how many nics are required when doing web filtering only

On the Interfaces & Routing > Bridging > Advanced tab, the following bridging options can be configured:

Allow ARP broadcasts: This function allows you to configure whether global ARP broadcasts should be forwarded by the bridge. If enabled, the bridge will allow broadcasts to the MAC destination address FF:FF:FF:FF:FF:FF. This, however, could be used by an alleged attacker to gather various information about the network cards employed within the respective network segment or even the security product itself. Therefore, the default setting is not to let such broadcasts pass the bridge.

Spanning Tree Protocol: Enabling this option will activate the Spanning Tree Protocol (STP). This network protocol detects and prevents bridge loops.

Caution – Be aware that the Spanning Tree Protocol is known to provide no security, therefore attackers may be able to alter the bridge topology.

Ageing Timeout: The amount of time in seconds after which an inactive MAC address will be deleted. The default time is 300 seconds.

Allow IPv6 Pass Through: Enabling this option will allow IPv6 traffic to pass the bridge without any inspection.

Virtual MAC Address: Here you can enter a static MAC address for the bridge. By default (and as long as the entry is 00:00:00:00:00:00), the bridge uses the lowest MAC address of all member interfaces.

Forwarded EtherTypes: By default, a bridge configured on the Sophos UTM only forwards IP packets. If you want additional protocols to be forwarded, you have to add their EtherType to this box. The types have to be entered as four-digit hexadecimal numbers. Popular examples are AppleTalk (type 809B), Novell (type 8138), or PPPoE (types 8863 and 8864). A typical use case would be a bridge between your RED interfaces which should forward additional protocols between the connected networks.

On the Interfaces & Routing > Bridging > Advanced tab, the following bridging options can be configured:

Allow ARP broadcasts: This function allows you to configure whether global ARP broadcasts should be forwarded by the bridge. If enabled, the bridge will allow broadcasts to the MAC destination address FF:FF:FF:FF:FF:FF. This, however, could be used by an alleged attacker to gather various information about the network cards employed within the respective network segment or even the security product itself. Therefore, the default setting is not to let such broadcasts pass the bridge.

Spanning Tree Protocol: Enabling this option will activate the Spanning Tree Protocol (STP). This network protocol detects and prevents bridge loops.

Caution – Be aware that the Spanning Tree Protocol is known to provide no security, therefore attackers may be able to alter the bridge topology.

Ageing Timeout: The amount of time in seconds after which an inactive MAC address will be deleted. The default time is 300 seconds.

Allow IPv6 Pass Through: Enabling this option will allow IPv6 traffic to pass the bridge without any inspection.

Virtual MAC Address: Here you can enter a static MAC address for the bridge. By default (and as long as the entry is 00:00:00:00:00:00), the bridge uses the lowest MAC address of all member interfaces.

Forwarded EtherTypes: By default, a bridge configured on the Sophos UTM only forwards IP packets. If you want additional protocols to be forwarded, you have to add their EtherType to this box. The types have to be entered as four-digit hexadecimal numbers. Popular examples are AppleTalk (type 809B), Novell (type 8138), or PPPoE (types 8863 and 8864). A typical use case would be a bridge between your RED interfaces which should forward additional protocols between the connected networks.