【重金悬赏】这一次产品怎么设计,你说了算!
  

sangfor_闪电回_小六 35414

{{ttag.title}}
——获奖结果公布如下——
发帖时间
帖子作者
作者UID
奖励
2018-07-31 20:03
金诺网络_JET
1159
10000s
2018-08-01 09:05
tj_zero
63506
10000s
2018-08-02 09:38
huo
77840
10000s


在我们日常使用防火墙或者配置上架过程中:
你是否经常因为配置复杂而频频摇头?
你是否因为策略配反调试半天,愁眉紧锁?
你是否会因为策略过多而一脸懵逼,不知所措?



这一次,给你一个当家作主的机会,
产品如何改进?由你说了算!
防火墙的研发设计小哥在此等候,
你有大胆想法,让人眼前一亮的建议,统统来者不拒,
参与我们一起来改进防火墙产品吧~



【重金悬赏】产品建议征集活动 第一期
主题1:
分享你在使用我们的地址转换和应用控制中遇到的那些坑和不便之处;

主题2:
来自研发端第一手的设计初稿分享,本次去掉了 双向地址转换,统一放到了DNAT中,你对这样 的设计有什么想说的呢?


听说你防火墙玩的很6,秀技术牛的时候到了!直接在帖子下方留言吧~



本期奖励
优秀参与者3名,奖励10000S豆;
积极参与者5名,奖励2000S豆;



评选标准
1、您分享的使用体验干货十足,让产品研发 醍醐灌顶                          
2、您提供的建议、方法、思路等精辟独到,使产品研发 触电般为之一震
(明人不说暗话:其实就是研发专家说了算



活动时间
即日起--2018年8月10日

时间有限,赶紧来分享吧~




*本活动最终解释权归某公司社区所有*

tj_zero 发表于 2018-8-1 09:05
  
本帖最后由 tj_zero 于 2018-8-1 09:06 编辑

主题1:

分享你在使用我们的地址转换和应用控制中遇到的那些坑和不便之处;


绑定跨三层MAC识别是辅助网络行为管理的有效手段;
很多时候,新员工会否认曾经发生的不当上网行为;
这个时候,就需要IT部门提供对应的佐证,来证明员工违纪行为,并给予必要的说服教育;
地址转换过程中最让我头疼的是跨三层MAC地址识别;
跨三层的识别,仅在AF界面中是无法单独完成识别的配置的;
这需要网络管理员,访问本地的核心交换机,查询SNMP协议相关内容;
要注意对应的版本一致性,不一致肯定是配置不上的;
没有一种便捷工具可以通过扫描或者智能化获取这些信息,有的时候因为一个SID有可能会反复尝试多次;
如果是知名厂商的产品,说明书或许还详细些,但是仍然无法写的很详细;
我单位购买AF产品进行首次配置跨三层环节反复调试了多次,非常不方便;
另外,AF产品中内容安全控制分为两种策略分别是:内容安全和应用控制;
新用户首次配置设备时需要注意,两种策略是通过不同的维度来对当前环境进行管理;
仅能启用其中一种模式;
假设,你配置了内容安全策略,那就不能轻易启用应用控制策略,因为那会是你刚刚配置的策略内容失效;
并且失效的过程中并没有任何提示框可以提醒用户这种结果;
没想好用什么维度来设置,就不要动手选择策略,选择了内容安全策略后,就不建议轻易更换策略;

建议参考的改善方案:
1.如果黑客可以扫描网络,那么某公司作为知名的防火墙生产商,应该也能做到;在用户知情的基础上建议提供配置跨
  三层的便捷工具;比如说:自动获取选项或者获取工具供初次配置设备的管理员使用;
2.对于排他性的操作,提供醒目的安全提示窗口,让用户引起注意;比如:您已设定“应用控制”策略,启用“内容安
   全”策略将使原先“应用控制”策略失效,并丢失现有配置参数,确定?


主题2:

来自研发端第一手的设计初稿分享,本次去掉了 双向地址转换,统一放到了DNAT中,你对这样 的设计有什么想说的呢?


我感觉去掉了 双向地址转换,统一放到了DNAT中,这样的设置很简洁;
就是不清楚会不会日志记录内容也进行了简化?
如果日志内容没有简化关键信息,并且仍能做到不可否认性要求,我觉得这样的改善应该会被接受。
金诺网络_JET 发表于 2018-7-31 19:47
  
我有一个大胆的想法……
1、因为一个公网IP需要映射多个内网地址,能不能设计成只配置一条映射策略就可以实现?

2、因为一个公网IP要映射多个端口出公网,能不能设计成只配置一条策略就可以实现?

稍后我配个图
金诺网络_JET 发表于 2018-7-31 20:03
  

字丑了一点
777LLL 发表于 2018-7-31 22:13
  
1.好像没有按模板新建一个吧?把对应的映射关系展示的更清楚点就最好了,类似x.x.x.x:80 -> x.x.x.x(80) tcp 视图切换什么的。
2.看起来有点方方正正的,有点难看。。。  发布服务器可以去掉这几个字吗,第一次看到的时候根本看不懂,直接表达勾选上时,内网用户可以用外网地址访问。这个意思就可以了吧。。插入到3,可以再明确一点就更好了,毕竟有些客户有可能看不懂
一个无趣的人 发表于 2018-7-31 22:42
  
建议在策略增加的那里能采用IP定义组的形式。批量增加。
cow977 发表于 2018-8-1 06:17
  
DNAT配置中,如果“公网IP”与设备WAN口IP不同,需要把这个“公网IP”也要绑定到WAN中的IP列表中,这能否省略,系统自动实现,很多友商的产品都是这么做的。
nightmare 发表于 2018-8-1 08:07
  
配置SNMP时,除了SNMP功能板块的配置外,为什么还要在 网络-区域 中选上SNMP才能正常使用
KYLE_K 发表于 2018-8-1 10:33
  
本帖最后由 KYLE_K 于 2018-8-1 10:37 编辑

这个不知道算不算是坑。。。

是否可以在设备里面推送应用识别库的更新信息?以下两种方式是否可以实现?
一,在首页直接推送应用识别更新后的具体内容,客户一打开运行界面,就可以看到AF每次更新库,到底更新了哪些内容。这个也可以做到IPS库,僵尸木马库等内容识别的更新上面
二,如果在首页上做推送这个更新信息麻烦,可以在更新库的页面,推送一个更新说明的链接,如果客户有兴趣可以打开来链接看看更新了哪些内容,如果客户没兴趣看,只是推送了一个链接而已,对整体页面布局影响不大

作为某公司,经常会有客户会问,某某应用最近又更新了,更新AF的库,能不能识别,能不能拦截?或者某某游戏公司又出了某某新游戏,更新后AF能不能拦截?或者又发了某某漏洞,AF到底能不能封堵这些漏洞?所以基于这些情况,建议增加更新库后的说明
金诺网络_JET 发表于 2018-8-1 11:06
  
这是现在防火墙的地址转换策略页面

我没办法很清楚的看到我的公网IP对应的内网地址一共开了几个端口,或者我的内网地址映射了多少端口出去,能不能实现自动整合功能,发现前面一致的自动整合成一条策略?如下图,这样可以很好的看到我的地址分配了哪些端口给到哪些IP
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
纪元平台
每日一问
新版本体验
产品连连看
社区新周刊
干货满满
GIF动图学习
技术咨询
标准化排查
自助服务平台操作指引
功能体验
每周精选
社区帮助指南
VPN 对接
技术笔记
秒懂零信任
技术盲盒
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
2
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人