Block x Performance

It's not hard.  on application control just set it to block everything except what you want.  The web filtering can easily be set the same way.  Just set it to block everything(including uncategorized sites) and then allow the categories you want to.  UTM makes it easy to design by whiltelist(which is your philosophy here).

Hi William, 

So you suggest create just one rule right ?

thx by your reply I'll try it and post the performance results.

it depends..[[:)]]  If you REALLY want to lock things down leave the firewall blank.  Then in http proxy click default content filter action and tick block all content and that turns yo into a whiltelist which is what you seems to want.  I would suggest you get into webadmin and start using the built in help(which is pretty good for the basics like this)..[[:)]]

Hi William thx by your reply again.

How to do is not my mainly concern, I am more concerned how got the best performance, I already work with some products that is have a big performance difference between show the rule is created, one time I work with one UTM that blocking all and allow the necessary spend much more over allow all and blocking all what is want..

This is my central question what is better for sophos utm understand ?

ok if you want performance for 1000 users you REALLY need to get a reseller involved especially with the number of users you are talking about.  you haven't given good details about what you want...i'm answering given what you have given us.  I've sent you a pm with a rough estimate for 1k users and full guard usage.

Marc,

In the UTM, rules are processed in sequence.  So, in the 'Firewall' section, you would want the DNS allow rule first.  In the 'Application Control' section, you want the most-often used applications that you want to allow and log mentioned first, and to save your block-all rule for last.  If you don't care about logging, you only need a single block rule containing all of the applications except those you want to allow.

All applications are allowed by default unless blocked.

Cheers - Bob

man i've got to start saving posts off the boards for my own records...nuts...

In general, application control uses more memory and CPU than just the HTTP Proxy.  So if you are trying to squeeze performance, turning off App Control completely is better.

Within the HTTP Proxy, the most efficient thing is probably the "Websites" list (recategorizing), followed by Whitelist/Blacklist using Domains, followed by Whitelist/Blacklist using RegEx.

Make sure you are using SXL for categorization - turn on Endpoint Web Control in 9.2 (even if you are not using Endpoints) is the easiest way to do this.  Note that in 9.3 SXL will be used by default.

The thing is - performance is more than just the http proxy.  All the above options are within a few percent of each other.  Doing something like turning off Intrusion Prevention System or Advanced Threat Protection will make more of a difference to performance.

It's a little like taking a car and saying you want to improve fuel economy by tinkering with the engine.  Thats all well and find, but pumping up the tires and closing the windows will make more of a difference and easier to do.