Gilt für: Cloud-verwaltete Fireboxen
In einem Netzwerk mit vielen Computern kann das Datenvolumen, das durch die Firewall fließt, sehr groß sein. Um Datenverluste bei wichtigen Unternehmensanwendungen zu verhindern und sicherzustellen, dass geschäftskritische Anwendungen Vorrang vor anderem Datenverkehr haben, können Sie in WatchGuard Cloud Traffic Shaping und Quality of Service (QoS)-Markierung verwenden.
Traffic Shaping
Mit Traffic Shaping können Sie die für verschiedene Arten von Datenverkehr verfügbare Bandbreite garantieren oder begrenzen. Wenn Sie Bandbreite garantieren, priorisieren Sie ein bestimmtes Datenvolumen, bevor die Firebox anderen Datenverkehr verarbeitet. Wenn Sie die Bandbreite begrenzen, stellen Sie sicher, dass Verbindungen mit potenziell hoher Bandbreite nicht alle verfügbaren Bandbreitenressourcen verbrauchen.
QoS-Kennzeichnung
Mit der QoS-Kennzeichnung können Sie die Priorität des Datenverkehrs festlegen, wenn es bei der Firebox zu einer Netzwerküberlastung kommt. Wenn ein Netzwerk nicht überlastet ist, fließt der gesamte Datenverkehr ungehindert und eine Priorisierung ist irrelevant. Bei Datenverkehrsüberlastung erzwingt QoS eine strenge Prioritätswarteschlange, und die Firebox verarbeitet Datenverkehr mit höherer Priorität vor Datenverkehr mit niedrigerer Priorität.
Zusätzlich zu den Funktionen für Traffic Shaping und QoS-Kennzeichnung können Sie auch eine Verbindungsratenbegrenzung für den Datenverkehr konfigurieren, der von einer bestimmten Regel verarbeitet wird. Wenn Sie die Verbindungsrate begrenzen, lehnt die Regel Verbindungen ab, die eine bestimmte Kapazität überschreiten. Weitere Informationen finden Sie unter Verbindungsratenbegrenzungen in einer Firewall-Regel konfigurieren.
In Kombination können diese Funktionen Ihnen dabei helfen, die Verfügbarkeit der Ressourcen, die Sie priorisieren möchten, aufrechtzuerhalten.
Durchsatz-Überlegungen
Traffic Shaping und QoS beeinträchtigen den maximalen Durchsatz auf der Firebox, da die Firebox-CPU für jedes Paket eine zusätzliche Verarbeitung durchführen muss. Durchsatzverringerungen sind in folgendem Umfang möglich:
- Firewall für Unified Threat Management (UTM) — Auf einer Firebox mit Security Services, die auf den HTTP-Datenverkehr angewendet werden, kann der Durchsatz um bis zu 10 % reduziert werden.
- IMIX-Firewall — Der Durchsatz kann um bis zu 40 % reduziert werden. Dies macht sich vor allem bei Tabletop-Fireboxen bemerkbar, wenn Sie den internen Datenverkehr messen und die maximale Performance unter der möglichen Link-Geschwindigkeit liegt.
- IMIX UDP-Datenverkehr über BOVPN — Der Durchsatz kann sich um bis zu 20 % verringern.
Traffic Shaping
Um die Upload- und Download-Bandbreite für den von einer Regel verwalteten Datenverkehr zu steuern, können Sie der Regel eine Traffic Shaping-Richtlinie zuweisen. Sie können Traffic Shaping-Richtlinien zusätzlich zu den Regeln auch auf bestimmte Anwendungen und Anwendungskategorien anwenden.
Die maximale Anzahl der Traffic Shaping-Richtlinien, die Sie konfigurieren können, hängt vom Firebox-Modell ab.
| Firebox-Modell | Maximale Anzahl von Traffic Shaping-Richtlinien |
|---|---|
| NV5 | 100 |
| T15 | 100 |
| Andere Firebox T-Series | 300 |
| FireboxV | 300 |
| Firebox Cloud |
300 |
| Firebox M series | 500 |
Vor der Implementierung von Traffic Shaping müssen Sie die verfügbare Bandbreite im Netzwerk kennen und festlegen, wie viel Bandbreite Sie für verschiedene Typen von Datenverkehr garantieren oder begrenzen möchten.
QoS-Kennzeichnung
Netzwerke unterstützen oft viele Arten von Netzwerk-Datenverkehr, die um Bandbreite konkurrieren. Der gesamte Verkehr, unabhängig davon, ob er von vorrangiger Bedeutung oder von untergeordneter Bedeutung ist, hat die gleiche Chance, sein Ziel rechtzeitig zu erreichen. QoS-Kennzeichnung gibt kritischem Datenverkehr Vorrang, um sicherzustellen, dass er schnell und zuverlässig übertragen wird.
Sie können mithilfe der QoS-Kennzeichnung verschiedene Arten von Diensten (Type of Service, ToS) für den ausgehenden Netzwerk-Datenverkehr erstellen. Wenn Sie Datenverkehr kennzeichnen, ändern Sie bis zu sechs Bits in den dafür definierten Paket-Kopfzeilenfeldern. Anhand dieser Kennzeichnung können Fireboxen und andere QoS-fähige Geräte bestimmen, wie das Paket während seiner Übertragung von Punkt zu Punkt im Netzwerk entsprechend zu behandeln ist.
In WatchGuard Cloud können Sie die QoS-Kennzeichnung für eine einzelne Regel aktivieren. Wenn Sie die QoS-Kennzeichnung für eine Regel definieren, kennzeichnet die Firebox den gesamten Datenverkehr, auf den diese Regel anwendbar ist.
Kachel Traffic Shaping
Im Abschnitt Firewall auf der Seite Gerätekonfiguration zwird in der Kachel Traffic Shaping der Status der Traffic Shaping-Richtlinien und QoS-Kennzeichnungen angezeigt:
Mit Traffic Shaping-Funktion können Sie:
- Traffic Shaping-Richtlinien für Regeln konfigurieren
- Traffic Shaping-Richtlinien für Application Control konfigurieren
- QoS-Kennzeichnung für Regeln konfigurieren
- Traffic Shaping auf Fireboxen und FireClustern überwachen