Configurar o Application Traffic Shaping no Sophos Firewall
Com o Application Traffic Shaping, o Sophos Firewall pode priorizar ou limitar aplicações. Isso garante que serviços importantes como Microsoft 365, Teams, VoIP ou sistemas ERP tenham melhores chances de obter uma largura de banda estável, enquanto tráfegos menos críticos podem ser restringidos.
O Traffic Shaping não substitui uma dimensionamento adequado da linha, mas é uma ferramenta importante quando várias aplicações competem pela mesma conexão à Internet.
Quando o Application Traffic Shaping é útil
O Traffic Shaping é especialmente útil em ambientes com largura de banda limitada ou altamente compartilhada.
Exemplos típicos:
- Microsoft Teams ou VoIP devem ser priorizados.
- Microsoft 365 deve funcionar de forma mais estável.
- Tráfego de backup, atualização ou sincronização em nuvem deve ser limitado.
- Streaming ou redes sociais devem ter prioridade mais baixa.
- Aplicações críticas para o negócio devem ter prioridade.
- Redes de convidados devem ser limitadas.
É importante definir primeiro o objetivo: o tráfego deve ser priorizado, garantido ou limitado?
⚠️ O Traffic Shaping não pode criar largura de banda que não existe. Se a linha estiver constantemente sobrecarregada, o Shaping só ajuda na priorização. A causa da sobrecarga ainda precisa ser investigada.
Pré-requisitos
Antes da configuração, deve-se verificar:
- A Web Protection está licenciada. O Application Control faz parte da licença Web Protection e, portanto, também está incluído no pacote de licenças Standard Protection. O status da licença pode ser verificado em System > Administration > Licensing.
- As aplicações afetadas são corretamente reconhecidas pelo firewall.
- A largura de banda da Internet é conhecida realisticamente.
- As regras de firewall relevantes são identificadas.
- O registro está ativado para as regras afetadas.
- Está claro quais aplicações devem ser priorizadas ou limitadas.
Para uma configuração limpa, não se deve começar diretamente com muitas regras. É melhor ter um caso de uso inicial claro, como a priorização do Teams ou a limitação do streaming.
Definir a estratégia de Traffic Shaping
Antes da implementação técnica, deve-se definir a estratégia.
Possíveis objetivos:
- Priorizar aplicações críticas.
- Limitar aplicações não importantes.
- Reservar largura de banda mínima para determinados serviços.
- Definir largura de banda máxima para redes de convidados.
- Tratar uploads ou downloads de forma diferente.
Para serviços em tempo real como Teams, VoIP ou serviços de conferência, a latência é muitas vezes mais importante do que a largura de banda pura. Portanto, após a implementação, deve-se verificar não apenas a velocidade, mas também a qualidade e a estabilidade.
Avaliar corretamente a largura de banda e a direção
O Traffic Shaping só é eficaz se for claro onde está o gargalo. Em muitas conexões à Internet, o upload é significativamente mais limitado do que o download. É exatamente aí que o Teams, VoIP, VPN, backups em nuvem ou sincronizações de arquivos são mais afetados.
Antes da política, deve-se registrar:
- Qual linha ou gateway WAN está afetado?
- O download, o upload ou ambos estão sobrecarregados?
- O tráfego passa por uma única linha WAN ou por SD-WAN?
- Qual aplicação deve ter prioridade e qual pode ser mais lenta?
- Existem tarefas de backup, atualização ou sincronização que ocorrem ao mesmo tempo?
Os valores em uma política de Traffic Shaping devem corresponder à linha real, não à especificação teórica do provedor. Se uma linha fornece nominalmente 100/20 Mbit/s, mas no dia a dia só atinge 80/15 Mbit/s de forma estável, o planejamento deve ser feito com valores realistas.
- Valor máximo maior que a linha real: O firewall não pode controlar o gargalo de forma eficaz
- Upload é ignorado: Conferências e VoIP permanecem instáveis
- Muitas aplicações são priorizadas: A priorização perde eficácia
- Rede de convidados é limitada apenas no download: O upload ainda pode perturbar serviços produtivos
- Caminho SD-WAN não é verificado: A política atua em um caminho diferente do esperado
Criar uma política de Traffic Shaping
As políticas de Traffic Shaping são criadas em Configure > System services > Traffic shaping.
- Faça login no WebAdmin do Sophos Firewall.
- Abra System services.
- Vá para a aba Traffic shaping.
- Crie uma nova política de Traffic Shaping.
- Em Policy association, escolha como a política será usada posteriormente.
- Defina o tipo de regra, prioridade e valores de largura de banda.
- Salve a política.

Em Policy association, é importante para o que a política é destinada:
- Rules: A política é selecionada diretamente em uma regra de firewall no campo Shape traffic.
- Applications: A política é usada com base em aplicações. A atribuição a uma aplicação ou categoria de aplicação é feita em Protect > Applications > Traffic shaping default.
- Users ou Web categories: Para cenários baseados em usuários ou categorias da web.
Para uma priorização simples do Teams ou VoIP, geralmente Rules é a variante mais compreensível. Se várias aplicações dentro da mesma regra de firewall devem receber políticas de Shaping diferentes, Applications é mais adequado.
Os valores devem corresponder à linha real. Se a largura de banda for inserida muito alta, o firewall não poderá controlar o gargalo de forma eficaz.
Preparar o Application Filter
Para que o Traffic Shaping seja aplicado às aplicações, o firewall deve reconhecer a aplicação. Para Microsoft Teams, OneDrive ou outras aplicações conhecidas, as assinaturas já estão disponíveis. Não é necessário definir a aplicação novamente, mas sim criar uma seleção adequada.
O caminho do menu é Protect > Applications > Application filter.
O Application Filter garante que a regra de firewall reconheça o tráfego adequado como Microsoft Teams, OneDrive, VoIP ou outra aplicação.
Se não se trata de priorização ou largura de banda, mas do próprio Application Control, o Configurar e testar o Application Control no Sophos Firewall é a introdução mais adequada.
Exemplo para Microsoft Teams:
- Abra Protect > Applications > Application filter.
- Crie um novo Application Filter.
- Dê um nome descritivo, por exemplo,
Microsoft Teams. - Adicione uma nova regra de aplicação.
- Use o Smart Filter para procurar
microsoft teams. - Selecione as aplicações Microsoft Teams adequadas.
- Defina a ação para Allow.
- Salve o filtro.

Em Protect > Applications > Application object, também é possível agrupar aplicações. Para a seleção clássica em uma regra de firewall, o Application Filter é geralmente a introdução mais compreensível.

Para serviços em nuvem, deve-se testar com cuidado. O Microsoft 365 é composto por muitos serviços. Muitas vezes é melhor testar especificamente o Teams, OneDrive, SharePoint ou Exchange, em vez de formar uma categoria muito ampla.
Atribuir o Application Traffic Shaping
Se desejar usar a variante baseada em aplicações, a política de Traffic Shaping não é atribuída apenas na regra de firewall. A atribuição real à aplicação é feita em Protect > Applications > Traffic shaping default.
- Abra Protect > Applications > Traffic shaping default.
- Procure a aplicação ou categoria de aplicação, por exemplo, Microsoft Teams ou a categoria de nuvem adequada.
- Edite a entrada.
- Selecione uma política de Traffic Shaping compatível.
- Salve a alteração.
Uma política em uma aplicação individual tem prioridade sobre uma política em nível de categoria. Isso é útil se uma categoria inteira for limitada, mas aplicações críticas para o negócio dentro dela ainda precisarem ser garantidas ou ter prioridade mais alta.
Se desejar usar apenas uma política simples baseada em regras, este passo pode ser ignorado. Então, basta selecionar no campo Shape traffic da regra de firewall.
Aplicar a política na regra de firewall
O Traffic Shaping geralmente é aplicado por meio de uma regra de firewall. O caminho do menu é Protect > Rules and policies > Firewall rules.
- Abra a regra de firewall pela qual o tráfego realmente passa.
- Abra a seção Other security features.
- Em Identify and control applications (App control), selecione o Application Filter adequado.
- Em Shape traffic, selecione a política de Traffic Shaping.
- Decida se Apply application-based traffic shaping policy precisa ser ativado.
- Salve a regra de firewall.
- Teste a aplicação afetada.
A questão mais importante é a marcação em Apply application-based traffic shaping policy:
- Marcação não ativada: A política selecionada em Shape traffic aplica-se diretamente ao tráfego desta regra de firewall. Esta é a variante mais simples, se toda a regra deve receber o mesmo valor de Shaping.
- Marcação ativada: O firewall considera políticas de Traffic Shaping baseadas em aplicações de Protect > Applications > Traffic shaping default. Isso é útil se aplicações ou categorias de aplicações individuais dentro da mesma regra de firewall devem ser tratadas de forma diferente.


Para começar, geralmente recomendo a variante simples: selecionar o Application Filter, criar uma política de Traffic Shaping com Policy association > Rules, selecioná-la em Shape traffic e não marcar a opção. Somente quando várias aplicações na mesma regra devem ser priorizadas ou limitadas de forma diferente, vale a pena a variante baseada em aplicações com Traffic shaping default e a marcação ativada.
A ordem das regras é importante. Se o tráfego passar por uma regra mais geral acima, como uma regra existente LAN to WAN, ele não alcançará a nova regra específica criada. Nesse caso, nem o Application Control nem o Traffic Shaping atuarão na regra esperada.
Planejar o rollout e ajuste
O Traffic Shaping não deve ser visto como uma configuração única. A primeira política é geralmente apenas um ponto de partida. Somente com logs reais, relatórios e feedback dos usuários é possível ver se a aplicação é reconhecida corretamente e se os valores definidos correspondem à linha.
Para ambientes produtivos, um rollout pequeno é aconselhável:
- Escolha um caso de uso específico, como priorizar o Teams ou limitar o tráfego de backup.
- Documente a utilização atual da linha e a regra de firewall afetada.
- Crie uma política de Traffic Shaping com valores conservadores.
- Aplique a política primeiro a uma regra ou grupo de usuários claramente delimitado.
- Verifique logs ao vivo, logs de Application Control e Top Applications.
- Ajuste os valores após alguns dias com base em observações reais.
- Documente o proprietário e a data de revisão da política.
A direção do upload é especialmente importante. Muitas reclamações sobre serviços de conferência, VoIP ou aplicações em nuvem não surgem por falta de download, mas por upload limitado, backups paralelos ou sincronização em nuvem. Se apenas o download for considerado, o verdadeiro gargalo muitas vezes permanece invisível.
Com várias linhas WAN, deve-se verificar adicionalmente qual caminho está realmente sendo usado. As rotas SD-WAN, o status do gateway e a precedência de rotas podem influenciar se a política de Shaping esperada está atuando no tráfego relevante. Para a avaliação de caminhos SD-WAN, consulte Verificar o roteamento SD-WAN do Sophos Firewall para pacotes de resposta e tráfego do sistema.
Para medições comparativas antes e depois da alteração, Testar o desempenho do Sophos Firewall com iPerf é adequado. É importante usar a mesma direção, a mesma fonte, o mesmo destino e, se possível, o mesmo horário do dia. Caso contrário, um servidor externo, Wi-Fi ou tráfego paralelo pode ser confundido com o efeito da política de Shaping.
Verificar o efeito
Após a configuração, deve-se verificar se a aplicação é reconhecida e controlada corretamente.
Verifique:
- Logs ao vivo do firewall.
- Logs de Application Control.
- Relatórios de Top Applications.
- Uso de largura de banda por regra.
- Feedback dos usuários em serviços em tempo real.
- Testes de velocidade apenas como complemento.
Para testes de largura de banda pura, um iPerf ou Speedtest pode ser útil. O guia adequado é Solução de problemas do Sophos Firewall com iPerf e Speedtest.
Erros comuns
Aplicação não é reconhecida
Verifique se um Application Filter foi selecionado na regra de firewall em Other security features. Além disso, o tráfego deve realmente passar por essa regra.
Shaping não mostra efeito
Verifique os valores de largura de banda da política e a ordem das regras. Se a linha não estiver sobrecarregada, muitas vezes não se vê um efeito visível.
Se Apply application-based traffic shaping policy estiver ativado, deve haver realmente uma aplicação ou categoria adequada com uma política de Traffic Shaping em Protect > Applications > Traffic shaping default. A marcação por si só não cria priorização.
Tráfego passa por uma regra geral
Se acima da nova regra já houver uma regra geral como LAN to WAN, o tráfego pode ser processado lá. A regra específica para Microsoft Teams, VoIP ou aplicativos em nuvem nunca será atingida. Nesse caso, a regra específica deve estar acima da regra geral ou a regra existente deve ser ajustada adequadamente.
Microsoft 365 funciona pior
O Microsoft 365 é composto por muitos serviços e conexões. Não limite toda a categoria de forma geral, mas teste especificamente e observe Teams, Exchange, SharePoint e OneDrive separadamente.
Rede de convidados ainda usa muita largura de banda
Verifique se o tráfego de convidados passa pela regra de firewall correta e se a política de Traffic Shaping está ativa lá.
Perguntas frequentes
O Application Traffic Shaping precisa de uma licença?
Por que não se vê diferença apesar do Traffic Shaping?
Deve-se priorizar o Microsoft Teams ou todo o Microsoft 365?
O Traffic Shaping ajuda com pouca largura de banda?
O que é melhor: Traffic Shaping baseado em regras ou em aplicações?
Operação e revisão
É melhor começar com poucas políticas claras. Aplicações críticas para o negócio são priorizadas e o tráfego que realmente atrapalha é limitado de forma direcionada. Depois, devem ser observados o Log Viewer, os logs de Application Control, os relatórios e o feedback dos usuários por vários dias antes de expandir ou intensificar os valores.
Para a operação, cada política produtiva deve ser brevemente documentada:
- Propósito da política: Mais tarde, é possível ver se a política ainda é necessária ou se é apenas um legado histórico.
- Regra de firewall afetada: Em caso de alterações na regra, é possível ver imediatamente se o Shaping ainda está no local correto.
- Aplicação priorizada ou limitada: Categorias amplas podem afetar muitos serviços de forma não intencional.
- Valores de largura de banda planejados: Após uma mudança de provedor ou reestruturação do SD-WAN, os valores precisam ser reavaliados.
- Data de revisão e responsável: Sem responsabilidade, políticas ineficazes muitas vezes permanecem ativas por anos.
O Traffic Shaping só permanece útil se for revisado regularmente. Novas aplicações em nuvem, serviços alterados do Microsoft 365, linhas WAN adicionais, novos processos de backup ou outras regras de firewall podem fazer com que uma política antiga não se adapte mais à operação. Boas políticas têm, portanto, um propósito, um responsável, uma data de revisão e um caminho claro de desativação, caso não mostrem mais efeito.
Uma revisão não deve apenas perguntar se a política ainda existe. Mais importante é se ela ainda ajuda de forma mensurável:
- O tráfego ainda atinge a mesma regra de firewall?
- A aplicação ainda é reconhecida de forma confiável?
- Os valores de largura de banda inseridos ainda são realistas?
- Existem novos gargalos devido a backup, sincronização em nuvem, rede de convidados ou SD-WAN?
- Os usuários ainda relatam problemas de qualidade com Teams, VoIP ou outros serviços em tempo real?
- Uma limitação temporária pode ser removida ou atenuada?
Se nenhum efeito mais for visível, a política não deve simplesmente permanecer como um legado. É melhor uma desativação controlada: desativar ou remover a política, verificar a regra afetada, observar por alguns dias e documentar o resultado. Assim, o Traffic Shaping permanece uma ferramenta operacional consciente e não se torna uma fonte de erro invisível.