how to set different rights (web app/filter)

Can you add some screenshots to clarify what you've done so far?

are you trying to use Application Control or Webfilter?
for web filtering, you have to add 2 profiles. 1 for guestnet, 1 for internal network.
for App Control, you have to use different source networks per rule,
1 allowing Social for guests
1 blocking it for Private Network
for Web Filtering:
for 9.2 and newer,
go to Web Protection > Web filter Profiles
Tab Web Filter Profiles,
add a new profile by clicking the green "+"-button.

in the newly opened page/pop-up/screen:
Allowed networks: Guest network
Endpoint groups: Empty
Operation mode: Transparent

tab HTTPS:
URL filtering only,
OR check the "Do not proxy HTTPS Traffic in Transparent mode",

tab policies:
If you created one, you can activate it or edit.
if not:
hit the green "+";
in the "Add policy" window,
Users/groups: Empty
Time Event: Always, or as desired.
Filter action: use existing one or hit green "+" for a new one

Filter Action
tab categories: Select as desired
all the other options can be set as desired too, they are not really relevant for now.

open the last tab, and the save-button will be available.

now, for the private network, you do the same:
add a new profile by clicking the green "+"-button.

in the newly opened page/pop-up/screen:
Allowed networks: Private network]
Endpoint groups: Empty
Operation mode: Transparent? This can be different for your network

tab HTTPS:
I am not sure, if the certificate is deployed, you can select decrypt & scan

tab policies:
If you created one, you can activate it or edit.
if not:
hit the green "+";
in the "Add policy" window,
Users/groups: Empty or as desired.
Time Event: Always, or as desired.
Filter action: use existing one or hit green "+" for a new one

If Adding a new one:
Filter Action
tab categories: Select as desired. block the category "Social networks"
all the other options can be set as desired too, they are not really relevant for now.

Hope this clarifies it.
If it doesn't, or if it's not what you wanted, please let me know.
Kind regards,
Frank

Hi Frank,

thanks for your response. Let me try to explain what I want to do and add some screenshots:

our guestnet should be nearly unfiltered (only illegal activities should be filtered out. E.g. torrent protocol [APPControl], warez-sites[WebControl], anonymous proxies)

On our internal net I'd like to block 'unwanted' sites/apps as facebook[WebControl + AppControl for fb messenger?!], web mailer, dropbox, ...

But: for the internal net there should be an exception for external consultants or single employees to allow web mailer or dropbox. 

What I have in mind is a basic configuration for internal and guest net with the posibility to simply move some users/ user groups (SSO) or hosts to a less restrictive group for some time.

So the answer to your questing regarding AppControl or WebFilter would be "both". Is that possible or should I try it another way?

I guess your explaination of creating extra policies should nearly do the job. But what about AppControl? 

And a basic question to help me understanding UTM: will a packet first be scanned by web filtering module and if it matches no more scanned by AppControl?

Thanks and greetings.
LoD

the WebFilter profiles allow me to filter my VLAN4(private) and VLAN5(servers and VM's) very strict.
I add a profile for 1 or 2 hosts if I need an exception, based on a static DHCP lease.

AppControl works per source network/IP's,
So adding the exceptions on top, with stricter rules below, should do the job.
Example:
Rule 1 - Allow Facebook for a certain workstation in the Private Network
Rule 2 - BLOCK Facebook for private network

Rule 3 - Block Facebook for employer's device on guest network(example [;)] )
Rule 4 - Allow Facebook for guest network

I am not so sure about the scanning order of the various modules
I found this:

Rule #2:
    In general, a packet arriving at an interface is handled only by one of the following, in order: the connection tracker (conntrack) first, then Country Blocking, then DNATs, then VPNs and Proxies and, finally, manual Routes and manual Firewall rules, which are considered only if the automatic Routes and rules coming before hadn't already handled the traffic.

This means, it first gets routed, checked for country blocking, NAT, VPN, proxies(thus Web filter), Firewall.
I am not sure if this firewall includes the app control, or if it's one of the proxies.
Maybe there's someone else who knows this.

Kind regards,
Frank

Thanks again, Frank!

I experimented some time. Thought I got it working but then it does not [:(]

Please see my screenshots with the latest changes made.
Group "ng.allow-facebook" only contains my workstation's ip. From AC I'd say it should work as it's on top position. Unfortunately there's no entry in AC-log.

It's all handled by web filtering proxy:

2015:01:09-08:51:35 mail httpproxy[29299]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.***.yyy" dstip="" user="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo2 (internal network)" filteraction="REF_HttCffBlockunwan (block-unwanted)" size="0" request="0xdea72800" url="facebook.com/" referer="" error="" authtime="0" dnstime="0" cattime="76337" avscantime="0" fullreqtime="345119" device="0" auth="0" ua="" exceptions="" reason="category" category="195" reputation="trusted" categoryname="Social Networking" 

192.168.***.yyy being my ip should be allowed? Maybe it's only some little config to be changed?

Hope you (or s/o) can assist me.

Rule #2

i read that. but there's no AppControl in that flow description (or I don't know its name here).

Cheers,
LoD

about the flow description:
I think the app control fits in with the proxies.. or the firewall,
If it fits in with the firewall, then the web filter comes first,
If it fits in with the proxies, then it's not specified if WebFilter or App Control is handled first.

About your issue:
Can you try it with a single host instead of a group?

Good morning Frank.

Just tried it. But still no luck. No entries in AppControl. 
In WebFiltering-Log:

2015:01:09-09:15:26 mail httpproxy[29299]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.***.yyy" dstip="" user="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo2 (internal network)" filteraction="REF_HttCffBlockunwan (block-unwanted)" size="0" request="0x8e71000" url="www.facebook.com/" referer="" error="" authtime="0" dnstime="0" cattime="178" avscantime="0" fullreqtime="246898" device="0" auth="0" ua="" exceptions="" reason="category" category="195" reputation="neutral" categoryname="Social Networking" 

Strange, it seems like the web filter blocks before it reaches the App Control,
I am currently at the office, and I don't have my or any other UTM here to test/try,
I will get back to you when I do.

I really appreciate your help!

I'm doing some tests at home, too. But here I don't have an active directory. So I face the next problem/question.

Application Control can be set up with networks / host groups but Web Filtering only accepts user/ user groups. Isn't that somehow inconsequent?

Would like to have both filtered by either usernames and/or hosts/networks. Especially in home networks w/out user authentication that would make sense to me.

Or is there a way to use web filtering with hosts? All within one subnet.


Kind regards,
LoD

PS: I'm now playing with default authentication == browser in transparent mode with locally added users / groups.
Is there away to assign devices to users? E.g. I have user lod.handy and lod.pc. 
Both should have different access via web filtering. But they should be allowed to logon only from predefined devices (handy only from android, pc from pc/notebook, of course).

PPS: I guess very slowly it's getting clearer. Found the other thread where you wrote, what you already told me here, Frank.
So the procedure is:

Web Filter Profiles -> Create restrictive  profile for android with authentication
Web Filtering Global -> do nothing.

So all devices in group android will have to authenticate and are limited in web access. All other do not need to authenticate and are not restrictive. 
Is that right the way I did?

Application Control can be set up with networks / host groups but Web Filtering only accepts user/ user groups. Isn't that somehow inconsequent

You can make static DHCP leases, and then add this to the source network of a WebFilter profile.
My internal network is range 192.168.4.0~192.168.4.255
In this range, my tablet is 4.1 and my phone is 4.2, these are static
In the screenshots I use WP8-frank, which is my phone as an example.

in the filter action itself, you can just set whatever you want [;)]



Just remember, to add this profile ABOVE the profile of the network that the device is in
so I had to place this profile above my "private network"-profile to work.

See attached screenshots,
1 is showing my whole network, the other 1 is showing my Phone-host definition.
the last one should be above the whole network.