【重金悬赏】这一次产品怎么设计,你说了算!
  

sangfor_闪电回_小六 发表于 2018-7-31 17:48

——获奖结果公布如下——
发帖时间
帖子作者
作者UID
奖励
2018-07-31 20:03
金诺网络_JET
1159
10000s
2018-08-01 09:05
tj_zero
63506
10000s
2018-08-02 09:38
huo
77840
10000s

1533033009514.jpg

在我们日常使用防火墙或者配置上架过程中:
你是否经常因为配置复杂而频频摇头?
你是否因为策略配反调试半天,愁眉紧锁?
你是否会因为策略过多而一脸懵逼,不知所措?
3.jpg



这一次,给你一个当家作主的机会,
产品如何改进?由你说了算!
防火墙的研发设计小哥在此等候,
你有大胆想法,让人眼前一亮的建议,统统来者不拒,
参与我们一起来改进防火墙产品吧~



【重金悬赏】产品建议征集活动 第一期
主题1:
分享你在使用我们的地址转换和应用控制中遇到的那些坑和不便之处;

主题2:
来自研发端第一手的设计初稿分享,本次去掉了 双向地址转换,统一放到了DNAT中,你对这样 的设计有什么想说的呢?

图片 1.png 图片2 1.png

听说你防火墙玩的很6,秀技术牛的时候到了!直接在帖子下方留言吧~



本期奖励
优秀参与者3名,奖励10000S豆;
积极参与者5名,奖励2000S豆;



评选标准
1、您分享的使用体验干货十足,让产品研发 醍醐灌顶                          
2、您提供的建议、方法、思路等精辟独到,使产品研发 触电般为之一震
(明人不说暗话:其实就是研发专家说了算



活动时间
即日起--2018年8月10日

时间有限,赶紧来分享吧~




*本活动最终解释权归深信服社区所有*

tj_zero Lv13发表于 2018-8-1 09:05
  
本帖最后由 tj_zero 于 2018-8-1 09:06 编辑

主题1:

分享你在使用我们的地址转换和应用控制中遇到的那些坑和不便之处;


绑定跨三层MAC识别是辅助网络行为管理的有效手段;
很多时候,新员工会否认曾经发生的不当上网行为;
这个时候,就需要IT部门提供对应的佐证,来证明员工违纪行为,并给予必要的说服教育;
地址转换过程中最让我头疼的是跨三层MAC地址识别;
跨三层的识别,仅在AF界面中是无法单独完成识别的配置的;
这需要网络管理员,访问本地的核心交换机,查询SNMP协议相关内容;
要注意对应的版本一致性,不一致肯定是配置不上的;
没有一种便捷工具可以通过扫描或者智能化获取这些信息,有的时候因为一个SID有可能会反复尝试多次;
如果是知名厂商的产品,说明书或许还详细些,但是仍然无法写的很详细;
我单位购买AF产品进行首次配置跨三层环节反复调试了多次,非常不方便;
另外,AF产品中内容安全控制分为两种策略分别是:内容安全和应用控制;
新用户首次配置设备时需要注意,两种策略是通过不同的维度来对当前环境进行管理;
仅能启用其中一种模式;
假设,你配置了内容安全策略,那就不能轻易启用应用控制策略,因为那会是你刚刚配置的策略内容失效;
并且失效的过程中并没有任何提示框可以提醒用户这种结果;
没想好用什么维度来设置,就不要动手选择策略,选择了内容安全策略后,就不建议轻易更换策略;

建议参考的改善方案:
1.如果黑客可以扫描网络,那么SANGFOR作为知名的防火墙生产商,应该也能做到;在用户知情的基础上建议提供配置跨
  三层的便捷工具;比如说:自动获取选项或者获取工具供初次配置设备的管理员使用;
2.对于排他性的操作,提供醒目的安全提示窗口,让用户引起注意;比如:您已设定“应用控制”策略,启用“内容安
   全”策略将使原先“应用控制”策略失效,并丢失现有配置参数,确定?


主题2:

来自研发端第一手的设计初稿分享,本次去掉了 双向地址转换,统一放到了DNAT中,你对这样 的设计有什么想说的呢?


我感觉去掉了 双向地址转换,统一放到了DNAT中,这样的设置很简洁;
就是不清楚会不会日志记录内容也进行了简化?
如果日志内容没有简化关键信息,并且仍能做到不可否认性要求,我觉得这样的改善应该会被接受。
金诺网络_JET Lv10发表于 2018-7-31 19:47
  
我有一个大胆的想法……
1、因为一个公网IP需要映射多个内网地址,能不能设计成只配置一条映射策略就可以实现?

2、因为一个公网IP要映射多个端口出公网,能不能设计成只配置一条策略就可以实现?

稍后我配个图
金诺网络_JET Lv10发表于 2018-7-31 20:03
  
微信图片_20180731200133.jpg
字丑了一点
777LLL Lv4发表于 2018-7-31 22:13
  
1.好像没有按模板新建一个吧?把对应的映射关系展示的更清楚点就最好了,类似x.x.x.x:80 -> x.x.x.x(80) tcp 视图切换什么的。
2.看起来有点方方正正的,有点难看。。。  发布服务器可以去掉这几个字吗,第一次看到的时候根本看不懂,直接表达勾选上时,内网用户可以用外网地址访问。这个意思就可以了吧。。插入到3,可以再明确一点就更好了,毕竟有些客户有可能看不懂
一个无趣的人 Lv20发表于 2018-7-31 22:42
  
建议在策略增加的那里能采用IP定义组的形式。批量增加。
cow977 Lv3发表于 2018-8-1 06:17
  
DNAT配置中,如果“公网IP”与设备WAN口IP不同,需要把这个“公网IP”也要绑定到WAN中的IP列表中,这能否省略,系统自动实现,很多友商的产品都是这么做的。
nightmare Lv4发表于 2018-8-1 08:07
  
配置SNMP时,除了SNMP功能板块的配置外,为什么还要在 网络-区域 中选上SNMP才能正常使用
KYLE_K Lv8发表于 2018-8-1 10:33
  
本帖最后由 KYLE_K 于 2018-8-1 10:37 编辑

这个不知道算不算是坑。。。

是否可以在设备里面推送应用识别库的更新信息?以下两种方式是否可以实现?
一,在首页直接推送应用识别更新后的具体内容,客户一打开运行界面,就可以看到AF每次更新库,到底更新了哪些内容。这个也可以做到IPS库,僵尸木马库等内容识别的更新上面
二,如果在首页上做推送这个更新信息麻烦,可以在更新库的页面,推送一个更新说明的链接,如果客户有兴趣可以打开来链接看看更新了哪些内容,如果客户没兴趣看,只是推送了一个链接而已,对整体页面布局影响不大

作为集成商,经常会有客户会问,某某应用最近又更新了,更新AF的库,能不能识别,能不能拦截?或者某某游戏公司又出了某某新游戏,更新后AF能不能拦截?或者又发了某某漏洞,AF到底能不能封堵这些漏洞?所以基于这些情况,建议增加更新库后的说明
金诺网络_JET Lv10发表于 2018-8-1 11:06
  
这是现在防火墙的地址转换策略页面
QQ截图20180801110315.png
我没办法很清楚的看到我的公网IP对应的内网地址一共开了几个端口,或者我的内网地址映射了多少端口出去,能不能实现自动整合功能,发现前面一致的自动整合成一条策略?如下图,这样可以很好的看到我的地址分配了哪些端口给到哪些IP
QQ截图20180801105553.png