Generally Accepted Safe/Best Practice Inbound/Outbound Rules?

In my experience, most places short of the truly paranoid allow all outbound, or just block specific services.  If you're only partly paranoid you could check the "Log initial packets" checkbox on your LAN -> Any -> Internet rule so you at least retain a record of what's going out.

FYI, I believe the "smart" IPS coming soon in 9.2 is supposed to use cloud intelligence to identify known-bad networks, and optionally block traffic to and from them.

Jetkins,

Appreciate it! Would you do this as...

Internal (Network) -> Any -> Internet (IPV4)

Thanks!
Jim

Yes.  Check the "Log traffic" box under Advanced if you so desire, and if you want to block specific services then make sure you put the block rules above this allow.

Jetkins,

Any recommendations on inbound?  No chance I do the same for inbound, but I have a bunch of the same issues... too much is blocked.

For example, IPADs are't able to access CNN website via App.

Overall, the video/audio streaming on Apple products seems to be the biggest hitch.  A user can access CNN.com and watch a video on his laptop, but can't via the CNN ipad app.

I know... this should probably be obvious, but my previous devices weren't "next gen" and had nowhere near the filtering capability/granularity.

Thanks,
Jim

Inbound is a whole different kettle of fish.  Generally, you only want/need to open up inbound ports for known servers on your LAN; the default DROP rule will take care of any incoming traffic that you have not explicitly allowed.

But that shouldn't affect LAN clients' ability to access internet sites.  Any "inbound" traffic that is in response to an outbound connection from one of your LAN devices uses the already-established connection and is not subject to its own inbound FW rule.  Only unsolicited traffic is regarded as inbound by the firewall.

I wonder if perhaps you've over-engineered your solution. [:)]  Have you created any Application Control rules?  The reason I ask is that unless something else is getting in the way - App Control, or IPS, for example - then there should be nothing interfering with sessions that are allowed by your outbound firewall rule.

Here is two screenshot of traffic getting blocked when the user is browsing.  What would cause this block?  I turned app control off this morning before the blocked traffic occurred.

Again, this is on an IPAD trying to user apps (ex. CNN) to view video streams. 

Just to re-iterate, its Apple devices that are having the issues.  Performing the same task on an Android has no issues.

Thanks!
Jim

Those screen shots show reset packets (tcpflags="RST") from the remote systems getting dropped because they have arrived after the outbound connection has already been abandoned.  They are a symptom of an outbound connection that has been broken, but unfortunately they do not help identify what caused the actual breakage.  However, they do confirm that the connection was initially established.

Here are a few things to consider:

• Is the problem common to all iDevices, or just one?
  
• Is it possible that there is something on the iPad itself that could be causing the problem?
  
• Can the iPad view the content using a regular web browser, e.g. Safari or Chrome?  The RST packets are coming from port 80, so it appears that the app is just using http rather than some proprietary protocol.
  
• Presumably the iDevices are getting their network config via DHCP - are the machines that do work using the same configuration, including DNS?
  
• Is your network IPv4 only, or are you running IPv6 as well?
  

Just my 2cts, I would leave everything closed by default and open up whats needed when needed.
In the beginning this indeed is some more work. In my situation (5 inter-connected sites with about 200 users) it was some (calculated) work during the first 3 days after implementation with some additional requests during the first 2 weeks. After that hardly any new change requests for opening additional ports.

Are you using Web Filtering in Transparent mode?  I just noticed the following in the online help.  Don't know if it applies to your case, but it's something else to consider:

Note – In transparent mode, the Web Filter will strip NTLM authentication headers from HTTP requests. Furthermore, the Web Filter cannot handle FTPCollapsed requests in this mode. If your clients want to access such services, you must open the port (21) in the firewall. Note further that some webservers transmit some data, in particular streaming video and audio, over a port different from port 80. These requests will not be noticed when the Web Filter operates in transparent mode. To support such traffic, you must either use a different mode or enter an explicit firewall rule allowing them.

I am using Transparent, as it was selected by default.  I see that Standard requires browser configuration which I am not interested in.

So - Seems like this might be my issue. I guess I'll need to watch firewall logs for denied traffic as they attempt to access CNN videos on their iDevices, then manually open each port?