home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3925 < prev    next >
Encoding:
Text File  |  1992-07-30  |  1.2 KB  |  27 lines
  1. Newsgroups: comp.protocols.tcp-ip
  2. Path: sparky!uunet!haven.umd.edu!decuac!hussar.dco.dec.com!mjr
  3. From: mjr@hussar.dco.dec.com (Marcus J. Ranum)
  4. Subject: Re: Firewall usage (was: Re: ping works, but ftp/telnet get "no route)
  5. Message-ID: <1992Jul31.000924.7528@decuac.dec.com>
  6. Sender: news@decuac.dec.com (USENET News System)
  7. Nntp-Posting-Host: hussar.dco.dec.com
  8. Organization: Digital Equipment Corporation, Washington ULTRIX Resource Center
  9. References: <DRW.92Jul27143657@jordan.mit.edu> <17011@ulysses.att.com> <DRW.92Jul30153427@euclid.mit.edu>
  10. Date: Fri, 31 Jul 1992 00:09:24 GMT
  11. Lines: 14
  12.  
  13. drw@euclid.mit.edu (Dale R. Worley) writes:
  14.  
  15. >I haven't studied the matter, but I believe that the more
  16. >sophisticated firewalling routers actually *do* track connections.
  17.  
  18.     I prefer to use a somewhat different approach in general. First
  19. you determine the services that your users have a clear business need
  20. for. Then you develop an application gateway that "knows" that protocol
  21. and can give you decent access control, logging, and piggy-back blocking.
  22. This is much more secure (in my opinion) since you preserve the "that which
  23. is not expressly permitted is prohibited" doctrine and you can incorporate
  24. appropriate per-protocol authentication or authorization as needed.
  25.  
  26. mjr.
  27.