关于SSL VPN吐槽

关于SSL VPN吐槽

前言：

       某公司产品我认为一直都不错，但是除了ssl vpn，从来没有一款产品我想吐槽，以下为个人对ssl vpn不满意的地方。

       总体来说，分为2大点：

       1是不符合目前安全新形势，缺少审计和七层安全过滤功能，特别是护网安全需求和网络安全法要求下。

       2是目前功能均针对某公司设计，不符合大用户量情景下的使用，如果在用户相当多或者资源角色比较多（上百条情况下）的情况下，使用比较麻烦。

1、界面方面

a）关于界面，以前不觉得ssl vpn界面怎么样，但是后来看到AD新界面后，就觉得SSL VPN界面low了，以下是对比图，就颜值而言可以看到界面设计差的不是一点半点。

b）在展示方面，SSL VPN也缺少用户关注的内容，例如哪些用户登录最多、哪些资源被访问最多，哪些时段是访问高峰时段（曲线图），用户流速/资源流速排行（首页显示）等等，设备运行状态也只有CPU占用率，不像AD可以详细到每个核的。

c）希望可以学AD一样，实现场景化功能界面，例如ssl场景、ipsec场景、emm场景、网关/单臂场景。

d）登录界面自定义的东西太少了，可以参考AC的认证页面定制。

c）建议新增主题商店功能，可以把其他用户设计的登录界面或者原厂设计的界面，放进去，用户可以自主下载和选择。

2、功能方面

2.1 关于审计功能

a）SSL VPN最大问题就是数据中心，以前可能是因为设备没有硬盘，空间不够所以没有内置数据中心，但是现在动不动就是32GSSD起步，是否可以设置内置数据中心？

b）内置数据中心好几年没改进了，现在网络安全要求越来越越严格，特别是护网时候，对于来自vpn用户的攻击流量需要识别和审计，但是ssl vpn外置数据中心审计功能太过简单，只有登录IP、虚拟IP、访问资源的IP，是否可以加入更多的审计，例如审计到该访问记录的资源名称、端口、访问内容、文件传输审计（包含打开的链接，类似AC的日志）等，最好每次访问都能审计。

c）外置数据中心的设备运行记录和报表功能太过简单，可以参考AC的设计。

d）SSL外置数据中心无法兼任其他产品的外置数据中心，现在客户很可能会买几类产品，都使用外置dc的话可能就需要几台服务器了，建议增加兼容性，或者设计统一外置数据中心，兼容ssl、ac、af等。

2.2 关于安全功能

目前SSL VPN安全方面功能比较少，在AC都新增僵尸网络防护功能下，是否可以在SSL VPN新增安全功能，现在用户越来越关心ssl客户端在访问资源同时是否带来安全风险，目前解决办法就是在SSL VPN前串接防火墙，但是有个问题，无法识别具体ssl用户和针对ssl用户的拦截，另外流量二次经过防火墙也增加防火墙负担，另外无法根据ssl用户做策略；也不是每个客户都有防火墙或者无法把ssl vpn接到防火墙后面。

a）因此建议vpn设备可以新增例如IPS、WAF、APT、DDOS防护、网关杀毒等功能；另外是否可以在vpn客户端集成edr客户端模块，总部部署edr服务端解决客户端安全问题？

b）如果不在设备增加功能，是否可以在防火墙增加和SSL VPN联动功能，例如同步ssl用户，发现攻击马上拦截（或者联动注销ssl用户），但不影响其他用户，联动审计具体发起攻击的用户，包括edr和安全感知都能联动，例如识别到攻击，联动edr去查杀病毒，edr客户端通过ssl vpn和服务端通信。

2.3 关于“角色”改进方面

a）ssl vpn无法根据资源名称查找角色，当角色几十上百条的时候，查询哪些角色绑定了哪些资源就十分麻烦。

b）建议新增冗余角色检查，例如哪些角色里分配的用户和资源都是一样的，或者相似度比较高。

c）当用户想查询ssl用户权限时，只能在资源角色查询权限报告，无法在用户管理界面一次看清楚关联哪些资源。

2.4 关于登录

a）建议把如下功能加入到策略组里，有部分客户要求针对不同用户，开放自动登录或者保存密码功能，目前是针对全局。

b）建议弹出资源列表时，可以选择是客户端弹出还是浏览器弹出资源列表。

2.5 关于认证

a）建议新增符合当前新趋势的认证方式，例如指纹（通过指纹key或者某公司ec手机客户端来做指纹认证）、人脸识别等方式，也可以开放第三方接口和第三方指纹认证、人脸认证的app联动做认证。

b）短信认证建议增加和某公司、某公司的短信认证支持。

2.6 关于资源和用户管理

a）现在ssl vpn有4种资源，每次跟客户解释都十分麻烦，是否能把资源合并成一种。

其实也不是说合并成1种，就是就新建资源的时候，可以根据资源类型选择某种资源，例如发布icmp和udp资源，就自动选择为l3vpn，发布http资源，可以选择为tcp或者l3vpn，如果客户不想装客户端，或者手机端访问，就只能是web或者l3vpn。例如数据不落地选择远程应用。等等，实现场景化选择资源类型。

b）目前无法识别哪些资源用的比较多，哪些资源用的比较少，甚至一直没用的，建议新增这个功能。

c）建议新增冗余资源检查，例如哪些资源里分配的ip和端口都是一样的，或者相似度比较高。

d）当ssl用户访问不到资源时，在设备无法识别是否因为资源无法访问导致，因此建议新增监控检查功能，通过类似AD的健康检查方式探针资源是否正常，同时针对重点资源连通性，可以选择放到主界面展示。

e）建议新增闲置用户（多天没登录的）自动删除功能。

f）之前ssl vpn好像有个限制，限制一次导入的用户数、限制总用户数（好像是15000人）、限制用户组数，我认为这些都是针对某公司用户开发时候做的设计，当在大型企业、高校、行业用户用的时候可能就很容易超出限制了。

g）还有就是远程应用发布不支持双屏显示，特别是医疗行业，随着远程医疗的发展，有些医生会在家里或者外地看影像图谱（即PACS系统），为了方便看对比图，就会用到双显示屏看看，但是之前有客户在部署时发现，远程应用不支持双屏（画面只能在一个屏显示，无法拖到另外一个屏幕），最后客户只能用l3vpn发布，但是涉及到数据安全性又无法彻底保障（远程应用可以保障数据不落地），因此建议修复这个bug。

2.7 其他功能

a）建议新增消息功能，针对指定用户发送实时消息，右下角或者其他地方弹出也行。

2.8 关于设备运维

a）建议新增一键恢复出厂功能。

b）建议新增抓包功能。

c）建议取消“在配置更改后，需要点击立即生效”这个设计，这个设计毫无意义。

楼主你好，非常感谢您的建议，很用心，感谢您对我司的支持，关于你提到的几点，
1、审计功能
新版本的外置数据中心已经在改进了，M768R2版本(计划12月发布)，可以较大的改善外置数据中心的体验问题。
包括日志保存和查询优化，稳定性等都得到了大幅的优化。
外置数据中心审计的时候可以有效的定位到用户，由于ssl设备的性质主要是在数据的安全传输，所以对具体引用层或者传输层的审计没有做深入的分析。


2、关于安全功能
这部分当前还没有规划，由于产品的侧重点主要还是在认证和安全访问上，当前的vpn产品的功能规划也主要是围绕着这几大核心功能展开的。
关于安全功能的需求，这部分可以搭配其他安全产品一起解决这个问题。


3、关于认证
认证是vpn的重要组成部分，具体的认证方式也直接决定着客户的体验。
在刚发布的M768版本中，做了大量的认证功能的优化，和新的认证方式的支持。
其中就有认证插件的标准化，包括 常用的http(s)短信网关对接，第三方认证服务对接等。还包括常用的微信扫码认证等。
后续的M768R2版本会增加谷歌动态令牌认证。M769版本规划增加钉钉扫码认证。企业微信认证也在规划中...
关于其他的前新趋势的认证方式，我们这边也是保持关注，如有市场需求也会纳入需求池。


4、其他体验功能的改进
目前vpn产品再做精品化改进，关于vpn的体验问题也在持续的推动改进中

顶上去:冷漠:

技术细节先别说，能不能把linux的支持搞一搞。

非常感谢楼主对SSL 产品的关注，看得出来，楼主确实很用心地写了这些建议，实实在在想帮忙我们的产品改进，请SSL 研发经理安排答复，谢谢！@重要的是有好的建议

楼主确实很用心，但是sslvpn的设备配置太低(ssd容量低、内存小，而且不支持内存升级），研发如果考虑增加新的功能，确实要考虑我们这些设备仍在升级服务期的用户，别版本升级了、功能增加了，但是没法升级了！外置数据中心的问题确实存在，研发正在进行，希望能尽快看到。

总感觉随着功能这些越来越多，设备升级就越来越麻烦了，话说能不能硬件返厂加东西啊，例如存储啊内存什么的。这样我们给客户升级就好办了

除了安全功能的建议，其他的全部赞同，尤其是审计功能的需求相当迫切，同时运维操作易用性和可视化也必须是产品不断改进的方向。个人认为现在ssl vpn产品线研发投入越来越少，近两年的研发成果不大，可能是由于大部分文章做在了emm上。此处@产品经理
ps：关于楼主说的安全功能，我个人不赞同，每款产品应该以其专属领域发展，安全应该由专业的防火墙来做防护。

SSLVPN的界面能不能像AF一样可以多页面同时存在