esterno, il Wi-Fi o il traffico parallelo possono essere facilmente confusi con l’effetto della policy di shaping.

Verificare l’efficacia

Dopo la configurazione, si dovrebbe verificare se l’applicazione viene riconosciuta e gestita correttamente.

Si verifica:

  • Log live del firewall.
  • Log di Application Control.
  • Report sulle applicazioni principali.
  • Utilizzo della larghezza di banda per regola.
  • Feedback degli utenti per i servizi in tempo reale.
  • Test di velocità solo come complemento.

Per test di pura larghezza di banda, un iPerf o Speedtest può essere utile. La guida appropriata è Risoluzione dei problemi di Sophos Firewall con iPerf e Speedtest.

Errori comuni

L’applicazione non viene riconosciuta

Verifica se nella regola del firewall sotto Other security features è stato selezionato un filtro delle applicazioni. Inoltre, il traffico deve effettivamente passare attraverso questa regola.

Lo shaping non mostra effetti

Verifica i valori di larghezza di banda della policy e l’ordine delle regole. Se la linea non è satura, spesso non si vede alcun effetto visibile.

Se Apply application-based traffic shaping policy è attivato, deve esserci effettivamente un’applicazione o categoria appropriata con una Traffic-Shaping-Policy in Protect > Applications > Traffic shaping default. Il segno di spunta da solo non genera alcuna priorità.

Il traffico passa attraverso una regola generale

Se sopra la nuova regola c’è già una regola generale come LAN to WAN, il traffico potrebbe essere elaborato lì. La regola specifica per Microsoft Teams, VoIP o app cloud non viene mai raggiunta. In questo caso, la regola specifica deve essere posizionata sopra la regola generale o la regola esistente deve essere adattata di conseguenza.

Microsoft 365 funziona peggio

Microsoft 365 è composto da molti servizi e connessioni. Non limitare l’intera categoria in modo generico, ma testa specificamente e osserva separatamente Teams, Exchange, SharePoint e OneDrive.

La rete ospite utilizza ancora troppa larghezza di banda

Verifica se il traffico ospite passa attraverso la regola del firewall corretta e se lì è attiva la Traffic-Shaping-Policy.

Domande frequenti

Il Traffic Shaping delle Applicazioni richiede una licenza?

Application Control è parte di Web Protection. Pertanto, prima della configurazione, si dovrebbe verificare in System > Administration > Licensing se la licenza appropriata è attiva.

Perché non si vede alcuna differenza nonostante il Traffic Shaping?

Spesso la linea non è satura, il traffico passa attraverso un’altra regola del firewall, l’applicazione non viene riconosciuta o i valori di larghezza di banda inseriti non corrispondono alla linea reale.

Dovrei dare priorità a Microsoft Teams o a tutto Microsoft 365?

Per iniziare, una policy mirata per Teams è spesso migliore di una regola ampia per Microsoft 365. Microsoft 365 è composto da molti servizi con requisiti diversi. Teams, Exchange, SharePoint e OneDrive dovrebbero essere osservati separatamente.

Il Traffic Shaping aiuta in caso di larghezza di banda insufficiente?

Il Traffic Shaping non genera larghezza di banda aggiuntiva. Può dare priorità alle applicazioni importanti o limitare quelle meno importanti. Se la linea è costantemente sovraccarica, la capacità o il comportamento del traffico devono comunque essere esaminati.

Qual è meglio: Traffic Shaping basato su regole o su applicazioni?

Per scenari semplici, il Traffic Shaping basato su regole è spesso più comprensibile. Il Traffic Shaping basato su applicazioni è utile se più applicazioni all’interno della stessa regola del firewall devono essere priorizzate o limitate diversamente.

Operatività e Revisione

È meglio iniziare con poche policy chiare. Le applicazioni critiche per il business vengono priorizzate e il traffico che realmente disturba viene limitato in modo mirato. Successivamente, si dovrebbero osservare per diversi giorni Log Viewer, log di Application Control, report e feedback degli utenti, prima di ampliare o intensificare i valori.

Per l’operatività, ogni policy produttiva dovrebbe essere brevemente documentata:

  • Scopo della policy: In seguito è possibile vedere se la policy è ancora necessaria o è solo cresciuta storicamente.
  • Regola del firewall interessata: In caso di modifiche alle regole, si vede immediatamente se lo shaping è ancora nel posto giusto.
  • Applicazione priorizzata o limitata: Categorie ampie possono influenzare involontariamente troppi servizi.
  • Valori di larghezza di banda pianificati: Dopo un cambio di provider o una ristrutturazione SD-WAN, i valori devono essere rivalutati.
  • Data di revisione e proprietario: Senza responsabilità, le policy inefficaci rimangono spesso attive per anni.

Il Traffic Shaping rimane utile solo se viene regolarmente verificato. Nuove applicazioni cloud, servizi Microsoft 365 modificati, linee WAN aggiuntive, nuovi processi di backup o altre regole del firewall possono far sì che una vecchia policy non sia più adatta all’operatività. Buone policy hanno quindi uno scopo, un proprietario, una data di revisione e un chiaro percorso di rollback, se non mostrano più effetti.

Una revisione non dovrebbe solo chiedere se la policy esiste ancora. È più importante sapere se è ancora misurabilmente utile:

  • Il traffico colpisce ancora la stessa regola del firewall?
  • L’applicazione viene ancora riconosciuta in modo affidabile?
  • I valori di larghezza di banda inseriti sono ancora realistici?
  • Ci sono nuovi colli di bottiglia dovuti a backup, sincronizzazione cloud, rete ospite o SD-WAN?
  • Gli utenti segnalano ancora problemi di qualità con Teams, VoIP o altri servizi in tempo reale?
  • Una limitazione temporanea può essere rimossa o attenuata?

Se non si vede più alcun effetto, la policy non dovrebbe semplicemente rimanere come un peso morto. È meglio un rollback controllato: disattivare o rimuovere la policy, verificare la regola interessata, osservare per alcuni giorni e documentare il risultato. In questo modo, il Traffic Shaping rimane uno strumento operativo consapevole e non diventa una fonte di errori invisibile.