我在深信服防火墙使用中的一点儿感受
  

稻草 Lv14发表于 2017-9-30 10:10

本帖最后由 稻草 于 2017-10-1 08:29 编辑

        本来只是想在“奇葩说”活动中跟帖回复的,谁知道越写越长,后来根本停不下来,只好单独发帖说明一下了,非专业技术人员,只是一些使用感受,欢迎大家指正。

        首先说明一下,个人对防火墙不是很了解,之所以公司上了AF是因为上了AC后与之前的联想网御防火墙无法对接,所以又采购了一台AF。上线后都是代理商负责安装调试,设置好策略就再没动过,一直也没有出过大问题。通过此次参与“云守”系统的测试,才对AF有了更进一步的了解,在对每个模块进行测试的过程中又对深信服产品和研发团队有了更深刻的认识。

        下面通过以下几个方面把自己对AF的一点体验与大家分享:

1.易用性
        自己没有接触过其它防火墙,对防火墙的认识只是用来防病毒的硬件设备。第一个使用的就是AF,所以认为防火墙都是这个样子的,但和早期的防火墙相比,现在的防火墙结合了更多更强大的功能,把被动防御被成主动,提高了用户体验,让用户简单直接的了解到现有安全状态,需要解决的问题。
        AF的部署相对简单,很容易操作。在系统状态界面中可以了解到大部分想要了解的设备运行状态和目前网络存在的问题。
        目前使用的是7.2版本。这个版本的菜单分类不清晰,功能比较分散,只能记住常用的功能。7.4版本好像有了很大的调整,值得期待。
        在防火墙配置方面过于复杂,对于我这种新手来说,对一些概念不是很了解,在新建策略时有一定难度。有时总是无法理解对象、源、区域、目的、服务、应用等概念,往往配置完之后无法达到预期的效果,还需要联系代理商进行配置。建议针对新手有类似向导一样简单明了的说明,引导用户设置策略。
导航菜单.png 应用控制策略.png

2.稳定性
      公司的防火墙是2014年上线的,已经过了三年时间,从上线到现在没有出现过一次因为设备硬件或系统原因对业务系统造成的影响,这一点值得称赞。

        但两次升级都给我带来了“深刻印象”,一次是从5.X升级到6.6。多次和代理商、厂家确认,升级后不会影响原有的策略,不会对业务系统造成影响,当天晚上测试没什么问题,可第二天上班后所有的业务系统都无法正常访问。折腾了一上午才算能正常使用了,对业务系统造成了严重影响,厂家说是因之前的版本默认关闭的策略在新版本中开启造成了拦截,从此对升级和新版本产生了恐惧。

        但公司要求版本同步更新,于是又从6.6升级到了7.2版本。这次也比第一次强不了多少。7.2版本中的服务器自动识别总会检测出其它段的不同办公电脑的IP,每天有一堆提示需要处理。公司有23家连锁店,30多个段的IP地址,忽略了半个多月终于不再出现了。7.2版本出现了业务IP组,但在添加时不能批量导入,只能一个个手动添加,之前加的IP组是一个段的,后来我放弃了手动添加250多次的这个功能,不用了。
添加IP.png

        这次造成影响是的Dos/DDeos防护,莫名的业务系统无法访问,找不到原因,日志查不出明显记录。部分办公电脑拦截后断网。联系400进行了处理,又折腾了半天时间,把那些阈值改的大些,再大些。不知道算不算彻底解决,现在总算不影响了。
2000.png

3.安全效果
      AF功能强大是不可否认的,而且很多漏洞和病毒都会在第一时间弹出提醒,提示及时检测,给用户提供了简单便捷的体验。特别是加入云守的测试体验,手机微信端就会实时收到安全威胁的提示,之前只能被动的每天登录系统查看是否有安全威胁,现在的服务更加人性化和智能。每周还会收到定期的设备检测报告,告知一周内设备的运行情况、业务系统防护情况、系统软件现状等等。希望以后这些功能可以让用户自主选择希望看到哪些板块,自己定制自己关注的内容。
s.jpg

        本人更关注的是僵尸网络这一块的问题,因为公司除了AF外,没有其它专业的杀毒工具,每天发现僵尸网络后要进行及时处理。但在已发现的提示中,大部分都存在误报,而且系统所关联的网站检测内容也不是很详细。每次还要去其它专业的检测网站去一条条确认这个网站是否存在问题。从发现僵尸网络到查看具体地址要点击四步,每一个地址都这样操作工作量较大,希望能找到更强大更智能的厂家进行合作把这一块优化的更好。
僵尸.png
4.性能
      设备在选型时已充分考虑了业务系统的数量、性能,目前可以满足需要,在设备上线期间,日志设置只设置了15天的保存时间,这与《网络安全法》的要求有差距,现已调整完毕。设备已运行三年,后期续保也最多再保两年,现在需要考虑是否继续采购AF设备还是使用超融合代替现在有设备,超融合设备目前在进行测试。据说,超融合设备上的软件版本不会和现在的设备同步更新,也许一年才会有一个版本的更新,对于想及时体验新功能的用户来说可能会造成一些影响,但正式的版本应该都是可以满足需要的,都可以放心使用。

cup.png
总结:
      如果说给AF产品打分,我想应该是7分。因为产品本身很完善,功能很强大,可以满足现有需求。只是一些细节地方需要进行优化。僵尸网络误报问题可优化的地方还很多。产品易用性还有提高的空间,产品在升级过程中对业务系统造成的影响对评分影响很大,说实话,我现在在考虑是不是还要继续参与7.4版本的测试体验。因为这两次断网的经历打击太大了,呵呵。相信这些方面在新版本中不会让大家失望。

        最后,特别感谢AF研发团队的辛勤付出,在与他们接触的过程中可以感受到他们的专业、用心和敬业。每一个新的漏洞出现后他们都要及时的分析检测更新解决方案,第一时间做好更新补丁。记得9月6号Struts2紧急漏洞补丁更新时为了及时让用户第一时间更新,他们加班加点的工作,只为给用户一个承诺。真是由衷的感谢,感动。深信服之所以发展这么快,我想是和真诚倾听用户声音,一心为用户着想分不开的,他们会很在意用户体验,以用户为核心才能做出好产品。相信深信服今后会研发出更优秀的产品,为用户提供更优质的服务。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Rocky Lv4发表于 2017-9-30 10:14
  
666666666666666666
陈宗朋 发表于 2017-9-30 10:20
  
666666666666666666666666666666666666666!
Sangfor_闪电回_朱丽 发表于 2017-9-30 10:25
  
非常棒的分享,对AF还不是很了解的小伙伴们,参考起来!

稻草哥是咱们AF核心粉丝用户,非常感谢您对AF产品的支持!
carl Lv4发表于 2017-9-30 10:28
  
楼主总结得不错,也说出了很多人的心声!
SANGFOR NGAF 加油!
陈阳 Lv1发表于 2017-9-30 10:43
  
安全做得比较好,云守最大的价值没有得到体现,我也很“无奈”
哥丶珍藏版 Lv13发表于 2017-10-10 09:30
  
这用户,很给力
liuzhen Lv1发表于 2017-10-12 11:46
  
666666666666666666666666
PC9527 Lv13发表于 2017-10-12 13:24
  
稻草兄,升级到7.4来玩我发现7.4作了很大的改进,功能更强大,值得尝试一下。还有连每次登录控制台都要输验证码了。
virtualcloud Lv3发表于 2017-10-13 08:12
  
不错,说出了客户的心声,顶