建议推出配置检查工具

建议推出配置检查工具，对上网用户、路由配置、策略配置等信息进行配置检查以及策略的配置评估。所提的功能针对以下场景提出：

场景一：  

1.管理员在AF上启用了上网过滤及流控；

2.客户端使用固定IP，用户上网使用IP认证；

3.用户组和用户里面有1000多个IP，下发了六条全局策略，这个里面有几十个特殊IP，有一部分只下发了3条策略，有一部分用户下发了5条策略；

4.现在AF管理界面，无论是在用户管理界面还是在策略管理界面，都没办法快速定位或筛选出这些特殊IP。

    所以建议在配置检查工具里面，可以实现上网用户配置检查，生成相关的用户报表。在报表展现出以下内容：完全继承用户策略的用户归为一类；下发了3条策略的用户归为一类，下发了5条策略的用户归为一类。这样就可以一目了然用户及用户组的策略下发情况。可能有人觉得这个用处不大，当新老设备更换的时候，老设备系统版本无法升级，老设备配置文件就无法导入到新设备，就需要把用户上网策略一条一条照搬到新设备上面，光是针对特殊用户下发策略，就要消耗不少时间。又或者增加了一条全局策略，但特殊用户又不继承这条策略，这时候也要将特殊用户在用户组里面一个一个找出来，一个一个去剔除策略。

[size=10.5000pt]

场景二：

1.AF以网关模式部署

2.随着用户网络的扩展或改动，AF路由条目越来越多

3.现在的AF无法统计路由条目的匹配情况，例如某条路由在一段时间内是否有匹配？匹配的次数是多少？

    所以建议在配置检查工具里面，可以实现路由配置检查，生成相关的路由报表。在报表展现出以下内容：统计某一条路由在某个时间段（例如30天内）的匹配次数，到底哪些网络数据包匹配了这条路由。根据这样的报表，一是可以优化路由配置，方便配置管理，二是可以减轻设备的性能压力，提高设备的处理性能。

场景三：

1.随着用户网络的扩展或改动，AF策略条目越来越多

2.现在的AF无法统计策略条目的匹配情况，例如某条策略在一段时间内是否有匹配？匹配的次数是多少？

    所以建议在配置检查工具里面，实现策略匹配情况检查，生成相关的策略报表。在报表展现出以下内容：统计某一条策略在某个时间段（例如30天内）的匹配次数，到底哪些网络数据包匹配了这条策略。根据这样的报表，一是可以优化策略条目，方便配置管理；二是可以减轻设备的性能压力，提高设备的处理性能。

场景四：

1.客户需要在AF上修改或者增加某条拦截策略。

2.现在在做好策略后，需要先把策略下发到测试客户端，对策略进行反复测试，检验策略是否有问题，再经过反复修改，才能把最终确认的策略下发给实际IP和用户。

    所以建议在配置检查工具里面，结合网络数据包通信记录，实现策略评估，生成相关的评估报表。在报表展现出以下内容：评估某一条策略下发后会拦截哪些数据包或者放行哪些数据包（很多时候新策略会覆盖旧策略）。有人可能会说可以通过直通来检查策略，但直通检查有两个缺点：一是事后检查，在客户出问题了才去“救火”，已经给客户带来麻烦了；二是在目的IP不确定的情况下（如一域名对应多IP，并且是内置库没有收录的域名，这情况常见于客户挂载在公有云上的内部系统），仅仅靠直通确实很难排查。

PS:配置检测工具建议使用外挂软件的方式实现，不集成在防火墙设备上，毕竟防火墙性能应该重点放在安全防护上面

采纳， 我们研究一下，看如何方便用户配置使用

直通哪里不好理解？