Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1308 views
  • Users 0 members are here
Options
Suggested

[9.171][QUESTION] Webfiltering question

ChristianKüppers
I started expieriencing the Beta and focusses on the webfiltering.
I recognized that the setting as in 9.1 would not work.
there i built an own category for blocking and let all traffic through except this category.
I can´t configure the same in the BETA.
if one category is in my block and as allowed marked in the category the request passes. So i have to doubleblock this category.
I tested it with the policy test (great stuff).
Parents
  • 0
    We have tested and I'll document here how it works.  Let me correct an earlier statement, this is not "undefined".  Instead it is rather an "unsupported feature".  The functionality is the same as 9.1.

    Pardon me for the complexity of this post.  Let me describe the 9.1 functionality first, since it is more clear in the UI.

    How UTM 9.1 handles the case where a category is a member of two groups that are set differently
    Create a URL Filter Category called "Stuff I Hate" and add Gambling.
    In URL Filtering select "Allow content that does not match the criteria below".  Put a checkbox beside Stuff I Hate.
    Now "Games/Gambles" is unchecked (eg which implies Allow) and "Stuff I Hate" is checked (eg which is an explicit Block).
    If you go to a poker site you are blocked.  This is because the checkbox has precedence, it is an explicit block rather than the general "Allow content..." rule.
    Now change the setting to "Block content that does not match the crieria below".
    The checkbox beside "Stuff I Hate" now means an explicit Allow.  No checkbox beside "Games/Gambles" implies a Block.
    If you go to a poker site you are allowed.  Again, this is because the checkbox has precedence, it is an explicit allow to the "Block content..." rule.

    So in 9.1 we could say - If a category is a member of two category groups, if one group is set to the general rule and one group is explicitly set (via checkbox) it follows the explicitly set.  The actual treatment depends on the mode (Allow content.../Block content...)

    How UTM 9.2 handles this
    In 9.2 we changed the UI to handle the tri-state of Allow/Warn/Block, but the backend handling is much the same.
    In URL Filtering select "Allow content that does not match the criteria below".  Change "Stuff I Hate" from Allow to Block.
    Now "Games/Gambles" is set to Allow (same as general) and "Stuff I Hate" is set to Block (an explicit change from the general rule).
    Poker sites are blocked.
    Now change the setting the "Block content that does not match the crieria below".
    Set "Games/Gambles" is set to Allow (an explcit change from the general rule) and "Stuff I Hate" is set to Block (same as general).
    Poker sites are allowed.

    So in 9.2 it is effectively the same thing as 9.1.  If you select something that is different from the general rule in the radio button, then that takes precedence.

    The same is true for Warn.  If you have "Allow content..." and one is set Allow and the other Warn, the result is a warn.  Similar for block.
    The only special thing is when both groups have been set differently than the radio button - in this case it takes the more restrictive action.
Reply
  • 0
    We have tested and I'll document here how it works.  Let me correct an earlier statement, this is not "undefined".  Instead it is rather an "unsupported feature".  The functionality is the same as 9.1.

    Pardon me for the complexity of this post.  Let me describe the 9.1 functionality first, since it is more clear in the UI.

    How UTM 9.1 handles the case where a category is a member of two groups that are set differently
    Create a URL Filter Category called "Stuff I Hate" and add Gambling.
    In URL Filtering select "Allow content that does not match the criteria below".  Put a checkbox beside Stuff I Hate.
    Now "Games/Gambles" is unchecked (eg which implies Allow) and "Stuff I Hate" is checked (eg which is an explicit Block).
    If you go to a poker site you are blocked.  This is because the checkbox has precedence, it is an explicit block rather than the general "Allow content..." rule.
    Now change the setting to "Block content that does not match the crieria below".
    The checkbox beside "Stuff I Hate" now means an explicit Allow.  No checkbox beside "Games/Gambles" implies a Block.
    If you go to a poker site you are allowed.  Again, this is because the checkbox has precedence, it is an explicit allow to the "Block content..." rule.

    So in 9.1 we could say - If a category is a member of two category groups, if one group is set to the general rule and one group is explicitly set (via checkbox) it follows the explicitly set.  The actual treatment depends on the mode (Allow content.../Block content...)

    How UTM 9.2 handles this
    In 9.2 we changed the UI to handle the tri-state of Allow/Warn/Block, but the backend handling is much the same.
    In URL Filtering select "Allow content that does not match the criteria below".  Change "Stuff I Hate" from Allow to Block.
    Now "Games/Gambles" is set to Allow (same as general) and "Stuff I Hate" is set to Block (an explicit change from the general rule).
    Poker sites are blocked.
    Now change the setting the "Block content that does not match the crieria below".
    Set "Games/Gambles" is set to Allow (an explcit change from the general rule) and "Stuff I Hate" is set to Block (same as general).
    Poker sites are allowed.

    So in 9.2 it is effectively the same thing as 9.1.  If you select something that is different from the general rule in the radio button, then that takes precedence.

    The same is true for Warn.  If you have "Allow content..." and one is set Allow and the other Warn, the result is a warn.  Similar for block.
    The only special thing is when both groups have been set differently than the radio button - in this case it takes the more restrictive action.
Children
No Data
Unfiltered HTML