Hoppa till innehållet
Avanet

Konfigurera Application Traffic Shaping på Sophos Firewall

Med Application Traffic Shaping kan Sophos Firewall prioritera eller begränsa applikationer. Detta ger viktiga tjänster som Microsoft 365, Teams, VoIP eller ERP-system bättre möjligheter till stabil bandbredd, medan mindre kritisk trafik kan begränsas.

Traffic Shaping ersätter inte en korrekt dimensionering av linjen, men är ett viktigt verktyg när flera applikationer konkurrerar om samma internetanslutning.

När Application Traffic Shaping är användbart

Traffic Shaping är särskilt användbart i miljöer med begränsad eller starkt delad bandbredd.

Typiska exempel:

  • Microsoft Teams eller VoIP ska prioriteras.
  • Microsoft 365 ska fungera stabilare.
  • Backup-, uppdaterings- eller molnsynkroniseringstrafik ska begränsas.
  • Streaming eller sociala medier ska få lägre prioritet.
  • Affärskritiska applikationer ska ha företräde.
  • Gästnätverk ska begränsas.

Det är viktigt att först definiera målet: Ska trafik prioriteras, garanteras eller begränsas?

⚠️ Traffic Shaping kan inte skapa bandbredd som saknas. Om linjen är konstant överbelastad hjälper Shaping endast med prioritering. Orsaken till överbelastningen måste ändå undersökas.

Förutsättningar

Innan konfigurationen bör man kontrollera:

  • Web Protection är licensierad. Application Control ingår i Web Protection-licensen och därmed även i licenspaketet Standard Protection. Licensstatus kontrolleras under System > Administration > Licensing.
  • De berörda applikationerna identifieras korrekt av brandväggen.
  • Internetbandbredden är realistiskt känd.
  • De relevanta brandväggsreglerna är identifierade.
  • Loggning är aktiverad för de berörda reglerna.
  • Det är klart vilka applikationer som ska prioriteras eller begränsas.

För en ren konfiguration bör man inte börja direkt med många regler. Det är bättre med ett tydligt första användningsfall, till exempel prioritering av Teams eller begränsning av streaming.

Fastställ Traffic-Shaping-strategi

Innan den tekniska implementeringen bör man definiera strategin.

Möjliga mål:

  • Prioritera kritiska applikationer.
  • Begränsa oviktiga applikationer.
  • Reservera minimibandbredd för vissa tjänster.
  • Fastställ maximal bandbredd för gästnätverk.
  • Behandla uppladdningar eller nedladdningar olika.

För realtidsapplikationer som Teams, VoIP eller konferenstjänster är latens ofta viktigare än ren bandbredd. Därför bör man efter implementeringen inte bara kontrollera hastighet, utan även kvalitet och stabilitet.

Bedöm bandbredd och riktning korrekt

Traffic Shaping är endast meningsfullt om det är klart var flaskhalsen ligger. För många internetanslutningar är uppladdningen betydligt mer begränsad än nedladdningen. Det är just där Teams, VoIP, VPN, molnbackuper eller filsynkroniseringar märks först.

Innan policyn bör man därför notera:

  • Vilken linje eller vilket WAN-gateway är berört?
  • Är nedladdning, uppladdning eller båda överbelastade?
  • Går trafiken över en enskild WAN-linje eller över SD-WAN?
  • Vilken applikation ska ha företräde och vilken får bli långsammare?
  • Finns det backup-, uppdaterings- eller synkroniseringsjobb som körs samtidigt?

Värdena i en Traffic-Shaping-policy bör matcha den verkliga linjen, inte den teoretiska leverantörsangivelsen. Om en linje nominellt levererar 100/20 Mbit/s, men i praktiken bara når 80/15 Mbit/s stabilt, bör planeringen ske med realistiska värden.

  • Maxvärde högre än den verkliga linjen: Brandväggen kan inte styra flaskhalsen korrekt
  • Uppladdning ignoreras: Konferenser och VoIP förblir instabila
  • För många applikationer prioriteras: Prioriteringen förlorar effekt
  • Gästnät begränsas endast i nedladdning: Uppladdning kan fortfarande störa produktiva tjänster
  • SD-WAN-väg kontrolleras inte: Policyn verkar på en annan väg än förväntat

Skapa Traffic-Shaping-policy

Traffic-Shaping-policies skapas under Configure > System services > Traffic shaping.

  1. Logga in på WebAdmin på Sophos Firewall.
  2. Öppna System services.
  3. Växla till fliken Traffic shaping.
  4. Skapa en ny Traffic-Shaping-policy.
  5. Vid Policy association välj hur policyn ska användas senare.
  6. Ställ in regeltyp, prioritet och bandbreddsvärden.
  7. Spara policyn.
Sophos Firewall - Skapa Traffic-Shaping-Policy under System services
Sophos Firewall - System services > Traffic shaping

Vid Policy association är det viktigt vad policyn är avsedd för:

  • Rules: Policyn väljs direkt i en brandväggsregel i fältet Shape traffic.
  • Applications: Policyn används applikationsbaserat. Tilldelningen till en applikation eller applikationskategori sker under Protect > Applications > Traffic shaping default.
  • Users eller Web categories: För användar- eller webbkategoribaserade scenarier.

För en enkel Teams- eller VoIP-prioritering är oftast Rules den mest begripliga varianten. Om flera applikationer inom samma brandväggsregel ska få olika Shaping-policies är Applications mer lämpligt.

Värdena bör matcha den faktiska linjen. Om bandbredden anges för högt kan brandväggen inte styra flaskhalsen meningsfullt.

Förbered Application Filter

För att Traffic Shaping ska kunna tillämpas på applikationer måste brandväggen känna igen applikationen. För Microsoft Teams, OneDrive eller andra kända applikationer finns signaturerna redan. Man behöver alltså inte definiera applikationen på nytt, utan skapa ett lämpligt urval.

Menypath är Protect > Applications > Application filter.

Application Filter säkerställer att brandväggsregeln överhuvudtaget känner igen rätt trafik som Microsoft Teams, OneDrive, VoIP eller en annan applikation.

Om det inte handlar om prioritering eller bandbredd, utan om Application Control själv, är Ställ in och testa Sophos Firewall Application Control en mer passande start.

Exempel för Microsoft Teams:

  1. Öppna Protect > Applications > Application filter.
  2. Skapa ett nytt Application Filter.
  3. Ge ett beskrivande namn, till exempel Microsoft Teams.
  4. Lägg till en ny Application-regel.
  5. Sök efter microsoft teams med Smart Filter.
  6. Välj de relevanta Microsoft Teams-applikationerna.
  7. Ställ in åtgärden på Allow.
  8. Spara filtret.
Sophos Firewall - Application Filter för Microsoft Teams
Sophos Firewall - Protect > Applications > Application filter

Under Protect > Applications > Application object kan man också gruppera applikationer. För det klassiska urvalet i en brandväggsregel är Application Filter dock oftast den mer begripliga starten.

Sophos Firewall - Skapa Application object för Microsoft Teams
Sophos Firewall - Protect > Applications > Application object

För molntjänster bör man testa försiktigt. Microsoft 365 består av många tjänster. Det är ofta bättre att specifikt testa Teams, OneDrive, SharePoint eller Exchange istället för att generellt forma en mycket bred kategori.

Tilldela Application Traffic Shaping

Om man vill använda den applikationsbaserade varianten tilldelar man inte bara Traffic-Shaping-policyn i brandväggsregeln. Den faktiska tilldelningen till applikationen sker under Protect > Applications > Traffic shaping default.

  1. Öppna Protect > Applications > Traffic shaping default.
  2. Sök efter applikationen eller applikationskategorin, till exempel Microsoft Teams eller den relevanta molnkategorin.
  3. Redigera posten.
  4. Välj en kompatibel Traffic-Shaping-policy.
  5. Spara ändringen.

En policy på en enskild applikation har företräde framför en policy på kategorinivå. Detta är användbart om en hel kategori begränsas, men enskilda affärskritiska applikationer ändå ska garanteras eller prioriteras högre.

Om man bara vill använda en enkel regelbaserad policy kan detta steg hoppas över. Då räcker det med att välja i fältet Shape traffic i brandväggsregeln.

Tillämpa policy i brandväggsregel

Traffic Shaping blir vanligtvis effektivt genom en brandväggsregel. Menypath är Protect > Rules and policies > Firewall rules.

  1. Öppna brandväggsregeln som trafiken verkligen går igenom.
  2. Öppna området Other security features.
  3. Välj rätt Application Filter under Identify and control applications (App control).
  4. Välj Traffic-Shaping-policyn under Shape traffic.
  5. Bestäm om Apply application-based traffic shaping policy behöver aktiveras.
  6. Spara brandväggsregeln.
  7. Testa den berörda applikationen.

Den viktigaste frågan är kryssrutan vid Apply application-based traffic shaping policy:

  • Kryssruta inte markerad: Den policy som valts under Shape traffic gäller direkt för trafiken i denna brandväggsregel. Detta är den enklare varianten om hela regeln ska få samma Shaping-värde.
  • Kryssruta markerad: Brandväggen beaktar applikationsbaserade Traffic-Shaping-policies från Protect > Applications > Traffic shaping default. Detta är användbart om enskilda applikationer eller applikationskategorier inom samma brandväggsregel ska behandlas olika.
Sophos Firewall - Brandväggsregel med Application Control och Traffic Shaping utan aktiverad applikationsbaserad policy
Brandväggsregel utan aktiverad applikationsbaserad Traffic-Shaping-policy
Sophos Firewall - Brandväggsregel med aktiverad alternativ Apply application-based traffic shaping policy
Brandväggsregel med aktiverad applikationsbaserad Traffic-Shaping-policy

För nybörjare rekommenderar jag oftast den enkla varianten: Välj Application Filter, skapa en Traffic-Shaping-policy med Policy association > Rules, välj denna under Shape traffic och sätt inte kryssrutan. Först när flera applikationer inom samma regel ska prioriteras eller begränsas olika, är den applikationsbaserade varianten med Traffic shaping default och aktiverad kryssruta värd att överväga.

Regelordningen är viktig. Om trafik går genom en mer generell regel högre upp, till exempel en befintlig LAN to WAN-regel, når den inte den nyss skapade specifika regeln. Då träder varken Application Control eller Traffic Shaping i kraft i den förväntade regeln.

Planera utrullning och justering

Traffic Shaping bör inte ses som en engångsåtgärd. Den första policyn är oftast bara en startpunkt. Först med riktiga loggar, rapporter och användarfeedback ser man om applikationen identifieras korrekt och om de angivna värdena passar linjen.

För produktiva miljöer är en liten utrullning lämplig:

  1. Välj ett konkret användningsfall, till exempel prioritera Teams eller begränsa backup-trafik.
  2. Dokumentera aktuell linjeanvändning och berörd brandväggsregel.
  3. Skapa Traffic-Shaping-policy med konservativa värden.
  4. Tillämpa policyn först på en tydligt avgränsad regel eller användargrupp.
  5. Kontrollera live-loggar, Application-Control-loggar och Top Applications.
  6. Justera värdena efter några dagar baserat på verkliga observationer.
  7. Dokumentera ägare och granskningstidpunkt för policyn.

Särskilt viktigt är uppladdningsriktningen. Många klagomål om konferenstjänster, VoIP eller molnapplikationer uppstår inte på grund av bristande nedladdning, utan på grund av begränsad uppladdning, parallella backuper eller molnsynkroniseringar. Om endast nedladdningen beaktas, förblir den verkliga flaskhalsen ofta osynlig.

Vid flera WAN-linjer bör man dessutom kontrollera vilken väg som verkligen används. SD-WAN Routes, Gateway-Status och Route Precedence kan påverka om den förväntade Shaping-policyn påverkar den relevanta trafiken. För att bedöma SD-WAN-vägar passar Kontrollera Sophos Firewall SD-WAN Routing för Reply Packets och System Traffic.

För jämförelsemätningar före och efter ändringen är Testa Sophos Firewall Performance med iPerf lämpligt. Det är viktigt att använda samma riktning, samma källa, samma mål och helst samma tid på dagen. Annars förväxlas snabbt en extern server, WLAN eller parallell trafik med effekten av Shaping-policyn.

Kontrollera effekt

Efter konfigurationen bör man kontrollera om applikationen identifieras och styrs korrekt.

Man kontrollerar:

  • Brandväggens live-loggar.
  • Application-Control-loggar.
  • Rapporter över Top Applications.
  • Bandbreddsanvändning per regel.
  • Användarfeedback vid realtidsapplikationer.
  • Hastighetstester endast som komplement.

För rena bandbreddstester kan ett iPerf- eller hastighetstest vara användbart. Den passande instruktionen är Felsökning av Sophos Firewall med iPerf och hastighetstest.

Vanliga fel

Applikationen identifieras inte

Kontrollera om ett Application Filter har valts i brandväggsregeln under Other security features. Dessutom måste trafiken faktiskt gå genom denna regel.

Shaping visar ingen effekt

Kontrollera bandbreddsvärdena för policyn och regelordningen. Om linjen inte är belastad ser man ofta ingen synlig effekt.

Om Apply application-based traffic shaping policy är aktiverad måste en lämplig applikation eller kategori under Protect > Applications > Traffic shaping default verkligen ha en Traffic-Shaping-policy. Kryssrutan ensam skapar ingen prioritering.

Trafik går genom en allmän regel

Om en allmän regel som LAN to WAN redan står ovanför den nya regeln, kan trafiken behandlas där. Den specifika regeln för Microsoft Teams, VoIP eller molnappar träffas då aldrig. I detta fall måste den specifika regeln stå ovanför den allmänna regeln eller den befintliga regeln justeras därefter.

Microsoft 365 fungerar sämre

Microsoft 365 består av många tjänster och anslutningar. Begränsa inte hela kategorin generellt, utan testa specifikt och observera Teams, Exchange, SharePoint och OneDrive separat.

Gästnätverk använder fortfarande för mycket bandbredd

Kontrollera om gästtrafik går genom rätt brandväggsregel och om Traffic-Shaping-policyn är aktiv där.

Vanliga frågor

Behöver Application Traffic Shaping en licens?

Application Control är en del av Web Protection. Därför bör man innan konfigurationen kontrollera under System > Administration > Licensing om rätt licens är aktiv.

Varför ser man ingen skillnad trots Traffic Shaping?

Ofta är linjen inte belastad just då, trafiken går genom en annan brandväggsregel, applikationen identifieras inte eller de angivna bandbreddsvärdena passar inte den verkliga linjen.

Bör man prioritera Microsoft Teams eller hela Microsoft 365?

För nybörjare är en specifik Teams-policy oftast bättre än en bred Microsoft-365-regel. Microsoft 365 består av många tjänster med olika krav. Teams, Exchange, SharePoint och OneDrive bör observeras separat.

Hjälper Traffic Shaping vid för lite bandbredd?

Traffic Shaping skapar ingen extra bandbredd. Det kan prioritera viktiga applikationer eller begränsa mindre viktiga. Om linjen är konstant överbelastad måste kapaciteten eller trafikbeteendet ändå undersökas.

Vad är bättre: Regelbaserad eller applikationsbaserad Traffic Shaping?

För enkla scenarier är regelbaserad Traffic Shaping ofta mer begriplig. Applikationsbaserad Traffic Shaping är värt att överväga när flera applikationer inom samma brandväggsregel ska prioriteras eller begränsas olika.

Drift och granskning

Man börjar bäst med få, tydliga policies. Affärskritiska applikationer prioriteras och trafik som verkligen stör begränsas specifikt. Därefter bör Log Viewer, Application-Control-loggar, rapporter och användarfeedback observeras i flera dagar innan värdena utökas eller skärps.

För driften bör varje produktiv policy vara kort dokumenterad:

  • Syftet med policyn: Senare är det tydligt om policyn fortfarande behövs eller bara är historiskt växt.
  • Berörd brandväggsregel: Vid regeländringar ser man direkt om Shaping fortfarande är på rätt plats.
  • Prioriterad eller begränsad applikation: Breda kategorier kan oavsiktligt påverka för många tjänster.
  • Planerade bandbreddsvärden: Efter en leverantörsbyte eller SD-WAN-ombyggnad måste värdena omvärderas.
  • Granskningstidpunkt och ägare: Utan ansvarighet förblir ineffektiva policies ofta aktiva i åratal.

Traffic Shaping förblir endast användbart om det regelbundet granskas. Nya molnapplikationer, ändrade Microsoft-365-tjänster, ytterligare WAN-linjer, nya backup-processer eller andra brandväggsregler kan leda till att en gammal policy inte längre passar driften. Bra policies har därför ett syfte, en ägare, en granskningstidpunkt och en tydlig avvecklingsväg om de inte längre har effekt.

En granskning bör inte bara fråga om policyn fortfarande existerar. Viktigare är om den fortfarande hjälper mätbart:

  • Går trafiken fortfarande genom samma brandväggsregel?
  • Identifieras applikationen fortfarande pålitligt?
  • Är de angivna bandbreddsvärdena fortfarande realistiska?
  • Finns det nya flaskhalsar genom backup, molnsynk, gästnät eller SD-WAN?
  • Rapporterar användare fortfarande kvalitetsproblem med Teams, VoIP eller andra realtidsapplikationer?
  • Kan en tillfällig begränsning tas bort eller mildras?

Om ingen effekt längre är synlig bör policyn inte bara stå kvar som en gammal belastning. Bättre är en kontrollerad avveckling: Inaktivera eller ta bort policyn, kontrollera berörd regel, observera några dagar och dokumentera resultatet. På så sätt förblir Traffic Shaping ett medvetet driftsverktyg och blir inte en osynlig felkälla.