Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1357 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering (proxy)

MentalMickey
I'm struggling to get my head around the web filtering assignments and actions and wonder if someone could clarify something for me.

We have a series of Active Directory groups for access to specific categories. So we allow users of the "Social Networking" group access to the "Social Networking" categories and similar groups for "Travel" and "Finance".

What I'm seeing is that as a user in the "Social Networking" group I match the filter assignment and get assigned the action, but the "Social Networking" action only allows access to "Social Networking". So if I try to go to Google I get denied because this is in our "Base Categories" action.

I was expecting it to fall back to the "Base Action", but if I'm correct once I'm assigned an action there is no fall back. The fall back only applies if the filter assignment is not matched.

Can someone please confirm that this is correct?

This will cause us a problem as I was hoping to use it in a similar way to our previous appliance with fell through rules until blocked.

I put together a diagram in the same fashion as the example.


TIA


This thread was automatically locked due to age.
  • 0
    The way the SWA appliance works is that all "Additional Policies" are modifiers on the base and things will fall through in the way that you are expecting.

    The way that the UTM appliance works is that once a Filter Action is chosen, the Allow/Block selections in that action applies to all requests.  You are correct that the fallback only applies if no Assignment matches.

    UTM 9.201 is released and has a more straightforward way of configuring this, although the core functionality is exactly the same.  If you are experimenting with configurations in this area I highly recommend upgrading first, so that you don't spend time learn a system that is obsolete.
  • 0
    We now have 9.2 and it is significantly different. Seems there are many ways to skin a cat.

    What we've ended up doing now is having a base policy/profile that applies to everyone that allows them to our chosen set of Categories. Then we are using the Exceptions to work out if the user/group has the ability to go to restricted categories.

    eg.

    Everyone can get to

    • Content Server
    • Government/Military
    • Internet Services
    • Job Search
    • Portal Sites
    • Search Engines
    • Software/Hardware


    Then we have exceptions where you must be an authenticated user and be a member of the "Social Networking Group" to access our custom category containing:

    • Marketing/Merchandising
    • Restaurants
    • Social Networking


    Which means the user can also be part of another group say "Finance Group" which allows access to our custom Finance Category containing:

    • Finance/Banking
    • Stock Trading


    This then allows us to simply add a user to an AD group allowed the relevant exception and they get access in a cumulative manner.