Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 6120 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

9.3xx: Impact of CFFS -> SXL change

AdrienBelcourt
Ladies and Gents,

Purpose: The purpose of this thread is to help us better advise customer on the impact on Web Filtering Behaviour[/b] of going to 9.3xx[/b]

Backstory: With 9.3xx, Sophos have changed the default categorisation from CFFS a.k.a McAfee TrustedSource SmartFilter XL to SXL aka Sophos XL Categorisation.   This change is a long time coming since McAfee acquired TrustedSource, and Sophos acquired Astaro - when Sophos already had their in-house categorisation engine.

Differences

  • Gone from 3 categories per website to 1 category per website.  Things that were blocked/allowed will change.   Trusted Source uses upto three categories, whereas Sophos uses only one.   So if a profile uses a secondary categorisation, then this will be lost - assuming that SXL has the same primary categorisation as CFFS.  
   
Questions
  • Do the old and new categories lineup/overlap/superset/etc.?  E.g. do we still have Incidental Nudity - essential to enable for Fashion Students in colleges.  
  • Speed.  Is SXL faster than memory-cached CFFS?
  • Choice.  Are we forced to use only SXL from 9.3xx onwards? 
  • Documentation.   Where do we find it?  
  • Cyberoam.  What do they use and is it better than SXL? Will we have to change again?


This thread was automatically locked due to age.
Parents
  • 0
    - Currently UTM 9.3 with SXL still uses TrustedSource as a the data backend.  Therefore categorization of website should not change.  

    - Cyberroam has their own categorization system and do their own data in-house.  Currently there is no integration of their data into other Sophos products.

    - There may be changes to the category data source that the UTM uses at some time in the future.  Because there are potentially bigger impacts to this, it will not be done lightly, silently, or in a minor release.

    - SXL will only return one category rather multiple (in CFFS or local).  In general, it returns the category most important (the most likely to block, as controlled by TrustedSource).

    - SXL is cloud lookup with local caching.  You will get memory-access-speeds 90-95% of the time depending on usage (more users = better cache rate).  It is significantly faster than CFFS users.  It is slightly slower than local CFF database, however that is like saying a Toyota Carolla is slower than a Ferrari -- you will almost never notice a difference in normal traffic.  Note that installing 9.3 does not turn off local CFF database.

    - UTM will continue to have local database while we are using TrustedSource as the data source.  If/when that changes we will determine whether we need to continue to do so.  The reasons for local database largely disappear with SXL.

    - Local database may use higher bandwidth than SXL, depending on the load of your system.
Reply
  • 0
    - Currently UTM 9.3 with SXL still uses TrustedSource as a the data backend.  Therefore categorization of website should not change.  

    - Cyberroam has their own categorization system and do their own data in-house.  Currently there is no integration of their data into other Sophos products.

    - There may be changes to the category data source that the UTM uses at some time in the future.  Because there are potentially bigger impacts to this, it will not be done lightly, silently, or in a minor release.

    - SXL will only return one category rather multiple (in CFFS or local).  In general, it returns the category most important (the most likely to block, as controlled by TrustedSource).

    - SXL is cloud lookup with local caching.  You will get memory-access-speeds 90-95% of the time depending on usage (more users = better cache rate).  It is significantly faster than CFFS users.  It is slightly slower than local CFF database, however that is like saying a Toyota Carolla is slower than a Ferrari -- you will almost never notice a difference in normal traffic.  Note that installing 9.3 does not turn off local CFF database.

    - UTM will continue to have local database while we are using TrustedSource as the data source.  If/when that changes we will determine whether we need to continue to do so.  The reasons for local database largely disappear with SXL.

    - Local database may use higher bandwidth than SXL, depending on the load of your system.
Children
  • 0 in reply to Michael Dunn
    - Currently UTM 9.3 with SXL still uses TrustedSource as a the data backend.  Therefore categorization of website should not change.  

    - SXL will only return one category rather multiple (in CFFS or local).  In general, it returns the category most important (the most likely to block, as controlled by TrustedSource).


    Michael, thanks for responding but, you conveniently glossed over my point:-
    It totally breaks any intelligence that it had before when using Google translate.
    Before 9.3 it examined the whole url and if I tried to go to an allowed site with Google translate it would allow it, and if I used google translate on a blocked site, it would block it.
    Now it will just do whatever the policy says for Google translate, so your choices now are:-

    A) Go without Google translate
    B) Allow Google translate and kiss your policy goodbye as your users work out that this is a good way to circumvent all your policy rules!
  • 0 in reply to nathanlock
    Michael, thanks for responding but, you conveniently glossed over my point:-
    It totally breaks any intelligence that it had before when using Google translate.
    Before 9.3 it examined the whole url and if I tried to go to an allowed site with Google translate it would allow it, and if I used google translate on a blocked site, it would block it.
    Now it will just do whatever the policy says for Google translate, so your choices now are:-

    A) Go without Google translate
    B) Allow Google translate and kiss your policy goodbye as your users work out that this is a good way to circumvent all your policy rules!


    Michael, I know you are online.... Why are you ignoring my question above ???? Is it because no-one at Sophos wants to admit that there is a gaping great flaw/feature gap in this product?