导论:中神通大地云控包含纯正未阉割增强型的VPN服务器及路由型VPN客户端,“云管端”三栖,软硬件兼施,更接近软件定义安全(Software Define Security)的本质,在大多数情况下时可以充当VPN服务器/VPN路由器、SD-WAN及SASE使用,而且,某些客户需求只能通过中神通大地云控实现。
项目 | 中神通大地云控 | 普通VPN | SD-WAN | SASE |
用途 | 服务器接入、组建虚拟局域网(可提供上外网服务) | 服务器接入、组建虚拟局域网 | 组建虚拟局域网并提供上外网服务,也可为服务器接入 | 服务器接入 |
与业务系统耦合度 | 弱耦合,只负责TCP/IP层端口级别的连通及安全;URL代理是较强耦合;可与应用系统共处一机(WSL、Linux) | SSLVPN较强耦合,其它弱耦合;无法与应用系统共处一机 | 较强耦合;无法与应用系统共处一机 | 强耦合;无法与应用系统共处一机 |
VPN协议 | 9种,1种内核级WireGuard VPN及8种用户态VPN,包括IKEv2/IPSec、OCSERV、PPTP、L2TP、OpenVPN/SSLVPN、SoftEther/SSTP、Socks代理 | 2~4种用户态VPN,包括IPSec、PPTP、L2TP、SSLVPN | 1种用户态VPN,IPSec VPN;或者没有加密VPN,只是路由隧道协议 | 2~3种用户态VPN,包括SSLVPN、IPSec VPN、Socks代理 |
VPN服务器 | 软件或硬件,可部署在任意云端、线下物理机或线下虚拟机,兼容第三方VPN客户端,CA、证书、用户名密码认证 | 硬件设备,只能作为线下物理机,不一定兼容第三方VPN客户端,CA、证书、用户名密码认证 | 硬件设备,不兼容第三方VPN客户端,证书、用户名密码认证;以SaaS形式提供的SD-WAN服务,服务器位置固定,数量有限,存在信息泄露的隐患 | 硬件设备,不兼容第三方VPN客户端 |
VPN路由器 | 软件或硬件,可部署在云端、线下物理机或线下虚拟机,一处客户端可以同时连接多个不同厂家、不同协议的VPN服务器(多云),并可为局域网提供SNAT上VPN路由(免客户端软件安装);与同机的VPN服务器一起工作,构成VPN链、Multi-Hop及Mesh Network | 另外一台VPN服务器设备 | CPE设备,没有个人终端软件,只能连接本厂的服务器 | |
VPN客户端 | 可定制的VPN客户端软件,中文界面、适用于各种Windows系统,可以做到随Windows启动而自动拨号(包括全部Windows内置的VPN拨号客户端)、断线重播 | 纯软件、只为终端自身VPN联网,不能为局域网提供VPN路由服务 | 定制的浏览器软件,只为终端自身VPN联网,不能为局域网提供VPN路由服务,只能连接本厂的服务器 | |
GRE隧道 | 可以同时建立多个IPv4、IPv6 GRE隧道,用于多台设备的互联互通。 GRE隧道拉近两台主机的网络路由距离,在此基础上,利用两个虚拟隧道IP,分别在两台主机上做SNAT、DNAT、静态路由策略,可以让流量通过GRE隧道快捷到达对方连接的网络 | |||
网络IP接入 | 提供CF WARP客户端,可获得CF公司的IPv4、IPv6网络出口IP,可同步使用WireGuard VPN客户端获得网络层接入;提供HE IPv6隧道接入服务,可获得HE公司的IPv6网络出入口IP;提供GRE隧道接入服务,可获得对方的IPv4、IPv6网络出入口IP | |||
TCP转换 | TCP转换为WS/SSL,进而利用CloudFlare CDN实现TCP应用接入,达到网络应用加速、防DDoS攻击、隐藏服务器信息、防屏蔽中转、过WEB代理过滤、IPv4/IPv6接入等目的 | |||
SNAT、DNAT | VPN服务器为VPN客户端提供SNAT上外网服务;VPN路由器/客户端为局域网用户提供SNAT上VPN路由的服务;VPN服务器提供DNAT端口映射功能,让外部访问VPN客户端所在的内部网络资源(内网穿透,类似CloudFlare Argo Tunnel) | 只有服务器SNAT | 只有SNAT | 只有服务器SNAT |
静态路由 | 可以对 IPv4、IPv6、VPN网络的不同目的地址设置相应的网关IP,用于优化网络路径、回程路由等目的 | |||
策略下发(客户端0配置) | OK | OK | ||
客户端二维码、URL开局(客户端1键开通) | OK | |||
客户付费自助开通(发卡系统) | OK | |||
WAN出口调度 | OK | OK | ||
VLAN over VPN | OK | OK | ||
内置用户管理及WEB用户自服务门户 | OK | OK | OK | |
用户认证及上网日志留存及审计 | OK | OK | OK | |
内置自签名根CA中心 | OK | OK | OK | |
内置自动申请维护真实域名SSL证书客户端 | OK | |||
内置DNS/DDNS服务器及大规模域名库 | OK | |||
内置WEB服务器/URL代理 | OK | |||
内置WEB代理(SWG安全WEB网关,更精细的VPN隧道内的上网控制) | OK | |||
内置DNS、SSH、WEB代理服务及日志,将有恶意行为的不良IP加到IP黑名单中,实现大数据挖掘+蜜罐Honeypot功能 | OK | |||
内置SS、Stunnel、TLSProxy、KMS等网络服务 | OK | |||
内置NFS、CIFS网络存储服务器(远程超融合) | OK | |||
内置防火墙(零信任) | OK | OK | OK | OK |
内置EDR安全防护 | 防病毒、HIDS入侵检测、HTTPS WAF、主机安全加固、蜜罐、弱点扫描、时间控制、高可用性监控 | |||
内置用户级时间控制、流量控制(完善付费功能) | OK | |||
支持IPv6 | OK | OK | OK | |
流量控制 | 针对WEB代理、VPN及NAT服务,每个用户按天、月、年等统计控制,可将VPN接入的应用转变为可计费、可运营的网络服务;针对每个来源IP不限协议进行总流量统计与控制,防止网络资源被滥用、防DdoS攻击、拖库等非法操作 | |||
用户认证 | 有用户名密码、SSL证书、RADIUS、TOTP动态口令等多种认证方式; 可代替、也可支持第三方RADIUS、LDAP、AD认证;10种服务器支持RADIUS认证(一号通,超级SSO),7种服务器支持TOTP认证;内置WEB用户门户,用于自主修改密码、初始化TOTP密码等 | |||
QoS控制 | OK | |||
应用识别 | OK |
在线文档:
https://docs.qq.com/doc/DQWl0V2Nzektwd0Zq
更多介绍:http://www.trustcomputing.com.cn/cn/index.php/product/dns-url
下载地址:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174
欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) | Powered by Discuz! 6.0.0 |