【替换实践】AF替换华为防火墙实践案例

        我公司原使用一台华为USG6330型号防火墙，大约是2018年采购部署的。过去，或许是我们对该平台不太熟悉，利用率比较低，做了一些安全策略，导致公司业务系统受到影响。也是设备使用年限比较久了，我们在更新换代的时候，考虑了深信服的防火墙。

        设备实施、部署的过程，主要是服务商部署的，我们参与相对较少。在使用方面，自己有一些感受。

        下面先说一下优点。

        其一，首页大屏可以看到问题点，如哪些服务器受到了攻击，哪些终端存在异常。针对问题，可以看到该设备存在哪些问题点。

        其二，日志相对比较详细，业务访问受限时，还可以查看是匹配了哪条限制性策略。

        其三，应用控制策略可以设置分组，功能比较清晰。

     其四，流控功能，感觉比深信服行为管理AC上的好用一些。

    或许是因为使用习惯的问题，有更多的点，使用起来感觉很不习惯。还有一些点，感觉可以再优化一些。

    其一，在查看外部攻击时，已经显示对方IP地址了，为什么不能加一个链接直接到威胁情报中心检测一下这个IP地址的状态呢？

        其二，NAT，做端口映射到外网时，如果还想在内网通过公网访问该应用，需要做两条NAT策略。而原有系统一条即可。另外，在配置策略时，端口号必须配置一个独立服务，完全可以直接写端口号。

其三，应用库内容比较少。制造类企业使用的软件，大部分没有。

        其四，GRE隧道，没有日志，无法查看隧道断开的原因。

        其五，无法针对MAC地址进行策略限制，比如禁网。

        其六，部分“界面”不统一。像前文所说的应用控制策略可以设置分组。到了网络对象页面时，地址、域名、地址组，混为一谈，不能也搞个分组或者页签吗？

学习使人进步，学习每一天

实践出真知！！！好好学习！！！