Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 119 replies
  • Subscribers 1 subscriber
  • Views 291397 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.200] Web filtering causing slow internet browsing?

Jimstigator
I upgraded to 9.200 a few weeks ago and noted no decrease in internet browsing speed.  The unit is a 320 with max 100 users behind it.  Most features turned on, including IPS and now ATP.  

As of the past few days, browsing is... SLOWWWW.  All of a sudden, sites with lots of images, say, a shopping website, are extremely slow to load.  I went in, turned Web Filtering off, and boom, right back to instant load.  Anyone else experiencing this?

As far as the web filtering config, pretty much default.  Transparent mode, single scan, only block p0rn, all other traffic allowed.

I rebooted the UTM which didn't help.
Thoughts? 

-Jim


This thread was automatically locked due to age.
Parents
  • 0
    OK I got a test PC removed the old Endpoint and re-installed Endpoint from the link provided on the HQ UTM 9.2 page. So the PC is on the HQ LAN and has the newest/latest endpoint installed from its local UTM

    Makes no difference - as soon as Web Control or Protection is enabled the browsing goes back to very slow and the web filter log is showing up all the calls to sophosxl.net

    Turn off Control and Protection - test PC browsing back to normal/fast. Calls to sophosxl.net are gone
Reply
  • 0
    OK I got a test PC removed the old Endpoint and re-installed Endpoint from the link provided on the HQ UTM 9.2 page. So the PC is on the HQ LAN and has the newest/latest endpoint installed from its local UTM

    Makes no difference - as soon as Web Control or Protection is enabled the browsing goes back to very slow and the web filter log is showing up all the calls to sophosxl.net

    Turn off Control and Protection - test PC browsing back to normal/fast. Calls to sophosxl.net are gone
Children
  • 0 in reply to toby.wells@publicis.ie
    OK I got a test PC removed the old Endpoint and re-installed Endpoint from the link provided on the HQ UTM 9.2 page. So the PC is on the HQ LAN and has the newest/latest endpoint installed from its local UTM

    Makes no difference - as soon as Web Control or Protection is enabled the browsing goes back to very slow and the web filter log is showing up all the calls to sophosxl.net

    Turn off Control and Protection - test PC browsing back to normal/fast. Calls to sophosxl.net are gone


    My usual workaround to get that SXL latency issue fixed is by creating a exception in the web proxy looking like that one

    Skip Authentication, Caching, Antvirus, Extension Blocking, MIME type blocking and URL Filter for "Matching these URLs"

    ^http://http\.00\.s\.sophosxl\.net/
    ^http://http\.00\.a\.sophosxl\.net/

    If you like, you also can skip the other tests and/or logging, but those above definately should be skipped.

    In the past I tried to skip those lookups completely per DNS Groups in the transparent skiplist. But as it collects over the time hundreds of SXL IP addresses, the URL matching seems to be the better approach.

    @michael dunn: Maybe this should be a default exception in the UTM anyway ?[H]
  • 0 in reply to Sascha Paris
    My usual workaround to get that SXL latency issue fixed is by creating a exception in the web proxy looking like that one

    Skip Authentication, Caching, Antvirus, Extension Blocking, MIME type blocking and URL Filter for "Matching these URLs"

    ^http://http\.00\.s\.sophosxl\.net/
    ^http://http\.00\.a\.sophosxl\.net/

    If you like, you also can skip the other tests and/or logging, but those above definately should be skipped.

    In the past I tried to skip those lookups completely per DNS Groups in the transparent skiplist. But as it collects over the time hundreds of SXL IP addresses, the URL matching seems to be the better approach.

    @michael dunn: Maybe this should be a default exception in the UTM anyway ?[H]



    I already have that exception in. Also have the sophosliveconnect (all.broker.sophos) DNS group in transparent skip as it says in the manual (yes Im so deep into this I have even read the manual)

    These were default exceptions in my install

    The full call looks like this

    2014:04:13-09:58:28 no16 httpproxy[8949]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.8.12.103" dstip="54.216.33.177" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x10feacc0" url="http://http.00.t.sophosxl.net/V3/01/201.197.2.204.ip/" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error="" authtime="0" dnstime="0" cattime="0" avscantime="0" fullreqtime="1819" device="0" auth="0"

    So its the cumulative effect of fullreqtime I assume, or some other interaction with the UTM that isn't shown in the log. 

    The fact is the Endpoint should recognise it is behind a UTM and disable the web control and protection function. Its not and its causing the delay.