Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 3 subscribers
  • Views 3890 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

When we can easily implement security policies on Astaro?

WaMaR
Hi All,

I would like to known when we can easily implement security policies on Astaro? 

For Basic model  security policies with 3 zones all is easy on Astaro when we use packet filter and proxy for LAN Zone. 




But for model  security policies with 4 zones and more problem is with all type of proxy when we want to deny connections (even by proxy) between two or more Source/Allowed  networks defined in proxy settings. For example for http proxy we can block content only by the url address.
[LEFT]Often on the LAN are many hosts with http web service for managing such as switches, print servers, etc. and then it appears that permission to use the proxy is very dangerous for the PUBLIC network.  Because, despite the rules deny in the packet filter from PUBLIC network guest user may connect via the proxy to the LAN hosts. I believe that the ability to block only the URL is not a sufficient solution for HTTP Proxy.

[/LEFT]



I had hoped that for HTTP Proxy the use of "Transparent mode skiplist / Skip transparent mode hosts/nets" will be helpful,  but it turns out that it operates in the context of the source network and not the destination network.

Therefore, I should be asking you to add functionality to the urgent imperative to define the rules to limit the possibility of a all type of proxy statement of the connection between the source networks are defined to defined destination networks.

Best Regards,
WaMaR


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    I see now, sorry for the confusion.  

    I see the new problem is that you can bypass this with NBT name.  You can add a block entry for the entire domain or network range, but since those are matched based on regex, you will need to add a very large whitelist.

    Conceivably, you could use a naming convention for all hosts.  PCs would be named net1-pc-username, then you can block [FONT="Courier New"]net\d-pc-.*[/FONT], but this is a stretch for our customers to have to do, especially if such a naming convention does not yet exist for their domain.  DNS may have an answer for this by adding the domain suffix, but I have not tested it.

    unfortunately, there is nothing else I can add as this is already requested as a feature and the capability of the proxy does not allow for this.[:(]
  • 0 in reply to Tim_Astaro
    Thanks, Tim, for confirming; that helps alot in understanding.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks to everyone for the votes submitted. Please look at one feature and vote, the lack of which is pain in Astaro.

    integrated configuration of the security policy
  • 0 in reply to WaMaR
    No one does not see more of this the problem? Do you really?