分享小众的网络设备----Palo Alto网络防

蓝色星芒

xplvk 发表于 2023-8-22 05:41
请教“国内的过滤逻辑”是什么？

记不清了后来换深信服的做了，大概是之前想做个全部禁止，但某某通行，且只限于单向，pa是做不了，只能生效“全部禁止，但某某通行”，只限于单向就起不来，后来咨询厂家，确实不行，不知道现在的版本改了没。
另外就是比如设置策略，如果有组或者什么的时候没有提前设置，pa当时的ui是不能在一个页面里使用二级功能弹窗设置，只能退出当前功能页，进入对应设置页，设置好，在返回功能页继续设置策略。
另外一个，是软件端pa的一些安全操作，和我们常用的软件习惯不太一致，还有就是某些功能上的逻辑是“我全都要，不能例外”。
最后说一句，pa软件端是能看出来国内哪些软件是真正的安全软件，没有私心的安全软件，虽然知道管家类的都是lj，但是没想到没有例外

补充一下，现在用的是深信服的ngf和ac还有其它的做网络安全，电脑安装PA和Qualys，做终端安全和漏洞防护。

xplvk

蓝色星芒 发表于 2023-8-21 22:08
记不清了后来换深信服的做了，大概是之前想做个全部禁止，但某某通行，且只限于单向，pa是做不了，只能生 ...

哦，单向的意思，trust to untrust/ untrust to trust这种方向的意思吗？

蓝色星芒

xplvk 发表于 2023-8-22 10:43
哦，单向的意思，trust to untrust/ untrust to trust这种方向的意思吗？

你写的是安全域和非安全域的策略。大概逻辑是这个：
1、ipset allow all any any trust to untrust ，trust to local，nat，route，
2、ipset allow dport any 10.1.1.1 untrust to trust，对外网提供了wg服务
999、ipset deny all any any untrust to trust


这样一搞的话，理论上是只能内网到外网，外网只有到10.1.1.1的才能进来，其它的访问进不来，换句话，wg是应该起来的，但是实际上是起不来，握手不成功，第二条不管怎么改都不行，除非删除999

coolbo

xplvk 发表于 2023-8-22 05:40
哦，FortiGate推荐什么型号？我在考虑多加一套防火墙

家用就考虑80E、80F就行了

Krakenius

蓝色星芒 发表于 2023-8-22 11:21
你写的是安全域和非安全域的策略。大概逻辑是这个：
1、ipset allow all any any trust to untrust ，tru ...

没必要这样写吧，NGFW默认安全域不互通的，没必要写那个999，只需要单独写允许的就行了，没明确允许的流量都会被丢掉

xplvk

蓝色星芒 发表于 2023-8-21 23:21
你写的是安全域和非安全域的策略。大概逻辑是这个：
1、ipset allow all any any trust to untrust ，tru ...

对，就像楼上的大佬说的，没有必要deny any any，默认最后就是Drop Any Any

xplvk

coolbo 发表于 2023-8-22 01:01
家用就考虑80E、80F就行了

好的，谢谢！

请问国内的订阅服务是不是会便宜一些？会不会有什么渠道可以推荐呢？

蓝色星芒

Krakenius 发表于 2023-8-22 19:26
没必要这样写吧，NGFW默认安全域不互通的，没必要写那个999，只需要单独写允许的就行了，没明确允许的流 ...

在ngf里写这个的作用，不是为了生不生效，而是为了能查询匹配的数量，结合其它的安全设置，能查询到攻击量，相互匹配

messia

比我这注册资产4个亿的企业用的设备都还要好

xplvk

messia 发表于 2023-8-23 04:00
比我这注册资产4个亿的企业用的设备都还要好

纯粹喜欢折腾，已经简化了很多，功率尽量控制到最低。

messia

xplvk 发表于 2023-8-24 10:39
纯粹喜欢折腾，已经简化了很多，功率尽量控制到最低。

还是很不错了~

leaty177

好几个朋友在这家公司。。

xplvk

leaty177 发表于 2023-8-25 01:09
好几个朋友在这家公司。。

羡慕啊，可以拿到员工价吗？

adapter

PA和思科的安全设备好是真的好，但黑也是真的黑

xplvk

adapter 发表于 2024-1-2 00:01
PA和思科的安全设备好是真的好，但黑也是真的黑

黑是指价格？

ryoma1836

楼主这是在国外吗，我看StarTech的机柜很多老外YouTuber在用，话说2504带什么AP现在

xplvk

ryoma1836 发表于 2024-1-2 12:04
楼主这是在国外吗，我看StarTech的机柜很多老外YouTuber在用，话说2504带什么AP现在 ...

对的，不在大陆。
2504带 3702和 3802，不过已经换成5508，目前管理着12个3802。

多多发发

Krakenius 发表于 2023-6-18 14:31
mgmt口直通Local安全域直接连公网不怕？不知道我才问的

mgmt local 华为的墙初始都要console端口配置策略才能通的 好久没玩这些网络设备了。证书都过期了

ryoma1836

xplvk 发表于 2024-1-3 08:29
对的，不在大陆。
2504带 3702和 3802，不过已经换成5508，目前管理着12个3802。 ...

挺好的，老当益壮，我之前小公司买过二手3702，很稳定，现在做乙方，客户要么更新到Aruba 515，要么是Cisco 9115AX了

adapter

xplvk 发表于 2024-1-2 13:13
黑是指价格？

各种服务的价格黑心

zylicheng

两个字。膜拜了

xplvk

ryoma1836 发表于 2024-1-3 09:46
挺好的，老当益壮，我之前小公司买过二手3702，很稳定，现在做乙方，客户要么更新到Aruba 515，要么是Cis ...

部署在4个地址上(每个地址有2-4个AP），用了好多年了，挺稳定的，配置好后就没有再理过了。

暂时还没有升级的需求，不过宽带和路由器应该要升级了。

ryoma1836

xplvk 发表于 2024-1-9 02:37
部署在4个地址上(每个地址有2-4个AP），用了好多年了，挺稳定的，配置好后就没有再理过了。

暂时还没有 ...

是的，网络都是这样，架构梳理好了，基本不会再轻易动了，我家的RouterOS也是这样，上一次升级都是去年五一了

mmma

我们用的juniper和fortigate。juniper控制内网，forti做的sdwan。

mmma

虽然在大陆，但是除了h3c的无线，我们机房里没有大陆设备。

xplvk

mmma 发表于 2024-1-23 18:34
虽然在大陆，但是除了h3c的无线，我们机房里没有大陆设备。

是因为你的公司是外资的吗？听说国内已经越来越少用思科的设备

mmma

xplvk 发表于 2024-1-26 04:38
是因为你的公司是外资的吗？听说国内已经越来越少用思科的设备

内资。机房里fortigate的sdwan，juniper的srx和qfx，h3c做接入，还有一部分juniper的ex做接入。
服务器只有dell/emc和超微，还有几台**。
老大单纯不喜欢国产。

xplvk

mmma 发表于 2024-1-25 21:15
内资。机房里fortigate的sdwan，juniper的srx和qfx，h3c做接入，还有一部分juniper的ex做接入。
服务器只 ...

了解

但你老大知道fortigate也是中国公司的吗？

mmma

xplvk 发表于 2024-1-26 09:23
了解

但你老大知道fortigate也是中国公司的吗？

谢青只是华裔吧？你这说的fortigate都能进信创了

coolbo

PA220还值得购买么，如果授权过期对什么功能有影响？过期还能当一个标准路由器用么？