Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=routing-SD-WAN-routes-user-application-based

Benutzer- und anwendungsbasierte SD-WAN-Routen

Sie können SD-WAN-Routen zusätzlich zu Netzwerkkriterien auch mithilfe von Benutzern, Gruppen und Anwendungsobjekten konfigurieren.

Nutzerbasierte Routen

Sie können benutzerbasierte SD-WAN-Routen erstellen. Beispielsweise können Sie Folgendes festlegen: Quellnetzwerk zum LAN und wählen Sie die Benutzer oder Gruppen Sie möchten die Route festlegen. Die Firewall gleicht die Route mit dem Datenverkehr dieser Benutzer aus dem von Ihnen angegebenen Quellnetzwerk ab.

Anwendungsbasierte Routen

Sie benötigen eine gültige Web Protection-Lizenz.

SD-WAN-Routen können den Datenverkehr anhand von Anwendungen klassifizieren. So können Sie Routen basierend auf dem Anwendungstyp festlegen. Sie können das SD-WAN-Profil oder die Gateways anhand der ausgewählten Anwendungsobjekte auswählen.

Sie können Anwendungsobjekte für Webanwendungen, Mikro-Apps wie Facebook Messenger, Synchronized Security-Anwendungen (die auf Endgeräten erkannt werden), benutzerdefinierte Anwendungen und Anwendungskategorien auf Basis der Klassifizierungsparameter erstellen.

Die Firewall gleicht die Route mit dem Datenverkehr zu diesen Anwendungsobjekten im von Ihnen angegebenen Zielnetzwerk ab.

Routingverhalten für Anwendungsdatenverkehr

Lastverteilung über WAN-Verbindung: Die erste Verbindung einer Anwendung wird über die Standardroute (WAN-Link-Load-Balancing) geleitet. Die anwendungsbasierte SD-WAN-Route wird für nachfolgende Verbindungen verwendet, nachdem die Sophos Firewall die Sitzungsdetails ermittelt hat.

Hohe Verfügbarkeit: Die zwischengespeicherten anwendungsbasierten Routing-Details werden über die dedizierte HA-Verbindung unter Verwendung der Multicast-IP-Adresse 226.1.1.1 auf Port 4455 synchronisiert.

Mikro-Apps: Der Webproxy-Modus unterstützt kein anwendungsbasiertes Routing für Mikro-Apps. Er unterstützt lediglich Musteranwendungen und Anwendungen mit synchronisierter Sicherheit. Die DPI-Engine unterstützt anwendungsbasiertes Routing für alle Anwendungen, einschließlich Mikro-Apps.

Wie die Sophos Firewall das Anwendungsrouting implementiert:

  1. Bei der ersten Verbindung implementiert die Sophos Firewall eine SD-WAN-Route basierend auf dem übereinstimmenden Zielport und der Ziel-IP-Adresse, dem Protokoll und der eingehenden Schnittstelle. Falls keine passende Route gefunden wird, wird die Standardroute (WAN-Link-Load-Balancing) angewendet.

  2. Die DPI-Engine identifiziert die Anwendung und speichert die Klassifizierungsentscheidung im Cache.

    Auf Anfrage des Nutzers kann innerhalb einer einzigen Verbindung eine andere Anwendung die Rolle der ursprünglichen Anwendung übernehmen. Beispielsweise kann der Nutzer zunächst facebook.com aufrufen und anschließend den Facebook-Chat starten. Erfolgt dieser Wechsel, nachdem die ursprüngliche Anwendung identifiziert wurde, trifft die DPI-Engine eine neue Klassifizierungsentscheidung.

  3. Die neue Klassifizierungsentscheidung gilt für nachfolgende Verbindungen des Anwendungsdatenverkehrs.

Die Gültigkeitsdauer (TTL) der Anwendungssitzungsdetails beträgt 3600 Sekunden ab Sitzungsbeginn. Wird innerhalb dieses Zeitraums keine neue Sitzung gestartet, werden die Sitzungsdetails gelöscht. Beim Neustart der Sophos Firewall werden die Sitzungsdetails aller Anwendungsobjekte gelöscht. Nachfolgende Verbindungen über die Anwendung durchlaufen den oben beschriebenen Implementierungsprozess.

Wie konfiguriert man benutzer- und anwendungsbasiertes Routing?

  1. Gehe zu Anwendungen > Anwendungsobjekt: Erstellen Sie ein Anwendungsobjekt basierend auf Ihren Geschäfts- und Benutzerprioritäten.
  2. Gehe zu Routing > SD-WAN-Routen.
  3. Klicken IPv4 oder IPv6 und klicken Hinzufügen.
  4. Wählen Sie die Quellnetzwerk Und Benutzer oder Gruppen.
  5. Wählen Sie die Zielnetzwerk und die Anwendungsobjekt du erstellt hast.
  6. Wählen Sie ein SD-WAN-Profil aus.
  7. Klicken Speichern.

Anwendungsfälle

  • Die einzelnen Anwendungen einer Webanwendung werden über verschiedene Gateways geleitet.

    Beispielsweise können Sie Facebook-Spiele über eine Internetverbindung mit geringer Bandbreite und andere Facebook-Apps über eine Verbindung mit hoher Bandbreite leiten.

  • Leiten Sie kritische Anwendungen und bestimmte Benutzer oder Gruppen über Hochgeschwindigkeits-ISP- oder MPLS-Verbindungen.

  • Leiten Sie den Anwendungsdatenverkehr basierend auf Benutzern und Gruppen weiter.

  • Leiten Sie Anwendungs- und Benutzerdatenverkehr an bestimmte Server oder Router weiter.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen