ATP-500 Список вопросов

Artem
Artem Публикаций: 17  Freshman Member
First Comment

Недавно приобрел АТP-500 для переезда с ISA Server. Имею сеть на статических IP  адресах, авторизации нет, существует жесткая привязка МАC к IP на коммутаторах. Правила все оформляются на основе IP адресации.

Сложности:

1)     Почему при создании правила нельзя использовать много полей (а не создавать тысячи групп), пример мне нужно добавить группу и одного пользователя согласно существующей возможности сейчас я могу это сделать только добавив группу. Хотелось бы иметь возможность в одно правило добавлять несколько значений без создания групп.

2)     При редактировании политик для ускорения и упрощения навигации было бы не плохо "создание объектов" разместить в контексте где это нужно. (кнопка или выпадающее меню, а не сверху малозаметное )

3)     Также про сервисы не удобно создавать тысячи групп только потому, что к конкретному набору сервисов я не могу вписать еще дополнительные протоколы в правило.

4)     Почему направление траффика везде указано по разному IN OUT или еще как-то,  а тут еще ingress egress traffic. Ну вот хотя бы мониторинг> сетевой траффик Rx From и Tx To тоже понятно.

5)     При создании правила Nat Virtual Server не понятно значение адресс источника если в нем нельзя выбрать ГЕО IP , но вот потом при создании правила NAT  можно выбрать ГЕО IP. IP адресс источника хочу добавить гео IP россию, указать кроме конкретного адреса я не могу. А хотелось бы возможность туда добавить  список  адресное пространство + гео IP.

(Если можно объяснить назначение в NAT адрес источник и в политиках, может тогда проще сделать в одном месте это правило чтоб прописал все в одном месте и она просто добавило ссылки в политики)

6)     При создании правила NAT Virtual Server почему нельзя указать тип протокола опять несколько полей, таже было бы удобно добавить сюда добавлять сразу несколько и tcp и udp  порты.

7)     Почему в названии ограничения стоят нельзя использовать пробелы и цифры (просто было людям проще описать в названии так чтоб было понятно) подчеркивания и тире вместо пробелов уже анахранизм. (указываем в именах политик групп и вообще везде)

8)     При создании сервиса хочу задать несколько портов, через запятую или как-то еще, чтоб было в одном сервисе, а не плодить их. Полагаю что повлияет на производительность как и количество правил/

9)     Группа сервисов можно добавить фильтрацию по названию как реализовано в некоторых местах было бы гораздо удобнее, да бы не мотать список весь, также непонятно почему список не сортируется по имени нормально, а при сортировки влияет не буква, а большая или малая что приводит к другому виду сортировки и нарушает алфавитный порядок, это сильно путает.

10)  Возможно ли указать несколько IP на одном интерфейсе ? (не нашел)

11)  В закладку маршрутизации можно было бы добавить список активных маршрутов в виде таблицы.

12)  Привязка по IP/mac это супер, но когда включил без настройки сразу отвалилось соединение, может сделать защиту от дурака хотя бы предупреждение что если нет привязок то настройка дальше будет производится через консоль!

13)  BWM это теперь трафик шейпинг? Гарантированная полоса пропускания «входящий» это гарантированное значение входящего трафика? Но если я не хочу использовать гарантированное значение, а просто хочу указать верхнюю планку то почему нельзя ее указать без минимального значения? Дальше стоит приоритет я не хочу его менять, но там стоит цифра 4 (это по умолчанию или она поменяет приоритет на 4)


«1

All Replies

  • Artem
    Artem Публикаций: 17  Freshman Member
    First Comment
    14)     Сортировка по алфавиту странная и в правилах «патруля приложений», в общем список при нажатии на имя сортируется странно, но не по алфавиту.




  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    1. Уточните, какие именно правила и какой критерий вы имеете в виду?
    И для пользователей и для IP адресов есть возможность создавать группы составленные из  еденичных и групповых объектов. И пока дизайн предусматривает необходимость создавать новую группу для каждого нового набора объектов.

    2. Это больше вопрос привычки. Это меню всегда в поле зрения, главное знать где его искать.

    3. Тысячи групп для ATP500 будет затруднительно создать, так как у него на это есть достаточно четкие ограничения: до 1000 объектов сервисов, до 200 групп и до 128 сервисов в одной группе. Если Вам эти ограничения никак не позволяют реализовать необходимую настройку, возможно ATP500 не совсем правильный выбор.

    4. Можете привести конкретные примеры?

    5. В текущей версии микропрограммы такая настройка не поддерживается. Я могу уточнить о такой возможности в будущем, если интересно. Желательно открыть для этого запроса отдельный пост (или можете открыть заявку в службе поддержки)

    6. Такой дизайн в текущей версии. Желательно открыть для этого запроса отдельный пост (или можете открыть заявку в службе поддержки) с примерами сценария из жизни, где требуется такая настройка. Мы уточним такую возможность в будущем.

    7. Уточните, о каком названии идет речь?

    8. Для этой цели используется группа сервисов. 

    9. Фильтрация:

    Сортировка по буквам стандартная для систем чувствительных к регистру. Используйте это знание для назначения имен.

     10. Такой возможности нет. Можно добавить виртуальный интерфейс. Если адреса используются для проброса в локальную сеть, то достаточно указать их в правилах DNAT.

    11. Эта информация доступна в разделе Обслуживание - Обзор маршрутизации.

    12. Уточните, что именно Вы включили? 
    Если речь о функции "Активировать привязку IP/MAC-адресов", это не включение функции статических DHCP адресов, а включение режима проверки, при котором к шлюзу может обратиться только с IP адреса присутствующего в текущей DHCP таблице .

    13. BWM это несколько более расширенное понятие, чем просто ограничение полосы (шейпинг) 
    Входящий трафик здесь, этот тот, который идет к инициатору соединения.
    Поле для указания полосы для конкретного потока в разделе "Ограничение полосы пропускания" и служит для указания верхней планки. 
    Указанный в этом разделе приоритет является внутренним и необходим в случаях когда полосы для всех не хватает.

    14. Покажите примером, что не так с порядком сортировки?
  • Artem
    Artem Публикаций: 17  Freshman Member
    First Comment

    Добрый день!

    Если Вы не против, я сделаю в Word вложение со скринами (так как сюда копипастом картинки не вставить)






  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Спасибо за пояснения.
    1 и 3. Такой дизайн системы. Для объединения разных объектов есть группы. Изменение этого дизайна пока нет в планах.
    4. Теперь понятно о чем речь. Поговорю с разработчиками, но не могу обещать быстрых изменений. 
    5. Уточню и сообщу.
    6. Для этой цели предусмотрено создание групп сервисов.
    7. Использование кириллицы и букв других языков кроме латинского алфавита невозможна из-за ограничения текстового формата конфигурационного файла. Использование пробелов ограничено, а цифры использовать можно
    8 и 9 уже ответил.
    10. К своему ответу больше добавить нечего, кроме ip alias и dnat я не знаю какая может быть еще необходимость в наличии дополнительных IP на интерфейсе
    11. По этой проблеме я бы хотел, что бы вы открыли заявку в нашей техподдержке. Так не должно быть. На какой это версии? 4.50?
    12. Подумаем над изменением имени этой функции, что бы не вводить пользователей в заблуждение. Если даже ее случайно включить, это не означает потерю доступа, любой DHCP клиент может получить адрес от рутера и получить доступ. 
    если я не использую DHCP (или использую но не хочу его вязать с этим устройством), использую статику как пример я же смогу сюда вбить соотношения IP Mac и устройство проверит?
    подозреваю, что вы путаете эту функцию с IP Source Guard в коммутаторах.
    ATP не имеет такой функции. 

  • jonatan
    jonatan Публикаций: 143  Ally Member
    First Anniversary 10 Comments Friend Collector First Answer

    если я не использую DHCP (или использую но не хочу его вязать с этим устройством), использую статику как пример я же смогу сюда вбить соотношения IP Mac и устройство проверит?
    Думаю имеется ввиду использование этой функции на порту, на котором выключен DHCP . Будет ли работать проверка привязки IP к MAC.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Я понимаю, что речь об этой функции, но ее функция несколько другая.
    Включение IP/MAC Binding разрешает доступ к шлюзу только клиентам из DHCP таблицы (не важно статическим или динамическим).
  • Artem
    Artem Публикаций: 17  Freshman Member
    First Comment
    отредактировано мая 2020
    Я понял спасибо! Проблема больше в том, что я не указав ни одной привязки (т.е. ни одного МАС я не добавил), и включив эту функцию, что привело к блокированию интерфейса. 
    7) Про цифры не совсем согласен так как нельзя начать с цифр имя и нельзя использовать только цифры.
    11) да V4.50(ABFU.0)  .. Тикет открыл, спасибо!
  • Artem
    Artem Публикаций: 17  Freshman Member
    First Comment
    Возник еще один вопрос!
    Возможно ли как-то отключать проверку именно для SMTP, а pop3 или IMAP оставить?  Возможно ли как-то сделать исключения для вложений при отправке или получении почты? (картинки или какие-то другие либо) просто в веб интерфейсе я смог найти подобные функции.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Проблема больше в том, что я не указав ни одной привязки (т.е. ни одного МАС я не добавил), и включив эту функцию, что привело к блокированию интерфейса.

    Для того, что бы создать такую запись достаточно любому клиенту с настройкой получения динамического адреса (DHCP) получить адрес от шлюза и после этого он сразу получает доступ.

    7) Про цифры не совсем согласен так как нельзя начать с цифр имя и нельзя использовать только цифры.

    Я понял. Придется принять это как ограничение дизайна. Надеюсь, что это не является очень большой проблемой и можно как то обойти.

    Возможно ли как-то отключать проверку именно для SMTP, а pop3 или IMAP оставить?  Возможно ли как-то сделать исключения для вложений при отправке или получении почты? (картинки или какие-то другие либо) просто в веб интерфейсе я смог найти подобные функции.

    Будет всем удобнее (в том числе для поиска информации другими пользователями), если для каждого нового вопроса будет открываться отдельная тема. Спасибо за понимание. 

  • Artem
    Artem Публикаций: 17  Freshman Member
    First Comment
     А если DHCP отключен на данном порту, то включив эту функцию привязки IP/MAC (У меня был выключен DHCP) и подключится к порту я не смог.