Benutzer- und anwendungsbasierte SD-WAN-Routen
Sie können SD-WAN-Routen zusätzlich zu Netzwerkkriterien mithilfe von Benutzern, Gruppen und Anwendungsobjekten konfigurieren.
Benutzerbasierte Routen
Sie können benutzerbasierte SD-WAN-Routen erstellen. Beispielsweise können Sie Folgendes festlegen: Quellnetzwerk zu LAN und wählen Sie die Benutzer oder Gruppen Sie für die Route angeben möchten. Die Firewall gleicht die Route mit dem Datenverkehr dieser Benutzer aus dem von Ihnen angegebenen Quellnetzwerk ab.
Anwendungsbasierte Routen
Sie müssen über eine aktive Web Protection-Lizenz verfügen.
SD-WAN-Routen können den Datenverkehr anwendungsbasiert klassifizieren. So können Sie Routen basierend auf dem Anwendungstyp festlegen. Sie können das SD-WAN-Profil oder die Gateways basierend auf den ausgewählten Anwendungsobjekten auswählen.
Sie können Anwendungsobjekte für Webanwendungen, Mikro-Apps wie Facebook Messenger, Synchronized Security-Anwendungen (auf Endpunktgeräten erkannt), benutzerdefinierte Anwendungen und Anwendungskategorien basierend auf den Klassifizierungsparametern erstellen.
Die Firewall gleicht die Route mit dem Datenverkehr zu diesen Anwendungsobjekten im von Ihnen angegebenen Zielnetzwerk ab.
Routing-Verhalten für Anwendungsverkehr
WAN-Link-Lastausgleich: Die erste Verbindung einer Anwendung wird über die Standardroute (WAN-Link-Load-Balance) geroutet. Die anwendungsbasierte SD-WAN-Route gilt für nachfolgende Verbindungen, nachdem die Sophos Firewall die Sitzungsdetails gelernt hat.
Hohe Verfügbarkeit: Die zwischengespeicherten anwendungsbasierten Routing-Details werden über den dedizierten HA-Link mithilfe der Multicast-IP-Adresse 226.1.1.1 auf Port 4455 synchronisiert.
Mikro-Apps: Der Webproxymodus unterstützt kein anwendungsbasiertes Routing für Mikro-Apps. Er unterstützt nur Musteranwendungen und Synchronized Security-Anwendungen. Die DPI-Engine unterstützt anwendungsbasiertes Routing für alle Anwendungen, einschließlich Mikro-Apps.
So implementiert die Sophos Firewall das Anwendungsrouting:
- Für die erste Verbindung implementiert die Sophos Firewall eine SD-WAN-Route basierend auf dem passenden Zielport und der IP-Adresse, dem Protokoll und der eingehenden Schnittstelle. Wird keine passende Route gefunden, wird die Standardroute (WAN-Link-Load-Balance) angewendet.
-
Die DPI-Engine identifiziert die Anwendung und speichert die Klassifizierungsentscheidung im Cache.
Auf Benutzerwunsch kann eine andere Anwendung innerhalb einer Verbindung den Platz der ursprünglichen Anwendung einnehmen. Beispielsweise können Benutzer zuerst facebook.com aufrufen und dann den Facebook-Chat starten. Erfolgt der Wechsel nach der Identifizierung der ursprünglichen Anwendung, trifft die DPI-Engine eine neue Klassifizierungsentscheidung.
-
Für nachfolgende Verbindungen des Anwendungsverkehrs gilt die neue Klassifizierungsentscheidung.
Die Gültigkeitsdauer (TTL) für Anwendungssitzungsdetails beträgt 3600 Sekunden ab Sitzungsbeginn. Wird innerhalb dieses Zeitraums keine weitere Sitzung gestartet, werden die Sitzungsdetails gelöscht. Beim Neustart der Sophos Firewall werden die Sitzungsdetails aller Anwendungsobjekte gelöscht. Nachfolgende Verbindungen über die Anwendung durchlaufen den oben beschriebenen Implementierungsprozess.
So konfigurieren Sie benutzer- und anwendungsbasiertes Routing
- Gehe zu Anwendungen > Anwendungsobjekt. Erstellen Sie ein Anwendungsobjekt basierend auf Ihrem Unternehmen und den Benutzerprioritäten.
- Gehe zu Routenplanung > SD-WAN-Routen.
- Klicken IPv4 oder IPv6 und klicken Sie auf Hinzufügen.
- Wählen Sie die Quellnetzwerk Und Benutzer oder Gruppen.
- Wählen Sie die Zielnetzwerk und die Anwendungsobjekt die Sie erstellt haben.
- Wählen Sie ein SD-WAN-Profil aus.
- Klicken Speichern.
Anwendungsfälle
-
Leiten Sie die einzelnen Anwendungen einer Webanwendung über unterschiedliche Gateways.
Sie können beispielsweise Facebook-Spiele über eine ISP-Verbindung mit geringer Bandbreite und andere Facebook-Apps über eine Verbindung mit hoher Bandbreite leiten.
-
Leiten Sie kritische Anwendungen und bestimmte Benutzer oder Gruppen über ISP- oder MPLS-Verbindungen mit hoher Bandbreite weiter.
-
Leiten Sie den Anwendungsverkehr basierend auf Benutzern und Gruppen weiter.
- Leiten Sie Anwendungs- und Benutzerverkehr an bestimmte Server oder Router weiter.