深信服社区»版块 安全类 下一代防火墙NGAF 【重金悬赏】这一次产品怎么设计,你说了算! ...

【重金悬赏】这一次产品怎么设计,你说了算!

查看数: 35418 | 评论数: 36 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2018-7-31 17:48

正文摘要:

——获奖结果公布如下——发帖时间帖子作者作者UID奖励2018-07-31 20:03金诺网络_JET115910000s豆2018-08-01 09:05tj_zero6350610000s豆2018-08-02 09:38huo7784010000s豆 听说你防火墙玩的很6,秀技术牛的时候到 ...

回复

tj_zero 发表于 2018-8-1 09:05
本帖最后由 tj_zero 于 2018-8-1 09:06 编辑

主题1:

分享你在使用我们的地址转换和应用控制中遇到的那些坑和不便之处;


绑定跨三层MAC识别是辅助网络行为管理的有效手段;
很多时候,新员工会否认曾经发生的不当上网行为;
这个时候,就需要IT部门提供对应的佐证,来证明员工违纪行为,并给予必要的说服教育;
地址转换过程中最让我头疼的是跨三层MAC地址识别;
跨三层的识别,仅在AF界面中是无法单独完成识别的配置的;
这需要网络管理员,访问本地的核心交换机,查询SNMP协议相关内容;
要注意对应的版本一致性,不一致肯定是配置不上的;
没有一种便捷工具可以通过扫描或者智能化获取这些信息,有的时候因为一个SID有可能会反复尝试多次;
如果是知名厂商的产品,说明书或许还详细些,但是仍然无法写的很详细;
我单位购买AF产品进行首次配置跨三层环节反复调试了多次,非常不方便;
另外,AF产品中内容安全控制分为两种策略分别是:内容安全和应用控制;
新用户首次配置设备时需要注意,两种策略是通过不同的维度来对当前环境进行管理;
仅能启用其中一种模式;
假设,你配置了内容安全策略,那就不能轻易启用应用控制策略,因为那会是你刚刚配置的策略内容失效;
并且失效的过程中并没有任何提示框可以提醒用户这种结果;
没想好用什么维度来设置,就不要动手选择策略,选择了内容安全策略后,就不建议轻易更换策略;

建议参考的改善方案:
1.如果黑客可以扫描网络,那么某公司作为知名的防火墙生产商,应该也能做到;在用户知情的基础上建议提供配置跨
  三层的便捷工具;比如说:自动获取选项或者获取工具供初次配置设备的管理员使用;
2.对于排他性的操作,提供醒目的安全提示窗口,让用户引起注意;比如:您已设定“应用控制”策略,启用“内容安
   全”策略将使原先“应用控制”策略失效,并丢失现有配置参数,确定?


主题2:

来自研发端第一手的设计初稿分享,本次去掉了 双向地址转换,统一放到了DNAT中,你对这样 的设计有什么想说的呢?


我感觉去掉了 双向地址转换,统一放到了DNAT中,这样的设置很简洁;
就是不清楚会不会日志记录内容也进行了简化?
如果日志内容没有简化关键信息,并且仍能做到不可否认性要求,我觉得这样的改善应该会被接受。
এ塔铃独语别黄昏এ 发表于 2024-7-2 09:53
为何你总是如此的优秀。。。。。。。。。。。。。。。
ygma 发表于 2024-7-1 16:09
设计的不合理,DNAT可以是从外到内,也可以从内到外,也可以是内到内的
油爆枇杷伴着面 发表于 2023-9-28 09:01
小手一抖,经验到手,手提酱油,低头猛走。遇贴就回 、捞分就闪。
wukun 发表于 2021-8-6 09:30
加油加油,好好学习。
এ塔铃独语别黄昏এ 发表于 2021-6-19 13:00
谢谢分享,正好需要!
林苗条 发表于 2020-7-1 15:02
1.端口映射是否可以根据业务进行归类,比如OA映射了很多条,后期需要调整时,不用挨个去找(类似用户分组一样,OA组内都是OA有关映射)
2.DNAT是否可以新增按钮,勾选之后就是双向NAT,同时有生效时间设置
新手617289 发表于 2020-1-16 09:30
1、防火墙多WAN口的IP在同一网段问题,不支持的话没有相关提示。
2、策略路由需要支持根据延迟选择线路
3.路由查询界面太乱,看不出来优先级,详细那条策略生效做出来的路由
zhao_HN 发表于 2019-12-12 11:14
向大佬们学习
你咋不高兴 发表于 2019-8-14 15:00
我觉得8.0.5是最容易配置双向地址转换的,8.0.5过后更改后倒变得不好配置