Zeus

一、我是谁 

1.1 用户名密码认证

• 防暴力破解
• 硬件特征码验证
• 用户登录退出时记录日志

1.2 CA证书认证 

1.2.1 真实域名CA证书

• 系统自动申请维护延期CA证书

1.2.2 自签名CA证书

• 输入用户名密码才能下载
• 可以安装在浏览器里，也可以安装在USBKEY里

1.3 TOTP动态密码认证

• 手机安装客户端APP
• 在用户门户里扫码激活
• 无需记密码，不怕泄露密码，无法主动分享密码

1.4 WEB用户门户 

1.4.1 修改密码

• 首次登录强制修改密码
• 激活TOTP客户端

1.4.2 查看当前状态

• 查看群组通告
• 查看VPN登录状态，虚拟IP
• 查看有效期，流量统计

1.4.3 查看服务资源

• VPN登录后能使用的服务器

1.4.4 设置DNAT规则

• VPN登录后，外网能访问的客户端资源

1.4.5 查看VPN日志 

1.5 VPN客户端

• 多种VPN类型，防止ISP封杀
• 多种OS平台客户端，连接各种设备
• 不需要安装第三方客户端或插件，Windows、安卓、iOS内置VPN
• 0交互无人值守客户端，随Windows启动自动拨号，断线自动重连
• 验证硬件特征码

二、从哪里来 

2.1 来源IP地址ACL

• 设置用户只能从某些源IP上登录

2.2 用户名MAC地址绑定

• 设置用户只能在某一设备上登录

2.3 用户名虚拟IP绑定

• 方便隧道内ACL控制源IP
• 方便日志审计，可以通过源IP找到对应的用户

2.4 时间段控制

• 设置用户只能从某些时间段登录

2.5 同一用户名不同地点同时登录

• 一般同时只能一个用户登录

三、到哪里去 

3.1 服务器身份验证

• 验证服务器CA证书的CN与服务器实际地址的一致性，防止冒充服务器进行MITM攻击

3.2 下发路由表

• 可以设置为只读，用户无法修改下发的VPN路由表
• 可以只下发必要的服务器IP，不改变客户端默认路由，不影响客户端正常的上网

3.3 下发DNS服务器 可以是内置虚拟网关的DNS服务器

• 大规模域名库
• 自定义域名解析

3.4 强制用户使用内置虚拟网关的WEB代理服务器

• 过滤目的IP、域名、URL、后缀名等
• 不改变客户端默认路由，不影响客户端正常的上网

3.5 虚拟IP SNAT

• VPN客户端访问VPN服务器外网IP所能连通的网络

3.6 客户端资源访问
3.6.1 虚拟网络之间互联互通

• 通过互联网组成虚拟私有网络

3.6.2 虚拟IP DNAT

• VPN服务器外网网络访问VPN客户端所在OS的资源
• 内核级内网穿透

3.6.3 外网URL映射

• 将外网IP、域名开头的URL映射到VPN客户端WEB服务器
• 挂靠备案域名

3.6.4 DDNS动态域名服务

• 以用户名开头的子域名，解析为VPN客户端公网IP

3.7 流量统计及控制

• 实现可用xx月，每月XXGb流量的用户使用策略

3.8 VPN隧道内ACL

• 只允许VPN用户访问某些目的IP、端口

3.9 VPN隧道内网络审计

• 记录VPN用户访问的内容，DNS、WEB、WEBPOST、Email、QQ等

3.10 VPN隧道内WAF

• 保护VPN网络内的WEB服务器，防止SQL注入等攻击

3.11 VPN隧道内IDS/IPS

• 保护VPN网络内的应用服务器，防止远程攻击

3.12 VPN服务器 

       多种VPN服务器部署方式，方便发布应用服务器 

3.12.1 网络边界、局域网、云端等 

3.12.2 硬件、虚拟机等 

3.12.3 通过VPN隧道内DNAT，把VPN客户端变成应用服务器 

3.12.4 局域网内部使用VPN

• 作为上网认证工具，防止破解WIFI、私接上网PC
• 实现流量统计与控制
• 防止局域网窃听

思维导图: 参考：

中神通UTMWALL-ROM网关OS

大地DNS&URL云控管系统

原文：http://www.trustcomputing.com.cn/cn/index.php/support/techdocs/117-zerovpn

[ 本帖最后由 Zeus 于 2023-9-7 16:43 编辑 ]