lordisp
Goto Top

Symantec Client Firewall Regeln werden nicht beachtet

Einführung:
In unserem Konzern haben wir ISA Proxys welche den Internetverkehr regeln.
Dummerweise werden hier Seiten zugelassen welche wir in unserer OU blockieren möchten.

Meine Idee:
Symantec Client Firewall Regeln verteilen, welche nur Rechner in unserer OU erhalten.

Problem:
Die Regeln werden ignoriert und ich finde keinen Ansatz für den Grund.
Denn auch außerhalb des Netzwerkes (UMTS-Modem) wird der websitezugriff gestattet.


Danke!
RC

Content-ID: 126322

Url: https://administrator.de/forum/symantec-client-firewall-regeln-werden-nicht-beachtet-126322.html

Ausgedruckt am: 27.12.2024 um 08:12 Uhr

slubitz76
slubitz76 02.10.2009 um 16:05:21 Uhr
Goto Top
Also normalerweise erlauben große Konzerne keinen direkten zugriff auf das Internet, selbst nicht via UMTS.
Die richtge Lösung wäre wohl ein Proxy und VPN. Das bedeutet Internet nur über VPN und dann über den internen Proxy. Das ist zwar nicht anwenderfreundlich, aber dafür sicherer.
Auf dem Proxy (bei euch ISA) kannst du dann auch den zugriff auf diverse Seiten sperren.

Warum geht das sperren der Seiten bei euch nicht?
Technisch oder politisch?

Alternativ, und das ist wirklich nur eine Krücke / Behelfslösung, schreibe die Internetseiten in die hosts Datei.

Wie das über Symantec (das Böse face-smile ) funktioniert, kann ich Dir leider nicht sagen.

grüße,
slubitz
LordISP
LordISP 02.10.2009 um 18:42:09 Uhr
Goto Top
zum direkten Zugriff auf das Internet:
die Sicherheit können wir Intern gewährleisten, darum wird bei UMTS auf spaßbremsen wie Proxy over VPN dankend verzichtet.

Seiten können wir schon über den ISA sperren allerdings nur für die gesamte Region (EMEA). Ist eine verständlich politische Angelegenheit.

zurück zum Thema:
Die Behelfslösung "hosts" funktioniert nicht über den Proxy und ich befürchte das die Symantec-Lösung (absolut nicht Böse) ähnlich ignoriert wird da ein netstat dump keine verbundenen Websites auflistet, sonder nur die Verbindungen zu den Proxys.

Nicht dass ein undankbarer Eindruckent stehen könnte, ich wende mich an Administratoren welche ähnliche Situationen gelöst oder eine erfolgsversprechende Idee haben.


Danke!
RC
slubitz76
slubitz76 05.10.2009 um 09:14:27 Uhr
Goto Top
Entschuldige bitte, wenn ich den Eindruck von nicht erfolgsversprechenden Ideen erzeugt habe........
Aber es ist schwer eine konkrete Aussage zu machen, ohne vorher Details abgeklärt zu haben. Deshalb klopfe ich erst einmal ein bisschen auf den Busch und versuche herauszufinden wo das Problem genau liegt, welche Einschränkungen und natürlich auch welcher Wissensstand vorhanden ist.
Aber das ist zugegebenermaßen nicht jedermanns Sache.
Was den Zugriff via UMTS betrifft....... Viel Spaß beim Sex ohne Kondom. Macht mehr Spaß und Aids ist garantiert.

grüße,
slubitz
LordISP
LordISP 05.10.2009 um 10:33:05 Uhr
Goto Top
Ich habe das Problem über den Inhaltsradgeber mittels GPO gelöst. Dies ist allerdings nur eine IE Lösung.

In unserem Fall eine sehr gute Lösung, da diese Regel Adapter- und Gate-Unabhängig dafür aber Browserseitig ist. Technisch wird auch nur IE zugelassen. Sollte ein anderer Standalone Browser auftauchen wird dieser umgehend und automatisch entfernt.


@slubitz
Nicht jeder der hier eine Frage stellt ist zwangsläufig unwissend und ich kennen auch keine Konzerne mit unwissenden Administratoren. Kommentare wie die Deine bessern vielleicht deine Profilstatistik auf, müllen aber gute Foren wie diese unnötig zu und verschwenden die Zeit anderer.

Deine UMTS-Kommentare sind der Überhammer. Unglaublich!!


Gelöst von mir selbst das hole ich mir heraus.


Gruß,
RC
slubitz76
slubitz76 05.10.2009 um 10:45:31 Uhr
Goto Top
OK, du bist neu hier im Forum und ich verzeihe Dir deine Unwissenheit diesbezüglich.
Es gibt hier jede Menge "Administratoren" die keine Ahnung haben und ich kenne genug Admins bei großen Konzernen, die auch keine Ahnung haben.
That's it.......
Ich freue mich trotzdem das du dein Problem gelößt hast.

grüße,
slubitz
LordISP
LordISP 05.10.2009 um 10:54:12 Uhr
Goto Top
Ich bin gewiss nicht neu in diesem Forum nur der Account. Aber wiegesagt Zeitverschwendung deine Kommentare zu lesen.