本帖最后由 萌大爷 于 2019-11-11 16:42 编辑
关于SSL VPN吐槽
前言: 某公司产品我认为一直都不错,但是除了ssl vpn,从来没有一款产品我想吐槽,以下为个人对ssl vpn不满意的地方。 总体来说,分为2大点: 1是不符合目前安全新形势,缺少审计和七层安全过滤功能,特别是护网安全需求和网络安全法要求下。 2是目前功能均针对某公司设计,不符合大用户量情景下的使用,如果在用户相当多或者资源角色比较多(上百条情况下)的情况下,使用比较麻烦。
1、界面方面
a)关于界面,以前不觉得ssl vpn界面怎么样,但是后来看到AD新界面后,就觉得SSL VPN界面low了,以下是对比图,就颜值而言可以看到界面设计差的不是一点半点。
b)在展示方面,SSL VPN也缺少用户关注的内容,例如哪些用户登录最多、哪些资源被访问最多,哪些时段是访问高峰时段(曲线图),用户流速/资源流速排行(首页显示)等等,设备运行状态也只有CPU占用率,不像AD可以详细到每个核的。
c)希望可以学AD一样,实现场景化功能界面,例如ssl场景、ipsec场景、emm场景、网关/单臂场景。
d)登录界面自定义的东西太少了,可以参考AC的认证页面定制。
c)建议新增主题商店功能,可以把其他用户设计的登录界面或者原厂设计的界面,放进去,用户可以自主下载和选择。
2、功能方面 2.1 关于审计功能 a)SSL VPN最大问题就是数据中心,以前可能是因为设备没有硬盘,空间不够所以没有内置数据中心,但是现在动不动就是32GSSD起步,是否可以设置内置数据中心?
b)内置数据中心好几年没改进了,现在网络安全要求越来越越严格,特别是护网时候,对于来自vpn用户的攻击流量需要识别和审计,但是ssl vpn外置数据中心审计功能太过简单,只有登录IP、虚拟IP、访问资源的IP,是否可以加入更多的审计,例如审计到该访问记录的资源名称、端口、访问内容、文件传输审计(包含打开的链接,类似AC的日志)等,最好每次访问都能审计。
c)外置数据中心的设备运行记录和报表功能太过简单,可以参考AC的设计。
d)SSL外置数据中心无法兼任其他产品的外置数据中心,现在客户很可能会买几类产品,都使用外置dc的话可能就需要几台服务器了,建议增加兼容性,或者设计统一外置数据中心,兼容ssl、ac、af等。
2.2 关于安全功能 目前SSL VPN安全方面功能比较少,在AC都新增僵尸网络防护功能下,是否可以在SSL VPN新增安全功能,现在用户越来越关心ssl客户端在访问资源同时是否带来安全风险,目前解决办法就是在SSL VPN前串接防火墙,但是有个问题,无法识别具体ssl用户和针对ssl用户的拦截,另外流量二次经过防火墙也增加防火墙负担,另外无法根据ssl用户做策略;也不是每个客户都有防火墙或者无法把ssl vpn接到防火墙后面。
a)因此建议vpn设备可以新增例如IPS、WAF、APT、DDOS防护、网关杀毒等功能;另外是否可以在vpn客户端集成edr客户端模块,总部部署edr服务端解决客户端安全问题?
b)如果不在设备增加功能,是否可以在防火墙增加和SSL VPN联动功能,例如同步ssl用户,发现攻击马上拦截(或者联动注销ssl用户),但不影响其他用户,联动审计具体发起攻击的用户,包括edr和安全感知都能联动,例如识别到攻击,联动edr去查杀病毒,edr客户端通过ssl vpn和服务端通信。
2.3 关于“角色”改进方面 a)ssl vpn无法根据资源名称查找角色,当角色几十上百条的时候,查询哪些角色绑定了哪些资源就十分麻烦。 b)建议新增冗余角色检查,例如哪些角色里分配的用户和资源都是一样的,或者相似度比较高。
c)当用户想查询ssl用户权限时,只能在资源角色查询权限报告,无法在用户管理界面一次看清楚关联哪些资源。
2.4 关于登录 a)建议把如下功能加入到策略组里,有部分客户要求针对不同用户,开放自动登录或者保存密码功能,目前是针对全局。
b)建议弹出资源列表时,可以选择是客户端弹出还是浏览器弹出资源列表。
2.5 关于认证 a)建议新增符合当前新趋势的认证方式,例如指纹(通过指纹key或者某公司ec手机客户端来做指纹认证)、人脸识别等方式,也可以开放第三方接口和第三方指纹认证、人脸认证的app联动做认证。
b)短信认证建议增加和某公司、某公司的短信认证支持。
2.6 关于资源和用户管理 a)现在ssl vpn有4种资源,每次跟客户解释都十分麻烦,是否能把资源合并成一种。 其实也不是说合并成1种,就是就新建资源的时候,可以根据资源类型选择某种资源,例如发布icmp和udp资源,就自动选择为l3vpn,发布http资源,可以选择为tcp或者l3vpn,如果客户不想装客户端,或者手机端访问,就只能是web或者l3vpn。例如数据不落地选择远程应用。等等,实现场景化选择资源类型。
b)目前无法识别哪些资源用的比较多,哪些资源用的比较少,甚至一直没用的,建议新增这个功能。 c)建议新增冗余资源检查,例如哪些资源里分配的ip和端口都是一样的,或者相似度比较高。 d)当ssl用户访问不到资源时,在设备无法识别是否因为资源无法访问导致,因此建议新增监控检查功能,通过类似AD的健康检查方式探针资源是否正常,同时针对重点资源连通性,可以选择放到主界面展示。 e)建议新增闲置用户(多天没登录的)自动删除功能。 f)之前ssl vpn好像有个限制,限制一次导入的用户数、限制总用户数(好像是15000人)、限制用户组数,我认为这些都是针对某公司用户开发时候做的设计,当在大型企业、高校、行业用户用的时候可能就很容易超出限制了。g)还有就是远程应用发布不支持双屏显示,特别是医疗行业,随着远程医疗的发展,有些医生会在家里或者外地看影像图谱(即PACS系统),为了方便看对比图,就会用到双显示屏看看,但是之前有客户在部署时发现,远程应用不支持双屏(画面只能在一个屏显示,无法拖到另外一个屏幕),最后客户只能用l3vpn发布,但是涉及到数据安全性又无法彻底保障(远程应用可以保障数据不落地),因此建议修复这个bug。
2.7 其他功能 a)建议新增消息功能,针对指定用户发送实时消息,右下角或者其他地方弹出也行。
2.8 关于设备运维 a)建议新增一键恢复出厂功能。 b)建议新增抓包功能。 c)建议取消“在配置更改后,需要点击立即生效”这个设计,这个设计毫无意义。 |