DimmKo Опубликовано 29 Июня 2018 Жалоба Поделиться Опубликовано 29 Июня 2018 Добавьте, пожалуйста, возможность автоматического отката сделанных изменений (что-то типа safe mode в Mikrotik). Случай: выключили правило и пропал веб доступ к Координатору. Как вернуть - не понятно (в соседней теме зада вопрос). Что бы избежать подобного, можно было сделать такой режим, при котором если пропал доступ к Координатору, то все принятые изменения откатывались бы. Как-то так. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 2 Июля 2018 Жалоба Поделиться Опубликовано 2 Июля 2018 В 29.06.2018 в 17:52, DimmKo сказал: при котором если пропал доступ к Координатору, то все принятые изменения откатывались бы. А как он определит, что к нему доступ пропал )? Мне видится, что создание подобной системы для криптошлюза очень ресурсоемкая задача, если вообще реальная с учетом требований предъявляемых регулятором. Администрированием должен заниматься человек, который понимает какие правила и зачем отключает. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
DimmKo Опубликовано 2 Июля 2018 Автор Жалоба Поделиться Опубликовано 2 Июля 2018 Человеческий фактор еще никто не отменял. Проверять я тоже думаю, что ничего сложного нет: если есть сессия или она возможна после применения тех или иных правил, то всё ОК. В тех же Cisc'ах есть такая функция. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
azz Опубликовано 2 Июля 2018 Жалоба Поделиться Опубликовано 2 Июля 2018 Скорее всего ФСБ с такими "фишками" не сертифицирует продукт Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 2 Июля 2018 Жалоба Поделиться Опубликовано 2 Июля 2018 28 минут назад, DimmKo сказал: Проверять я тоже думаю, что ничего сложного нет: если есть сессия или она возможна после применения тех или иных правил, то всё ОК. Как с такой логикой можно что-то запретить вообще? Ты ему запрещаещь доступ по веб, а он обратно откатывает, так как ты по этому самому веб и сидишь. Т.е. мне в shell надо заходить, чтобы доступ отключить? И таких сценариев может быть огромное количество. Кстати расписание для правил есть и в координаторе, это если вам надо что-то "просто проверить" и "случайно получилось". Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 2 Июля 2018 Жалоба Поделиться Опубликовано 2 Июля 2018 40 минут назад, DimmKo сказал: В тех же Cisc'ах есть такая функция. На цисках архитектурно предусмотрена работа с двумя сущностями startup-config и running-config. Вы предлагаете целиком архитектуру поменять?) Еще раз СКЗИ это не обычный роутер, задачи несколько другие, и сильного юзерфрендли тут ждать не стоит, а некоторые моменты в принципе невозможно организовать из-за требований регулятора. Если Вы хотите экспериментировать заведите себе ip-kvm. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
DimmKo Опубликовано 2 Июля 2018 Автор Жалоба Поделиться Опубликовано 2 Июля 2018 zero,R.Sheyn Спасибо за ваши ответы. Я всё понял. zero, да, про расписания не подумал, мой косяк. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
azz Опубликовано 2 Июля 2018 Жалоба Поделиться Опубликовано 2 Июля 2018 А вы с защищенного узла подключаетесь или с открытого? Так выглядит правило firewall vpn если у Вас версия 4.х Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
azz Опубликовано 2 Июля 2018 Жалоба Поделиться Опубликовано 2 Июля 2018 Видимо прислал не туда Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.