Naar de inhoud
Avanet

Application Traffic Shaping configureren op Sophos Firewall

Met Application Traffic Shaping kan de Sophos Firewall applicaties prioriteren of beperken. Hierdoor krijgen belangrijke diensten zoals Microsoft 365, Teams, VoIP of ERP-systemen betere kansen op stabiele bandbreedte, terwijl minder kritisch verkeer kan worden beperkt.

Traffic Shaping vervangt geen goede lijncapaciteitsplanning, maar is een belangrijk hulpmiddel wanneer meerdere applicaties om dezelfde internetverbinding concurreren.

Wanneer Application Traffic Shaping zinvol is

Traffic Shaping helpt vooral in omgevingen met beperkte of sterk gedeelde bandbreedte.

Typische voorbeelden:

  • Microsoft Teams of VoIP moet worden geprefereerd.
  • Microsoft 365 moet stabieler draaien.
  • Backup-, update- of cloud sync-verkeer moet worden beperkt.
  • Streaming of sociale media moet een lagere prioriteit krijgen.
  • Bedrijfskritische applicaties moeten voorrang krijgen.
  • Gastnetwerken moeten worden beperkt.

Het is belangrijk om eerst het doel te definiëren: Moet verkeer worden geprioriteerd, gegarandeerd of beperkt?

⚠️ Traffic Shaping kan geen ontbrekende bandbreedte creëren. Als de lijn voortdurend overbelast is, helpt Shaping alleen bij de prioritering. De oorzaak van de overbelasting moet toch worden onderzocht.

Vereisten

Voor de configuratie moet men controleren:

  • Web Protection is gelicentieerd. Application Control maakt deel uit van de Web Protection-licentie en is daarmee ook opgenomen in het licentiepakket Standard Protection. De licentiestatus controleer je onder System > Administration > Licensing.
  • De betrokken applicaties worden correct door de firewall herkend.
  • De internetbandbreedte is realistisch bekend.
  • De relevante firewallregels zijn geïdentificeerd.
  • Logging is voor de betrokken regels geactiveerd.
  • Het is duidelijk welke applicaties moeten worden geprioriteerd of beperkt.

Voor een schone configuratie moet men niet direct met veel regels beginnen. Beter is een duidelijke eerste use case, bijvoorbeeld prioritering van Teams of beperking van streaming.

Traffic-Shaping-strategie vaststellen

Voor de technische uitvoering moet men de strategie definiëren.

Mogelijke doelen:

  • Kritische applicaties prioriteren.
  • Onbelangrijke applicaties beperken.
  • Minimum bandbreedte voor bepaalde diensten reserveren.
  • Maximale bandbreedte voor gastnetwerken vaststellen.
  • Uploads of downloads verschillend behandelen.

Bij real-time diensten zoals Teams, VoIP of conferentiediensten is latentie vaak belangrijker dan pure bandbreedte. Daarom moet men na de uitvoering niet alleen snelheid, maar ook kwaliteit en stabiliteit controleren.

Bandbreedte en richting goed inschatten

Traffic Shaping werkt alleen zinvol als duidelijk is waar de knelpunten liggen. Bij veel internetverbindingen is de upload aanzienlijk beperkter dan de download. Precies daar vallen Teams, VoIP, VPN, cloud-backups of bestandssynchronisaties het eerst op.

Voor het beleid moet men daarom vastleggen:

  • Welke lijn of welk WAN-gateway is betrokken?
  • Is download, upload of beide overbelast?
  • Loopt het verkeer over een enkele WAN-lijn of over SD-WAN?
  • Welke applicatie moet voorrang krijgen en welke mag langzamer worden?
  • Zijn er backup-, update- of sync-taken die op hetzelfde moment lopen?

De waarden in een Traffic-Shaping-Policy moeten bij de echte lijn passen, niet bij de theoretische provideropgave. Als een lijn nominaal 100/20 Mbit/s levert, maar in de praktijk slechts 80/15 Mbit/s stabiel bereikt, moet de planning met realistische waarden worden uitgevoerd.

  • Maximale waarde hoger dan de echte lijn: De firewall kan de knelpunten niet goed beheren
  • Upload wordt genegeerd: Conferenties en VoIP blijven instabiel
  • Te veel applicaties worden geprioriteerd: Prioritering verliest effect
  • Gastnetwerk wordt alleen in download beperkt: Upload kan nog steeds productieve diensten verstoren
  • SD-WAN-pad wordt niet gecontroleerd: Beleid werkt op een ander pad dan verwacht

Traffic-Shaping-Policy aanmaken

Traffic-Shaping-Policies maak je aan onder Configure > System services > Traffic shaping.

  1. Meld je aan bij WebAdmin van de Sophos Firewall.
  2. Open System services.
  3. Ga naar het tabblad Traffic shaping.
  4. Maak een nieuwe Traffic-Shaping-Policy aan.
  5. Kies bij Policy association hoe het beleid later moet worden gebruikt.
  6. Stel het type regel, prioriteit en bandbreedtewaarden in.
  7. Sla het beleid op.
Sophos Firewall - Traffic-Shaping-Policy aanmaken onder System services
Sophos Firewall - System services > Traffic shaping

Bij Policy association is het belangrijk waarvoor het beleid bedoeld is:

  • Rules: Het beleid wordt direct in een firewallregel in het veld Shape traffic geselecteerd.
  • Applications: Het beleid wordt applicatiegebaseerd gebruikt. De toewijzing aan een applicatie of applicatiecategorie gebeurt onder Protect > Applications > Traffic shaping default.
  • Users of Web categories: Voor gebruikers- of webcategorie-gebaseerde scenario’s.

Voor een eenvoudige Teams- of VoIP-prioritering is meestal Rules de meest begrijpelijke variant. Als meerdere applicaties binnen dezelfde firewallregel verschillende Shaping-Policies moeten krijgen, is Applications zinvoller.

De waarden moeten bij de daadwerkelijke lijn passen. Als de bandbreedte te hoog wordt ingevoerd, kan de firewall de knelpunten niet goed beheren.

Application Filter voorbereiden

Om Traffic Shaping op applicaties toe te passen, moet de firewall de applicatie herkennen. Voor Microsoft Teams, OneDrive of andere bekende applicaties zijn de signaturen al aanwezig. Je hoeft de applicatie dus niet opnieuw te definiëren, maar een passende selectie te maken.

Het menupad is Protect > Applications > Application filter.

De Application Filter zorgt ervoor dat de firewallregel het juiste verkeer überhaupt als Microsoft Teams, OneDrive, VoIP of een andere applicatie herkent.

Als het niet om prioritering of bandbreedte gaat, maar om Application Control zelf, is Sophos Firewall Application Control instellen en testen de meer geschikte start.

Voorbeeld voor Microsoft Teams:

  1. Open Protect > Applications > Application filter.
  2. Maak een nieuwe Application Filter aan.
  3. Geef een duidelijke naam, bijvoorbeeld Microsoft Teams.
  4. Voeg een nieuwe Application-regel toe.
  5. Zoek via de Smart Filter naar microsoft teams.
  6. Selecteer de juiste Microsoft-Teams-applicaties.
  7. Zet de actie op Allow.
  8. Sla de filter op.
Sophos Firewall - Application Filter voor Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

Onder Protect > Applications > Application object kun je applicaties ook groeperen. Voor de klassieke selectie in een firewallregel is de Application Filter echter meestal de meer begrijpelijke start.

Sophos Firewall - Application object voor Microsoft Teams aanmaken
Sophos Firewall - Protect > Applications > Application object

Voor clouddiensten moet men voorzichtig testen. Microsoft 365 bestaat uit veel diensten. Het is vaak beter om Teams, OneDrive, SharePoint of Exchange gericht te testen, in plaats van een zeer brede categorie te vormen.

Application Traffic Shaping toewijzen

Als men de applicatiegebaseerde variant wil gebruiken, wijst men de Traffic-Shaping-Policy niet alleen in de firewallregel toe. De eigenlijke toewijzing aan de applicatie gebeurt onder Protect > Applications > Traffic shaping default.

  1. Open Protect > Applications > Traffic shaping default.
  2. Zoek de applicatie of applicatiecategorie, bijvoorbeeld Microsoft Teams of de juiste cloudcategorie.
  3. Bewerk de invoer.
  4. Selecteer een compatibele Traffic-Shaping-Policy.
  5. Sla de wijziging op.

Een beleid op een enkele applicatie heeft voorrang boven een beleid op categorieniveau. Dit is nuttig als een hele categorie wordt beperkt, maar individuele bedrijfskritische applicaties daarin toch gegarandeerd of hoger geprioriteerd moeten worden.

Als men alleen een eenvoudige regelgebaseerde policy wil gebruiken, kan deze stap worden overgeslagen. Dan volstaat de selectie in het veld Shape traffic van de firewallregel.

Policy in Firewall Regel toepassen

Traffic Shaping wordt meestal via een firewallregel effectief. Het menupad is Protect > Rules and policies > Firewall rules.

  1. Open de firewallregel waarover het verkeer daadwerkelijk loopt.
  2. Open het gedeelte Other security features.
  3. Selecteer bij Identify and control applications (App control) de juiste Application Filter.
  4. Selecteer bij Shape traffic de Traffic-Shaping-Policy.
  5. Bepaal of Apply application-based traffic shaping policy moet worden geactiveerd.
  6. Sla de firewallregel op.
  7. Test de betrokken applicatie.

De belangrijkste vraag is de vink bij Apply application-based traffic shaping policy:

  • Vink niet gezet: De onder Shape traffic geselecteerde policy geldt direct voor het verkeer van deze firewallregel. Dit is de eenvoudigere variant als de hele regel dezelfde Shaping-waarde moet krijgen.
  • Vink gezet: De firewall houdt rekening met applicatiegebaseerde Traffic-Shaping-Policies uit Protect > Applications > Traffic shaping default. Dit is zinvol als individuele applicaties of applicatiecategorieën binnen dezelfde firewallregel verschillend moeten worden behandeld.
Sophos Firewall - Firewallregel met Application Control en Traffic Shaping zonder geactiveerde applicatiegebaseerde policy
Firewallregel zonder geactiveerde applicatiegebaseerde Traffic-Shaping-Policy
Sophos Firewall - Firewallregel met geactiveerde optie Apply application-based traffic shaping policy
Firewallregel met geactiveerde applicatiegebaseerde Traffic-Shaping-Policy

Voor de start raad ik meestal de eenvoudige variant aan: Application Filter selecteren, een Traffic-Shaping-Policy met Policy association > Rules aanmaken, deze bij Shape traffic selecteren en de vink niet zetten. Pas als meerdere applicaties binnen dezelfde regel verschillend moeten worden geprioriteerd of beperkt, loont de applicatiegebaseerde variant met Traffic shaping default en geactiveerde vink.

De regelvolgorde is belangrijk. Als verkeer over een algemenere regel hogerop loopt, bijvoorbeeld een bestaande LAN to WAN-regel, bereikt het de nieuw aangemaakte specifieke regel niet. Dan grijpt noch Application Control noch Traffic Shaping in de verwachte regel.

Rollout en Tuning plannen

Traffic Shaping moet niet als een eenmalige vink worden gezien. De eerste policy is meestal slechts een startpunt. Pas met echte logs, rapporten en gebruikersfeedback ziet men of de applicatie correct wordt herkend en of de ingestelde waarden bij de lijn passen.

Voor productieve omgevingen is een kleine rollout zinvol:

  1. Kies een concreet use case, bijvoorbeeld Teams prioriteren of backup-verkeer beperken.
  2. Documenteer de huidige lijnbelasting en betrokken firewallregel.
  3. Maak een Traffic-Shaping-Policy met conservatieve waarden aan.
  4. Pas de policy eerst toe op een duidelijk afgebakende regel of gebruikersgroep.
  5. Controleer live logs, Application-Control-logs en Top Applications.
  6. Pas waarden na enkele dagen aan op basis van echte observaties.
  7. Documenteer eigenaar en reviewdatum voor de policy.

Bijzonder belangrijk is de uploadrichting. Veel klachten over conferentiediensten, VoIP of cloudapplicaties ontstaan niet door ontbrekende download, maar door beperkte upload, parallelle back-ups of cloud sync. Als alleen de download wordt bekeken, blijft de eigenlijke bottleneck vaak onzichtbaar.

Bij meerdere WAN-lijnen moet ook worden gecontroleerd welk pad daadwerkelijk wordt gebruikt. SD-WAN Routes, Gateway-Status en Route Precedence kunnen beïnvloeden of de verwachte Shaping-Policy op het relevante verkeer werkt. Voor de indeling van SD-WAN-paden past Sophos Firewall SD-WAN Routing voor Reply Packets en System Traffic controleren.

Voor vergelijkingsmetingen voor en na de wijziging is Sophos Firewall Performance met iPerf testen geschikt. Belangrijk is om dezelfde richting, dezelfde bron, hetzelfde doel en bij voorkeur dezelfde tijd van de dag te gebruiken. Anders wordt snel een externe server, WLAN of parallel verkeer met de werking van de Shaping-Policy verward.

Effect controleren

Na de configuratie moet men controleren of de applicatie correct wordt herkend en beheerd.

Daarbij controleert men:

  • Live-logs van de firewall.
  • Application-Control-logs.
  • Rapporten over Top Applications.
  • Bandbreedtegebruik per regel.
  • Gebruikersfeedback bij real-time diensten.
  • Snelheidstests alleen als aanvulling.

Voor pure bandbreedtetests kan een iPerf- of Speedtest nuttig zijn. De passende handleiding is Sophos Firewall Troubleshooting met iPerf en Speedtest.

Veelvoorkomende fouten

Applicatie wordt niet herkend

Controleer of in de firewallregel onder Other security features een Application Filter is geselecteerd. Daarnaast moet het verkeer daadwerkelijk over deze regel lopen.

Shaping toont geen effect

Controleer de bandbreedtewaarden van het beleid en de regelvolgorde. Als de lijn niet belast is, ziet men vaak geen zichtbaar effect.

Als Apply application-based traffic shaping policy is geactiveerd, moet onder Protect > Applications > Traffic shaping default ook daadwerkelijk een passende applicatie of categorie met een Traffic-Shaping-Policy zijn voorzien. De vink alleen creëert nog geen prioritering.

Verkeer loopt over een algemene regel

Als boven de nieuwe regel al een algemene regel zoals LAN to WAN staat, wordt het verkeer mogelijk daar verwerkt. De specifieke regel voor Microsoft Teams, VoIP of cloudapps wordt dan nooit geraakt. In dit geval moet de specifieke regel boven de algemene regel staan of de bestaande regel dienovereenkomstig worden aangepast.

Microsoft 365 werkt slechter

Microsoft 365 bestaat uit veel diensten en verbindingen. Beperk niet zomaar de hele categorie, maar test gericht en observeer Teams, Exchange, SharePoint en OneDrive afzonderlijk.

Gastnetwerk gebruikt nog steeds te veel bandbreedte

Controleer of gastverkeer over de juiste firewallregel loopt en of daar de Traffic-Shaping-Policy actief is.

Veelgestelde vragen

Heeft Application Traffic Shaping een licentie nodig?

Application Control maakt deel uit van Web Protection. Daarom moet men voor de configuratie onder System > Administration > Licensing controleren of de juiste licentie actief is.

Waarom ziet men ondanks Traffic Shaping geen verschil?

Vaak is de lijn op dat moment niet belast, loopt het verkeer over een andere firewallregel, wordt de applicatie niet herkend of passen de ingevoerde bandbreedtewaarden niet bij de echte lijn.

Moet men Microsoft Teams of heel Microsoft 365 prioriteren?

Voor de start is een gerichte Teams-policy meestal beter dan een brede Microsoft-365-regel. Microsoft 365 bestaat uit veel diensten met verschillende eisen. Teams, Exchange, SharePoint en OneDrive moeten afzonderlijk worden geobserveerd.

Helpt Traffic Shaping bij te weinig bandbreedte?

Traffic Shaping creëert geen extra bandbreedte. Het kan belangrijke applicaties bevoordelen of minder belangrijke beperken. Als de lijn voortdurend overbelast is, moet de capaciteit of het verkeersgedrag toch worden gecontroleerd.

Wat is beter: Regelgebaseerd of applicatiegebaseerd Traffic Shaping?

Voor eenvoudige scenario’s is regelgebaseerd Traffic Shaping vaak begrijpelijker. Applicatiegebaseerd Traffic Shaping loont zich als meerdere applicaties binnen dezelfde firewallregel verschillend moeten worden geprioriteerd of beperkt.

Bedrijf en Review

Men begint het beste met enkele, duidelijke policies. Bedrijfskritische applicaties worden geprioriteerd en verkeer dat echt stoort, wordt gericht beperkt. Daarna moeten Log Viewer, Application-Control-logs, rapporten en gebruikersfeedback meerdere dagen worden geobserveerd voordat de waarden worden uitgebreid of aangescherpt.

Voor de bedrijfsvoering moet elke productieve policy kort worden gedocumenteerd:

  • Doel van de policy: Later is herkenbaar of de policy nog nodig is of alleen historisch gegroeid is.
  • Betrokken firewallregel: Bij regelwijzigingen ziet men meteen of het Shaping nog op de juiste plek hangt.
  • Geprioriteerde of beperkte applicatie: Brede categorieën kunnen onbedoeld te veel diensten beïnvloeden.
  • Geplande bandbreedtewaarden: Na een providerwissel of SD-WAN-ombouw moeten de waarden opnieuw worden beoordeeld.
  • Reviewdatum en eigenaar: Zonder verantwoordelijkheid blijven ineffectieve policies vaak jarenlang actief.

Traffic Shaping blijft alleen dan nuttig als het regelmatig wordt gecontroleerd. Nieuwe cloudapplicaties, gewijzigde Microsoft-365-diensten, extra WAN-lijnen, nieuwe back-upprocessen of andere firewallregels kunnen ervoor zorgen dat een oude policy niet meer bij de bedrijfsvoering past. Goede policies hebben daarom een doel, een eigenaar, een reviewdatum en een duidelijk terugbouwpad, mocht ze geen effect meer hebben.

Een review moet niet alleen vragen of de policy nog bestaat. Belangrijker is of ze nog meetbaar helpt:

  • Loopt het verkeer nog steeds over dezelfde firewallregel?
  • Wordt de applicatie nog betrouwbaar herkend?
  • Zijn de ingevoerde bandbreedtewaarden nog realistisch?
  • Zijn er nieuwe knelpunten door back-up, cloud sync, gastnet of SD-WAN?
  • Melden gebruikers nog steeds kwaliteitsproblemen bij Teams, VoIP of andere real-time diensten?
  • Kan een tijdelijke beperking weer worden verwijderd of afgezwakt?

Als er geen effect meer zichtbaar is, moet de policy niet zomaar als oude last blijven staan. Beter is een gecontroleerde terugbouw: Policy deactiveren of verwijderen, betrokken regel controleren, enkele dagen observeren en het resultaat documenteren. Zo blijft Traffic Shaping een bewust bedrijfsinstrument en wordt het geen onzichtbare foutbron.