Application Traffic Shaping på Sophos Firewall

Med Application Traffic Shaping kan Sophos Firewall prioritera eller begränsa applikationer. Det ger viktiga tjänster som Microsoft 365, Teams, VoIP eller ERP-system bättre förutsättningar för stabil bandbredd, medan mindre kritisk trafik kan begränsas.

Traffic Shaping ersätter inte en korrekt dimensionerad internetanslutning, men är ett viktigt verktyg när flera applikationer konkurrerar om samma lina.

När Application Traffic Shaping är användbart

Traffic Shaping hjälper särskilt i miljöer med begränsad eller hårt delad bandbredd.

Typiska exempel:

• Microsoft Teams eller VoIP ska prioriteras.
• Microsoft 365 ska fungera stabilare.
• Backup-, update- eller cloud sync-trafik ska begränsas.
• Streaming eller sociala medier ska få lägre prioritet.
• Affärskritiska applikationer ska ha företräde.
• Gästnätverk ska begränsas.

Det viktiga är att först definiera målet: ska trafiken prioriteras, garanteras eller begränsas?

⚠️ Traffic Shaping kan inte skapa bandbredd som saknas. Om linan är permanent överbelastad hjälper shaping bara med prioritering. Orsaken till överbelastningen måste ändå undersökas.

Förutsättningar

Innan konfigurationen bör man kontrollera:

• Web Protection är licensierat. Application Control ingår i Web Protection-licensen och därmed även i licenspaketet Standard Protection. Licensstatus kontrolleras under System > Administration > Licensing. Sophos licensöversikt beskriver också Application Control som en del av Web Protection: Sophos Firewall licensing info.
• De berörda applikationerna identifieras korrekt av brandväggen.
• Internetbandbredden är realistiskt känd.
• Relevanta firewall-regler är identifierade.
• Logging är aktiverat för de berörda reglerna.
• Det är tydligt vilka applikationer som ska prioriteras eller begränsas.

För en ren konfiguration bör man inte börja direkt med många regler. Det är bättre med ett tydligt första användningsfall, till exempel prioritering av Teams eller begränsning av streaming.

Bestäm Traffic-Shaping-strategi

Innan den tekniska implementationen bör man definiera strategin.

Möjliga mål:

• Prioritera kritiska applikationer.
• Begränsa oviktiga applikationer.
• Reservera minsta bandbredd för vissa tjänster.
• Ange maximal bandbredd för gästnätverk.
• Hantera uploads och downloads olika.

För realtidstjänster som Teams, VoIP eller videokonferenser är latens ofta viktigare än ren bandbredd. Därför bör man efter implementationen inte bara kontrollera hastighet, utan även kvalitet och stabilitet.

Skapa Traffic-Shaping-Policy

Traffic-Shaping-Policies skapas under Configure > System services > Traffic shaping.

1. Logga in i WebAdmin på Sophos Firewall.
2. Öppna System services.
3. Gå till fliken Traffic shaping.
4. Skapa en ny Traffic-Shaping-Policy.
5. Välj under Policy association hur policyn ska användas senare.
6. Välj Rule type, prioritet och bandbreddsvärden.
7. Spara policyn.

Vid Policy association är det viktigt vad policyn är avsedd för:

• Rules: Policyn väljs direkt i en firewall-regel i fältet Shape traffic.
• Applications: Policyn används applikationsbaserat. Den kan tilldelas en applikation eller applikationskategori under Protect > Applications > Traffic shaping default.
• Users eller Web categories: För scenarier baserade på användare eller webbkategorier.

För enkel Teams- eller VoIP-prioritering är Rules oftast den mest begripliga varianten. Om flera applikationer inom samma firewall-regel ska få olika shaping-policies är Applications mer lämpligt.

Värdena bör passa den faktiska linan. Om bandbredden anges för högt kan brandväggen inte styra flaskhalsen på ett meningsfullt sätt.

Förbered Application Filter

För att Traffic Shaping ska kunna tillämpas på applikationer måste brandväggen känna igen applikationen. För Microsoft Teams, OneDrive och andra kända applikationer finns signaturerna redan. Man behöver alltså inte definiera applikationen på nytt, utan skapa ett passande urval.

Menyvägen är Protect > Applications > Application filter.

Application Filter gör att firewall-regeln överhuvudtaget känner igen relevant trafik som Microsoft Teams, OneDrive, VoIP eller en annan applikation.

Exempel för Microsoft Teams:

1. Öppna Protect > Applications > Application filter.
2. Skapa ett nytt Application Filter.
3. Ange ett tydligt namn, till exempel Microsoft Teams.
4. Lägg till en ny Application-regel.
5. Sök efter microsoft teams via Smart Filter.
6. Välj lämpliga Microsoft Teams-applikationer.
7. Sätt Action till Allow.
8. Spara filtret.

Under Protect > Applications > Application object kan man också gruppera applikationer. För det klassiska valet i en firewall-regel är Application Filter dock oftast den tydligare startpunkten.

För molntjänster bör man testa försiktigt. Microsoft 365 består av många tjänster. Det är ofta bättre att kontrollera Teams, OneDrive, SharePoint eller Exchange specifikt i stället för att skapa en mycket bred kategori.

Tilldela Application Traffic Shaping

Om man vill använda den applikationsbaserade varianten tilldelar man inte bara Traffic-Shaping-Policy i firewall-regeln. Den faktiska kopplingen till applikationen görs under Protect > Applications > Traffic shaping default.

1. Öppna Protect > Applications > Traffic shaping default.
2. Sök efter applikationen eller applikationskategorin, till exempel Microsoft Teams eller rätt cloud-kategori.
3. Redigera posten.
4. Välj en kompatibel Traffic-Shaping-Policy.
5. Spara ändringen.

En policy på en enskild applikation har företräde framför en policy på kategorinivå. Det är användbart om en hel kategori begränsas, men enskilda affärskritiska applikationer i den ändå ska garanteras eller prioriteras högre.

Om man bara vill använda en enkel rule-based policy kan detta steg hoppas över. Då räcker valet i fältet Shape traffic i firewall-regeln.

Använd policyn i firewall-regel

Traffic Shaping blir normalt aktivt via en firewall-regel. Menyvägen är Protect > Rules and policies > Firewall rules.

1. Öppna firewall-regeln som trafiken faktiskt passerar.
2. Öppna området Other security features.
3. Välj rätt Application Filter vid Identify and control applications (App control).
4. Välj Traffic-Shaping-Policy vid Shape traffic.
5. Bestäm om Apply application-based traffic shaping policy måste aktiveras.
6. Spara firewall-regeln.
7. Testa den berörda applikationen.

Den viktigaste frågan gäller kryssrutan Apply application-based traffic shaping policy:

• Inte ikryssad: Policyn som valts under Shape traffic gäller direkt för trafiken i denna firewall-regel. Det är den enklare varianten när hela regeln ska ha samma shaping-värde.
• Ikryssad: Brandväggen tar hänsyn till applikationsbaserade Traffic-Shaping-Policies från Protect > Applications > Traffic shaping default. Det är användbart när enskilda applikationer eller applikationskategorier inom samma firewall-regel ska hanteras olika.

För starten rekommenderar jag oftast den enkla varianten: välj Application Filter, skapa en Traffic-Shaping-Policy med Policy association > Rules, välj den under Shape traffic och kryssa inte i rutan. Först när flera applikationer i samma regel ska prioriteras eller begränsas olika lönar sig den applikationsbaserade varianten med Traffic shaping default och aktiverad kryssruta.

Regelordningen är viktig. Om trafiken går via en mer generell regel längre upp, till exempel en befintlig LAN to WAN-regel, når den inte den nya specifika regeln. Då fungerar varken Application Control eller Traffic Shaping i den förväntade regeln.

Kontrollera effekten

Efter konfigurationen bör man kontrollera om applikationen identifieras och styrs korrekt.

Kontrollera:

• Live Logs i brandväggen.
• Application Control Logs.
• Reports för Top Applications.
• Bandbreddsanvändning per regel.
• Användarfeedback för realtidstjänster.
• Hastighetstester endast som komplement.

För rena bandbreddstester kan iPerf eller Speedtest vara användbart. Se även: Sophos Firewall Troubleshooting med iPerf och Speedtest

Vanliga fel

Applikationen identifieras inte

Kontrollera om ett Application Filter har valts i firewall-regeln under Other security features. Dessutom måste trafiken faktiskt passera denna regel.

Shaping ger ingen effekt

Kontrollera policyns bandbreddsvärden och regelordningen. Om linan inte är belastad ser man ofta ingen tydlig effekt.

Om Apply application-based traffic shaping policy är aktiverad måste en lämplig applikation eller kategori under Protect > Applications > Traffic shaping default verkligen ha en Traffic-Shaping-Policy. Kryssrutan ensam skapar ingen prioritering.

Trafiken går via en generell regel

Om det redan finns en generell regel som LAN to WAN ovanför den nya regeln kan trafiken behandlas där. Den specifika regeln för Microsoft Teams, VoIP eller cloud-appar träffas då aldrig. I så fall måste den specifika regeln ligga ovanför den generella regeln eller så måste den befintliga regeln justeras.

Microsoft 365 fungerar sämre

Microsoft 365 består av många tjänster och anslutningar. Begränsa inte hela kategorin generellt, utan testa specifikt och observera Teams, Exchange, SharePoint och OneDrive var för sig.

Gästnätverket använder fortfarande för mycket bandbredd

Kontrollera att gästtrafiken går via rätt firewall-regel och att Traffic-Shaping-Policy är aktiv där.

Rekommendation

Börja med få, tydliga policies. Prioritera affärskritiska applikationer och begränsa trafik som verkligen stör. Därefter bör man följa logs och reports och justera värdena stegvis. Traffic Shaping fungerar bäst när det är målinriktat och begripligt.