USG6000F防火墙不支持socks模式代理软件服务器进行特征库的在线升级产品行业: 公共事业军团(L1)-医疗(L2) 产品型号: USG6635F 背景叙述: 某医疗机构内网USG6000F防火墙不能通过Internet直接连接到升级中心时,需要通过代理软件服务器进行特征库的在线升级。产品:USG6635F 产品问题: 某医疗机构USG6000F防火墙不支持socks模式代理软件服务器进行特征库的在线升级,只支持HTTP代理服务器,或者Squid这个开源软件。 产品建议: 当前版本V600R024C10SPC100,建议防火墙后续版本支持socks模式等相关代理软件服务器进行特征库的在线升级,可以支持多种类型代理软件。防火墙ssl vpn cli界面建议增加ssl vpn 用户配置产品行业: 其他(L1)-其他(L2) 产品型号: USG6620E 背景叙述: 产品问题: usg6620在远程配置ssl vpn时无法通过cli界面新增vpn用户,只能通过web登录才能操作vpn用户新增和密码重置等,远程操作时只能通过开放公网地址登录的方式登录web界面才能修改vpn用户,十分不方便。 产品建议: 建议在cli配置时能增加vpn用户的操作命令,查看防火墙配置时能查看ssl vpn 现有配置和用户。端口编号的问题产品行业: 公共事业军团(L1)-政府(L2) 产品型号: S7700 背景叙述: 提个小小的建议,华为交换机产品单板上的端口编号能不能不要从0起编号如(XG3/0/0),建议全部改为从1开始编号如(XG3/0/1)。因为现场施工大部分是施工队人员在做,他们有时不明白0口是哪个口,每个人的惯性思维都是从1开始计数的,所以有时候经常出现现场施工队把接口弄错从而导致业务不通的尴尬情况。 产品问题: 端口编号问题。 产品建议: 建议所有产品统一从1开始进行端口编号上网行为管理支持双栈认证产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: ASG-D2250 背景叙述: 本地认证既可以由ASG完成,也可以通过第三方认证服务器完成,如果用户和密码存储在ASG本地,则认证过程在ASG上进行;如果用户和密码存储在第三方认证服务器,则认证通过第三方认证服务器完成(Radius/Ldap),称为第三方认证。 产品问题: 用户认证是一种身份验证机制,通过认证可以验证访问者的身份,同时可以获取用户和IP地址的对应关系,用户认证是基于用户配置策略的基础。主要作用如下:进行权限管理,只有具有相应权限的用户才能访问特定网络资源;通常终端的IP地址是动态变化的,给针对终端的上网行为管理、统计分析等带来了不便。用户认证将网络流量的IP地址识别为具体的用户,可以基于用户维度进行精细化的管理。ASG支持本地认证、portal认证、短信认证、免认证、微信认证、访客二维码认证、IC卡认证、APP认证、POP3认证、单点登录、混合认证等多种认证方式。现在用户现网部署了IPV4和IPV6双栈,现在ASG不支持双栈,不能起到认证的功能,导致上网行为不能使用,只能保持原有状态。 产品建议: 现在IPV4和IPV6都已经普及,需要增加对双栈的支持,这样才能满足用户的使用要求。关于SCC SVI相关优化建议产品行业: 其他(L1)-其他(L2) 产品型号: SCC 背景叙述: 目前SCC SVI 25.3版本新增"OMU IP别名"功能,默认显示网元OMU浮动地址,需要通过"IP别名配置"去设置OMU地址对应的网元名称,才能让"OMU IP别名"显示网元名称。因SVI工具与网元采用V6地址对接,就涉及一个问题,SVI平台不能识别:2409:8043:5a06:5200::xxxx:xxxx与2409:8043:5a06:5200:0:0:xxxx:xxxx的区别,即::与0:0,经测试,"OMU IP别名"的地址来源“CGPOMU信息配置",但是却不采用其网元名称,默认显示OMU地址。附件就是V6地址无法区分 :: 与 0:0,导致"IP别名配置"已配置,但是"OMU IP别名"无法显示网元名称 产品问题: 目前SVI 25.3版本新增"OMU IP别名"功能,默认显示网元OMU浮动地址,需要通过"IP别名配置"去设置OMU地址对应的网元名称,才能让"OMU IP别名"显示网元名称。因SVI工具与网元采用V6地址对接,就涉及一个问题,SVI平台不能识别:2409:8043:5a06:5200::xxxx:xxxx与2409:8043:5a06:5200:0:0:xxxx:xxxx的区别,即::与0:0,经测试,"OMU IP别名"的地址来源“CGPOMU信息配置",但是却不采用其网元名称,默认显示OMU地址。附件就是V6地址无法区分 :: 与 0:0,导致"IP别名配置"已配置,但是"OMU IP别名"无法显示网元名称 产品建议: 优化建议:a.既然“CGPOMU信息配置"中已有OMU浮动地址对应网元名称,那"OMU IP别名"就可以从CGPOMU信息配置"中根据地址采集对应网元名称来显示。b.可能存在网元对接SVI时网元名称太长等其他原因需要修改"OMU IP别名"显示的网元名称,那就可以通过"IP别名配置"去设置OMU地址对应的网元名称。综上两种情况可以结合起来,"OMU IP别名"优先显示"IP别名配置"中设置的网元名称,如果OMU地址匹配无记录,则默认显示“CGPOMU信息配置"中的网元名称。上网行为管理支哑终端产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: ASG-D1120 背景叙述: 某客户单独购买一台ASG对摄像头等哑终端进行识别,从而建立统一的资产台账,并且进行准入要求管控到二层流量,即只允许接入的哑终端能够通过交换机,不允许接入的交换机禁止通过交换机。同时,需要对内网的流量进行安全检测,并发现摄像头存在的漏洞和弱口令。 产品问题: 1、需要识别前端的哑终端资产信息,从而建立统一的资产台账;2、需要管控到二层流量,且准入设备为哑终端,因此只能使用MAC认证;3、需要对内网流量进行安全检测,因此镜像流量到防火墙,并开启IPS、杀毒等安全功能;4、IPS主动扫描摄像头存在的弱口令和漏洞;这些准备工作做完之后发现ASG是不支持的。 产品建议: 建议增加支持根据哑终端和医疗设备的终端小类进行策略精细化管控。 这样符合医院等保的要求,对于医院安全要求比较高,哑终端和小类设备也是比较多的,也可以给此类设备增加上,来提高医疗行业的安全。S8700框式交换机支持双主控主主工作产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: CloudEngine S8700-6 背景叙述: CloudEngine S8700智能路由交换机华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供VPN、业务流分析、完善的QoS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。用户的网络可靠性高,负责整个市的业务的转发,所以需要使用主备,随着业务的增加,设备性能已经不能够使用,现在使用的是双主控,日志里只提示MPU性能不足,由日志分析就是业务量大性能不够,使用CPU达到99%. 产品问题: 用户的网络可靠性高,负责整个市的业务的转发,所以需要使用主备,随着业务的增加,设备性能已经不能够使用,现在使用的是双主控,日志里只提示MPU性能不足,由日志分析就是业务量大性能不够,使用CPU达到99%.造成业务时断时续,现在的双主控就是只能进行主备工作,不能形成主主或者是集群模式,由于用户的资金有现,不能进行设备升级,所以需要双主控同时工作才可以缓解目前问题、。 产品建议: 建议双主控设备可以进行主主工作,或者是集群模式,这样可以更好的进行数据处理,避免性能浪费。建议增加集中式存储CLI清除告警的命令产品行业: 数字金融军团(L1)-金融-其他(L2) 产品型号: OceanStor 18800 背景叙述: 客户现网存储经常会有告警信息,这些告警信息无法修复,经常会发出告警信息,收到重复的告警信息。 产品问题: 客户现网存储经常会有告警信息,这些告警信息无法修复,经常会发出告警信息,收到重复的告警信息,现有的存储命令没有清除已知告警的命令。 产品建议: 新增CLI告警清除优化需求,方便定期进行存储告警测试,确保存储告警功能正常。关于EA5800查看接口状态命令优化产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: SmartAX EA5800 背景叙述: EA5800设备没有相关命令直接查看所有槽位下的接口状态信息,流量信息等等;是否可以增加一条类似路由交换的display interface brif的命令? 产品问题: EA5800设备没有相关命令直接查看所有槽位下的接口状态信息,流量信息等等; 产品建议: 是否可以增加一条类似路由交换的display interface brif的命令?DDOS支持指纹功能支持IPV4 TCP IPV6TCP指纹防护产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: AntiDDoS1900 背景叙述: 支持外接专用Bypass设备。直路部署场景中,当AntiDDoS设备发生故障时,流量可以通过Bypass设备进行转发,保证业务不间断。支持Link-Group功能。旁路部署场景中,可以将引流接口和回注接口绑定Link-Group,增强链路可靠性。根据会话表进行流量转发。当会话表建满后,直接转发报文,保证大流量攻击时业务不间断。用户是游戏公司遭受大量的DDOS攻击 ,现在已经开启流量检测和清洗。 产品问题: 数据包的网络层、传输层中有很多字段,包括报文长度、TTL、源目的端口等信息,甚至包括数据段的一些信息,在不同的网络中,都是具有自己的统计特征的,这些信息就是指纹。指纹识别防护的基本思想在于根据正常网络流量的指纹建立防护模型,当网络异常的时候,提取出异常指纹和防护模型进行对比,对超过防护模型的数据包进行过滤。若防护设备后只有一部分目的IP 需要防护,可以先配置防护目标,然后在指纹防护配置中,选泽,自定义配置的防护目标,流量流经Guard 时就会根据目的IP 来判断是否进入防护流程,这样即可以减轻防护装置的防护压力,同时能很好的避免对正常访问的报文造成误杀的可能。目前不支持此功能。 产品建议: 建议增加指纹防护功能,可以通过选择特征来进行配置。 特征 1:从常用特征类型中选择,或自定义偏移和长度。默认为“无”。 特征 2:从常用特征类型中选择,或自定义偏移和长度。默认为“无”。 特征 3:从常用特征类型中选择,或自定义偏移和长度。默认为“无”。 阈值:设置防护阈值,单位 PPS,当前面四个条件的流量每秒速率超出阈值后会触发后面的防护动作。 动作:选择策略动作,动作选项有观察,限速和阻断。MA 5800支持业务随行功能产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: SmartAX MA5800-X17 背景叙述: 在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。这些技术要求:管理员如果希望保证员工在园区内的网络权限一致,必须要求员工从指定的设备、VLAN或网段接入上线。用于控制用户访问权限的ACL需要管理员提前配置好,而且其中至少需要配置禁止或允许访问的目的IP地址范围。因此,在用户使用的IP地址不固定的前提下,ACL不能用于流量的源和目的都是用户主机时的控制。ACL与用户的关联只在认证点设备上生效。因此对于非认证点设备,例如部署在企业园区边界的防火墙设备,必须基于IP地址来配置策略。VLAN和ACL需要在大量的认证点设备上提前配置,部署和维护工作量巨大。员工移动办公希望打破这一局限性,允许员工从网络中的任意位置、任意VLAN、任意IP网段接入的同时还可以始终控制其网络访问权限。因此引入了业务随行,通过控制器和设备,让网络权限自动跟随人移动,以此解决移动办公体验糟糕的问题。 产品问题: 业务策略与IP地址解耦管理员可以在控制器上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计,设备在进行策略匹配时,可以先根据报文的源/目的IP地址去匹配源/目的安全组,再根据报文的源/目的安全组去匹配管理员预定义的组间策略。通过这样的创新,可以将传统网络中基于用户和IP地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址,实现业务策略与IP地址的完全解耦。用户信息集中管理控制器实现用户认证与上线信息的集中管理,获取到全网用户和IP地址的对应关系。而网络中的非认证点设备就可以根据报文的源/目的IP地址,通过向控制器主动查询来获取报文的源/目的安全组信息。策略集中管理控制器不仅是园区的认证中心,同时也是业务策略的管理中心。管理员可以在控制器上统一管理全网策略执行设备上的业务策略。管理员只需要配置一次,就可以将这些业务策略自动下发到全网的执行点设备上。这些策略包括权限策略(例如禁止A组访问B组)和体验保证策略(例如控制A组的转发带宽和转发优先级)。目前用户是学校有多个校区,老师和学生都会去各个学校上课或者是参加些会议,现在每次的用户的策略都是需要重新调整,不能根据用户的位置改变和保持一致的策略。 产品建议: 建议增加可以实现业务随行的策略,这样在整体使用上会方便很多。可以更好的解决用户多个校区使用的问题 。防火墙TCP半连接状态产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 用户网络改造,内网有OA办公设备,为了进行防护,购买了安全设备进行防护。 产品问题: 用户购买了防火墙部署了防火墙用于安全防护,现在发现在使用中有些TCP连接断了之后处于半关闭状态,不是全部释放的这样就占用了连接数和并发连接,造成拥堵网络卡顿情况。最好是可以进行断开直接释放,或者是进行监测或者是加个周期为更好一些。 产品建议: 建议后续版本规划:系统链接跟踪优化:解决TCP链接处于半关闭状态下,链接跟踪提前释放,导致应用控制功能出现误判问题。最好是关闭后直接释放。防火墙部署SD WAN 智能应用选路功能产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 随着业务的不断发展,企业通常会在网络出口部署多条链路,以此提高出口链路的带宽和可靠性。这样做虽然在一定程度上达到了预期效果,但是由于出口设备在转发流量时一般是随机选择一条链路转发流量,并不考虑各条链路的实际带宽或链路的实时状态,因此在实际应用中会存在如下问题:如果各条链路的带宽不等,则很可能出现某些带宽大的链路空闲、某些带宽小的链路拥塞的情况,从而造成链路资源的浪费。由于不同ISP链路的传输质量和服务费用不同,有时用户希望优先保证业务的传输质量,有时希望优先使用费用较低的链路,而平分流量是无法实现这些需求的。当出口设备与目的设备之间的链路出现故障或者目的设备上的服务不可用时,如果流量被转发到相应的链路上,则将造成访问失败。通过部署智能选路功能可以解决上述问题。设备通过不同的智能选路方式,选择最优链路,并根据各链路实时状态动态调整分配结果,以此提高链路资源的利用率和用户体验。 产品问题: 用户购买了防火墙部署了SDWAN,现在只能根据路由选路,根据应用的智能选路用不了,在使用上选路式太少,应该根据应用也可以选路,也不支持可视化的效果。 产品建议: 建议后续版本规划:增 加BEST 智能应用选路功能,为客户提供多种选路模式和可视化效果,解决不同关键应用流量在多线路的调度问题。WLAN AC 查看端口状态和流量信息命令优化建议产品行业: 公共事业军团(L1)-教育(L2) 产品型号: AC6805 背景叙述: 新建楼宇无线安装上线后,批量查询端口速率及丢包情况。 产品问题: 使用display ap port 查询端口状态时,回显内容只显示AP编号,不显示AP名称或组名称,无法通过include等命令匹配批量匹配AP,也无法通过AP组匹配。如果查询某一批编号靠后的AP,还要按顺序把前面的无关的AP显示完了才能看到。 产品建议: 回显内容加入AP名称。可以使用include匹配名称,可以按组查询。防火墙部署后支持传输协议和端口自适应灵活切换产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 企业出差员工,需要在外地远程办公,并期望能够随时随地的远程访问企业内部资源。同时,企业为了保证内网资源的安全性,希望能对移动办公用户进行多种形式的身份认证,并对移动办公用户可访问内网资源的权限做精细化控制。IPSec、L2TP等先期出现的VPN技术虽然可以支持远程接入这个应用场景,但这些VPN技术的组网不灵活;无法对移动办公用户的访问权限做精细化控制。SSL VPN作为新型的轻量级远程接入方案,可以有效地解决上述问题,保证移动办公用户能够在企业外部安全、高效的访问企业内部的网络资源。 产品问题: 用户购买了防火墙部署了SSL VPN,用于员工出差访问公司内网使用,现在访问的时候,偶尔断网或者是连接不上,后续诊断为运营商给一些端口给封掉了,现在不能根据端口进行灵活的切换,只能手动更改,这个比较繁琐。 产品建议: 建议后续版本规划:传输协议和端口自适应灵活切换,优化运营商协议和端口封堵导致网络体验不佳的问题。