新手641341 Lv1发表于 2017-9-17 23:09
  
大家好,我来了抢沙发
qjwzl Lv4发表于 2017-9-18 11:22
  
      使用防火墙用于网络完全已经有十几年了,不过用深信服下一代防火墙也就2年多。下面我说说深信服下一代防火墙的一些使用感受吧。
       说实话,下一代防火墙在使用以及策略的配置方面还是比较方便的,主要体现是界面直观清晰,操作简单方便。在防护性能上由于其可以在应用层执行网络安全策略明显比标准的一代防火墙有很大的提升。
在平时的使用中我会实时观察防火墙中的各种状态和信息提示并进行一些维护更新和处理。由于集团公司所有的核心业务都在总部,我们最担心的就是防火墙出现异常导致各子公司的业务的中断。值得欣慰的是公司从使用至今运行一直稳定可靠。
      但是,使用中我们发现一些需要改进和提升性能的地方。在2006年4月曾经发现一个可以调用肉鸡对防火墙进行攻击的网站,它可以选择不同的流量对防火墙进行测试攻击。为了测试防火墙的性能我在开启了ddos防护的情况下使用10G的流量对防火墙进行攻击测试,不到几秒就看到了防火墙lan口断开。现在该网站已经不能使用了,NGAF也已经升级到7.3并且做了双机不知现在的防御能力怎么样了,厂家有没有做这方面的测试和研究?
      最后提点建议吧。网络安全形式是非常严峻的,有道是道高一尺魔高一丈。在分析数据时不仅仅是包过滤特征码匹配等通用的技术,要在智能分析上多下功夫,采用模糊化分析,通过分析发现潜在的风险和威胁这样才有可能将防火墙的性能进行一个大幅度的提升。
五花肉。 Lv6发表于 2017-9-19 10:53
  
大家好,我来了领豆子了
nightmare Lv1发表于 2017-9-19 13:52
  
防火墙里有个地方建议修改:僵尸网络自带策略中,一些风险项低的默认动作是允许,而且不能手动更改。建议把这些风险项的动作修改为可以后期更改的状态,而且日志中能够反馈发生的风险情况匹配到哪条策略。
kmyd Lv6发表于 2017-9-19 16:18
  
多线路授权出厂能不能多自带几个,或取消。调过好多安全设备,没见过哪个厂家接多条外线,要买多线路授权的!现在中小企业,有多条ADSL光纤是很多的。
霄霄 Lv3发表于 2017-9-19 17:06
  
        在深信服产品线里,NGAF作为一个基础的网络安全设备在客户现场里运用很多。并且无论从产品售后、强大的防御能力、友好的人机交互界面以及知名度等等来说,是非常有竞争力的。
        就以上周在客户现场做的一次测试来说吧,我们拿了一台漏扫的设备架在了客户的内网上,对客户的内网与服务器网段进行漏洞扫描与测试攻击。客户内网与服务器网段中间有我们的两台做双机的防火墙,进行扫描和测试攻击后,防火墙上很快就提示出检测到内网的攻击行为,并且精确到了IP地址。接着,我们的防火墙就出现了一段时间的不可访问,我不是很清楚这样的一个情况是不是属于正常的表现。不过那台漏扫设备的攻击行为的确是被我们的防火墙给拦截下来了,这里必需给AF点一个大大的赞。在漏扫设备扫描完成后,防火墙的访问恢复正常。(之前的不可访问只是针对于图像化界面的访问,防火墙的防御与拦截功能还是正常存在的)
       最后,还是对我们的NGAF提出一点小小的建议:之前一个客户的网络里使用了STP,而我们的AF的端口却不支持这样的一个功能,这样以来对客户的网络就会有一定程度的改动。所以,我们的研发大佬们,我们的AF设备以后会考虑把STP的功能加上去不?
天娇未来的骄傲。 Lv2发表于 2017-9-21 17:24
  
跟友商的产品相比,咱们的产品确实稍微好一点,还希望能有更大的改进。比如性能,端口等等。
PC9527 Lv13发表于 2017-9-21 19:40
  
有个会话数排行,可以手动封锁,为何不做个可以自行设置达到设置值后自动封锁