<div style="font-family:arial,helvetica,sans-serif;font-size:10pt">On Wed, Nov 28, 2012 at 1:59 AM, Ben Jencks <span dir="ltr"><<a href="mailto:ben@bjencks.net" target="_blank">ben@bjencks.net</a>></span> wrote:<br>
<div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">> So at the end of the day it comes down to what you think your customers<br>


> would want the extra aggravation in exchange for the extra security. If<br>
> you asked the customer "would you like your skype calls and video chats<br>
> to work better, or would you like a double layer of protection from some<br>
> attacks that aren't really today's main focus?", what would the answer<br>
> be? Can you give the customer that choice, or are you obliged to pick<br>
> one answer for everybody?<br>
<br>
</div>Just about everyone seems to agree it should be configurable, but most<br>
(90%? 95%?) users won't ever change it from the default.</blockquote><div><br>But we still haven't answered two key questions, which IMO are:</div><div><br></div><div>1. if you asked the customers, what would their answer be? "We don't know what our customers want, so we'll just cover our asses and pick the safe route" is not a particularly appealing way to make a decision.</div>

<div><br></div><div>2. Should the protection level be the same for all users?</div><div><br></div><div>- I think we all agree that if the ISP does not provide a CPE, then there should be no firewall. Right?</div><div>- We probably (?) mostly agree that if the customer wants a static IP, then they think they're professionals and they don't want a firewall</div>

<div>- Is there anything else we can say based on what the user pays for / orders / requests, or what traffic the user receives, or...?</div></div></div>