Zum Inhalt springen
Avanet

Application Traffic Shaping auf Sophos Firewall konfigurieren

Mit Application Traffic Shaping kann die Sophos Firewall Anwendungen priorisieren oder begrenzen. Dadurch erhalten wichtige Dienste wie Microsoft 365, Teams, VoIP oder ERP-Systeme bessere Chancen auf stabile Bandbreite, während weniger kritischer Traffic eingeschränkt werden kann.

Traffic Shaping ersetzt keine saubere Leitungsdimensionierung, ist aber ein wichtiges Werkzeug, wenn mehrere Anwendungen um dieselbe Internetleitung konkurrieren.

Wann Application Traffic Shaping sinnvoll ist

Traffic Shaping hilft besonders in Umgebungen mit knapper oder stark geteilter Bandbreite.

Typische Beispiele:

  • Microsoft Teams oder VoIP soll bevorzugt werden.
  • Microsoft 365 soll stabiler laufen.
  • Backup-, Update- oder Cloud Sync-Traffic soll begrenzt werden.
  • Streaming oder Social Media soll niedrigere Priorität erhalten.
  • Geschäftskritische Anwendungen sollen Vorrang haben.
  • Gastnetzwerke sollen limitiert werden.

Wichtig ist, zuerst das Ziel zu definieren: Soll Traffic priorisiert, garantiert oder begrenzt werden?

⚠️ Traffic Shaping kann keine fehlende Bandbreite erzeugen. Wenn die Leitung dauerhaft überlastet ist, hilft Shaping nur bei der Priorisierung. Die Ursache der Überlastung muss trotzdem geprüft werden.

Voraussetzungen

Vor der Konfiguration sollte man prüfen:

  • Web Protection ist lizenziert. Application Control ist Bestandteil der Web Protection Lizenz und damit auch im Lizenzbundle Standard Protection enthalten. Den Lizenzstatus prüft man unter System > Administration > Licensing. Die Sophos Lizenzübersicht beschreibt Application Control ebenfalls als Teil von Web Protection: Sophos Firewall licensing info.
  • Die betroffenen Anwendungen werden von der Firewall korrekt erkannt.
  • Die Internetbandbreite ist realistisch bekannt.
  • Die relevanten Firewall Regeln sind identifiziert.
  • Logging ist für die betroffenen Regeln aktiviert.
  • Es ist klar, welche Anwendungen priorisiert oder begrenzt werden sollen.

Für eine saubere Konfiguration sollte man nicht direkt mit vielen Regeln starten. Besser ist ein klarer erster Anwendungsfall, zum Beispiel Priorisierung von Teams oder Begrenzung von Streaming.

Traffic-Shaping-Strategie festlegen

Vor der technischen Umsetzung sollte man die Strategie definieren.

Mögliche Ziele:

  • Kritische Anwendungen priorisieren.
  • Unwichtige Anwendungen begrenzen.
  • Mindestbandbreite für bestimmte Dienste reservieren.
  • Maximalbandbreite für Gastnetzwerke festlegen.
  • Uploads oder Downloads unterschiedlich behandeln.

Bei Echtzeitdiensten wie Teams, VoIP oder Videokonferenzen ist Latenz oft wichtiger als reine Bandbreite. Deshalb sollte man nach der Umsetzung nicht nur Geschwindigkeit, sondern auch Qualität und Stabilität prüfen.

Traffic-Shaping-Policy erstellen

Traffic-Shaping-Policies erstellt man unter Configure > System services > Traffic shaping.

  1. Im WebAdmin der Sophos Firewall anmelden.
  2. System services öffnen.
  3. Auf den Tab Traffic shaping wechseln.
  4. Eine neue Traffic-Shaping-Policy erstellen.
  5. Bei Policy association auswählen, wie die Policy später verwendet werden soll.
  6. Rule type, Priorität und Bandbreitenwerte festlegen.
  7. Policy speichern.
Sophos Firewall - Traffic-Shaping-Policy unter System services erstellen
Sophos Firewall - System services > Traffic shaping

Bei Policy association ist wichtig, wofür die Policy gedacht ist:

  • Rules: Die Policy wird direkt in einer Firewall Regel im Feld Shape traffic ausgewählt.
  • Applications: Die Policy wird anwendungsbasiert verwendet. Sie kann unter Protect > Applications > Traffic shaping default einer Anwendung oder Anwendungskategorie zugewiesen werden.
  • Users oder Web categories: Für Benutzer- oder Webkategorie-basierte Szenarien.

Für eine einfache Teams- oder VoIP-Priorisierung ist meistens Rules die verständlichste Variante. Wenn mehrere Anwendungen innerhalb derselben Firewall Regel unterschiedliche Shaping-Policies erhalten sollen, ist Applications sinnvoller.

Die Werte sollten zur tatsächlichen Leitung passen. Wenn die Bandbreite zu hoch eingetragen wird, kann die Firewall den Engpass nicht sinnvoll steuern.

Application Filter vorbereiten

Damit Traffic Shaping auf Anwendungen angewendet werden kann, muss die Firewall die Anwendung erkennen. Für Microsoft Teams, OneDrive oder andere bekannte Anwendungen sind die Signaturen bereits vorhanden. Man muss die Anwendung also nicht neu definieren, sondern eine passende Auswahl erstellen.

Der Menüpfad lautet Protect > Applications > Application filter.

Der Application Filter sorgt dafür, dass die Firewall Regel den passenden Traffic überhaupt als Microsoft Teams, OneDrive, VoIP oder eine andere Anwendung erkennt.

Beispiel für Microsoft Teams:

  1. Protect > Applications > Application filter öffnen.
  2. Einen neuen Application Filter erstellen.
  3. Einen sprechenden Namen vergeben, zum Beispiel Microsoft Teams.
  4. Eine neue Application-Regel hinzufügen.
  5. Über den Smart Filter nach microsoft teams suchen.
  6. Die passenden Microsoft-Teams-Anwendungen auswählen.
  7. Die Action auf Allow setzen.
  8. Filter speichern.
Sophos Firewall - Application Filter für Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

Unter Protect > Applications > Application object kann man Anwendungen ebenfalls gruppieren. Für die klassische Auswahl in einer Firewall Regel ist der Application Filter jedoch meist der verständlichere Einstieg.

Sophos Firewall - Application object für Microsoft Teams erstellen
Sophos Firewall - Protect > Applications > Application object

Für Cloud Dienste sollte man vorsichtig testen. Microsoft 365 besteht aus vielen Diensten. Es ist oft besser, Teams, OneDrive, SharePoint oder Exchange gezielt zu prüfen, statt pauschal eine sehr breite Kategorie zu formen.

Application Traffic Shaping zuweisen

Wenn man die anwendungsbasierte Variante nutzen möchte, weist man die Traffic-Shaping-Policy nicht nur in der Firewall Regel zu. Die eigentliche Zuordnung zur Anwendung erfolgt unter Protect > Applications > Traffic shaping default.

  1. Protect > Applications > Traffic shaping default öffnen.
  2. Die Anwendung oder Anwendungskategorie suchen, zum Beispiel Microsoft Teams oder die passende Cloud Kategorie.
  3. Den Eintrag bearbeiten.
  4. Eine kompatible Traffic-Shaping-Policy auswählen.
  5. Änderung speichern.

Eine Policy auf einer einzelnen Anwendung hat Vorrang vor einer Policy auf Kategorieebene. Das ist hilfreich, wenn eine ganze Kategorie limitiert wird, einzelne geschäftskritische Anwendungen darin aber trotzdem garantiert oder höher priorisiert werden sollen.

Wenn man nur eine einfache rule-based Policy verwenden möchte, kann dieser Schritt übersprungen werden. Dann reicht die Auswahl im Feld Shape traffic der Firewall Regel.

Policy in Firewall Regel anwenden

Traffic Shaping wird in der Regel über eine Firewall Regel wirksam. Der Menüpfad lautet Protect > Rules and policies > Firewall rules.

  1. Die Firewall Regel öffnen, über die der Traffic wirklich läuft.
  2. Den Bereich Other security features öffnen.
  3. Bei Identify and control applications (App control) den passenden Application Filter auswählen.
  4. Bei Shape traffic die Traffic-Shaping-Policy auswählen.
  5. Entscheiden, ob Apply application-based traffic shaping policy aktiviert werden muss.
  6. Firewall Regel speichern.
  7. Betroffene Anwendung testen.

Die wichtigste Frage ist der Haken bei Apply application-based traffic shaping policy:

  • Haken nicht gesetzt: Die unter Shape traffic ausgewählte Policy gilt direkt für den Traffic dieser Firewall Regel. Das ist die einfachere Variante, wenn die gesamte Regel denselben Shaping-Wert erhalten soll.
  • Haken gesetzt: Die Firewall berücksichtigt anwendungsbasierte Traffic-Shaping-Policies aus Protect > Applications > Traffic shaping default. Das ist sinnvoll, wenn einzelne Anwendungen oder Anwendungskategorien innerhalb derselben Firewall Regel unterschiedlich behandelt werden sollen.
Sophos Firewall - Firewall Regel mit Application Control und Traffic Shaping ohne aktivierte anwendungsbasierte Policy
Firewall Regel ohne aktivierte anwendungsbasierte Traffic-Shaping-Policy
Sophos Firewall - Firewall Regel mit aktivierter Option Apply application-based traffic shaping policy
Firewall Regel mit aktivierter anwendungsbasierter Traffic-Shaping-Policy

Für den Einstieg empfehle ich meistens die einfache Variante: Application Filter auswählen, eine Traffic-Shaping-Policy mit Policy association > Rules erstellen, diese bei Shape traffic auswählen und den Haken nicht setzen. Erst wenn mehrere Anwendungen in derselben Regel unterschiedlich priorisiert oder limitiert werden sollen, lohnt sich die anwendungsbasierte Variante mit Traffic shaping default und aktiviertem Haken.

Die Regelreihenfolge ist wichtig. Wenn Traffic über eine allgemeinere Regel weiter oben läuft, zum Beispiel eine bestehende LAN to WAN-Regel, erreicht er die neu erstellte spezifische Regel nicht. Dann greift weder Application Control noch Traffic Shaping in der erwarteten Regel.

Wirkung prüfen

Nach der Konfiguration sollte man prüfen, ob die Anwendung korrekt erkannt und gesteuert wird.

Dabei prüft man:

  • Live-Logs der Firewall.
  • Application-Control-Logs.
  • Reports zu Top Applications.
  • Bandbreitennutzung pro Regel.
  • Benutzerfeedback bei Echtzeitdiensten.
  • Geschwindigkeitstests nur als Ergänzung.

Für reine Bandbreitentests kann ein iPerf- oder Speedtest hilfreich sein. Siehe dazu auch: Sophos Firewall Troubleshooting mit iPerf und Speedtest

Häufige Fehler

Anwendung wird nicht erkannt

Prüfe, ob in der Firewall Regel unter Other security features ein Application Filter ausgewählt wurde. Zusätzlich muss der Traffic tatsächlich über diese Regel laufen.

Shaping zeigt keine Wirkung

Prüfe die Bandbreitenwerte der Policy und die Regelreihenfolge. Wenn die Leitung nicht ausgelastet ist, sieht man oft keinen sichtbaren Effekt.

Wenn Apply application-based traffic shaping policy aktiviert ist, muss unter Protect > Applications > Traffic shaping default auch wirklich eine passende Anwendung oder Kategorie mit einer Traffic-Shaping-Policy versehen sein. Der Haken allein erzeugt noch keine Priorisierung.

Traffic läuft über eine allgemeine Regel

Wenn oberhalb der neuen Regel bereits eine allgemeine Regel wie LAN to WAN steht, wird der Traffic möglicherweise dort verarbeitet. Die spezifische Regel für Microsoft Teams, VoIP oder Cloud Apps wird dann nie getroffen. In diesem Fall muss die spezifische Regel oberhalb der allgemeinen Regel stehen oder die bestehende Regel entsprechend angepasst werden.

Microsoft 365 funktioniert schlechter

Microsoft 365 besteht aus vielen Diensten und Verbindungen. Begrenze nicht pauschal die gesamte Kategorie, sondern teste gezielt und beobachte Teams, Exchange, SharePoint und OneDrive getrennt.

Gastnetzwerk nutzt weiterhin zu viel Bandbreite

Prüfe, ob Gast-Traffic über die richtige Firewall Regel läuft und ob dort die Traffic-Shaping-Policy aktiv ist.

Empfehlung

Man beginnt am besten mit wenigen, klaren Policies. Geschäftskritische Anwendungen werden priorisiert und Traffic, der wirklich stört, gezielt begrenzt. Danach sollte man Logs und Reports beobachten und die Werte schrittweise anpassen. Traffic Shaping ist am besten, wenn es gezielt und nachvollziehbar bleibt.