Saltar para o conteudo
Avanet

Application Traffic Shaping na Sophos Firewall

Com Application Traffic Shaping, a Sophos Firewall pode priorizar ou limitar aplicações. Assim, serviços importantes como Microsoft 365, Teams, VoIP ou sistemas ERP têm melhores condições para obter largura de banda estável, enquanto tráfego menos crítico pode ser limitado.

Traffic Shaping não substitui um dimensionamento correto da ligação, mas é uma ferramenta importante quando várias aplicações competem pela mesma ligação à Internet.

Quando faz sentido usar Application Traffic Shaping

Traffic Shaping é especialmente útil em ambientes com largura de banda limitada ou muito partilhada.

Exemplos típicos:

  • Microsoft Teams ou VoIP deve ter prioridade.
  • Microsoft 365 deve funcionar de forma mais estável.
  • Tráfego de backups, updates ou cloud sync deve ser limitado.
  • Streaming ou redes sociais devem receber menor prioridade.
  • Aplicações críticas para o negócio devem ter prioridade.
  • Redes de convidados devem ser limitadas.

O mais importante é definir primeiro o objetivo: o tráfego deve ser priorizado, garantido ou limitado?

⚠️ Traffic Shaping não cria largura de banda inexistente. Se a ligação estiver permanentemente saturada, o Shaping apenas ajuda na priorização. A causa da saturação continua a ter de ser analisada.

Pré-requisitos

Antes da configuração, deve-se verificar:

  • Web Protection está licenciada. Application Control faz parte da licença Web Protection e, por isso, também está incluída no bundle Standard Protection. O estado da licença é verificado em System > Administration > Licensing. A visão geral de licenciamento da Sophos também descreve Application Control como parte de Web Protection: Sophos Firewall licensing info.
  • As aplicações afetadas são reconhecidas corretamente pela Firewall.
  • A largura de banda da Internet é conhecida de forma realista.
  • As regras de Firewall relevantes estão identificadas.
  • Logging está ativo para as regras afetadas.
  • Está claro quais as aplicações que devem ser priorizadas ou limitadas.

Para uma configuração limpa, não se deve começar logo com muitas regras. É melhor iniciar com um caso de uso claro, por exemplo priorizar Teams ou limitar streaming.

Definir a estratégia de Traffic Shaping

Antes da implementação técnica, deve-se definir a estratégia.

Objetivos possíveis:

  • Priorizar aplicações críticas.
  • Limitar aplicações pouco importantes.
  • Reservar largura de banda mínima para determinados serviços.
  • Definir largura de banda máxima para redes de convidados.
  • Tratar uploads e downloads de forma diferente.

Em serviços em tempo real como Teams, VoIP ou videoconferência, a latência é muitas vezes mais importante do que a largura de banda pura. Por isso, depois da implementação, não se deve verificar apenas a velocidade, mas também a qualidade e a estabilidade.

Criar uma Traffic-Shaping-Policy

As Traffic-Shaping-Policies são criadas em Configure > System services > Traffic shaping.

  1. Inicia sessão no WebAdmin da Sophos Firewall.
  2. Abre System services.
  3. Muda para o separador Traffic shaping.
  4. Cria uma nova Traffic-Shaping-Policy.
  5. Em Policy association, escolhe como a Policy será usada posteriormente.
  6. Escolhe o Rule type, a prioridade e os valores de largura de banda.
  7. Guarda a Policy.
Sophos Firewall - criar uma Traffic-Shaping-Policy em System services
Sophos Firewall - System services > Traffic shaping

Em Policy association, é importante perceber para que será usada a Policy:

  • Rules: A Policy é selecionada diretamente numa regra de Firewall no campo Shape traffic.
  • Applications: A Policy é usada com base na aplicação. Pode ser atribuída a uma aplicação ou categoria de aplicações em Protect > Applications > Traffic shaping default.
  • Users ou Web categories: Para cenários baseados em utilizadores ou categorias Web.

Para uma priorização simples de Teams ou VoIP, Rules é normalmente a variante mais fácil de entender. Se várias aplicações dentro da mesma regra de Firewall tiverem de receber diferentes Shaping-Policies, Applications faz mais sentido.

Os valores devem corresponder à ligação real. Se a largura de banda for configurada demasiado alta, a Firewall não consegue controlar o estrangulamento de forma útil.

Preparar o Application Filter

Para que Traffic Shaping possa ser aplicado a aplicações, a Firewall tem de reconhecer a aplicação. Para Microsoft Teams, OneDrive ou outras aplicações conhecidas, as assinaturas já existem. Não é necessário definir novamente a aplicação; é necessário criar uma seleção adequada.

O caminho de menu é Protect > Applications > Application filter.

O Application Filter garante que a regra de Firewall reconhece o tráfego correto como Microsoft Teams, OneDrive, VoIP ou outra aplicação.

Exemplo para Microsoft Teams:

  1. Abre Protect > Applications > Application filter.
  2. Cria um novo Application Filter.
  3. Atribui um nome claro, por exemplo Microsoft Teams.
  4. Adiciona uma nova regra de Application.
  5. Procura por microsoft teams através do Smart Filter.
  6. Seleciona as aplicações Microsoft Teams adequadas.
  7. Define a Action como Allow.
  8. Guarda o Filter.
Sophos Firewall - Application Filter para Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

Em Protect > Applications > Application object também é possível agrupar aplicações. Para a seleção clássica numa regra de Firewall, o Application Filter é, na maioria dos casos, o ponto de entrada mais compreensível.

Sophos Firewall - criar Application object para Microsoft Teams
Sophos Firewall - Protect > Applications > Application object

Para serviços cloud, deve-se testar com cuidado. Microsoft 365 é composto por muitos serviços. Normalmente é melhor validar Teams, OneDrive, SharePoint ou Exchange de forma direcionada, em vez de criar uma categoria muito ampla.

Atribuir Application Traffic Shaping

Se quiseres usar a variante baseada em aplicações, a Traffic-Shaping-Policy não é atribuída apenas na regra de Firewall. A associação real à aplicação é feita em Protect > Applications > Traffic shaping default.

  1. Abre Protect > Applications > Traffic shaping default.
  2. Procura a aplicação ou categoria de aplicações, por exemplo Microsoft Teams ou a categoria cloud adequada.
  3. Edita a entrada.
  4. Seleciona uma Traffic-Shaping-Policy compatível.
  5. Guarda a alteração.

Uma Policy numa aplicação individual tem prioridade sobre uma Policy ao nível da categoria. Isto é útil quando uma categoria inteira é limitada, mas algumas aplicações críticas dentro dela devem continuar a ter garantia ou prioridade superior.

Se quiseres usar apenas uma Policy simples baseada em regra, este passo pode ser ignorado. Nesse caso, basta a seleção no campo Shape traffic da regra de Firewall.

Aplicar a Policy numa regra de Firewall

Traffic Shaping torna-se normalmente efetivo através de uma regra de Firewall. O caminho de menu é Protect > Rules and policies > Firewall rules.

  1. Abre a regra de Firewall por onde o tráfego realmente passa.
  2. Abre a área Other security features.
  3. Em Identify and control applications (App control), seleciona o Application Filter adequado.
  4. Em Shape traffic, seleciona a Traffic-Shaping-Policy.
  5. Decide se Apply application-based traffic shaping policy tem de estar ativado.
  6. Guarda a regra de Firewall.
  7. Testa a aplicação afetada.

A questão mais importante é a opção Apply application-based traffic shaping policy:

  • Sem visto: A Policy selecionada em Shape traffic aplica-se diretamente ao tráfego desta regra de Firewall. Esta é a variante mais simples quando toda a regra deve receber o mesmo valor de Shaping.
  • Com visto: A Firewall considera as Traffic-Shaping-Policies baseadas em aplicações de Protect > Applications > Traffic shaping default. Isto faz sentido quando aplicações ou categorias de aplicações diferentes dentro da mesma regra devem ser tratadas de forma diferente.
Sophos Firewall - regra de Firewall com Application Control e Traffic Shaping sem Policy baseada em aplicações ativa
Regra de Firewall sem Traffic-Shaping-Policy baseada em aplicações ativa
Sophos Firewall - regra de Firewall com a opção Apply application-based traffic shaping policy ativa
Regra de Firewall com Traffic-Shaping-Policy baseada em aplicações ativa

Para começar, recomendo normalmente a variante simples: selecionar o Application Filter, criar uma Traffic-Shaping-Policy com Policy association > Rules, selecionar essa Policy em Shape traffic e não ativar o visto. Só quando várias aplicações na mesma regra tiverem de ser priorizadas ou limitadas de forma diferente é que vale a pena usar a variante baseada em aplicações com Traffic shaping default e o visto ativo.

A ordem das regras é importante. Se o tráfego passar por uma regra mais geral acima, por exemplo uma regra existente LAN to WAN, ele não chega à nova regra específica. Nesse caso, nem Application Control nem Traffic Shaping são aplicados na regra esperada.

Verificar o efeito

Depois da configuração, deve-se verificar se a aplicação é reconhecida e controlada corretamente.

Verifica:

  • Live Logs da Firewall.
  • Application Control Logs.
  • Reports de Top Applications.
  • Utilização de largura de banda por regra.
  • Feedback dos utilizadores em serviços em tempo real.
  • Testes de velocidade apenas como complemento.

Para testes puros de largura de banda, iPerf ou Speedtest podem ser úteis. Ver também: Sophos Firewall Troubleshooting mit iPerf und Speedtest

Erros frequentes

A aplicação não é reconhecida

Verifica se foi selecionado um Application Filter na regra de Firewall em Other security features. Além disso, o tráfego tem realmente de passar por essa regra.

Shaping não tem efeito

Verifica os valores de largura de banda da Policy e a ordem das regras. Se a ligação não estiver saturada, muitas vezes não se vê um efeito visível.

Se Apply application-based traffic shaping policy estiver ativo, também tem de existir em Protect > Applications > Traffic shaping default uma aplicação ou categoria adequada com uma Traffic-Shaping-Policy. O visto por si só ainda não cria priorização.

O tráfego passa por uma regra geral

Se acima da nova regra já existir uma regra geral como LAN to WAN, o tráfego pode ser processado aí. A regra específica para Microsoft Teams, VoIP ou cloud apps nunca será atingida. Neste caso, a regra específica tem de ficar acima da regra geral ou a regra existente tem de ser ajustada.

Microsoft 365 funciona pior

Microsoft 365 é composto por muitos serviços e ligações. Não limites a categoria inteira de forma genérica; testa de forma direcionada e observa Teams, Exchange, SharePoint e OneDrive separadamente.

A rede de convidados continua a usar demasiada largura de banda

Verifica se o tráfego de convidados passa pela regra de Firewall correta e se a Traffic-Shaping-Policy está ativa nessa regra.

Recomendação

Começa com poucas Policies claras. Prioriza aplicações críticas para o negócio e limita tráfego que realmente causa problemas. Depois, observa Logs e Reports e ajusta os valores gradualmente. Traffic Shaping funciona melhor quando é direcionado e compreensível.