Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 11505 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A question about data flow.

Coder68
When I turn off the proxy, and go out to the net, I see the firewall rule for web surfing get listed as being hit, when looking at the live firewall log. 

When I turn on the proxy, and repeat the experiment, I do not see the firewall rule being used. 

I turned off the rule to allow web browsing, and left the proxy on. I could still browse the net. 

I am also wondering where the logic for app control comes in. Below is my expectation of how this flows.

Is this flow diagram correct?

{See modified image at the end of the thread}

If not, can you please help me to make it correct?

Thanks,
C68


This thread was automatically locked due to age.
  • 0
    Since this graphic may help many, let me add some detail/info.

    The following assumes HTTP (or HTTPS with scanning on), transparent mode, and the UTM is used as the DNS server.




    First Column:
    Client browser makes a request to a server on the internet (on port 80)

    DNS - ATP Blocks on entire domain
    Firewall - GEOIP Blocks
    Firewall - Internal FW rule says if it matches a web proxy profile then it sent to httpproxy.  It skips all user created firewall rules.
    Firewall - HTTPS "Do not proxy" and "Transparent mode skiplist" cause it not to be sent to httpproxy, and the remaining firewall rules to be processed
    httpproxy - block due to the request (eg category, blacklist, ATP)
    httpproxy - virus scan the outgoing request (I *think* we do this for POST/PUT but not positive)
    App Control - enforce rules



    Second Column:
    response comes from the previously made request
    conntrack - matches to the outgoing request, which skips all firewall rules (including GEOIP AFAIK) and sends it to httpproxy
    httpproxy - Virus scan on response body
    httpproxy - any other block rules that apply to a response (eg mimetype)


    I'm not sure how IPS figures into this picture.  But I don't think IPS is involved with the outgoing request.

    ---

    If you are not using httpproxy, then the firewall rules continue to be processed.  If there is a rule for "HTTP" "HTTPS" or "Web Browsing" then traffic is allowed, if not it is not allowed.
  • 0
    I don't think IPS is involved with the outgoing request.

    I've seen IPS blocks on outbound traffi, so I suspect that it is.  I haven't tested whether it would be before httpproxy or after AppCtrl.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Michael Dunn, 

    First off, thank you. However, based on what I am seeing the Skip list acts before country blocking. 

    I have updated my Visio of the data flow through the proxy. I added the Proxy Skiplist as this has proven to be a good workaround for the Country blocking exceptions issue. It forces URLs in the blocked country to go through the firewall, where they are not blocked. 

    I moved the AV to after the proxy rules. I moved IPS to before. Should that be after AV?

    I also removed SSL encryption as I am not sure where that falls into the negotiation of the connection. I am still thinking last.

    This information can be very useful when troubleshooting and I am surprised that Sophos has not made their own graphic. 

    Please see attached.
Unfiltered HTML