A question about data flow.

Proxies, and other areas, via the configuration of Allowed Networks boxes, create their own firewall rules that have precedence over manually created firewall rules.  These connections will not show up in the firewall log, but instead in the section specific log, such as the Web Filtering log as an example.

See #2 in The Rulz, https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065  Also check out the attached graphic at the bottom of the first post.

Thank you Scott. I will see if I can make sense of that image that BAlfson.

I used to have a flow graphic that I made that was "easier" for us newbies to understand. [:)]

Bob didn't make the graphic, it's from some Sophos training.  Feel free to post your version when completed.  [:)]

I am not sure I understand that graphic when it comes to what I am asking. 

I am looking for the order of flow through the protection mechanisms, and not any routing. 

For example: If both the AV and the IPS have a signature for virus X, who will stop it? (Who sees it first?) 

Does Geo blocking look at returning traffic?

Etc. 

I am looking for the logical order through all protections - routing. 

{See modified image at the end of the thread}

If both the AV and the IPS have a signature for virus X, who will stop it?

IPS and AV are looking for different things.  AV looks at files, IPS looks at actions (mainly those performed by worms, bots, trojans, and known vulnerability exploits.  Let's say you download a file that has a worm executable.  It would be AVs job to catch it.  Now if that worm had been activated and tries to do stuff, it would be the role of IPS to block those actions transversing the UTM.

Does Geo blocking look at returning traffic

Country Blocking can look at inbound, outbound, or both traffic.  If you connect to a web server in Sweden for a page, the return traffic is not going to come from China.  It's not how things work.  If you were to connect to a web server in Sweden for a page, but some of the content is on a server in China, the Sweden server will send back the URL for the content and the original requesting client would have to make a request for it.  This request would be blocked if you were blocking China.

That is what I thought with regards to country blocking.

Our IPS at work seems to look for signatures of files in stream... Snort does not do this?

Is my data flow correct in the newest image?

Thanks,

C68

Our IPS at work seems to look for signatures of files in stream... Snort does not do this

It has the capability, it's just a matter of whether or not there is a rule for a particular file.  You can find a list of the snort rules that UTM uses at Index of /lists.

Is my data flow correct in the newest image?

There's a few things I want to check before answering like in the second column I think IPS might come before  AV and in the third column, APP Control used without the proxy.

Thanks, Scott.

C68

For return traffic, conntrack is considered before Country Blocking.  In this way, traffic requested may be received from a country blocked for inbound traffic.

For outbound traffic, SSL encryption has to be after App Control.  For inbound traffic, I don't know if it is always applied or never, so #2 in Rulz may need to be changed.

Cheers - Bob

I updated my image based on my understanding of what you said and some more thinking.

Please let me know what I need to change or if this is now correct.

Thank you,

C68