ТА
Супер, спасибо)
Size: a a a
2020 February 26
GK
Ребят, кто-нибудь пользуется FQDN объектами в политике? Есть проблемы?
В чем проблема? Я пользуюсь.
MP
В чем проблема? Я пользуюсь.
Да пока нет проблем, в этом и вопрос) как ваш опыт использования?)
MP
В чем проблема? Я пользуюсь.
И почему выбрали FQDN, а не URL filtering?
GK
И почему выбрали FQDN, а не URL filtering?
И то и то пользую, мэ много и не везде есть url, ну и столкнулся что на 4000ых и r80. 30 url и application грузит cpu на 60-80%
MP
И то и то пользую, мэ много и не везде есть url, ну и столкнулся что на 4000ых и r80. 30 url и application грузит cpu на 60-80%
Полезная информация, спасибо.
EO
Есть ещё прикол с fqdn. Если в блок добавляешь зловредные сайты через fqdn, то в логах периодически видишь вирусную "активность". Чеку нужно периодически резолвить эти fqdn и он идёт на внутренний dns сервер, который через Чек же пытается тоже их отрезолвить уже в инете)
2020 February 27
MP
Есть ещё прикол с fqdn. Если в блок добавляешь зловредные сайты через fqdn, то в логах периодически видишь вирусную "активность". Чеку нужно периодически резолвить эти fqdn и он идёт на внутренний dns сервер, который через Чек же пытается тоже их отрезолвить уже в инете)
Ну это bad design уже :)
Вопрос возник из того, что в 2020 уже нехорошо разрешать доступ к AWS, например, по IP. Вот поэтому и интересно кто чем пользуется. То есть вопрос даже не в безопасности как таковой. Это не офисный фаервол, нам не нужно категоризировать сайты и разграничивать доступ для юзеров.
FQDN объекты, это, конечно, очень просто, но зависимость от DNS и потенциальная возможность того, что Айпишник изменится меньше, чем когда будет следующий лукап, меня настораживает. Вот если бы можно было бы сконфигурировать так, чтобы время кэширования зависело от TTL было бы гораздо удобнее (не нашла нигде, что это возможно).
URL filtering в свою очередь гораздо гибче и лучше масштабируем. Поэтому мы смотрим в этом направлении.
Вопрос возник из того, что в 2020 уже нехорошо разрешать доступ к AWS, например, по IP. Вот поэтому и интересно кто чем пользуется. То есть вопрос даже не в безопасности как таковой. Это не офисный фаервол, нам не нужно категоризировать сайты и разграничивать доступ для юзеров.
FQDN объекты, это, конечно, очень просто, но зависимость от DNS и потенциальная возможность того, что Айпишник изменится меньше, чем когда будет следующий лукап, меня настораживает. Вот если бы можно было бы сконфигурировать так, чтобы время кэширования зависело от TTL было бы гораздо удобнее (не нашла нигде, что это возможно).
URL filtering в свою очередь гораздо гибче и лучше масштабируем. Поэтому мы смотрим в этом направлении.
AG
Ну это bad design уже :)
Вопрос возник из того, что в 2020 уже нехорошо разрешать доступ к AWS, например, по IP. Вот поэтому и интересно кто чем пользуется. То есть вопрос даже не в безопасности как таковой. Это не офисный фаервол, нам не нужно категоризировать сайты и разграничивать доступ для юзеров.
FQDN объекты, это, конечно, очень просто, но зависимость от DNS и потенциальная возможность того, что Айпишник изменится меньше, чем когда будет следующий лукап, меня настораживает. Вот если бы можно было бы сконфигурировать так, чтобы время кэширования зависело от TTL было бы гораздо удобнее (не нашла нигде, что это возможно).
URL filtering в свою очередь гораздо гибче и лучше масштабируем. Поэтому мы смотрим в этом направлении.
Вопрос возник из того, что в 2020 уже нехорошо разрешать доступ к AWS, например, по IP. Вот поэтому и интересно кто чем пользуется. То есть вопрос даже не в безопасности как таковой. Это не офисный фаервол, нам не нужно категоризировать сайты и разграничивать доступ для юзеров.
FQDN объекты, это, конечно, очень просто, но зависимость от DNS и потенциальная возможность того, что Айпишник изменится меньше, чем когда будет следующий лукап, меня настораживает. Вот если бы можно было бы сконфигурировать так, чтобы время кэширования зависело от TTL было бы гораздо удобнее (не нашла нигде, что это возможно).
URL filtering в свою очередь гораздо гибче и лучше масштабируем. Поэтому мы смотрим в этом направлении.
В сторону Updatable objects и R80.40 можно посмотреть)
MP
На 80.40 мы будем смотреть года через 3-4, вряд ли раньше)
AG
Как бы в след году уже 81+ не вышла)))
3-4 года многовато, к осени 80.40 уже рекомендед станет скорее всего
3-4 года многовато, к осени 80.40 уже рекомендед станет скорее всего
AG
Я на Updatable objects ставку делаю даже больше с точки зрения https инспекции, мне кажется отличная фича.
MP
Artem Gl
Как бы в след году уже 81+ не вышла)))
3-4 года многовато, к осени 80.40 уже рекомендед станет скорее всего
3-4 года многовато, к осени 80.40 уже рекомендед станет скорее всего
Ну мы пытались на VSX 80.30 накатить. Около 5ти багов нашли, в основном косметических, конечно. Трафик в итоге переводить не стали)
AG
Общался с некоторыми заказчиками, кто учавствовал в 80.40 EA, все проходило штатно и от новой версии был профит. Хотя, безусловно, в некоторых инсталляциях отдельные моменты имеют место быть.
DS
Ну это bad design уже :)
Вопрос возник из того, что в 2020 уже нехорошо разрешать доступ к AWS, например, по IP. Вот поэтому и интересно кто чем пользуется. То есть вопрос даже не в безопасности как таковой. Это не офисный фаервол, нам не нужно категоризировать сайты и разграничивать доступ для юзеров.
FQDN объекты, это, конечно, очень просто, но зависимость от DNS и потенциальная возможность того, что Айпишник изменится меньше, чем когда будет следующий лукап, меня настораживает. Вот если бы можно было бы сконфигурировать так, чтобы время кэширования зависело от TTL было бы гораздо удобнее (не нашла нигде, что это возможно).
URL filtering в свою очередь гораздо гибче и лучше масштабируем. Поэтому мы смотрим в этом направлении.
Вопрос возник из того, что в 2020 уже нехорошо разрешать доступ к AWS, например, по IP. Вот поэтому и интересно кто чем пользуется. То есть вопрос даже не в безопасности как таковой. Это не офисный фаервол, нам не нужно категоризировать сайты и разграничивать доступ для юзеров.
FQDN объекты, это, конечно, очень просто, но зависимость от DNS и потенциальная возможность того, что Айпишник изменится меньше, чем когда будет следующий лукап, меня настораживает. Вот если бы можно было бы сконфигурировать так, чтобы время кэширования зависело от TTL было бы гораздо удобнее (не нашла нигде, что это возможно).
URL filtering в свою очередь гораздо гибче и лучше масштабируем. Поэтому мы смотрим в этом направлении.
Большинство рекурсеров так и делают: кладут в кеш на время ттл. Если не крутить руками min/max cache ttl опции.
YT
Всем привет. Возможно кто-то уже сталкивался с такой ситуацией. Сканер портов, например nmap, при сканировании ip адреса гейтвея показывает, что открыт порт 21 tcp. Я не вижу чтобы этот порт слушался на самом гейтвее, например netstat не показывает. Почему так и зачем гейтвей пытается отвечать на запросы на этот порт?
AG
А в логах по 21 порту что-то появляется?
Protocol signature для ftp протокола включена?
Protocol signature для ftp протокола включена?
YT
В логах пусто. Protocol signature отключен.
IA
А натом ничего не прокинуто?
IA
И нмап показывает open или filtered?