Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 7406 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering issue

Goldy_01
Hi.
From about two weeks ago, we are having strange problems with our Web Filtering.
It seems that for some web pages (most work fine) takes a long time to load, and when they do, they load partially, or without the images (Gif, jpeg&#8230[;)] which they contain.
Just for example for problematic sites: 9GAG - Just For FunNBA & ABA Basketball Statistics & History | Basketball-Reference.comPro-Football-Reference.com - Pro Football Statistics and History.
If I enable the HTTP in the FireWall – all works fine.

We are working with Transparent Mode, no Blocked website categories.

I have tried to disable virus scanning and disable URL Filtering – didn't help.

Something look strange in the HTTP Log (I was trying to reach [url]http://9gag.com/):

2013:12:21-10:51:04 mhoote httpproxy[10748]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="xx.xx.xx.xx" dstip="54.216.33.177" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x33bcd1f8" url="http://http.00.t.sophosxl.net/V3/01/200.202.230.54.ip/" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error="" application="cffs"

I wonder if someone has any idea.
[:(]


This thread was automatically locked due to age.
Parents
  • 0
    Reply to William's first post:
    I'm not sure I understand the first comment.  In this scenario everything is using SXL not CFFS.

    There are SXL requests generated by the UTM and there are SXL requests generated by the Endpoint.  Normally the ones generated by the Endpoint are not logged by the UTM (doing so clogs up logs).  The fact that they are logged indicates the UTM does not recognize that Endpoint as being one of its own.

    Reply to William's second post:
    Yes, if you are using the EP with Web Control then it bypasses the UTM for the majority (not all) httpproxy scanners.  Basically the web protection offered by the endpoint and the web protection offered by the UTM are equivalent so by default we only enforce policy at one location.  Those people who want both belt and suspenders can turn on the dual scan.  As for what the default should be...  That can be debated.

    One side effect is that when you start using Endpoint then processing work is moved from the UTM to the Endpoint.  That means that a UTM that may struggle with 100 connected computers runs just fine with 200 connected endpoints.
Reply
  • 0
    Reply to William's first post:
    I'm not sure I understand the first comment.  In this scenario everything is using SXL not CFFS.

    There are SXL requests generated by the UTM and there are SXL requests generated by the Endpoint.  Normally the ones generated by the Endpoint are not logged by the UTM (doing so clogs up logs).  The fact that they are logged indicates the UTM does not recognize that Endpoint as being one of its own.

    Reply to William's second post:
    Yes, if you are using the EP with Web Control then it bypasses the UTM for the majority (not all) httpproxy scanners.  Basically the web protection offered by the endpoint and the web protection offered by the UTM are equivalent so by default we only enforce policy at one location.  Those people who want both belt and suspenders can turn on the dual scan.  As for what the default should be...  That can be debated.

    One side effect is that when you start using Endpoint then processing work is moved from the UTM to the Endpoint.  That means that a UTM that may struggle with 100 connected computers runs just fine with 200 connected endpoints.
Children
  • 0 in reply to Michael Dunn
    Reply to William's first post:
    I'm not sure I understand the first comment.  In this scenario everything is using SXL not CFFS.

    There are SXL requests generated by the UTM and there are SXL requests generated by the Endpoint.  Normally the ones generated by the Endpoint are not logged by the UTM (doing so clogs up logs).  The fact that they are logged indicates the UTM does not recognize that Endpoint as being one of its own.

    Reply to William's second post:
    Yes, if you are using the EP with Web Control then it bypasses the UTM for the majority (not all) httpproxy scanners.  Basically the web protection offered by the endpoint and the web protection offered by the UTM are equivalent so by default we only enforce policy at one location.  Those people who want both belt and suspenders can turn on the dual scan.  As for what the default should be...  That can be debated.

    One side effect is that when you start using Endpoint then processing work is moved from the UTM to the Endpoint.  That means that a UTM that may struggle with 100 connected computers runs just fine with 200 connected endpoints.


    so is everything routed to sxl now?  if so why is the http proxy still doing cff lookups?