关于USG6000F-S125系列防火墙单电源问题建议产品行业: 交通智慧化军团(L1)-铁路(L2) 产品型号: USG6000F 背景叙述: 目前高铁新建项目,部分单边业务组网如下图架构,更换防火墙的型号为USG-6000F-S125,交换机的型号为S5735S。 产品问题: 根据设备的产品硬件规格,电源(AC)冗余为单电源,如果防火墙电源出现故障,会导现网致运行的业务中断,没有冗余备份的电源。 产品建议: 建议此系列产品增加双电源供电,提供冗余电源NCE-CAMPUS的终端安全响应 的合规定检测策略支持复制产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: iMaster NCE-Campus 背景叙述: 合规检查的策略不支持复制个性化 产品问题: 威胁事件支持根据终端环境的状态(标签)制定访问控制策略,在终端环境条件改变时动态调整可访问的资源。配置合规检查 用来检查合规的配置是否正确,是否有不合规的内容,现在是有默认的策略,策略里有多个策略,这样制定了哪个策略不能通过单独的策略来进行配置,也不能对默认策略进行复制,来制定个性化的策略。 产品建议: 建议支持策略复制可以用来编辑不同的策略进行单独设置。可以进行复制,复制后可以编辑单独的策略NCE-CAMPUS网络准入策略里私网地址不支持IPV6地址产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: iMaster NCE-Campus 背景叙述: 终端安全响应里的准入不支持IPV6 产品问题: 网络准入安全业务整体设计原则同园区内设计,城域网准入安全差异点设计点:• 准入安全控制位置选择:对于需要在城域网统一控制园区用户访问外部网络资源以及园区间用户互访策略的场景,认证点和策略执行点优先在城域网T-Edge节点部署;否则,认证点和策略执行点都在园区内部署,城域网仅做IP互联。• 城域网部署认证:只有二层VLAN接入的园区,用户认证点选择在T-Edge 部署;三层VLAN接入园区,用户认证点在园区内部部署现在网络络部署了IPV6 和IPV4现在在终端响应里只能配置IPV4地址不能配置IP V6的 产品建议: 建议支持IPV6地址,满足用户的现网使用关于建议完善感知边缘NVR800设备Web界面配置功能选项的建议产品行业: 制造与大企业军团(L1)-制造与大企业-其他(L2) 产品型号: NVR800 背景叙述: 最近遇到NVR800-B08设备出现录像丢失的问题,经过日志分析,可能目前所安装的机械硬盘出现问题,但是在配置,存储配置,磁盘管理中,无法发现硬盘有故障,需要进行磁盘检测。 产品问题: 按照400的指导,需要做磁盘检测,验证磁盘是否运行正常,但是在Web业界没有磁盘检测的功能选项,但是业界应用广泛的海大宇的Web界面,这些都是基础的功能,像NVR这类有web管理能力的设备,远程通过Web运维已经是非常普遍的现象,去本地运维,又要接显示器鼠标非常的低效 产品建议: 建议完善丰富Web端功能选项,实现磁盘检测等基础功能上网行为管理批量导入用户时的导入模板规范产品行业: 公共事业军团(L1)-政府(L2) 产品型号: ASG-S1220 背景叙述: 最近遇到一个公司使用ASG-s1220做认证,公司成员用户很多然后使用了导入模板来进行用户导入 产品问题: 发现导入模板并没有一些注释,一些位置不知道怎么填写,之后还是新建用户然后导出,参考的导出文件来填写的,导入模板太不规范了吧 产品建议: 建议在导入模板处标注每个位置填写内容及作用,上网行为管理配置准入客户端后重新定向下载插件界面产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: ASG-D1120 背景叙述: 配置准入需要需要重新定向到下载插件界面 产品问题: 用户认证是一种身份验证机制,通过认证可以验证访问者的身份,同时可以获取用户和IP地址的对应关系,用户认证是基于用户配置策略的基础。主要作用如下:• 进行权限管理,只有具有相应权限的用户才能访问特定网络资源;• 通常终端的IP地址是动态变化的,给针对终端的上网行为管理、统计分析等带来了不便。用户认证将网络流量的IP地址识别为具体的用户,可以基于用户维度进行精细化的管理。目前配置完推送准入客户端后不能选择是断网还是重新定向到下载插件 产品建议: 建议支持开启系统推送准入客户端后,设定策略后可选直接断网然后自动打开网页重定向到下载插件页面,或者策略生效后进行全屏弹窗重定向到下载页面但不断网上网行为管理支持随机MAC不能接入网络提示使用真实MAC产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: ASG-D1060 背景叙述: 随机MAC不能记录真实的使用用户和设备 产品问题: 目前各式各样的设备都有了随机mac地址功能。目前情况是找到该名上网用户,但是mac地址因为随机属性变化了,无法找寻到对应设备。就不能进行真实记录,不知道是谁在使用,也不能进行匹配,最好是用户和设备进行对应,使用真实MAC . 产品建议: 建议支持根据上网用户当前使用的时候是随机mac地址,无法接入网络来进行提示,让修改成真实mac地址上网,确保接入网络。关于云杉版本的交换机的BootLoader菜单只能查看文件,不可以删除文件的问题产品行业: 公共事业军团(L1)-政府(L2) 产品型号: CloudEngine S5735-L-V2 背景叙述: 关于云杉版本的交换机的BootLoader菜单只能查看文件,不可以删除文件的问题 产品问题: 云杉交换机,启动有问题,进不了系统,在BootLoader又删除不了文件,想在BootLoader导出配置文件又不行,云杉 OS的菜单: VRP的菜单: 现在yunshanOS的BootLoader菜单,没有之前VPR BootLoader文件系统子菜单 产品建议: 1、建议也和VRP一样,增加文件系统子菜单,可以对文件进行操作,2、建议可以通过BootLoader的FTP导出文件,现在只能是上传系统文件设置启动上网行为管理支持强制推送更改认证密码产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: ASG-E1400 背景叙述: 企业需要使用认证进行员工的行为管理。 产品问题: 用户认证是一种身份验证机制,通过认证可以验证访问者的身份,同时可以获取用户和IP地址的对应关系,用户认证是基于用户配置策略的基础。主要作用如下:• 进行权限管理,只有具有相应权限的用户才能访问特定网络资源;• 通常终端的IP地址是动态变化的,给针对终端的上网行为管理、统计分析等带来了不便。用户认证将网络流量的IP地址识别为具体的用户,可以基于用户维度进行精细化的管理现在有的用户认证是共用密码,使用他人帐号,有蹭帐号的行为,只能人工通知进行修改密码,有问题时不知道是谁在操作。 产品建议: 建议支持可以定期强制终端改密功能,加强账号安全,避免蹭账号的情况上网行为管理关于自定义URL组里面的网址无法添加备注的问题产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: ASG-E2100 背景叙述: 自定义URL组里面的网址无法添加备注,T备注用途或者是说明 产品问题: 目前我们需要手动创建多个自定义URL组用于配置网站白名单,如我现在有一个允许访问某一的需求,我会自定义创建一个名为“某一网站URL”的分组,内容为“.j某一网站.com”,但是通常来说并不能正常访问某一网站,因为还会调用其他的域名,如“某一网站某一网站com”,我们需要把这个地址加进去才能正常访问,那么现在问题就来了,这个自定义url组没有添加网址对应备注的地方,对于甲方提供的白名单来说,他们只提供某一网站这个白名单网址,为什么会添加某一网站某一网站这个地址,我们无法解释,而且也没有添加备注展示的地方,日积月累,添加的网址越来越多,根本分不清手动添加的这些地址到底是干嘛的,这个问题提过好多次了,一直没有解决; 产品建议: 建议支持可以在URL自定义里面添加备注上网行为管理支持认证批量编辑自动上线产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: ASG-D1060 背景叙述: 认证策略批量编辑,自动上线。 产品问题: 认证策略批量编辑时,认证后处理,希望自动上线用户组的选择可以单独勾选启用或者不启用一般批量编辑都是为了启用或者禁用自动录入用户以及自动录入绑定关系,认证策略名称、IP地址段、自动上线用户组可以通过表格导入,批量编辑的都是统一设置,上线组这个一般都是个性化设置,设置统一的反而不合适,提 产品建议: 建议支持设置自动上线组这个批量编辑可选则启用和不启用,这样会更方便一些。建议防火墙USG6000F-S的特性包IKEV1能够内置系统产品行业: 其他(L1)-其他(L2) 产品型号: USG6000F-S160 背景叙述: 特定的功能需要在指定的版本或补丁基础上才能实现,对已知安全漏洞的修复需要升级到推荐的版本和补丁,是防范新型网络攻击、提升设备自身安全性的必要措施。 产品问题: 通过防火墙的V6R24版本升级到V6R25版本后,IKEV1的特性包会不匹配,需要重新加载特性包,每个版本都有对应的IKEV1的特性包版本,但是ipsec对接使用的时IKEV1的提议,每次升级都需要重新加载对接IPSEC VPN,这样非常影响使用。 产品建议: 建议防火墙USG6000F-S的特性包IKEV1能够内置系统,如加载弱安全算法/协议特性包WEAKEA一样,加载一次即可无需加载多次。关于SD-WAN场景开局配置文件下载WAN接口类型不支持Eth-Trunk的产品建议产品行业: 公共事业军团(L1)-财政(L2) 产品型号: iMaster NCE-Campus 背景叙述: 某市局SD-WAN部署场景,路由器(AR8000/AR6100系列),iMaster NCE-Campus开局配置文件客户要求WAN接口类型用Eth-Trunk聚合上联出口交换机。 产品问题: iMaster NCE-CampusV300R024C00SPC1b0开局配置文件下发提示不支持WAN接口类型Eth-Trunk,问题如下: 客户希望所有开局配置要支持通过控制器进行下发,像这种问题WAN接口类型如果要用手工进行开局,下面有几十个站点,那对于他们后期运维人员交付维护难度比较大。 产品建议: 当前版本:V300R024C00SPC1b0,建议后续版本开局配置文件下发支持WAN接口类型用Eth-Trunk聚合。上网行为管理支持VPN链路备份产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: ASG-E1100 背景叙述: 用户需要配置两个IPSEC VPN 产品问题: 用户配置IPSEC VPN,为了保证业务不中断,需要使用两条线路,为了保障VPN链路的稳定性和可用性,可以在设备上配置一主一备2条IPSec VPN链路,在一条IPSec VPN链路不通的情况下,即一段时间无法建立链接时,启用另一条IPSec VPN链路 产品建议: 建议支持VPN链路备份功能。保证业务不中断建议乾坤云/CloudCampus license管理新增站点License暂停计费功能产品行业: 制造与大企业军团(L1)-零售与服务(L2) 产品型号: Qiankun-C 背景叙述: 连锁客户大量分支门店由公有云控制器统一管理,门店运维实行单独付费模式。实际运运维过程中,常有加盟店停缴运维费用或者不需要运维、临时停业等情况,但这部分门店也会继续消耗license 产品问题: 当前乾坤云平台采用池化License计费,只要设备在线或者离线纳管,就会持续消耗授权。未参与运维的门店也会占用资源,造成授权资源浪费,增加成本。如果删除设备节省授权,会直接影响门店现有网络使用。后续门店恢复运维,还需重新添加设备、配置业务,操作麻烦且耗时。 产品建议: 建议在平台授权管理界面新增站点暂停授权功能,可自主停止指定站点License消耗。暂停后该站点授权功能失效,无法进行配置修改,不改动现有网络运行状态,门店业务正常使用,后续门店付费或者需要运维的时候可一键恢复授权。