Przejdz do tresci
Avanet

Konfigurowanie kształtowania ruchu aplikacji na Sophos Firewall

Dzięki kształtowaniu ruchu aplikacji, Sophos Firewall może priorytetowo traktować lub ograniczać aplikacje. Dzięki temu ważne usługi, takie jak Microsoft 365, Teams, VoIP czy systemy ERP, mają większe szanse na stabilną przepustowość, podczas gdy mniej krytyczny ruch może być ograniczony.

Kształtowanie ruchu nie zastępuje odpowiedniego wymiarowania łącza, ale jest ważnym narzędziem, gdy wiele aplikacji konkuruje o to samo łącze internetowe.

Kiedy kształtowanie ruchu aplikacji jest sensowne

Kształtowanie ruchu jest szczególnie pomocne w środowiskach z ograniczoną lub mocno podzieloną przepustowością.

Typowe przykłady:

  • Microsoft Teams lub VoIP powinny być priorytetowe.
  • Microsoft 365 powinien działać stabilniej.
  • Ruch związany z kopią zapasową, aktualizacjami lub synchronizacją w chmurze powinien być ograniczony.
  • Streaming lub media społecznościowe powinny mieć niższy priorytet.
  • Aplikacje krytyczne dla biznesu powinny mieć pierwszeństwo.
  • Sieci gościnne powinny być ograniczone.

Ważne jest, aby najpierw zdefiniować cel: Czy ruch ma być priorytetowy, gwarantowany czy ograniczony?

⚠️ Kształtowanie ruchu nie może wygenerować brakującej przepustowości. Jeśli łącze jest stale przeciążone, kształtowanie pomaga tylko w priorytetyzacji. Przyczyna przeciążenia musi być jednak zbadana.

Wymagania

Przed konfiguracją należy sprawdzić:

  • Web Protection jest licencjonowane. Application Control jest częścią licencji Web Protection i jest również zawarte w pakiecie licencyjnym Standard Protection. Status licencji można sprawdzić w System > Administration > Licensing.
  • Dotknięte aplikacje są poprawnie rozpoznawane przez firewall.
  • Przepustowość internetowa jest realistycznie znana.
  • Zidentyfikowano odpowiednie reguły firewall.
  • Logowanie jest aktywowane dla dotkniętych reguł.
  • Jest jasne, które aplikacje mają być priorytetowe lub ograniczone.

Dla czystej konfiguracji nie należy zaczynać bezpośrednio od wielu reguł. Lepiej jest zacząć od jasnego pierwszego przypadku użycia, na przykład priorytetyzacji Teams lub ograniczenia streamingu.

Określenie strategii kształtowania ruchu

Przed wdrożeniem technicznym należy zdefiniować strategię.

Możliwe cele:

  • Priorytetowanie aplikacji krytycznych.
  • Ograniczanie aplikacji mniej ważnych.
  • Rezerwowanie minimalnej przepustowości dla określonych usług.
  • Ustalanie maksymalnej przepustowości dla sieci gościnnych.
  • Różne traktowanie uploadów i downloadów.

W przypadku usług w czasie rzeczywistym, takich jak Teams, VoIP czy usługi konferencyjne, opóźnienie jest często ważniejsze niż sama przepustowość. Dlatego po wdrożeniu należy sprawdzić nie tylko prędkość, ale także jakość i stabilność.

Prawidłowe oszacowanie przepustowości i kierunku

Kształtowanie ruchu działa sensownie tylko wtedy, gdy wiadomo, gdzie leży wąskie gardło. W przypadku wielu połączeń internetowych upload jest znacznie bardziej ograniczony niż download. To właśnie tam Teams, VoIP, VPN, kopie zapasowe w chmurze czy synchronizacje plików są najbardziej zauważalne.

Przed polityką należy zatem ustalić:

  • Które łącze lub które brama WAN jest dotknięta?
  • Czy przeciążony jest download, upload czy oba?
  • Czy ruch odbywa się przez pojedyncze łącze WAN czy przez SD-WAN?
  • Która aplikacja ma mieć pierwszeństwo, a która może być wolniejsza?
  • Czy istnieją zadania kopii zapasowej, aktualizacji lub synchronizacji, które odbywają się w tym samym czasie?

Wartości w polityce kształtowania ruchu powinny odpowiadać rzeczywistemu łączu, a nie teoretycznej wartości podanej przez dostawcę. Jeśli łącze nominalnie dostarcza 100/20 Mbit/s, ale w praktyce stabilnie osiąga tylko 80/15 Mbit/s, planowanie powinno odbywać się na podstawie realistycznych wartości.

  • Maksymalna wartość wyższa niż rzeczywiste łącze: Firewall nie może prawidłowo zarządzać wąskim gardłem
  • Ignorowanie uploadu: Konferencje i VoIP pozostają niestabilne
  • Zbyt wiele aplikacji jest priorytetowych: Priorytetyzacja traci skuteczność
  • Sieć gościnna jest ograniczona tylko w downloadzie: Upload może nadal zakłócać produktywne usługi
  • Ścieżka SD-WAN nie jest sprawdzana: Polityka działa na innej ścieżce niż oczekiwano

Tworzenie polityki kształtowania ruchu

Polityki kształtowania ruchu tworzy się w Configure > System services > Traffic shaping.

  1. Zaloguj się do WebAdmin Sophos Firewall.
  2. Otwórz System services.
  3. Przejdź do zakładki Traffic shaping.
  4. Utwórz nową politykę kształtowania ruchu.
  5. Przy Policy association wybierz, jak polityka ma być później używana.
  6. Ustal typ reguły, priorytet i wartości przepustowości.
  7. Zapisz politykę.
Sophos Firewall - Tworzenie polityki kształtowania ruchu w usługach systemowych
Sophos Firewall - System services > Traffic shaping

Przy Policy association ważne jest, do czego polityka jest przeznaczona:

  • Rules: Polityka jest bezpośrednio wybierana w regule firewall w polu Shape traffic.
  • Applications: Polityka jest używana na podstawie aplikacji. Przypisanie do aplikacji lub kategorii aplikacji odbywa się w Protect > Applications > Traffic shaping default.
  • Users lub Web categories: Dla scenariuszy opartych na użytkownikach lub kategoriach internetowych.

Dla prostego priorytetowania Teams lub VoIP zazwyczaj Rules jest najbardziej zrozumiałą opcją. Jeśli wiele aplikacji w tej samej regule firewall ma otrzymać różne polityki kształtowania, Applications jest bardziej sensowne.

Wartości powinny odpowiadać rzeczywistemu łączu. Jeśli przepustowość jest zbyt wysoka, firewall nie może sensownie zarządzać wąskim gardłem.

Przygotowanie filtra aplikacji

Aby kształtowanie ruchu mogło być zastosowane do aplikacji, firewall musi rozpoznać aplikację. Dla Microsoft Teams, OneDrive lub innych znanych aplikacji sygnatury są już dostępne. Nie trzeba więc definiować aplikacji na nowo, ale stworzyć odpowiedni wybór.

Ścieżka menu to Protect > Applications > Application filter.

Filtr aplikacji zapewnia, że reguła firewall rozpoznaje odpowiedni ruch jako Microsoft Teams, OneDrive, VoIP lub inną aplikację.

Jeśli nie chodzi o priorytetyzację lub przepustowość, ale o samą kontrolę aplikacji, bardziej odpowiednim punktem wyjścia jest Konfigurowanie i testowanie kontroli aplikacji na Sophos Firewall.

Przykład dla Microsoft Teams:

  1. Otwórz Protect > Applications > Application filter.
  2. Utwórz nowy filtr aplikacji.
  3. Nadaj mu zrozumiałą nazwę, na przykład Microsoft Teams.
  4. Dodaj nową regułę aplikacji.
  5. Wyszukaj microsoft teams za pomocą Smart Filter.
  6. Wybierz odpowiednie aplikacje Microsoft Teams.
  7. Ustaw akcję na Allow.
  8. Zapisz filtr.
Sophos Firewall - Filtr aplikacji dla Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

W Protect > Applications > Application object można również grupować aplikacje. Dla klasycznego wyboru w regule firewall filtr aplikacji jest jednak zazwyczaj bardziej zrozumiałym punktem wyjścia.

Sophos Firewall - Tworzenie obiektu aplikacji dla Microsoft Teams
Sophos Firewall - Protect > Applications > Application object

Dla usług w chmurze należy ostrożnie testować. Microsoft 365 składa się z wielu usług. Często lepiej jest dokładnie sprawdzić Teams, OneDrive, SharePoint lub Exchange, zamiast tworzyć bardzo szeroką kategorię.

Przypisywanie kształtowania ruchu aplikacji

Jeśli chcesz skorzystać z wariantu opartego na aplikacjach, przypisujesz politykę kształtowania ruchu nie tylko w regule firewall. Faktyczne przypisanie do aplikacji odbywa się w Protect > Applications > Traffic shaping default.

  1. Otwórz Protect > Applications > Traffic shaping default.
  2. Wyszukaj aplikację lub kategorię aplikacji, na przykład Microsoft Teams lub odpowiednią kategorię chmury.
  3. Edytuj wpis.
  4. Wybierz kompatybilną politykę kształtowania ruchu.
  5. Zapisz zmiany.

Polityka na pojedynczej aplikacji ma pierwszeństwo przed polityką na poziomie kategorii. Jest to pomocne, gdy cała kategoria jest ograniczona, ale poszczególne aplikacje krytyczne dla biznesu mają być nadal gwarantowane lub priorytetowe.

Jeśli chcesz użyć tylko prostej polityki opartej na regułach, ten krok można pominąć. Wystarczy wtedy wybór w polu Shape traffic reguły firewall.

Zastosowanie polityki w regule firewall

Kształtowanie ruchu jest zazwyczaj skuteczne poprzez regułę firewall. Ścieżka menu to Protect > Rules and policies > Firewall rules.

  1. Otwórz regułę firewall, przez którą rzeczywiście przechodzi ruch.
  2. Otwórz sekcję Other security features.
  3. Przy Identify and control applications (App control) wybierz odpowiedni filtr aplikacji.
  4. Przy Shape traffic wybierz politykę kształtowania ruchu.
  5. Zdecyduj, czy należy aktywować Apply application-based traffic shaping policy.
  6. Zapisz regułę firewall.
  7. Przetestuj dotkniętą aplikację.

Najważniejszym pytaniem jest zaznaczenie Apply application-based traffic shaping policy:

  • Nie zaznaczone: Wybrana w Shape traffic polityka dotyczy bezpośrednio ruchu tej reguły firewall. Jest to prostsza opcja, gdy cała reguła ma otrzymać tę samą wartość kształtowania.
  • Zaznaczone: Firewall uwzględnia polityki kształtowania ruchu oparte na aplikacjach z Protect > Applications > Traffic shaping default. Jest to sensowne, gdy poszczególne aplikacje lub kategorie aplikacji w tej samej regule firewall mają być traktowane różnie.
Sophos Firewall - Reguła firewall z kontrolą aplikacji i kształtowaniem ruchu bez aktywowanej polityki opartej na aplikacjach
Reguła firewall bez aktywowanej polityki kształtowania ruchu opartej na aplikacjach
Sophos Firewall - Reguła firewall z aktywowaną opcją Apply application-based traffic shaping policy
Reguła firewall z aktywowaną polityką kształtowania ruchu opartą na aplikacjach

Na początek zazwyczaj polecam prostą opcję: wybierz filtr aplikacji, utwórz politykę kształtowania ruchu z Policy association > Rules, wybierz ją w Shape traffic i nie zaznaczaj pola. Dopiero gdy wiele aplikacji w tej samej regule ma być różnie priorytetowane lub ograniczane, warto skorzystać z wariantu opartego na aplikacjach z Traffic shaping default i zaznaczonym polem.

Kolejność reguł jest ważna. Jeśli ruch przechodzi przez bardziej ogólną regułę wyżej, na przykład istniejącą regułę LAN to WAN, nie dotrze do nowo utworzonej specyficznej reguły. Wtedy ani kontrola aplikacji, ani kształtowanie ruchu nie działa w oczekiwanej regule.

Planowanie wdrożenia i dostrajania

Kształtowanie ruchu nie powinno być traktowane jako jednorazowe zaznaczenie. Pierwsza polityka jest zazwyczaj tylko punktem wyjścia. Dopiero z prawdziwymi logami, raportami i opiniami użytkowników można zobaczyć, czy aplikacja jest poprawnie rozpoznawana i czy ustawione wartości pasują do łącza.

Dla środowisk produkcyjnych warto zastosować małe wdrożenie:

  1. Wybierz konkretny przypadek użycia, na przykład priorytetowanie Teams lub ograniczanie ruchu kopii zapasowej.
  2. Udokumentuj aktualne obciążenie łącza i dotkniętą regułę firewall.
  3. Utwórz politykę kształtowania ruchu z konserwatywnymi wartościami.
  4. Najpierw zastosuj politykę do jasno określonej reguły lub grupy użytkowników.
  5. Sprawdź logi na żywo, logi kontroli aplikacji i najważniejsze aplikacje.
  6. Dostosuj wartości po kilku dniach na podstawie rzeczywistych obserwacji.
  7. Udokumentuj właściciela i termin przeglądu polityki.

Szczególnie ważny jest kierunek uploadu. Wiele skarg na usługi konferencyjne, VoIP lub aplikacje w chmurze nie wynika z braku downloadu, ale z ograniczonego uploadu, równoległych kopii zapasowych lub synchronizacji w chmurze. Jeśli patrzy się tylko na download, rzeczywiste wąskie gardło często pozostaje niewidoczne.

W przypadku wielu łączy WAN należy dodatkowo sprawdzić, która ścieżka jest rzeczywiście używana. SD-WAN Routes, status bramy i Route Precedence mogą wpływać na to, czy oczekiwana polityka kształtowania ruchu działa na odpowiednim ruchu. Dla klasyfikacji ścieżek SD-WAN pasuje Sprawdzanie routingu SD-WAN dla pakietów odpowiedzi i ruchu systemowego na Sophos Firewall.

Dla porównań przed i po zmianie odpowiednie jest Testowanie wydajności Sophos Firewall za pomocą iPerf. Ważne jest, aby używać tego samego kierunku, tego samego źródła, tego samego celu i, jeśli to możliwe, tej samej pory dnia. W przeciwnym razie łatwo pomylić zewnętrzny serwer, Wi-Fi lub równoległy ruch z efektem polityki kształtowania ruchu.

Sprawdzanie efektu

Po konfiguracji należy sprawdzić, czy aplikacja jest poprawnie rozpoznawana i zarządzana.

Należy sprawdzić:

  • Logi na żywo z firewalla.
  • Logi kontroli aplikacji.
  • Raporty dotyczące najważniejszych aplikacji.
  • Wykorzystanie przepustowości na regułę.
  • Opinie użytkowników dotyczące usług w czasie rzeczywistym.
  • Testy prędkości tylko jako uzupełnienie.

Dla czystych testów przepustowości pomocny może być iPerf lub Speedtest. Odpowiednia instrukcja to Rozwiązywanie problemów z Sophos Firewall za pomocą iPerf i Speedtest.

Częste błędy

Aplikacja nie jest rozpoznawana

Sprawdź, czy w regule firewall w Other security features wybrano filtr aplikacji. Dodatkowo ruch musi rzeczywiście przechodzić przez tę regułę.

Kształtowanie nie pokazuje efektu

Sprawdź wartości przepustowości polityki i kolejność reguł. Jeśli łącze nie jest obciążone, często nie widać widocznego efektu.

Jeśli Apply application-based traffic shaping policy jest aktywowane, w Protect > Applications > Traffic shaping default musi być rzeczywiście przypisana odpowiednia aplikacja lub kategoria z polityką kształtowania ruchu. Samo zaznaczenie nie generuje jeszcze priorytetyzacji.

Ruch przechodzi przez ogólną regułę

Jeśli powyżej nowej reguły znajduje się już ogólna reguła, taka jak LAN to WAN, ruch może być tam przetwarzany. Specyficzna reguła dla Microsoft Teams, VoIP lub aplikacji w chmurze nigdy nie zostanie wtedy osiągnięta. W takim przypadku specyficzna reguła musi znajdować się powyżej ogólnej reguły lub istniejąca reguła musi być odpowiednio dostosowana.

Microsoft 365 działa gorzej

Microsoft 365 składa się z wielu usług i połączeń. Nie ograniczaj całej kategorii, ale testuj i obserwuj Teams, Exchange, SharePoint i OneDrive osobno.

Sieć gościnna nadal zużywa zbyt dużo przepustowości

Sprawdź, czy ruch gościnny przechodzi przez właściwą regułę firewall i czy tam jest aktywna polityka kształtowania ruchu.

Często zadawane pytania

Czy kształtowanie ruchu aplikacji wymaga licencji?

Application Control jest częścią Web Protection. Dlatego przed konfiguracją należy sprawdzić w System > Administration > Licensing, czy odpowiednia licencja jest aktywna.

Dlaczego mimo kształtowania ruchu nie widać różnicy?

Często łącze nie jest w danym momencie obciążone, ruch przechodzi przez inną regułę firewall, aplikacja nie jest rozpoznawana lub wpisane wartości przepustowości nie pasują do rzeczywistego łącza.

Czy powinno się priorytetować Microsoft Teams czy całe Microsoft 365?

Na początek zazwyczaj lepsza jest celowa polityka dla Teams niż szeroka reguła dla Microsoft 365. Microsoft 365 składa się z wielu usług o różnych wymaganiach. Teams, Exchange, SharePoint i OneDrive powinny być obserwowane osobno.

Czy kształtowanie ruchu pomaga przy zbyt małej przepustowości?

Kształtowanie ruchu nie generuje dodatkowej przepustowości. Może priorytetować ważne aplikacje lub ograniczać mniej ważne. Jeśli łącze jest stale przeciążone, należy mimo to sprawdzić pojemność lub zachowanie ruchu.

Co jest lepsze: Kształtowanie ruchu oparte na regułach czy na aplikacjach?

Dla prostych scenariuszy kształtowanie ruchu oparte na regułach jest często bardziej zrozumiałe. Kształtowanie ruchu oparte na aplikacjach jest warte uwagi, gdy wiele aplikacji w tej samej regule firewall ma być różnie priorytetowane lub ograniczane.

Eksploatacja i przegląd

Najlepiej zacząć od kilku, jasnych polityk. Aplikacje krytyczne dla biznesu są priorytetowane, a ruch, który naprawdę przeszkadza, jest celowo ograniczany. Następnie należy obserwować Log Viewer, logi kontroli aplikacji, raporty i opinie użytkowników przez kilka dni, zanim wartości zostaną rozszerzone lub zaostrzone.

Dla eksploatacji każda polityka produkcyjna powinna być krótko udokumentowana:

  • Cel polityki: Później można rozpoznać, czy polityka jest nadal potrzebna, czy tylko historycznie rozwinięta.
  • Dotknięta reguła firewall: Przy zmianach reguł widać od razu, czy kształtowanie nadal działa we właściwym miejscu.
  • Priorytetowana lub ograniczana aplikacja: Szerokie kategorie mogą nieumyślnie dotyczyć zbyt wielu usług.
  • Planowane wartości przepustowości: Po zmianie dostawcy lub przebudowie SD-WAN wartości muszą być ponownie ocenione.
  • Termin przeglądu i właściciel: Bez odpowiedzialności nieskuteczne polityki często pozostają aktywne przez lata.

Kształtowanie ruchu pozostaje pomocne tylko wtedy, gdy jest regularnie sprawdzane. Nowe aplikacje w chmurze, zmienione usługi Microsoft 365, dodatkowe łącza WAN, nowe procesy kopii zapasowych lub inne reguły firewall mogą sprawić, że stara polityka nie będzie już pasować do eksploatacji. Dobre polityki mają zatem cel, właściciela, termin przeglądu i jasną ścieżkę wycofania, jeśli nie wykazują już efektu.

Przegląd nie powinien tylko pytać, czy polityka nadal istnieje. Ważniejsze jest, czy nadal mierzalnie pomaga:

  • Czy ruch nadal trafia do tej samej reguły firewall?
  • Czy aplikacja jest nadal niezawodnie rozpoznawana?
  • Czy wpisane wartości przepustowości są nadal realistyczne?
  • Czy są nowe wąskie gardła przez kopie zapasowe, synchronizację w chmurze, sieć gościnną lub SD-WAN?
  • Czy użytkownicy nadal zgłaszają problemy z jakością w Teams, VoIP lub innych usługach w czasie rzeczywistym?
  • Czy tymczasowe ograniczenie można usunąć lub złagodzić?

Jeśli nie widać już efektu, polityka nie powinna po prostu pozostać jako stara pozostałość. Lepiej jest przeprowadzić kontrolowane wycofanie: wyłączyć lub usunąć politykę, sprawdzić dotkniętą regułę, obserwować przez kilka dni i udokumentować wynik. W ten sposób kształtowanie ruchu pozostaje świadomym narzędziem eksploatacyjnym, a nie niewidocznym źródłem błędów.