Приветствую! Я купил ваши UCG-MAX, U7 Pro Max, дверной звонок G4 и несколько переключателей в ноябре. Примерно две недели назад я думаю, что мой Wi-Fi наконец-то стал достаточно стабильным, чтобы перейти к настройке правил брандмауэра и VLAN, используя раннюю версию прошивки. У меня довольно сложная и проблемная IoT-среда, так что это было непростое начало и я чувствовал себя бета-тестером, который заплатил полную цену за оборудование. Поскольку я видел частые обновления и улучшения, я решил оставить оборудование и подождать. Теперь, наконец, после нескольких непростых месяцев с обновлениями, я думаю, что Wi-Fi стабилен, и решил перейти к настройке VLAN и правил брандмауэра. Изначально я сомневался в вашей миграции на брандмауэр на основе зон. Это, вероятно, только из-за моего прошлого опыта, поскольку я управлял брандмауэрами Cisco ASA и Checkpoint в течение 12 лет, но прошло больше десятилетия с тех пор. После использования и переноса некоторых основных и простых правил в настройку на основе зон я вижу, как другим людям это может показаться проще и ценнее. За последние две недели, пока я настраивал свою систему, я заметил несколько моментов, которые могли бы сделать ее еще более удобной и понятной для других. Я хотел поделиться следующими предложениями в надежде, что вы рассмотрите возможность их реализации.
1. Перенос "Сетевых объектов" из "Профилей" и размещение их с вкладкой "Безопасность" вверху, с Брандмауэром, Защитой и ACL. Это уменьшит количество кликов при управлении правилами безопасности и облегчит их поиск.
2. Создание сетевого объекта: есть ли техническая причина, по которой я не могу создать сетевой объект со смешением IPv4 и IPv6? Было бы здорово, если бы это было возможно, например, "203.0.113.4". Сейчас я могу создать только один из них, IPv4 или IPv6. Но при создании правила я не могу добавить оба объекта, так как могу выбрать только один. Поэтому я создаю два правила, которые можно было бы обработать одним правилом. Или я выбираю "Специфичный для IP", который позволит мне использовать смешение IPv4 и IPv6.
Пример:
192.168.2.0/24
fc99::/64
Но я думаю, что другим людям было бы проще, если бы они просто изменили сетевой объект, который мог бы включать как IPv4, так и IPv6.
Это подводит меня к третьему пункту.
3. Предоставление возможности выбора нескольких "Объектов" для правила, вместо того, чтобы позволять выбирать только один объект. Как упоминалось во втором пункте выше, невозможность создать смешанные IPV4/6 сетевые объекты не была бы такой большой проблемой, если бы я мог выбирать несколько сетевых объектов.
У меня также есть объекты с конкретными портами для нескольких правил, но я могу захотеть, чтобы один сетевой/правило имело больший доступ, и было бы неплохо выбрать несколько объектов, которые вместе охватывают все порты для этой сети. Сейчас мне приходится создавать новый объект, который содержит все порты трех разных объектов, которые я уже создал.
4. Поиск сетевых объектов. Мне нравится поиск правил брандмауэра и то, что недавнее обновление теперь показывает порты или "Значения" рядом с именами объектов. Я думаю, что поиск объектов был бы лучше, поскольку вы могли бы искать имя объекта или номер порта "Значение". Это поможет людям не создавать новый объект, который, возможно, уже был создан в прошлом.
5. При создании новой сети было бы неплохо иметь флажок, который я мог бы выбрать, который позволял бы управлять шлюзом или отключать управление шлюзом. Подобно флажку "Разрешить Интернет", который просто создает правила в брандмауэре для блокировки намерений, если он не отмечен. Но этот флажок "Разрешить управление из этой сети" можно отметить по умолчанию. Но если он не отмечен, то он может создавать правила для блокировки https, ssh и других портов управления к X.X.X.1 новой сети.
Этот флажок можно было бы назвать, например, "Разрешить управление шлюзом из этой сети". И, конечно, в сети по умолчанию люди не смогут снять этот флажок, чтобы предотвратить полную блокировку от шлюза, как они не могут снять флажок "Разрешить доступ в Интернет".
Надеюсь, вы рассмотрите некоторые из этих предложений и это поможет.
1. Перенос "Сетевых объектов" из "Профилей" и размещение их с вкладкой "Безопасность" вверху, с Брандмауэром, Защитой и ACL. Это уменьшит количество кликов при управлении правилами безопасности и облегчит их поиск.
2. Создание сетевого объекта: есть ли техническая причина, по которой я не могу создать сетевой объект со смешением IPv4 и IPv6? Было бы здорово, если бы это было возможно, например, "203.0.113.4". Сейчас я могу создать только один из них, IPv4 или IPv6. Но при создании правила я не могу добавить оба объекта, так как могу выбрать только один. Поэтому я создаю два правила, которые можно было бы обработать одним правилом. Или я выбираю "Специфичный для IP", который позволит мне использовать смешение IPv4 и IPv6.
Пример:
192.168.2.0/24
fc99::/64
Но я думаю, что другим людям было бы проще, если бы они просто изменили сетевой объект, который мог бы включать как IPv4, так и IPv6.
Это подводит меня к третьему пункту.
3. Предоставление возможности выбора нескольких "Объектов" для правила, вместо того, чтобы позволять выбирать только один объект. Как упоминалось во втором пункте выше, невозможность создать смешанные IPV4/6 сетевые объекты не была бы такой большой проблемой, если бы я мог выбирать несколько сетевых объектов.
У меня также есть объекты с конкретными портами для нескольких правил, но я могу захотеть, чтобы один сетевой/правило имело больший доступ, и было бы неплохо выбрать несколько объектов, которые вместе охватывают все порты для этой сети. Сейчас мне приходится создавать новый объект, который содержит все порты трех разных объектов, которые я уже создал.
4. Поиск сетевых объектов. Мне нравится поиск правил брандмауэра и то, что недавнее обновление теперь показывает порты или "Значения" рядом с именами объектов. Я думаю, что поиск объектов был бы лучше, поскольку вы могли бы искать имя объекта или номер порта "Значение". Это поможет людям не создавать новый объект, который, возможно, уже был создан в прошлом.
5. При создании новой сети было бы неплохо иметь флажок, который я мог бы выбрать, который позволял бы управлять шлюзом или отключать управление шлюзом. Подобно флажку "Разрешить Интернет", который просто создает правила в брандмауэре для блокировки намерений, если он не отмечен. Но этот флажок "Разрешить управление из этой сети" можно отметить по умолчанию. Но если он не отмечен, то он может создавать правила для блокировки https, ssh и других портов управления к X.X.X.1 новой сети.
Этот флажок можно было бы назвать, например, "Разрешить управление шлюзом из этой сети". И, конечно, в сети по умолчанию люди не смогут снять этот флажок, чтобы предотвратить полную блокировку от шлюза, как они не могут снять флажок "Разрешить доступ в Интернет".
Надеюсь, вы рассмотрите некоторые из этих предложений и это поможет.
Как видите, профили сортируются в алфавитном порядке, группируются по типу профиля и очень наглядно показывают, какой тип данных собирается внутри профиля.