Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 1824 views
  • Users 0 members are here
Options
Suggested

[9.090][ANSWERED] Endpoint Webfiltering

maygyver
Hi,

I am trying Endpoint webfiltering. 

Question: When a Laptop has enabled Endpoint Content filtering and is behind the UTM, are both UTM and Endpoint Client filtering the content?

There is an Advanced section, but the checkbox seems to be only for antivirus filtering.

Sven
Parents
  • 0
    Hi all,

    First of all, we have added an option "Scan traffic on both gateway and endpoint".  This is under Endpoint Protection \ Web Control \ Advanced.

    I will try to explain briefly:

    There are four issues:
    - Antivirus scanning
    - Category/Reputation blocking
    - Other web protection (mime, active content removal, etc)
    - Logging

    If you have the "Scan traffic on both gateway and endpoint" unchecked:
    - All HTTP Endpoint traffic that goes through the UTM is not virus scanned or content scanned by the UTM (this all happens on the Endpoint).
    - Although the UTM is proxying the traffic it does not log it.  This is to prevent double-logging by both the Endpoint and UTM
    - HTTPS traffic is scanned and logged by the UTM (depending in HTTPS scanning setting)
    - Application Control is still enabled

    If you have the "Scan traffic on both gateway and endpoint" checked:
    - The UTM has the same logging as above
    - All traffic will be virus scanned.  The Endpoint will always scan with the Sophos Antivirus.  If you have the UTM using the Avira engine (as single or dual scan) then that allows you to scan with two different engines.
    - Some (but not all) "other" web protection is done on the UTM depending on technical feasibility.

    Please note there is special magic that means that just installing a Sophos Endpoint does not automatically mean you are bypassed on the UTM.  You must have an Endpoint that has Web Protection on for the specific UTM that you are proxying through.

    In Summary:
    - Endpoints are always protected by the Endpoint software, including content filter
    - Anything that the Endpoint cannot do (eg App Control) is still done at the UTM
    - Checking the checkbox will do double-virus scanning (with a different engine if configured)
    - UTM does not log everything it does because that can create double logging
    Turning on Web Control does not reduce protection in any way


    Note: The sophosxl.net traffic is for the Endpoint to do cloud lookups for categorization and reputation.  This traffic (and the exception for it) is unrelated to anything above.
Reply
  • 0
    Hi all,

    First of all, we have added an option "Scan traffic on both gateway and endpoint".  This is under Endpoint Protection \ Web Control \ Advanced.

    I will try to explain briefly:

    There are four issues:
    - Antivirus scanning
    - Category/Reputation blocking
    - Other web protection (mime, active content removal, etc)
    - Logging

    If you have the "Scan traffic on both gateway and endpoint" unchecked:
    - All HTTP Endpoint traffic that goes through the UTM is not virus scanned or content scanned by the UTM (this all happens on the Endpoint).
    - Although the UTM is proxying the traffic it does not log it.  This is to prevent double-logging by both the Endpoint and UTM
    - HTTPS traffic is scanned and logged by the UTM (depending in HTTPS scanning setting)
    - Application Control is still enabled

    If you have the "Scan traffic on both gateway and endpoint" checked:
    - The UTM has the same logging as above
    - All traffic will be virus scanned.  The Endpoint will always scan with the Sophos Antivirus.  If you have the UTM using the Avira engine (as single or dual scan) then that allows you to scan with two different engines.
    - Some (but not all) "other" web protection is done on the UTM depending on technical feasibility.

    Please note there is special magic that means that just installing a Sophos Endpoint does not automatically mean you are bypassed on the UTM.  You must have an Endpoint that has Web Protection on for the specific UTM that you are proxying through.

    In Summary:
    - Endpoints are always protected by the Endpoint software, including content filter
    - Anything that the Endpoint cannot do (eg App Control) is still done at the UTM
    - Checking the checkbox will do double-virus scanning (with a different engine if configured)
    - UTM does not log everything it does because that can create double logging
    Turning on Web Control does not reduce protection in any way


    Note: The sophosxl.net traffic is for the Endpoint to do cloud lookups for categorization and reputation.  This traffic (and the exception for it) is unrelated to anything above.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?