1.1 用户名密码认证
- 防暴力破解
- 硬件特征码验证
- 用户登录退出时记录日志
1.2.1 真实域名CA证书
- 系统自动申请维护延期CA证书
- 输入用户名密码才能下载
- 可以安装在浏览器里,也可以安装在USBKEY里
- 手机安装客户端APP
- 在用户门户里扫码激活
- 无需记密码,不怕泄露密码,无法主动分享密码
1.4.1 修改密码
- 首次登录强制修改密码
- 激活TOTP客户端
- 查看群组通告
- 查看VPN登录状态,虚拟IP
- 查看有效期,流量统计
- VPN登录后能使用的服务器
- VPN登录后,外网能访问的客户端资源
1.5 VPN客户端
二、从哪里来
- 多种VPN类型,防止ISP封杀
- 多种OS平台客户端,连接各种设备
- 不需要安装第三方客户端或插件,Windows、安卓、iOS内置VPN
- 0交互无人值守客户端,随Windows启动自动拨号,断线自动重连
- 验证硬件特征码
2.1 来源IP地址ACL
三、到哪里去
- 设置用户只能从某些源IP上登录
- 设置用户只能在某一设备上登录
- 方便隧道内ACL控制源IP
- 方便日志审计,可以通过源IP找到对应的用户
- 设置用户只能从某些时间段登录
- 一般同时只能一个用户登录
- 验证服务器CA证书的CN与服务器实际地址的一致性,防止冒充服务器进行MITM攻击
3.2 下发路由表
3.6.1 虚拟网络之间互联互通
- 可以设置为只读,用户无法修改下发的VPN路由表
- 可以只下发必要的服务器IP,不改变客户端默认路由,不影响客户端正常的上网
- 大规模域名库
- 自定义域名解析
- 过滤目的IP、域名、URL、后缀名等
- 不改变客户端默认路由,不影响客户端正常的上网
- VPN客户端访问VPN服务器外网IP所能连通的网络
3.6.1 虚拟网络之间互联互通
- 通过互联网组成虚拟私有网络
- VPN服务器外网网络访问VPN客户端所在OS的资源
- 内核级内网穿透
- 将外网IP、域名开头的URL映射到VPN客户端WEB服务器
- 挂靠备案域名
- 以用户名开头的子域名,解析为VPN客户端公网IP
- 实现可用xx月,每月XXGb流量的用户使用策略
- 只允许VPN用户访问某些目的IP、端口
- 记录VPN用户访问的内容,DNS、WEB、WEBPOST、Email、QQ等
- 保护VPN网络内的WEB服务器,防止SQL注入等攻击
- 保护VPN网络内的应用服务器,防止远程攻击
多种VPN服务器部署方式,方便发布应用服务器
3.12.1 网络边界、局域网、云端等
3.12.2 硬件、虚拟机等
3.12.3 通过VPN隧道内DNAT,把VPN客户端变成应用服务器
3.12.4 局域网内部使用VPN
思维导图:
参考:
原文:http://www.trustcomputing.com.cn/cn/index.php/support/techdocs/117-zerovpn
- 作为上网认证工具,防止破解WIFI、私接上网PC
- 实现流量统计与控制
- 防止局域网窃听
参考: