Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1527 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro secure client firewall

chrismoo
Hi folks
 
I am about to start rolling out ASC and wondered what people used as the standard for the firewall settings?
 
Can anyone give me pointers on what is best i.e. deny all and permit select vs Allow all and deny select?
 
Also how do you update the firewall configuration across clients, for example if you are denying all except specifics then have an additional requirement to open ports for a new application.  Is there a central file you can send out as an update?
 
Does anyone have a good ruleset they can post as a starting point?
 
I aim to keep my client machines protected using the firewall and also not use the autopacket filter on the ASG.  Is this too inflexible for day to day use?  I would be very interested to get peoples experiences on how they deploy their solutions!
 
Many thanks in advance, I appreciate the efforts of people on here supporting new and struggling users!!
 
Regards
 
Chris


This thread was automatically locked due to age.
  • 0
    Well....  the most of what I can say is that if you lock down security so tight that users can't do anything, they'll simply find other ways to do them, which means bypassing your security by using their own machines, store data in places you don't want them to, etc. 

    We've deployed the VPN client without specific firewall settings, and with autopacket filter on. Most of our customers are SMB. They need flexibility because they don't have dedicated security IT people.
  • 0 in reply to jjohnston62
    Hey Jon
     
    Thanks for the reply.  Are you saying you do not enable the client firewall or that in general you use the OPEN rule firewall rather than the DENY rule?
     
    My aim is not to restrict people from using their machines, you are correct that going too far will alienate the user base and therefore render everything worthless in terms of providing any IT value to the people.  I just want to ensure I am rolling out something that is secure from the standpoint of people working on internet hotspots, client sites, home networks, etc.
     
    Technology should always be an enabler in my book so there needs to be a balance on what is super secure and what is something usable and flexible in terms of the end user!
     
    Would appreciate peoples thoughts and experiences here.
     
    Thanks again Jon for your input!
     
    Regards
     
    Chris
  • 0
    Hi,

    I have serveral ASC runnig.

    They deny all, and allow only DHCP and DNS when no VPN is connected. 

    They allow all traffic only into the tunnel to our VPN Net only during established VPN connection.

    Just my two cents.
  • 0 in reply to maygyver
    Do your clients not experience any issues whilst travelling using this type of configuration?
     
    Thanks for your input!
  • 0 in reply to maygyver
    maygyver, could you send me an example config file so I could see the settings you use?
     
    Thanks in advance
     
    Chris
  • 0 in reply to chrismoo
    Hi,

    config file will come tomorrow.

    I have trained my users, and cause of security, communication is only allowed through the tunnel.

    Just plug in modem or isdn and be happy.
    Just Plugin LAN or DSL Modem(pppoe) and be Happy.
    Or just use UMTS card. 

    CU
  • 0 in reply to maygyver
    Thanks, I appreciate your time and advice.