Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 22 replies
  • Subscribers 0 subscribers
  • Views 11481 views
  • Users 0 members are here
Options
Suggested

UTM 9.2 Web Filter Policy Overview

AngeloC
In addition to the large list of changes, we wanted to expand on our new Web Protection look and feel for those that are after some clarification/change log there.

In 9.2, UTM includes a new simplified interface for web filtering policies. While the style has changed considerably, the underlying functionality is mostly the same. All of your existing settings have been preserved; after you upgrade your system should behave in the exact same way.
In previous releases, configuring multiple policies centered around the creation of Web Proxy Profiles. These consisted of Filter Actions, created on the Filter Actions tab, which were then assigned to users and groups through a Filter Assignment on the Filter Assignments tab, and then configured to apply to a network through a Proxy Profile on the Proxy Profiles tab. 

This process has been simplified. Now, each Filter Profile has a Policies tab where you can configure which users and groups are assigned to a Filter Action, as well as the ability to create and edit Filter Actions using a wizard. In previous releases, if you wanted to have user-based policies where different individual users had different Filter Actions, you could not do this in the default policy. In previous releases user-based policy was only possible by creating an additional Proxy Profile so as to have multiple Assignments.  

Starting with the 9.2 release the default profile now supports true user-based policies, which reduces the need for creating additional Profiles. 
Some Key Differences are below.
Previously:

  • the “Web Protection > Web Filtering” had tabs containing global options.  These have moved to Web Protection--> Filtering Options.
  • there was an Filter Assignment object that defined which users got which Filter Action.  This has been renamed to "Policy" and is now presented in a table.
  • the Default Profile had only a single Filter Assignment (called the default assignment). Now you can have many Policies within the default profile.
  • there were Proxy Profiles and the Filter Assignments were chosen via check boxes.  They have been renamed to Filter Profiles, and the Policies are managed in a table on a new tab.
  • all proxy Profiles had a Fallback Action.  This has been renamed to Base Policy, although the functionality is the same. The Base Policy contains the Filter Action that is used if no other policies match.  You can also now set the Base Policy of the Default Profile.
  • creation of Filter Actions was done on multiple tabs in the Default Profile and for other Profiles they had to be pre-created in a very tall, thin column. Filter Actions are now created and edited in a multi-tab dialog, and can be done while creating a Policy.
  • a single Filter Assignment could be used in multiple Proxy Profiles. Now a Policy is specific to a single Filter Profile.


Migration
When you upgrade your UTM to version 9.2, all of your previous Web Protection configuration and settings are migrated and preserved. As the interface has changed considerably, things may not be where you expect them to be. Take note of the following things you will notice about you configuration once it has been migrated from 9.1 to 9.2:

  • One of the first things you will see is that in any Filter Profile (including the default policy), is that in addition to one (or more) enabled policies there are several "disabled" ones. This can be initially confusing, however it has been migrated this way to preserve the same functionality and configuration as 9.1, and to make it easier for an administrator to update their configuration to take advantage of the new features in 9.2. 
  • In 9.1, when you edit a Proxy Profile, there was a list of Filter Assignments with check boxes that are either checked or unchecked. In 9.2 there is now a list of Policies that are either enabled or disabled. It is the same functionality, presented in a different way. Therefore if you look in Filter Profile and you see disabled Policies, these are the unchecked Filter Assignments from 9.1. 
  • The 9.1 Filter Assignments are global objects, but 9.2 Policies are specific to a Filter Profile.  Therefore migration takes the Filter Assignment and copies it as a Policy in each Filter Profile. This means you can delete a Policy in one Profile and it does not affect other Profiles.  Because most Profiles don’t care about the migrated disabled Policies you can safely delete them. 
  • This is also true in the default Filter Profile that is in the Web Filtering > Policies tab. In 9.1, the default Profile had a single default Filter Assignment (not really so obvious in the WebAdmin) called Default content filter profile assignment. In 9.2 it has been migrated to a Policy with the same name, and it will be enabled. You will also see many disabled Policies, which are the migrated Filter Assignments that used to only be available to additional Profiles.  These migrated Policies can be deleted if not needed.
  • The reason for migrating policies only to disable them and tell you they can be deleted is that you may wish to consolidate or move your settings. For example, in 9.1 you may have created an additional Proxy Profile so that you could have multiple Assignments (which was not possible in the default Profile). In 9.2 that restriction is removed and it is simpler to put everything in the default Profile. The migration has been done so that you only need to set your Profile’s networks correctly and enable the migrated policies. You can then delete the entire additional Filter Profile, simplifying your configuration.
  • Another change that you may wish to make is the use of Base Policy.  In previous releases all Proxy Profiles had a Fallback Action, and in 9.2 this has been migrated to a Base Policy.  
  • In the past, if an Administrator wanted to have everyone use the same Filter Action they often would create a Filter Assignment that includes all users. A simpler (but less obvious) method would be to just set the Fallback Action. In 9.2 the simpler method using a Base Policy is more straight forward.  If you want all users in a migrated Profile to have the same Action, then set the Base Policy and delete all the migrated Policies (even the enabled one).

The choice is yours – whether to delete (or ignore) the disabled policies and maintain your previous configuration unchanged, or to spend the time to simplify the configuration with the new features that 9.2 provides. 

Hope that provides some insight. Let us know what you think of the new Web Protection GUI! The good, the bad, and the ugly. Trust us, we can take it [:)]
  • 0
    With this Policy List approach to Web Filtering, why do we still need two locations for Polices?  The Policies Tab should be a Top down rule set of all Web Filter rules for all Users, Networks and Hosts.  Having an additional Profiles location doesn't seem to make sense other than trying to keep the same old structure.

    Example

    Rule #1   Internal Network      Executive Group    Anytime     Executive Policy

    Rule #2   Internal Network      ANY                    Anytime     Default Internet Policy

    Rule #3   WiFi Guest Network  ANY                    Anytime     Guest Internet Policy


    The Web Filter Profiles should be where you define your Filter Rules.  Not assign more policies to different networks.  Just my opinion on the New Web Filtering.  I like the idea, but think that it needs some revision.
  • 0
    q2srw77, I think you're right that it could be simplified a bit further, like if the default policy was just shown in the list of web filter profiles, and "Web Filtering" was removed from the menu.  

    I wouldn't mind that at all, but I don't know if this would be easiest for new users to understand. The old UI tried to make basic setups really easy, and push the more complicated stuff off to the profiles section. The concept was fine, but the implementation was less effective. 

    The UI was much too different between the default and additional profiles, and was not very intuitive. Also, too many users couldn't do everything they needed with the "easy" side of the setup, and needed to figure out how to create profiles. Now, the UI is consistent in both sections, both are reasonably intuitive, and many fewer users will ever need to create profiles. I think the expectation is that the vast majority of users won't ever need to touch "Web Filtering Profiles" at all, and if that turns out to be true, then I think the current layout is right. 

    If it's still common that additional profiles are needed, then that's probably the feedback we need to hear.
  • 0
    As was mentioned above - we discussed Combining the Default into the other profiles - which is basically removing the the "Web Filtering" tab and putting in a read-only profile.

    The thinking was this
    - We think a number of customers only need a single profile.  If this is true, then separating the default profile makes things simpler for them
    - We are already making a lot of changes.  Would changing it even more cause people to reject the new UI
    - How would this affect other features.  For example if you turn on Endpoint Web Control you would get the Default Profile unless otherwise specified.
    - Does this make migration any more complicated

    On the other hand
    - For those with multiple profiles, having them managed from one place makes more sense
    - We should "do it right" and not worry about people accepting the change, they'll adapt



    Does anyone else have any feedback?
  • 0
    q2srw77 - did you confuse your username with your password?  [:)]

    I kinda like your idea (displaying a single Policy tab where the profile is a column, maybe configurable in the assignment), although there would be some complications.  For example, every Profile has its own Base Policy.

    In addition, there is sorting which network has priority over another network, as well as sorting which profile has priority over another within a network.  That gets very hard if they are merged into a single table.
  • 0
    Michael, what if the default profile was simply always listed at the bottom of the profiles tab, and was editable, and clone-able, but could not be deleted? 

    If it provided a second way to view and edit the default profile, then if we left the default tabs there, it would preserve the simplicity we want for single-profile users, and would add the easier management we would like for multi-profile users.

    The potential downside is if showing the default profile in both locations causes more confusion for users - which I don't think it would.
  • 0 in reply to AlanT_01
    Remove the Web Filter Section, we can do all we want with one section. The Base policy can be in the bottom of the list.
  • 0
    People will notice the following changes in 9.190:

    - Rather than removing the Web Filter section, we summarized it on the Web Filtering Profiles page.  Now it has the benefit of appearing on one page (which is what I think people really wanted) while keeping it simple for those who only need a single profile.

    - Based on feedback during Beta and with Partners, we have made Policies shared among all Profiles again (just like Filter Assignments used to be).  Initially we made Policies specific to a Profile, with the belief that if they were easy to create so if you needed a similar Policy in two profiles you could just create it twice.  It turns out that some people have complex policies and prefer the shared model.

    - Local Site List feature/tab has been renamed to Websites, as well as some other minor tab name changes
  • 0
    The one additional observation is that the profiles lists and the policies lists, are visually very similar. I've watched two different evaluators get confused by this just in the last two days. Perhaps if there was some sort of visual differentiator, like a different colored background, or something to make it a bit more visually distinct, it would help.
  • 0 in reply to AlanT_01
    It's getting there.  I still think however that the Split Profiles section should be consolidated into a single top down list.

    Web Filtering

    Global - Turning it On and Off and Logging that is it.
    Remove Polices Tab

    Move the Filter Profiles to the Web Filtering section and rename it Filtering Policies

    Filtering Policies would be a top down rules list that designated the Source Network, Authentication, User Groups, Time Rules, Endpoints Allowed and Policy for that rule.

    Filter Actions moved to Web Filtering

    Example: Inside Network - Executive Users - All Day - Authentication Transparent - Policy: Admin Filter Action
    Example: Inside Network - All Users - All Day - Authentication Transparent - Policy: Default Filter Action
    Example: Wireless Network - Executive Users - All Day - Authentication None - Policy: Guest Filter Action

    This still allows for multiple profiles based on Network, Users, Group or Endpoint and shifts all rules to a single list and thus Simplifies the UI into an easy and functional for both old and new users.
  • 0 in reply to StephenWeber
    I'm clearly missing something obvious here...

    How do I get simple, per network filter actions to apply *per network*?  I have two LAN segments with different web policy needs- 

    Default web filter profile (under global) has the two allowed networks, transparent, no auth, HTTPS URL only.  I have two Policies defined, one for each segment (although there's no way to specify the allowed segments here) with an appropriate filter action for each.

    I've set up two Filter Profiles, each with the appropriate Policy with its corresponding specific Filter Action, and only the appropriate network segment in the Allowed Networks field of the Profile.

    No matter how I shuffle things, whichever policy is listed first in Web Filtering > Policies is applied to both segments.  The Policy doesn't link to the Profile, only to the Filter Action.

    This is a clean install of 9.190, updated to 9.191-2.  (My current install has been moved and upgraded many times over many years so it is time to start fresh).

    What am I missing, or overthinking?

    Thanks and Seasonally Appropriate Greetings
    Jack
Unfiltered HTML