我在深信服防火墙使用中的一点儿感受
  

稻草 20121

{{ttag.title}}
本帖最后由 稻草 于 2017-10-1 08:29 编辑

        本来只是想在“奇葩说”活动中跟帖回复的,谁知道越写越长,后来根本停不下来,只好单独发帖说明一下了,非专业技术人员,只是一些使用感受,欢迎大家指正。

        首先说明一下,个人对防火墙不是很了解,之所以公司上了AF是因为上了AC后与之前的联想网御防火墙无法对接,所以又采购了一台AF。上线后都是代理商负责安装调试,设置好策略就再没动过,一直也没有出过大问题。通过此次参与“云守”系统的测试,才对AF有了更进一步的了解,在对每个模块进行测试的过程中又对某公司产品和研发团队有了更深刻的认识。

        下面通过以下几个方面把自己对AF的一点体验与大家分享:

1.易用性
        自己没有接触过其它防火墙,对防火墙的认识只是用来防病毒的硬件设备。第一个使用的就是AF,所以认为防火墙都是这个样子的,但和早期的防火墙相比,现在的防火墙结合了更多更强大的功能,把被动防御被成主动,提高了用户体验,让用户简单直接的了解到现有安全状态,需要解决的问题。
        AF的部署相对简单,很容易操作。在系统状态界面中可以了解到大部分想要了解的设备运行状态和目前网络存在的问题。
        目前使用的是7.2版本。这个版本的菜单分类不清晰,功能比较分散,只能记住常用的功能。7.4版本好像有了很大的调整,值得期待。
        在防火墙配置方面过于复杂,对于我这种新手来说,对一些概念不是很了解,在新建策略时有一定难度。有时总是无法理解对象、源、区域、目的、服务、应用等概念,往往配置完之后无法达到预期的效果,还需要联系代理商进行配置。建议针对新手有类似向导一样简单明了的说明,引导用户设置策略。
导航菜单.png 应用控制策略.png

2.稳定性
      公司的防火墙是2014年上线的,已经过了三年时间,从上线到现在没有出现过一次因为设备硬件或系统原因对业务系统造成的影响,这一点值得称赞。

        但两次升级都给我带来了“深刻印象”,一次是从5.X升级到6.6。多次和代理商、厂家确认,升级后不会影响原有的策略,不会对业务系统造成影响,当天晚上测试没什么问题,可第二天上班后所有的业务系统都无法正常访问。折腾了一上午才算能正常使用了,对业务系统造成了严重影响,厂家说是因之前的版本默认关闭的策略在新版本中开启造成了拦截,从此对升级和新版本产生了恐惧。

        但公司要求版本同步更新,于是又从6.6升级到了7.2版本。这次也比第一次强不了多少。7.2版本中的服务器自动识别总会检测出其它段的不同办公电脑的IP,每天有一堆提示需要处理。公司有23家连锁店,30多个段的IP地址,忽略了半个多月终于不再出现了。7.2版本出现了业务IP组,但在添加时不能批量导入,只能一个个手动添加,之前加的IP组是一个段的,后来我放弃了手动添加250多次的这个功能,不用了。
添加IP.png

        这次造成影响是的Dos/DDeos防护,莫名的业务系统无法访问,找不到原因,日志查不出明显记录。部分办公电脑拦截后断网。联系400进行了处理,又折腾了半天时间,把那些阈值改的大些,再大些。不知道算不算彻底解决,现在总算不影响了。
2000.png

3.安全效果
      AF功能强大是不可否认的,而且很多漏洞和病毒都会在第一时间弹出提醒,提示及时检测,给用户提供了简单便捷的体验。特别是加入云守的测试体验,手机微信端就会实时收到安全威胁的提示,之前只能被动的每天登录系统查看是否有安全威胁,现在的服务更加人性化和智能。每周还会收到定期的设备检测报告,告知一周内设备的运行情况、业务系统防护情况、系统软件现状等等。希望以后这些功能可以让用户自主选择希望看到哪些板块,自己定制自己关注的内容。
s.jpg

        本人更关注的是僵尸网络这一块的问题,因为公司除了AF外,没有其它专业的杀毒工具,每天发现僵尸网络后要进行及时处理。但在已发现的提示中,大部分都存在误报,而且系统所关联的网站检测内容也不是很详细。每次还要去其它专业的检测网站去一条条确认这个网站是否存在问题。从发现僵尸网络到查看具体地址要点击四步,每一个地址都这样操作工作量较大,希望能找到更强大更智能的厂家进行合作把这一块优化的更好。
僵尸.png
4.性能
      设备在选型时已充分考虑了业务系统的数量、性能,目前可以满足需要,在设备上线期间,日志设置只设置了15天的保存时间,这与《网络安全法》的要求有差距,现已调整完毕。设备已运行三年,后期续保也最多再保两年,现在需要考虑是否继续采购AF设备还是使用超融合代替现在有设备,超融合设备目前在进行测试。据说,超融合设备上的软件版本不会和现在的设备同步更新,也许一年才会有一个版本的更新,对于想及时体验新功能的用户来说可能会造成一些影响,但正式的版本应该都是可以满足需要的,都可以放心使用。

cup.png
总结:
      如果说给AF产品打分,我想应该是7分。因为产品本身很完善,功能很强大,可以满足现有需求。只是一些细节地方需要进行优化。僵尸网络误报问题可优化的地方还很多。产品易用性还有提高的空间,产品在升级过程中对业务系统造成的影响对评分影响很大,说实话,我现在在考虑是不是还要继续参与7.4版本的测试体验。因为这两次断网的经历打击太大了,呵呵。相信这些方面在新版本中不会让大家失望。

        最后,特别感谢AF研发团队的辛勤付出,在与他们接触的过程中可以感受到他们的专业、用心和敬业。每一个新的漏洞出现后他们都要及时的分析检测更新解决方案,第一时间做好更新补丁。记得9月6号Struts2紧急漏洞补丁更新时为了及时让用户第一时间更新,他们加班加点的工作,只为给用户一个承诺。真是由衷的感谢,感动。某公司之所以发展这么快,我想是和真诚倾听用户声音,一心为用户着想分不开的,他们会很在意用户体验,以用户为核心才能做出好产品。相信某公司今后会研发出更优秀的产品,为用户提供更优质的服务。

打赏鼓励作者,期待更多好文!

打赏
12人已打赏

陈阳 发表于 2019-1-3 11:18
  
您好,
首先,感谢对某公司防火墙产品和研发团队的认可,
其次,也非常感谢针对我们产品的不足所提出来的宝贵建议和意见,产品的持续优化离不开你们广大用户的建议与要求,用户的声音也是我们对产品进行持续改进优化的动力来源。
最后,针对以上反馈的产品问题做一个说明:
(1)当前我们的版本更新已经到8.0.7版本了,新版本在易用性、稳定性、性能、安全效果等方面有较大的改进与提升,以上所提及的部分问题已经在新版本得到解决;欢迎升级体验新版本。
(2)版本升级的需求,升级不断网/升级不重启设备的技术方案已经取得突破,目前也已经在开发阶段,预计2019年将发布版本,后续版本升级将做到业务无感知,业务零影响。

   某公司防火墙伟大产品离不开我们贴心用户的共同参与、共同创造,欢迎多多反馈产品意见。
Rocky 发表于 2017-9-30 10:14
  
666666666666666666
陈宗朋 发表于 2017-9-30 10:20
  
666666666666666666666666666666666666666!
Sangfor_闪电回_朱丽 发表于 2017-9-30 10:25
  
非常棒的分享,对AF还不是很了解的小伙伴们,参考起来!

稻草哥是咱们AF核心粉丝用户,非常感谢您对AF产品的支持!
carl 发表于 2017-9-30 10:28
  
楼主总结得不错,也说出了很多人的心声!
某公司 NGAF 加油!
陈阳 发表于 2017-9-30 10:43
  
安全做得比较好,云守最大的价值没有得到体现,我也很“无奈”
哥丶珍藏版 发表于 2017-10-10 09:30
  
这用户,很给力
liuzhen 发表于 2017-10-12 11:46
  
666666666666666666666666
PC9527 发表于 2017-10-12 13:24
  
稻草兄,升级到7.4来玩:好棒:我发现7.4作了很大的改进,功能更强大,值得尝试一下。还有连每次登录控制台都要输验证码了。:么么哒:
virtualcloud 发表于 2017-10-13 08:12
  
不错,说出了客户的心声,顶
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
产品连连看
新版本体验
安装部署配置
功能体验
秒懂零信任
自助服务平台操作指引
GIF动图学习
2023技术争霸赛专题
通用技术
玩转零信任
技术晨报
社区帮助指南
安全攻防
每日一记
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人