Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 7406 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering issue

Goldy_01
Hi.
From about two weeks ago, we are having strange problems with our Web Filtering.
It seems that for some web pages (most work fine) takes a long time to load, and when they do, they load partially, or without the images (Gif, jpeg&#8230[;)] which they contain.
Just for example for problematic sites: 9GAG - Just For FunNBA & ABA Basketball Statistics & History | Basketball-Reference.comPro-Football-Reference.com - Pro Football Statistics and History.
If I enable the HTTP in the FireWall – all works fine.

We are working with Transparent Mode, no Blocked website categories.

I have tried to disable virus scanning and disable URL Filtering – didn't help.

Something look strange in the HTTP Log (I was trying to reach [url]http://9gag.com/):

2013:12:21-10:51:04 mhoote httpproxy[10748]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="xx.xx.xx.xx" dstip="54.216.33.177" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x33bcd1f8" url="http://http.00.t.sophosxl.net/V3/01/200.202.230.54.ip/" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error="" application="cffs"

I wonder if someone has any idea.
[:(]


This thread was automatically locked due to age.
Parents
  • 0
    Hi guys.

    sophosxl is the cloud categorization service used by Endpoints and UTMs (when Web Control is enabled).

    In a normal working system the Endpoint will be doing SXL requests, and the UTM will see that it is an SXL request from an Endpoint that it configured from that UTM.  It will bypass the proxy (eg not do things like AV scan on the SXL traffic) and not log.  In fact, the UTM will bypass all web proxy checks (unless the dual scan is turned on in EP Web Control Advanced) for all traffic coming from valid endpoints.

    If you are seeing traffic to sophosxl.net in your proxy log that means there is an endpoint which is doing SXL lookups but is not properly registered with that UTM.  You will likely see all of that computer's traffic (normal web browsing) also logged on the UTM.

    There are valid reasons this could happen. For example if you have a work UTM and a home UTM, a work laptop configured by the work UTM and then brought home.  The home UTM would see the sophosxl traffic, not recognize it as being for itself, and log it.

    More likely something is not right in the registration or configuration.  You may want to check if that device giving those messages appears as connected under the Endpoint Protection.  You may also want to take the laptop with the endpoint out of the network (eg direct internet).  Make a web policy change on the UTM that should affect the endpoint.  It likely will not work.

    The quick solution is just to reinstall the endpoint.  The complex is to determine why the EP is not registered with the UTM correctly.
Reply
  • 0
    Hi guys.

    sophosxl is the cloud categorization service used by Endpoints and UTMs (when Web Control is enabled).

    In a normal working system the Endpoint will be doing SXL requests, and the UTM will see that it is an SXL request from an Endpoint that it configured from that UTM.  It will bypass the proxy (eg not do things like AV scan on the SXL traffic) and not log.  In fact, the UTM will bypass all web proxy checks (unless the dual scan is turned on in EP Web Control Advanced) for all traffic coming from valid endpoints.

    If you are seeing traffic to sophosxl.net in your proxy log that means there is an endpoint which is doing SXL lookups but is not properly registered with that UTM.  You will likely see all of that computer's traffic (normal web browsing) also logged on the UTM.

    There are valid reasons this could happen. For example if you have a work UTM and a home UTM, a work laptop configured by the work UTM and then brought home.  The home UTM would see the sophosxl traffic, not recognize it as being for itself, and log it.

    More likely something is not right in the registration or configuration.  You may want to check if that device giving those messages appears as connected under the Endpoint Protection.  You may also want to take the laptop with the endpoint out of the network (eg direct internet).  Make a web policy change on the UTM that should affect the endpoint.  It likely will not work.

    The quick solution is just to reinstall the endpoint.  The complex is to determine why the EP is not registered with the UTM correctly.
Children
No Data