Naar de inhoud
Avanet

Application Traffic Shaping op Sophos Firewall

Met Application Traffic Shaping kan de Sophos Firewall applicaties prioriteren of beperken. Daardoor krijgen belangrijke diensten zoals Microsoft 365, Teams, VoIP of ERP-systemen meer kans op stabiele bandbreedte, terwijl minder kritisch verkeer kan worden begrensd.

Traffic Shaping vervangt geen correcte dimensionering van de internetlijn, maar is wel een belangrijk hulpmiddel wanneer meerdere applicaties om dezelfde verbinding concurreren.

Wanneer Application Traffic Shaping zinvol is

Traffic Shaping helpt vooral in omgevingen met beperkte of sterk gedeelde bandbreedte.

Typische voorbeelden:

  • Microsoft Teams of VoIP moet voorrang krijgen.
  • Microsoft 365 moet stabieler werken.
  • Backup-, update- of cloud-sync-verkeer moet worden beperkt.
  • Streaming of social media moet een lagere prioriteit krijgen.
  • Bedrijfskritische applicaties moeten voorrang hebben.
  • Gastnetwerken moeten worden gelimiteerd.

Belangrijk is dat je eerst het doel bepaalt: moet verkeer worden geprioriteerd, gegarandeerd of beperkt?

⚠️ Traffic Shaping kan geen ontbrekende bandbreedte creëren. Als de verbinding permanent overbelast is, helpt shaping alleen bij de prioritering. De oorzaak van de overbelasting moet nog steeds worden onderzocht.

Vereisten

Controleer voor de configuratie:

  • Web Protection is gelicentieerd. Application Control maakt deel uit van de Web Protection-licentie en is daarmee ook inbegrepen in het licentiebundel Standard Protection. De licentiestatus controleer je onder System > Administration > Licensing. Het Sophos-licentieoverzicht beschrijft Application Control eveneens als onderdeel van Web Protection: Sophos Firewall licensing info.
  • De betrokken applicaties worden correct door de firewall herkend.
  • De beschikbare internetbandbreedte is realistisch bekend.
  • De relevante firewallregels zijn geïdentificeerd.
  • Logging is voor de betrokken regels ingeschakeld.
  • Het is duidelijk welke applicaties geprioriteerd of beperkt moeten worden.

Voor een nette configuratie begin je beter niet meteen met veel regels. Kies liever één duidelijke use case, bijvoorbeeld prioritering van Teams of beperking van streaming.

Traffic-Shaping-strategie bepalen

Voor de technische configuratie bepaal je eerst de strategie.

Mogelijke doelen:

  • Kritieke applicaties prioriteren.
  • Minder belangrijke applicaties beperken.
  • Minimale bandbreedte voor bepaalde diensten reserveren.
  • Maximale bandbreedte voor gastnetwerken vastleggen.
  • Uploads en downloads verschillend behandelen.

Bij realtime diensten zoals Teams, VoIP of videoconferencing is latency vaak belangrijker dan pure bandbreedte. Controleer na de configuratie daarom niet alleen snelheid, maar ook kwaliteit en stabiliteit.

Traffic-Shaping-Policy aanmaken

Traffic-Shaping-Policies maak je aan onder Configure > System services > Traffic shaping.

  1. Meld je aan bij de WebAdmin van de Sophos Firewall.
  2. Open System services.
  3. Ga naar de tab Traffic shaping.
  4. Maak een nieuwe Traffic-Shaping-Policy aan.
  5. Kies bij Policy association hoe de policy later gebruikt moet worden.
  6. Kies het Rule type, de prioriteit en de bandbreedtewaarden.
  7. Sla de policy op.
Sophos Firewall - Traffic-Shaping-Policy aanmaken onder System services
Sophos Firewall - System services > Traffic shaping

Bij Policy association is vooral belangrijk waarvoor de policy bedoeld is:

  • Rules: De policy wordt rechtstreeks in een firewallregel in het veld Shape traffic geselecteerd.
  • Applications: De policy wordt applicatiegebaseerd gebruikt. Ze kan onder Protect > Applications > Traffic shaping default aan een applicatie of applicatiecategorie worden toegewezen.
  • Users of Web categories: Voor scenario’s op basis van gebruikers of webcategorieën.

Voor een eenvoudige Teams- of VoIP-prioritering is Rules meestal de meest begrijpelijke variant. Als meerdere applicaties binnen dezelfde firewallregel verschillende shaping policies moeten krijgen, is Applications zinvoller.

De waarden moeten passen bij de werkelijke verbinding. Als de bandbreedte te hoog wordt ingesteld, kan de firewall de bottleneck niet zinvol sturen.

Application Filter voorbereiden

Om Traffic Shaping op applicaties toe te passen, moet de firewall de applicatie herkennen. Voor Microsoft Teams, OneDrive of andere bekende applicaties zijn de signatures al aanwezig. Je hoeft de applicatie dus niet opnieuw te definiëren, maar maakt een passende selectie.

Het menupad is Protect > Applications > Application filter.

De Application Filter zorgt ervoor dat de firewallregel het juiste verkeer überhaupt als Microsoft Teams, OneDrive, VoIP of een andere applicatie herkent.

Voorbeeld voor Microsoft Teams:

  1. Open Protect > Applications > Application filter.
  2. Maak een nieuwe Application Filter aan.
  3. Geef een duidelijke naam, bijvoorbeeld Microsoft Teams.
  4. Voeg een nieuwe Application-regel toe.
  5. Zoek via de Smart Filter naar microsoft teams.
  6. Selecteer de passende Microsoft Teams-applicaties.
  7. Zet de Action op Allow.
  8. Sla de filter op.
Sophos Firewall - Application Filter voor Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

Onder Protect > Applications > Application object kun je applicaties ook groeperen. Voor de klassieke selectie in een firewallregel is de Application Filter meestal de duidelijkere instap.

Sophos Firewall - Application object voor Microsoft Teams aanmaken
Sophos Firewall - Protect > Applications > Application object

Voor clouddiensten moet je voorzichtig testen. Microsoft 365 bestaat uit veel diensten. Het is vaak beter om Teams, OneDrive, SharePoint of Exchange gericht te controleren in plaats van een zeer brede categorie algemeen te behandelen.

Application Traffic Shaping toewijzen

Als je de applicatiegebaseerde variant wilt gebruiken, wijs je de Traffic-Shaping-Policy niet alleen in de firewallregel toe. De eigenlijke koppeling aan de applicatie gebeurt onder Protect > Applications > Traffic shaping default.

  1. Open Protect > Applications > Traffic shaping default.
  2. Zoek de applicatie of applicatiecategorie, bijvoorbeeld Microsoft Teams of de passende cloudcategorie.
  3. Bewerk de regel.
  4. Selecteer een compatibele Traffic-Shaping-Policy.
  5. Sla de wijziging op.

Een policy op een individuele applicatie heeft voorrang op een policy op categorieniveau. Dat is handig wanneer een hele categorie wordt beperkt, maar enkele bedrijfskritische applicaties daarin toch gegarandeerd of hoger geprioriteerd moeten worden.

Als je alleen een eenvoudige rule-based policy wilt gebruiken, kun je deze stap overslaan. Dan volstaat de selectie in het veld Shape traffic van de firewallregel.

Policy in firewallregel toepassen

Traffic Shaping wordt meestal via een firewallregel actief. Het menupad is Protect > Rules and policies > Firewall rules.

  1. Open de firewallregel waar het verkeer daadwerkelijk doorheen loopt.
  2. Open het onderdeel Other security features.
  3. Selecteer bij Identify and control applications (App control) de passende Application Filter.
  4. Selecteer bij Shape traffic de Traffic-Shaping-Policy.
  5. Beslis of Apply application-based traffic shaping policy moet worden ingeschakeld.
  6. Sla de firewallregel op.
  7. Test de betrokken applicatie.

De belangrijkste vraag is het vinkje bij Apply application-based traffic shaping policy:

  • Vinkje niet gezet: De onder Shape traffic geselecteerde policy geldt direct voor het verkeer van deze firewallregel. Dit is de eenvoudigere variant wanneer de volledige regel dezelfde shapingwaarde moet krijgen.
  • Vinkje gezet: De firewall houdt rekening met applicatiegebaseerde Traffic-Shaping-Policies uit Protect > Applications > Traffic shaping default. Dit is zinvol wanneer individuele applicaties of applicatiecategorieën binnen dezelfde firewallregel verschillend behandeld moeten worden.
Sophos Firewall - firewallregel met Application Control en Traffic Shaping zonder geactiveerde applicatiegebaseerde policy
Firewallregel zonder geactiveerde applicatiegebaseerde Traffic-Shaping-Policy
Sophos Firewall - firewallregel met geactiveerde optie Apply application-based traffic shaping policy
Firewallregel met geactiveerde applicatiegebaseerde Traffic-Shaping-Policy

Voor de start raad ik meestal de eenvoudige variant aan: Application Filter selecteren, een Traffic-Shaping-Policy met Policy association > Rules aanmaken, die bij Shape traffic selecteren en het vinkje niet zetten. Pas wanneer meerdere applicaties in dezelfde regel verschillend geprioriteerd of gelimiteerd moeten worden, loont de applicatiegebaseerde variant met Traffic shaping default en geactiveerd vinkje.

De regelvolgorde is belangrijk. Als verkeer via een algemenere regel hoger in de lijst loopt, bijvoorbeeld een bestaande LAN to WAN regel, bereikt het de nieuw aangemaakte specifieke regel niet. Dan werkt noch Application Control noch Traffic Shaping in de verwachte regel.

Werking controleren

Controleer na de configuratie of de applicatie correct wordt herkend en gestuurd.

Controleer daarbij:

  • Live Logs van de firewall.
  • Application Control Logs.
  • Reports over Top Applications.
  • Bandbreedtegebruik per regel.
  • Feedback van gebruikers bij realtime diensten.
  • Snelheidstests alleen als aanvulling.

Voor pure bandbreedtetests kan een iPerf- of Speedtest nuttig zijn. Zie ook: Sophos Firewall Troubleshooting met iPerf en Speedtest

Veelvoorkomende fouten

Applicatie wordt niet herkend

Controleer of in de firewallregel onder Other security features een Application Filter is geselecteerd. Daarnaast moet het verkeer daadwerkelijk via deze regel lopen.

Shaping heeft geen effect

Controleer de bandbreedtewaarden van de policy en de regelvolgorde. Als de verbinding niet verzadigd is, zie je vaak geen zichtbaar effect.

Als Apply application-based traffic shaping policy is ingeschakeld, moet onder Protect > Applications > Traffic shaping default ook echt een passende applicatie of categorie met een Traffic-Shaping-Policy zijn geconfigureerd. Alleen het vinkje creëert nog geen prioritering.

Verkeer loopt via een algemene regel

Als boven de nieuwe regel al een algemene regel zoals LAN to WAN staat, wordt het verkeer mogelijk daar verwerkt. De specifieke regel voor Microsoft Teams, VoIP of cloudapps wordt dan nooit geraakt. In dat geval moet de specifieke regel boven de algemene regel staan of moet de bestaande regel worden aangepast.

Microsoft 365 werkt slechter

Microsoft 365 bestaat uit veel diensten en verbindingen. Beperk niet blind de volledige categorie, maar test gericht en observeer Teams, Exchange, SharePoint en OneDrive afzonderlijk.

Gastnetwerk gebruikt nog steeds te veel bandbreedte

Controleer of gastverkeer via de juiste firewallregel loopt en of daar de Traffic-Shaping-Policy actief is.

Aanbeveling

Begin met enkele duidelijke policies. Prioriteer bedrijfskritische applicaties en beperk verkeer dat echt stoort. Daarna observeer je logs en reports en pas je de waarden stapsgewijs aan. Traffic Shaping werkt het best wanneer het gericht en begrijpelijk blijft.