产品行业: ISP与互联网军团(L1)-通信(L2) 产品型号: USG6615E 背景叙述: 在实际部署中，有些企业远程办公用户规模可达数百至数千人，且存在多终端（Windows/macOS/Android/iOS）、多场景（居家办公、差旅、合作伙伴接入）需求，同时需对接企业AD域、OA、ERP等内部系统。但USG6615的SSL VPN功能在大规模并发接入、终端适配、权限精细化管理、故障快速恢复等方面存在短板，导致远程办公体验差、运维成本高，影响核心业务连续性。 产品问题: 1、大规模并发接入性能瓶颈：当数百名用户同时通过SSL VPN接入时，设备并发处理能力不足，易出现登录卡顿、隧道建立缓慢、内网访问延迟高的问题；且无连接数动态扩容机制，固定并发上限无法适配企业远程办公的潮汐式流量（如早9点、晚5点的接入高峰）。2、终端适配与兼容性差：对 macOS、iOS、Android 等非Windows终端的适配不完善，部分终端需手动安装插件、配置证书，操作门槛高；且对浏览器（如 Chrome、Edge 最新版本）兼容性不足，易出现登录页面加载失败、功能按钮失效的情况。3、权限精细化管理能力不足：仅支持基于用户/用户组的粗粒度权限划分，无法实现“用户、终端、位置、时间” 的多维度细粒度授权（如仅允许财务人员在办公时间、通过公司配发终端访问财务系统）；且无权限临时申请、自动过期机制，合作伙伴接入需手动配置权限，运维效率低。4、故障排查与恢复效率低：SSL VPN隧道断开后，仅能通过命令行查看日志、会话状态，无图形化故障诊断工具，难以快速定位是网络问题、终端证书失效、权限冲突还是设备性能瓶颈导致的故障；且无隧道自动重连、会话临时保持机制，用户需重新登录，影响办公连续性。5、与企业身份系统联动不足：仅支持基础的AD域、LDAP认证，无法与企业SSO系统、多因素认证工具深度联动，用户需多次输入账号密码，体验差；且无用户行为审计可视化报表，无法追溯远程接入的异常操作（如异常IP登录、越权访问）。 产品建议: 1、新增SSL VPN并发连接动态扩容机制：基于设备CPU、内存使用率自动调整并发连接上限，高峰时段（如早9点）自动扩容至设备最大承载能力，低峰时段自动缩容，避免资源浪费；同时优化SSL握手、隧道加密算法，提升单用户隧道建立速度，将并发500用户的登录响应时间控制在3秒内。2、新增接入流量调度功能：支持将SSL VPN流量按用户组、业务类型分流至不同的VPN实例，避免单一实例流量过载；同时支持与负载均衡设备联动，将大规模接入请求分发至多台USG6615设备，实现集群化扩容。3、推出全终端免插件客户端：针对Windows/macOS/Android/iOS开发轻量化客户端，支持一键安装、自动配置证书，无需手动操作；同时优化Web登录页面，兼容Chrome、Edge、Safari等主流浏览器的最新版本，确保登录、文件传输、内网访问等功能正常使用。4、新增终端环境自检功能：客户端登录前自动检测终端系统版本、证书状态、网络环境，若存在不兼容项（如证书过期、网络端口被封），即时提示并提供修复方案（如自动更新证书、推荐备用网络端口）。5、新增“用户、终端、位置、时间” 四维授权模型：支持基于用户身份、终端类型（公司配发/ 个人设备）、接入位置（办公区 / 居家 / 境外）、接入时间（工作时段/非工作时段）设置访问权限，例如仅允许“财务部员工”在“工作时间”通过“公司配发笔记本”访问“财务系统”，禁止个人终端、非工作时段接入。6、新增权限临时申请与自动过期功能：支持用户通过客户端提交临时权限申请（如合作伙伴申请1天的内网系统访问权限），管理员审批后自动生效，到期后权限自动回收；同时支持权限模板化配置，将常用权限组合保存为模板，快速分配给用户组，提升运维效率。7、在 Web 管理界面新增SSL VPN故障诊断中心：通过图形化界面展示隧道建立全流程（认证、授权、隧道加密、内网访问），用颜色标记异常环节（如认证失败标红、隧道加密超时标黄），并提供故障原因分析（如“AD 域认证失败，请检查域服务器连通性”）和一键修复方案（如“重启 SSL VPN 服务”“重新下发终端证书”）。8、新增SSO单点登录与MFA多因素认证集成：支持与企业现有SSO系统、MFA 工具（如短信验证码、令牌、指纹识别）深度联动，用户一次登录SSO系统后，可直接访问SSL VPN内网资源，无需重复认证；同时支持强制开启MFA 认证，提升远程接入安全性。9、新增用户行为审计可视化报表：自动记录SSL VPN用户的登录IP、接入时间、访问资源、操作行为等信息，生成可视化报表（如接入趋势图、异常访问告警、权限使用统计），支持异常行为（如境外IP登录、短时间多次登录失败）实时告警，便于管理员追溯安全事件。10、保留原命令行配置方式，新增Web界面图形化配置向导（如四维权限配置向导、故障诊断向导），适配不同运维人员的操作习惯。新增的客户端、联动功能支持与企业现有身份系统、终端管理平台无缝对接，无需额外部署独立设备。