This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A question about data flow.

When I turn off the proxy, and go out to the net, I see the firewall rule for web surfing get listed as being hit, when looking at the live firewall log. 

When I turn on the proxy, and repeat the experiment, I do not see the firewall rule being used. 

I turned off the rule to allow web browsing, and left the proxy on. I could still browse the net. 

I am also wondering where the logic for app control comes in. Below is my expectation of how this flows.

Is this flow diagram correct?

{See modified image at the end of the thread}

If not, can you please help me to make it correct?

Thanks,
C68


This thread was automatically locked due to age.
Parents
  • Since this graphic may help many, let me add some detail/info.

    The following assumes HTTP (or HTTPS with scanning on), transparent mode, and the UTM is used as the DNS server.




    First Column:
    Client browser makes a request to a server on the internet (on port 80)

    DNS - ATP Blocks on entire domain
    Firewall - GEOIP Blocks
    Firewall - Internal FW rule says if it matches a web proxy profile then it sent to httpproxy.  It skips all user created firewall rules.
    Firewall - HTTPS "Do not proxy" and "Transparent mode skiplist" cause it not to be sent to httpproxy, and the remaining firewall rules to be processed
    httpproxy - block due to the request (eg category, blacklist, ATP)
    httpproxy - virus scan the outgoing request (I *think* we do this for POST/PUT but not positive)
    App Control - enforce rules



    Second Column:
    response comes from the previously made request
    conntrack - matches to the outgoing request, which skips all firewall rules (including GEOIP AFAIK) and sends it to httpproxy
    httpproxy - Virus scan on response body
    httpproxy - any other block rules that apply to a response (eg mimetype)


    I'm not sure how IPS figures into this picture.  But I don't think IPS is involved with the outgoing request.

    ---

    If you are not using httpproxy, then the firewall rules continue to be processed.  If there is a rule for "HTTP" "HTTPS" or "Web Browsing" then traffic is allowed, if not it is not allowed.
Reply
  • Since this graphic may help many, let me add some detail/info.

    The following assumes HTTP (or HTTPS with scanning on), transparent mode, and the UTM is used as the DNS server.




    First Column:
    Client browser makes a request to a server on the internet (on port 80)

    DNS - ATP Blocks on entire domain
    Firewall - GEOIP Blocks
    Firewall - Internal FW rule says if it matches a web proxy profile then it sent to httpproxy.  It skips all user created firewall rules.
    Firewall - HTTPS "Do not proxy" and "Transparent mode skiplist" cause it not to be sent to httpproxy, and the remaining firewall rules to be processed
    httpproxy - block due to the request (eg category, blacklist, ATP)
    httpproxy - virus scan the outgoing request (I *think* we do this for POST/PUT but not positive)
    App Control - enforce rules



    Second Column:
    response comes from the previously made request
    conntrack - matches to the outgoing request, which skips all firewall rules (including GEOIP AFAIK) and sends it to httpproxy
    httpproxy - Virus scan on response body
    httpproxy - any other block rules that apply to a response (eg mimetype)


    I'm not sure how IPS figures into this picture.  But I don't think IPS is involved with the outgoing request.

    ---

    If you are not using httpproxy, then the firewall rules continue to be processed.  If there is a rule for "HTTP" "HTTPS" or "Web Browsing" then traffic is allowed, if not it is not allowed.
Children
No Data