linda

 

导论：中神通大地云控包含纯正未阉割增强型的VPN服务器及路由型VPN客户端，“云管端”三栖，软硬件兼施，更接近软件定义安全（Software Define Security）的本质，在大多数情况下时可以充当VPN服务器/VPN路由器、SD-WAN及SASE使用，而且，某些客户需求只能通过中神通大地云控实现。

 

 

项目	中神通大地云控	普通VPN	SD-WAN	SASE
用途	服务器接入、组建虚拟局域网（可提供上外网服务）	服务器接入、组建虚拟局域网	组建虚拟局域网并提供上外网服务，也可为服务器接入	服务器接入
与业务系统耦合度	弱耦合，只负责TCP/IP层端口级别的连通及安全；URL代理是较强耦合；可与应用系统共处一机(WSL、Linux)	SSLVPN较强耦合，其它弱耦合；无法与应用系统共处一机	较强耦合；无法与应用系统共处一机	强耦合；无法与应用系统共处一机
VPN协议	9种，1种内核级WireGuard VPN及8种用户态VPN，包括IKEv2/IPSec、OCSERV、PPTP、L2TP、OpenVPN/SSLVPN、SoftEther/SSTP、Socks代理	2~4种用户态VPN，包括IPSec、PPTP、L2TP、SSLVPN	1种用户态VPN，IPSec VPN；或者没有加密VPN，只是路由隧道协议	2~3种用户态VPN，包括SSLVPN、IPSec VPN、Socks代理
VPN服务器	软件或硬件，可部署在任意云端、线下物理机或线下虚拟机，兼容第三方VPN客户端，CA、证书、用户名密码认证	硬件设备，只能作为线下物理机，不一定兼容第三方VPN客户端，CA、证书、用户名密码认证	硬件设备，不兼容第三方VPN客户端，证书、用户名密码认证；以SaaS形式提供的SD-WAN服务，服务器位置固定，数量有限，存在信息泄露的隐患	硬件设备，不兼容第三方VPN客户端
VPN路由器	软件或硬件，可部署在云端、线下物理机或线下虚拟机，一处客户端可以同时连接多个不同厂家、不同协议的VPN服务器（多云），并可为局域网提供SNAT上VPN路由（免客户端软件安装）；与同机的VPN服务器一起工作，构成VPN链、Multi-Hop及Mesh Network	另外一台VPN服务器设备	CPE设备，没有个人终端软件，只能连接本厂的服务器
VPN客户端	定制的VPN客户端软件，中文界面、适用于各种Windows系统、可以做到随Windows启动而启动、断线重播	纯软件、只为终端自身VPN联网，不能为局域网提供VPN路由服务		定制的浏览器软件，只为终端自身VPN联网，不能为局域网提供VPN路由服务，只能连接本厂的服务器
SNAT、DNAT	VPN服务器为VPN客户端提供SNAT上外网服务；VPN路由器/客户端为局域网用户提供SNAT上VPN路由的服务；VPN服务器提供DNAT端口映射功能，让外部访问VPN客户端所在的内部网络资源（内网穿透，类似CloudFlare Argo Tunnel）	只有服务器SNAT	只有SNAT	只有服务器SNAT
策略下发（客户端0配置）	OK		OK
客户端二维码、URL开局（客户端1键开通）	OK
客户付费自助开通（发卡系统）	OK
WAN出口调度	OK		OK
VLAN over VPN	OK		OK
内置用户管理及WEB用户自服务门户	OK	OK		OK
用户认证及上网日志留存及审计	OK	OK		OK
内置自签名根CA中心	OK	OK	OK
内置自动申请维护真实域名SSL证书客户端	OK
内置DNS/DDNS服务器及大规模域名库	OK
内置WEB服务器/URL代理	OK
内置WEB代理(SWG安全WEB网关，更精细的VPN隧道内的上网控制)	OK
内置DNS、SSH、WEB代理服务及日志，将有恶意行为的不良IP加到IP黑名单中，实现大数据挖掘+蜜罐Honeypot功能	OK
内置SS、Stunnel、TLSProxy、KMS等网络服务	OK
内置NFS、CIFS网络存储服务器(远程超融合)	OK
内置防火墙(零信任)	OK	OK	OK	OK
内置用户级时间控制、流量控制(完善付费功能)	OK
支持IPv6	OK		OK	OK
QoS控制			OK
应用识别			OK

 

 

参考文件：

中神通大地DNS&URL&VPN云控管系统（简称大地云控）：

http://www.trustcomputing.com.cn/cn/index.php/product/dns-url

 

本文实时更新版本：

https://docs.qq.com/doc/DQWl0V2Nzektwd0Zq

[ 本帖最后由 linda 于 2021-9-15 15:31 编辑 ]