Flow sequence for Sophos UTM

Manually created firewall rules have the lowest precedence.  See rule #2 at https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.  Proxies have system created firewall rules that have a higher precedence than manually created ones.  It's not an override, the manually created ones are never checked, as the system created rule matches first.

Manually created firewall rules have the lowest precedence.  See rule #2 at https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.  Proxies have system created firewall rules that have a higher precedence than manually created ones.  It's not an override, the manually created ones are never checked, as the system created rule matches first.

Why is it so? if it's as such, how can someone block total traffic of an IP during a certain timing without losing web filtering too? 

I've been using Fortigate, all along nv met such issues before. Shouldn't lower layers get screen after the higher layers??

Hi, I'm not an expert with Web Filtering, but you probably want to have a Web Filtering policy for blocking during that time period.

Barry

Hi, I'm not an expert with Web Filtering, but you probably want to have a Web Filtering policy for blocking during that time period.

Barry

Web filtering can completely block HTTP traffic, but https traffic will be pass because I did not turn on decrypt and scan. It will cause alot of troublesome issue. 

so to deal with the above, I turned off HTTPS filtering. implemented blocking on firewall rules for all traffic as well as https. It works but during the allowed time, the web filtering will not filter the https traffic to disallow blocked URL.

I'm not a pro to, but I have a few years of networking experience. I dun't believe sophos should deal with higher layers first before looking through the firewall rules. I've been working with fortigate for a few years and i did not have such issue. Ciso ASA too.

I've been working with fortigate for a few years and i did not have such issue. Ciso ASA too.

Different products, different design teams and concepts.  It's how this one has worked for years, just a different approach.

Kind of sounds like you need to implement a separate profile for the one machine (IP) with time based filter policies with separate filter actions for each time.  One action to block everything during the appropriate time frame.  You can keep https scanning on for this profile, either URL filtering only or decrypt and scan, as you wish.

Different products, different design teams and concepts.  It's how this one has worked for years, just a different approach.

Kind of sounds like you need to implement a separate profile for the one machine (IP) with time based filter policies with separate filter actions for each time.  One action to block everything during the appropriate time frame.  You can keep https scanning on for this profile, either URL filtering only or decrypt and scan, as you wish.

Nah, I understand what's your point. but whats the reason for throwing port 80 and 443 for filtering when I first of all din want any traffic to be allowed for that IP. I feel that sophos isn't mature enough in terms of policing. I love it's interface, it's report and how it put this gui so user friendly, but a flaw is a flaw. how can someone accept that this has been for years, that's why it's right? maybe someone can explain the logic behind this implementation?

I have a profile with separate policy for this IP with time based filter, it does not have https enabled. but there's no way that IP can skip profile to the allowed profile with https enabled.

"Web Filter Profiles allow you to apply a different set of policies to each network. The UTM examines the source IP of each web request, then applies the first profile with a matching Allowed Network and Operation Mode."