Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 5616 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Protocol Handing Optimal Configuration

Alvin
Under Network Security -> Packet Filter -> Advanced.
Please advice should I turn the following on?
By turning them On, do they increase security but lower performance?

Reason is because I hope to maximize every feature.
On one hand,, it seems to be useful since Astaro put in effort to get it available.
On the other hand, it seems recommended not to turn on by default.

Thus I am confused.

I did try to read the help files but beyond my knowledge.


Enable TCP Window Scaling (Enabled)

Use strict TCP session handling (Enabled)

Validate packet length (Enabled)

Spoof Protection: Off, Normal: Strict. (Strict)

Thank You for all the help.[:S]


This thread was automatically locked due to age.
  • 0
    i don't remember where i read this but i know astaro's policy on security is something to the affect of 'asg allows no traffic flow by default unless you specifically enable it'

    my guess is its just a mix of this ideal and that not everyone wants everything turned on by default or at all.
  • 0
    Enable TCP Window Scaling (Enabled)

    TCP Window Scaling is purely performance related, not security.

    Enabling it can allow more throughput on high latency high bandwidth connections. Some firewalls/routers break some implementations of TCP Window Scaling which results in very poor/flaky TCP performance. I generally recommend that you leave this on.

    See TCP window scale option on wikipedia for more information.

    Use strict TCP session handling (Enabled)
    Security benefit. Negligible performance hit to turn it on. Enforced so that each active TCP IP session have been negotiated while Astaro was running. I generally recommend that you leave this on.

    Validate packet length (Enabled)
    Security benefit, negligible performance hit to turn it on. Ensures that all packets meet the minimum packet length sizes as defined by protocol specifications. I generally recommend that you leave this on.

    Spoof Protection: Off, Normal: Strict. (Strict)
    Security benefit, negligible performance hit to turn it on. Adds additional packet source/destination checks to help prevent IP address spoofing. I generally recommend that you leave this on.