Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1273 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A content filter action with no exceptions?

BrianRobison
Hi all.  UTM 425 running 9.2.  I have a situation where a group of PC's needs absolutely no access to the Internet, aside from a very short whitelist.  I created a Web Filter Profile and a Filter Action that is locked down completely, with only one entry in the whitelist.  But, after testing via the "Policy Test", I realized that this filter was still applying the global exceptions defined in "Filtering Options".  Is there not a way to create a content filter that absolutely has no exceptions?


Right now, I'm doing it via the packet filter method where I have this range allowed to access a group of DNS hosts, followed by a blanket deny on the same range.


As an aside, one other oddity I encountered was, in defining a Web Filter Profile, I attempted to put an IP range defined in Network Definitions into the "Allowed Networks" field.  No go on that.  It won't even drag and drop.  So I created a network group in definitions and put the range into the group.  I could drag and drop, but no filter action applied to the IP's in the range in the group.  I had to manually add the IP's from that range to the group before it worked.  Weird!
TIA,
Brian


This thread was automatically locked due to age.
Parents
  • 0
    Some exceptions you might still want to apply as they are intended to allow updates to work.  A system that cannot access Windows Update cannot install critical security patches.

    That being said, if you want to you can edit the existing Exceptions to add a Source Network.

    I'm not an expert in all the Network object types, but AFAIK there is a...  issue with the fact that the UTM is a single product with multiple sub-systems inside.  I believe Network Ranges were added by the Network team for Network tasks, but they don't work (are not intended to) in other parts of the product.  As Bob suggested, if its a real issue then raising a Feature Suggestion and/or talking to your Partner is the best way to raising the priority on it.
  • 0 in reply to Michael Dunn
    Some exceptions you might still want to apply as they are intended to allow updates to work.  A system that cannot access Windows Update cannot install critical security patches.


    I follow that reasoning, but these machines I'm looking to isolate pull their updates down from the WSUS server, Antivirus server, etc.  Most of the time these workstations need only very specific access to the Internet.  This way, the mission-critical software they run won't be disrupted by unvetted software additions or modifications.
Reply
  • 0 in reply to Michael Dunn
    Some exceptions you might still want to apply as they are intended to allow updates to work.  A system that cannot access Windows Update cannot install critical security patches.


    I follow that reasoning, but these machines I'm looking to isolate pull their updates down from the WSUS server, Antivirus server, etc.  Most of the time these workstations need only very specific access to the Internet.  This way, the mission-critical software they run won't be disrupted by unvetted software additions or modifications.
Children
No Data