Application Traffic Shaping w Sophos Firewall

Application Traffic Shaping pozwala w Sophos Firewall priorytetyzować albo ograniczać aplikacje. Dzięki temu ważne usługi, takie jak Microsoft 365, Teams, VoIP czy systemy ERP, mają większą szansę na stabilną przepustowość, a mniej krytyczny ruch można ograniczyć.

Traffic Shaping nie zastępuje prawidłowego doboru łącza, ale jest ważnym narzędziem, gdy kilka aplikacji konkuruje o tę samą przepustowość internetową.

Kiedy Application Traffic Shaping ma sens

Traffic Shaping pomaga szczególnie w środowiskach z ograniczoną albo mocno współdzieloną przepustowością.

Typowe przykłady:

• Microsoft Teams lub VoIP mają mieć wyższy priorytet.
• Microsoft 365 ma działać stabilniej.
• Ruch backupów, aktualizacji lub synchronizacji z chmurą ma być ograniczony.
• Streaming albo social media mają otrzymać niższy priorytet.
• Aplikacje krytyczne dla biznesu mają mieć pierwszeństwo.
• Sieci gościnne mają być limitowane.

Najważniejsze jest wcześniejsze zdefiniowanie celu: czy ruch ma być priorytetyzowany, gwarantowany czy ograniczany?

⚠️ Traffic Shaping nie tworzy brakującej przepustowości. Jeśli łącze jest stale przeciążone, shaping pomaga tylko w priorytetyzacji. Przyczynę przeciążenia nadal trzeba sprawdzić.

Wymagania

Przed konfiguracją należy sprawdzić:

• Web Protection jest licencjonowane. Application Control jest częścią licencji Web Protection, a tym samym także pakietu Standard Protection. Status licencji sprawdza się w System > Administration > Licensing. Przegląd licencji Sophos opisuje Application Control również jako część Web Protection: Sophos Firewall licensing info.
• Firewall poprawnie rozpoznaje objęte tym aplikacje.
• Rzeczywista przepustowość Internetu jest znana.
• Zidentyfikowano właściwe reguły firewalla.
• Logging jest włączony dla właściwych reguł.
• Jest jasne, które aplikacje mają być priorytetyzowane albo ograniczane.

Dla czystej konfiguracji nie warto zaczynać od wielu reguł naraz. Lepiej wybrać jeden jasny przypadek użycia, na przykład priorytetyzację Teams albo ograniczenie streamingu.

Ustalenie strategii Traffic Shaping

Przed wdrożeniem technicznym należy określić strategię.

Możliwe cele:

• Priorytetyzacja krytycznych aplikacji.
• Ograniczenie mniej ważnych aplikacji.
• Rezerwacja minimalnej przepustowości dla określonych usług.
• Ustalenie maksymalnej przepustowości dla sieci gościnnych.
• Oddzielne traktowanie uploadu i downloadu.

W usługach czasu rzeczywistego, takich jak Teams, VoIP czy wideokonferencje, opóźnienie jest często ważniejsze niż sama przepustowość. Dlatego po wdrożeniu należy sprawdzać nie tylko szybkość, ale też jakość i stabilność.

Tworzenie Traffic-Shaping-Policy

Traffic-Shaping-Policies tworzy się w Configure > System services > Traffic shaping.

1. Zalogować się do WebAdmin Sophos Firewall.
2. Otworzyć System services.
3. Przejść do zakładki Traffic shaping.
4. Utworzyć nową Traffic-Shaping-Policy.
5. W Policy association wybrać, jak policy ma być później używana.
6. Wybrać Rule type, priorytet i wartości przepustowości.
7. Zapisać policy.

Przy Policy association ważne jest, do czego policy ma służyć:

• Rules: Policy jest wybierana bezpośrednio w regule firewalla w polu Shape traffic.
• Applications: Policy jest używana aplikacyjnie. Można ją przypisać do aplikacji albo kategorii aplikacji w Protect > Applications > Traffic shaping default.
• Users lub Web categories: Dla scenariuszy opartych na użytkownikach albo kategoriach web.

Dla prostej priorytetyzacji Teams albo VoIP najczęściej najbardziej zrozumiały jest wariant Rules. Jeśli kilka aplikacji w tej samej regule firewalla ma otrzymać różne Shaping-Policies, bardziej sensowny jest wariant Applications.

Wartości powinny pasować do rzeczywistego łącza. Jeśli przepustowość zostanie wpisana zbyt wysoko, firewall nie będzie mógł sensownie kontrolować wąskiego gardła.

Przygotowanie Application Filter

Aby Traffic Shaping działał na aplikacje, firewall musi je rozpoznawać. Dla Microsoft Teams, OneDrive i innych znanych aplikacji sygnatury już istnieją. Nie trzeba więc definiować aplikacji od nowa, tylko przygotować właściwy wybór.

Ścieżka menu to Protect > Applications > Application filter.

Application Filter sprawia, że reguła firewalla w ogóle rozpoznaje właściwy ruch jako Microsoft Teams, OneDrive, VoIP albo inną aplikację.

Przykład dla Microsoft Teams:

1. Otworzyć Protect > Applications > Application filter.
2. Utworzyć nowy Application Filter.
3. Nadać czytelną nazwę, na przykład Microsoft Teams.
4. Dodać nową Application rule.
5. Wyszukać microsoft teams przez Smart Filter.
6. Wybrać pasujące aplikacje Microsoft Teams.
7. Ustawić Action na Allow.
8. Zapisać filtr.

W Protect > Applications > Application object można także grupować aplikacje. Dla klasycznego wyboru w regule firewalla Application Filter jest jednak zwykle bardziej zrozumiałym początkiem.

W przypadku usług chmurowych należy testować ostrożnie. Microsoft 365 składa się z wielu usług. Często lepiej jest sprawdzać Teams, OneDrive, SharePoint albo Exchange osobno, zamiast tworzyć bardzo szeroką kategorię.

Przypisanie Application Traffic Shaping

Jeśli ma być użyty wariant aplikacyjny, Traffic-Shaping-Policy nie przypisuje się tylko w regule firewalla. Właściwe przypisanie do aplikacji odbywa się w Protect > Applications > Traffic shaping default.

1. Otworzyć Protect > Applications > Traffic shaping default.
2. Wyszukać aplikację albo kategorię aplikacji, na przykład Microsoft Teams albo odpowiednią kategorię cloud.
3. Edytować wpis.
4. Wybrać kompatybilną Traffic-Shaping-Policy.
5. Zapisać zmianę.

Policy przypisana do pojedynczej aplikacji ma pierwszeństwo przed policy na poziomie kategorii. Jest to pomocne, gdy cała kategoria jest limitowana, ale pojedyncze krytyczne aplikacje biznesowe mają nadal mieć gwarancję albo wyższy priorytet.

Jeśli ma być użyta tylko prosta rule-based Policy, ten krok można pominąć. Wystarczy wtedy wybór w polu Shape traffic w regule firewalla.

Zastosowanie policy w regule firewalla

Traffic Shaping działa zwykle przez regułę firewalla. Ścieżka menu to Protect > Rules and policies > Firewall rules.

1. Otworzyć regułę firewalla, przez którą ruch rzeczywiście przechodzi.
2. Otworzyć sekcję Other security features.
3. W Identify and control applications (App control) wybrać właściwy Application Filter.
4. W Shape traffic wybrać Traffic-Shaping-Policy.
5. Zdecydować, czy Apply application-based traffic shaping policy musi być aktywne.
6. Zapisać regułę firewalla.
7. Przetestować objętą tym aplikację.

Najważniejsza jest opcja Apply application-based traffic shaping policy:

• Opcja nieaktywna: Policy wybrana w Shape traffic obowiązuje bezpośrednio dla ruchu tej reguły firewalla. To prostszy wariant, gdy cała reguła ma otrzymać tę samą wartość shaping.
• Opcja aktywna: Firewall uwzględnia aplikacyjne Traffic-Shaping-Policies z Protect > Applications > Traffic shaping default. To ma sens, gdy pojedyncze aplikacje albo kategorie aplikacji w tej samej regule firewalla mają być traktowane różnie.

Na start zwykle polecam prosty wariant: wybrać Application Filter, utworzyć Traffic-Shaping-Policy z Policy association > Rules, wybrać ją w Shape traffic i nie zaznaczać tej opcji. Dopiero gdy kilka aplikacji w tej samej regule ma być priorytetyzowanych albo limitowanych inaczej, warto użyć wariantu aplikacyjnego z Traffic shaping default i aktywną opcją.

Kolejność reguł jest ważna. Jeśli ruch przechodzi przez ogólniejszą regułę znajdującą się wyżej, na przykład istniejącą regułę LAN to WAN, nie dotrze do nowej szczegółowej reguły. Wtedy ani Application Control, ani Traffic Shaping nie zadziałają w oczekiwanej regule.

Sprawdzenie działania

Po konfiguracji należy sprawdzić, czy aplikacja jest poprawnie rozpoznawana i sterowana.

Sprawdzić:

• Live Logs firewalla.
• Application Control Logs.
• Raporty Top Applications.
• Wykorzystanie przepustowości per reguła.
• Opinie użytkowników przy usługach czasu rzeczywistego.
• Testy prędkości tylko jako uzupełnienie.

Dla czystych testów przepustowości pomocny może być iPerf albo Speedtest. Zobacz także: Sophos Firewall Troubleshooting z iPerf i Speedtest

Częste błędy

Aplikacja nie jest rozpoznawana

Sprawdzić, czy w regule firewalla w Other security features wybrano Application Filter. Dodatkowo ruch musi rzeczywiście przechodzić przez tę regułę.

Shaping nie daje efektu

Sprawdzić wartości przepustowości policy i kolejność reguł. Jeśli łącze nie jest obciążone, często nie widać wyraźnego efektu.

Jeśli Apply application-based traffic shaping policy jest aktywne, w Protect > Applications > Traffic shaping default musi faktycznie istnieć pasująca aplikacja albo kategoria z przypisaną Traffic-Shaping-Policy. Sam znacznik nie tworzy jeszcze priorytetyzacji.

Ruch przechodzi przez ogólną regułę

Jeśli powyżej nowej reguły znajduje się już ogólna reguła, taka jak LAN to WAN, ruch może zostać przetworzony właśnie tam. Szczegółowa reguła dla Microsoft Teams, VoIP albo aplikacji cloud nie zostanie wtedy nigdy trafiona. W takim przypadku reguła szczegółowa musi znaleźć się nad regułą ogólną albo istniejąca reguła musi zostać odpowiednio dopasowana.

Microsoft 365 działa gorzej

Microsoft 365 składa się z wielu usług i połączeń. Nie należy ograniczać całej kategorii ogólnie, tylko testować celowo i obserwować Teams, Exchange, SharePoint oraz OneDrive oddzielnie.

Sieć gościnna nadal zużywa zbyt dużo przepustowości

Sprawdzić, czy ruch gości przechodzi przez właściwą regułę firewalla i czy Traffic-Shaping-Policy jest tam aktywna.

Rekomendacja

Zacząć od niewielu, jasno opisanych policies. Priorytetyzować aplikacje krytyczne biznesowo i ograniczać ruch, który faktycznie przeszkadza. Następnie obserwować logi oraz raporty i stopniowo dostosowywać wartości. Traffic Shaping działa najlepiej, gdy jest celowe i zrozumiałe.