Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 7249 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering

BangkokBob
Still trying to work through the new 9.x configuration.

A few questions:

1     On the global page there is a statement: ... To find out more about how to navigate through the new layout and to find where familiar operations have moved to, please read this page in our online documentation: Web Filtering Changes.  This page does not show for me, I am dropped into Welcome to UTM help.  Does a document exist that I can download?

2     Web protection | Web Filtering | Policies.
I have a base policy showing at the bottom of this page but it appears I cannot configure this as it relates to a filter policy but seems to be uneditable.  If I try to make a change to the filter action I am warned:
This filter action is used by multiple policies
    Base Policy (Internal)
    Base Policy (DMZ)
    Base Policy (Default Web Filter Profile)
Would you like to
Save the filter action for all policies
Save as a new filter action:

Not sure that I have a correct answer to these questions.

3     The policies which I have created in Global Policies display above the Base policy.  They seem to behave the same whether they are turned off or turned on, as they are repeated in Web Filter Profiles for each name that I create there and I can choose whether it is active or not.  I also get a Default Web Filter profile on this page which is different from my Base policy - something I don't understand?

Having written the above, I really need some documentation I can understand (maybe I'm thick).  I also find that even though the Users are identified properly in AD and associate with the groups created for web browsing, their associations are ignored when using web filtering policies - confirmed in Policy Test (which all worked in V8).

Perhaps I need to escalate this to support?
Any ideas appreciated.


This thread was automatically locked due to age.
  • 0
    9.2 has not been officially released. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Bob Alfson- though it is a bit murky because the release is slow, 9.2 HAS been officially been released with 9.201.  By released I mean that the Beta is finished and new issues should not be posted in the Beta forum, and that Support can deal with any 9.2 issues.  It is available for anyone to download.  It is not yet being auto-downloaded by Up2Date.

    Bangkok Bog - I thought 9.201 contained the help but it is possible that the linkage doesn't work.  Can you check in help Web Protection > Web Filtering > Web Filtering Changes.

    The Base Policy (who and when it applies to) is not editable because it applies to everything that is not covered above, the only thing you can do is choose or edit the Action - this is the same as the 9.1 "Fallback Action".

    In 9.1 you would go to the Filter Actions tab and edit a Filter Action there.  The changes you make would apply to every Profile and Assignment that used that Filter Action.  The same thing is true in 9.2, when you edit a Filter Action the changes are made to everyone who uses that Action.  The difference is that in 9.2 we give a warning and allow the Admin to instead save the Filter Action as a different name so that the other Profiles/Policies are unaffected.

    The "Default Web Filter Profile" is the first menu item where you can specify a profile without explicitly creating a Profile.  This is the same as 9.1 but the name is a little more visible.  All Profiles have a Base Policy which specifies the Filter Action to be used if nothing else matches.

    If you are not getting any of your Policies applied it sounds you have an authentication problem.  What authentication mode do you have configured in the first tab of the Profile?  When you look at the http.log (or Web Protection Log in the UI) do you have usernames in the user="" ?
  • 0
    ok michael if it's been officially released how come NONE of my utms have up2dated yet?  this smacks of another "it's not quite finished yet but we aren't saying that" release.
  • 0 in reply to Michael Dunn
    Bob Alfson- though it is a bit murky because the release is slow, 9.2 HAS been officially been released with 9.201.  By released I mean that the Beta is finished and new issues should not be posted in the Beta forum, and that Support can deal with any 9.2 issues.  It is available for anyone to download.  It is not yet being auto-downloaded by Up2Date.

    Bangkok Bog - I thought 9.201 contained the help but it is possible that the linkage doesn't work.  Can you check in help Web Protection > Web Filtering > Web Filtering Changes.

    The Base Policy (who and when it applies to) is not editable because it applies to everything that is not covered above, the only thing you can do is choose or edit the Action - this is the same as the 9.1 "Fallback Action".

    In 9.1 you would go to the Filter Actions tab and edit a Filter Action there.  The changes you make would apply to every Profile and Assignment that used that Filter Action.  The same thing is true in 9.2, when you edit a Filter Action the changes are made to everyone who uses that Action.  The difference is that in 9.2 we give a warning and allow the Admin to instead save the Filter Action as a different name so that the other Profiles/Policies are unaffected.

    The "Default Web Filter Profile" is the first menu item where you can specify a profile without explicitly creating a Profile.  This is the same as 9.1 but the name is a little more visible.  All Profiles have a Base Policy which specifies the Filter Action to be used if nothing else matches.

    If you are not getting any of your Policies applied it sounds you have an authentication problem.  What authentication mode do you have configured in the first tab of the Profile?  When you look at the http.log (or Web Protection Log in the UI) do you have usernames in the user="" ?


    ok michael if it's been officially released how come NONE of my utms have up2dated yet? this smacks of another "it's not quite finished yet but we aren't saying that" release.
  • 0 in reply to William Warren
    ok michael if it's been officially released how come NONE of my utms have up2dated yet? this smacks of another "it's not quite finished yet but we aren't saying that" release.


    To repeat:

    It is available for anyone to download.  It is not yet being auto-downloaded by Up2Date.


    This is a "soft release" which means it will not appear in up2date it must be manually installed.  It is not a GA (Generally Available) release.  My guess is that the GA will be in a week or two.

    AFAIK, this is following the same process as the last several UTM releases.

    Please see this post by Angelo in the regular (not Beta) forums.  This post includes information about what soft release means.

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29279

    The soft release of 9.201 is production-ready and fully supported.  Beta releases are not.  In the context of this thread, it felt like Bob was saying "It doesn't work because it isn't officially released" which is incorrect.  It does work, and the person needs some guidance on the changes between 9.1 and 9.2.
  • 0
    ok so it really isn't released because honestly a soft release is really an RC(just rebadged).  Your last statement makes it seem official..yes support can handle 9.2 calls but it really isn't GA yet...
  • 0 in reply to Michael Dunn

    Bangkok Bog - I thought 9.201 contained the help but it is possible that the linkage doesn't work.  Can you check in help Web Protection > Web Filtering > Web Filtering Changes.


    It's Bob not Bog! ;-)

    All of the help (I checked a number of updated installations) has Sophos UTM 9.106 at the foot of each help page, so perhaps some of the updated help has not made it to this release yet.
    I couldn't find a link to this document on the Sophos KB either, but if available, a link would be useful.
  • 0
    Hmm...  I cant say too much about the help, but that is interesting.  My internal test boxes all have the correct help, but I don't know how the packaging is different for real boxes.  Did you install fresh or upgrade.

    In any case, please look here:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65233
    Note that some of this (specifically about migration of policies creating disabled policies) is not true anymore.  In 9.2 Policies are reusable just like in 9.1 Assignment were reusable.

    And here is a cut&paste of the help topic (this might be slightly updated from the one in 9.201):

    Web Filtering Changes

    As of the 9.2 release, Sophos UTM includes a new simplified interface for creating and managing your web filtering policies. While the interface has changed considerably, functionality has not changed. All of your existing settings have been preserved and if you make no changes the system will behave in the exact same way.

    Previously, complex web policy involved creating web filtering profiles. These consisted of filter actions, created on the Filter Actions tab, which were then assigned to users and groups through filter assignments on the Filter Assignments tab, and then configured on the Proxy Profiles tab. Now, you can configure all aspects of your Web Filtering policy, including your default configuration and advanced filtering profiles from the Web Filtering > Policies tab.

    Note – Take some time to familiarize yourself with the new interface and read the following overview. While it is different than previous releases, it should be much easier to create and maintain complex web policies.

    Some Key Differences

    • In 9.1 there were several tabs containing global options that were under Web Protection > Web Filtering.  These tabs have moved to Web Protection > Filtering Options.
    • In 9.1 a Proxy Profile had Filter Assignments, which allowed you to select different Filter Actions based on criteria.  These are now called Filter Profiles with Policies, which are presented in a table on a second tab of the Profile.
    • In 9.1 the default Profile and only supported a single Filter Assignment (called the default assignment). Now you can have many Policies within the default Profile.
    • In 9.1 every Profile had a fallback action.  This is now called the Base Policy, however the functionality is the same. It contains the Filter Action that is used if no other policies match.
    • In 9.1 creation of Filter Actions was multiple tabs on the default Profile, and a very tall screen for any additional.  Now the creation of all Filter Actions is done with a multi-tabbed dialog, the Filter Action Wizard.


        Proxy profiles are now called filter profiles, and can be managed on the Web Filter Profiles > Filter Profiles tab. The policies associated with a filter profile are displayed on the Policies tab of the Edit Profile and Add Profile dialogues.

        In 9.1 and prior, a single filter assignment could be used in multiple proxy profiles. As of version 9.2, a Policy is specific to a single filter profile.

    Common Tasks

    The following is a brief overview of how you perform common tasks in 9.2 and later compared to the 9.1 interface.
    How do I:  9.1  9.2

    Edit the default policy?


    Configure the various tabs under Web Filtering:

        Web Filtering > Antivirus/Malware
        Web Filtering > URL Filtering
        Web Filtering > Advanced

    Web Filtering > Policies
    Create or edit a proxy profile?  Web Filtering Profiles > Proxy Profiles 

    Web Filtering > Web Filtering Profiles
    Assign a filter assignment to a proxy profile? 

        Create a filter action on Web Filtering Profiles > Filter Actions
        Create a filter assignment on Web Filtering Profiles > Filter Assignments
        Edit or add a proxy profile on Web Filtering Profiles > Proxy Profiles



        On Web Filtering Profiles > Filter Profiles, click on the name of a Filter Profile, or create a profile by clicking the green Plus icon
        On the Policies tab, click the green plus icon to add a policy
        Select a Filter Action, or click the green plus icon to create one.

    Add a website to a blacklist in my default filter action?  Web Filtering Profiles > Filter Assignments  On Web Filtering > Policies, when creating or editing a policy, click the green Plus icon next to Filter Action.
    Create a new Filter Action for my Filter Assignment?  Web Filtering > URL Filtering and click the green Plus icon next to Additional URLs/Sites to block 

        Web Filtering > Policies
        Select the Default content filter action
        On the Websites tab, click the green Plus icon next to Block these websites

    Modify advanced settings?  Web Filtering > Advanced  Filtering Options > Misc
    Manage trusted HTTPS CAs?  Web Filtering > HTTPS CAs  Filtering Options > HTTPS CAs
    Migration


    When you upgrade to version 9.2, your previous configuration and settings are preserved and your system will continue to behave the same. However, as the user interface has changed considerably, things may not be where you expect them to be. The Web Filtering menu item contains all the settings you need to apply a set of policies and actions to a single set of allowed networks. The Web Filter Profiles menu item contains corresponding settings, but allows you to create multiple Profiles so you can apply different settings to different networks. All global settings are now on tabs on the Filtering Options menu item.

    Some objects have been renamed. For example, Proxy Profiles are now Filter Profiles and Filter Assignments are now Policies. The Fallback Action is now called the Base Policy, as it is the policy/action that occurs if no other policies match. The relationship between these objects is much clearer.  Every Profile now contains two tabs, the first is the profile settings and the second is all the policies.  The Policies tab is an ordered table of policies that are used to determine which Filter Action is applied.  The Filter Action can be added or modified using a pop-up tabbed dialog that contains everything that can be configured for an action.

    One of the limitations of 9.1 is that the default Profile could only have one set of users assigned to it. This has been migrated to a Policy called Default content filter profile assignment with a migrated Filter Action called Default content filter action. If you had other Filter Assignments created, these will now appear as disabled Policies in the Profile.

    In 9.1 if you had created a Profile just so that you could have multiple Assignments you can simplify your configuration by enabling those Policies in the default Profile in the first menu option, making sure that your Allowed Networks is correct, and then deleting the now unnecessary additional Profile.
  • 0
    The soft release of 9.201 is production-ready and fully supported. Beta releases are not. In the context of this thread, it felt like Bob was saying "It doesn't work because it isn't officially released" which is incorrect. It does work, and the person needs some guidance on the changes between 9.1 and 9.2. 

    Well, Michael, I'm a bit crusty, like William, and see a soft-release as a Release Candidate that has moved out of beta and has been used to train support for the upcoming GA release.  As such, I don't expect that Up2Dates and documentation will be correct and complete.  You're right that I don't have much sympathy for folks that have put 9.2 into production unless it's a clean, fresh install of the software from the 9.201 ISO.  When it's really time to Up2Date, the 9.2xx Up2Date will have been visible on my client's Dashboards for at least a week, and I will have seen no reason here for them to avoid going to 9.2.

    Cheers - (Crusty ol') Bob [;)]