中神通大地EDR&DNS&URL&VPN云控管系统(简称大地云控/TrustGate)可以部署在内网、边界和云端的X86硬件、虚拟机平台、VPS云服务器上,为线上线下OS应用软件/SaaS提供全面防护、互联互通的数字化安全网络底座。可用于主机及应用的安全防护、网络安全等级保护、权威智能DNS解析、安全WEB服务器、IPv4&v6上网、零信任VPN远程接入、P2P/Mesh VPN组网、资源发布、内网穿透、上网审计控管、流量统计控制、网络存储、保护隐私等。
借助于云计算模型的IaaS、PaaS、SaaS分类,把Linux Stack也做同样的分类,中神通大地云控处在SPaaS层(Security Platform as a Service),包括终端网络安全防护,网络服务器、客户端、路由器,以及安全的DNS、WEB、数据库应用服务器,具体如上图所示。
最新中神通·大地EDR&DNS&URL&VPN云控管系统下载信息(安装软件包及raw、vmdk格式的服务器OS镜像文件)
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174
中神通大地云控TrustGate硬件网关
http://www.trustcomputing.com.cn/cn/index.php/product/appliance/125-trustgate
中神通大地EDR&DNS&URL&VPN云管控系统通过了阿里、华为、腾讯、AWS、天翼、浪潮、金山、百度、青云等多家公有云巨头以及银河麒麟、统信UOS、深度Deepin等多家国产OS巨头的严格审核,具体使用请见:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1540
【系统简介】
中神通大地云控集安全及效率于一身,包括终端网络安全防护、网络服务器、网络客户端、网络路由器服务、日志留存及WEB管理面板,具体功能有EDR/XDR/EPP安全防护全家桶(防火墙、防病毒、HIDS入侵检测、WAF、数据库防火墙、主机安全加固、蜜罐、弱点扫描等)、IPv4&IPv6&GRE&WARP网络接入,DNS&DDNS权威智能域名解析及代理过滤服务,WebDAV/WEB在线代理/WEB服务器及WEB代理服务器,IKEv2、WireGuard等多种S2S/P2S 全栈VPN服务器及全栈VPN路由客户端,SS/TJ/SSH/V2/Nginx/Stunnel/TLSProxy/KMS/BT客户端/NFS/CIFS应用服务,TCP转换/NAT/路由/流量统计,ServerStatus/SNMP/Netflow状态监控等功能。全部功能都配有图形界面输入、状态查询、日志留存、源IP控制、目的IP控制、时间控制、流量控制、在线帮助、视频演示等WEB管理界面。
“云管端”三栖,软硬件兼施,可以部署在内网、边界和云端的X86硬件、虚拟机平台、VPS云服务器上,适用于绝大多数Linux OS(服务器、桌面版、云OS、嵌入式OS等)。客户端软件可以在电脑、手机、平板、路由器、物联网设备、TV盒子、游戏机、电纸书等多种设备中使用,客户端OS可以是Windows、安卓、iOS、MacOS、Linux等多种平台。
【目的宗旨】
目的:互联互通,自建自管,保护安全及隐私,From Zero to Hero,做好IaaS接入的最后100米
宗旨:让用户的网络带宽价值增倍
愿景:让每一台Linux都变成软路由,让每一台VPS都变成云路由,让每个人像使用水电一样方便地使用基础网络算力
【产品特点】
- “云管端”三栖,软硬件兼施
可以部署在公有云、Windows终端(WSL)、Linux桌面、X86硬件/虚拟机(私有化部署)中,适应各种网络环境。上公有云无需dd软路由镜像,无论部署在哪里时,都有EDR/XDR/EFF安全防护自身安全。
- 快速灵活
一键安装,5分钟可用,批量修改服务器监听端口,大大方便IPv4 NAT VPS部署
一页开局,“批量用户设置”功能大大缩短用户设置时间
WEB界面多文件配置下载与上传、备份与恢复
OS级应用,可在常见的计算平台上安装使用,为绝大多数客户端提供服务
- 全面易用
几十种服务器、客户端网络应用,IPv4、IPv6网络,多种加密传输协议;全功能WEB管理界面降低使用者的技术门槛,右键多开窗口方便并行处理;批量用户设置、策略推送等功能可降低部署成本,减少人为疏忽差错,消除软件配置的安全漏洞
“开放服务列表”一个页面显示系统配置、全部功能及相关参数,本机状态一目了然,相当于当前配置资源总结及系统巡检报告;特制的SHELL 批处理命令,精选多个关键命令,一键查看系统当前状态
- 安全稳定
EDR/XDR/EPP全方位保护主机及应用安全,包括防火墙、防病毒(文件系统实时防护)、HIDS入侵检测、即插即用安全WEB服务器、WAF代理、数据库防火墙、主机安全加固(自动升级系统,修补安全漏洞、安全审计、基线测试、rootkit检测、WEBSHELL检测、弱口令检测)、时间控制等功能
EDR/XDR/EFF全方位保护主机及应用安全,包括防火墙、防病毒(文件系统实时防护)、HIDS入侵检测、即插即用安全WEB服务器、WAF防火墙、数据库防火墙、主机安全加固(自动升级系统,修补安全漏洞、安全审计、基线测试、漏洞检测、rootkit检测、WEBSHELL检测、弱口令检测)、蜜罐、弱点扫描、时间控制等功能
零信任傻瓜式主机防火墙(公有云安全组可全通免配置)、用户认证、防暴力破解、免费SSL证书
内部、外部定期检查CPU及系统负载;定期检查进程健康;C语言编译的程序(无反编译源码泄露的风险、非解释型语言运行快、可移植性好);无SQL服务(内存占用小、无SQL注入的安全隐患,避免出现v2board等面板那样的零日漏洞);HTTPS加密WEB界面(免遭中间人窃听);管理员及用户账号非ssh系统账号(最小特权、降低风险);有所在OS的安全补丁提示,一键打补丁;尽量启用使用kernel内核模块,提高系统性能及稳定性,包括ppp、l2tp、tun、ip_tunnel、wg、se网桥、aes、 bbr等
通过了绿盟、Nessus等扫描器的安全评估;中性化服务器特征,防止被SODAN、FOFA等网络扫描标记,避免被零日攻击
- 自主可控可扩展
自建自管,无需第三方云托管,防止数据泄露,保护用户商业秘密及隐私,降低运营成本;同时拥有所有权(SSH)+使用权(WebAdmin,正常模式、只读模式)+管理员原子化ServerMore;管理员可在SHELL里检查、定制进程及文件;程序与html文件分开,可替换几十种风格的WebAdmin主框架;加密用户认证API接口方便第三方自动化操作;可以在同一个OS里增加第三方软件,使用同一个WEB管理界面;可封装成Docker、OS镜像、软路由等
【产品类型】
中神通大地EDR&DNS&URL&VPN云控管系统跨界超融合的产品类型表现在IDC/ISP/IPV6、 终端及网络安全、网络存储、虚拟化云安全等领域。传统/云VPN、WEB服务器及内网穿透都是单向接入,大地云控的接入(access)是客户端及服务器双向的,IPV4及IPV6双栈,综合运用可以起到四通八达的效果,运用之妙,存乎一心,VPN客户端拨号连接后可以享受三种网络资源,同时提供三种对外服务,详见“功能介绍 三、虚拟局域网/SS/TJ/SSH服务器”,客户端应用场景详见“功能介绍 五、虚拟局域网/SS/SSR/SSH/IPV6客户端”,IPv6功能详见中神通大地云控IPV6功能说明。
就软路由而言,大地云控TrustGate类似于RouteOS、OpenWRT、爱快等,但灵活性更高,因为有通用Linux的安装软件包。
就管理面板而言,可以把大地云控看成是Linux下的Server Manager,类似与Windows Server Manager(如下图所示) + 各个服务的控制台GUI管理面板,配合最新Windows Subsystem for Linux(WSL2)可以将Windows打造成专业的Linux服务器。或者类似Cpanel、DirectAdmin、宝塔等WEB主机管理面板;或者类似Cockpit、Webmin等OS管理面板。
具体到VPN系统,中神通大地云控类似微软整套的Always On VPN/Direct Access VPN及Microsoft Endpoint Manager/Microsoft Intune系统 ,但不需要PowerShell命令行工具及XML文件,全部图形化管理,或者类似OpenVPN Access Server、LogMeIn Hamachi,各公有云VPC网关(NAT、VPN、WAF、负载均衡等)以及华为、CISCO、天融信、奇安信、深信服等各种硬件、云VPN/SDWAN/SASE/零信任网关系统的后台及GUI管理软件。
集Linux主机防御大成者—中神通大地云控Trustgate-OS,集Linux主机检测大成者—Kali Linux,中神通大地云控软件包可以安装在Kali Linux中,实现强强联合。
中神通大地EDR&DNS&URL&VPN云控管系统双栈双向接入表:
IPV4/IPV6 | 网络层 | 应用层 |
自身客户端功能 |
|
|
自身服务器功能 |
|
|
服务器的客户端平台 |
|
【适用对象】
中神通大地EDR&DNS&URL&VPN云控管系统适用于个人、单位及ISP,不仅可以安装在内网、边界的物理机、虚拟机、NAS里,还可以安装在国内外的云主机、VPS、容器Docker里,可在有限网络资源的主机上安装使用:纯IPv6主机、IPv4 NAT主机(批量修改服务器监听端口)、Docker主机、小内存主机、OpenVZ系统、Windows Subsystem for Linux(WSL/WSL2)等。可以安装在应用系统所在的OS中,虚拟化环境中可以随OS一起迁徙,同时保障访问控制安全策略不变。
中神通大地EDR&DNS&URL&VPN云管控系统是真正的云原生软件,既可以直接在云主机上安装使用,也可以用于多台云主机组建VPC网络,自建成为非官方的、高性价比的VPC网关,具备NAT、VPN(功能多而强)、WAF、负载均衡等功能。用户还可以以本软件系统为基础开发具有安全远程接入管理功能的OA/MIS/销售管理等应用系统,或者集成用户注册运营面板,实现用户自服务功能。
以下是几个典型的用户使用场景:
Linux终端安全防护的应用:
症状:作为云主机OS主力的Linux系统缺少有效的终端安全防护措施,导致基于Linux系统开发的应用系统经常受到网络攻击,同时,精通网络安全的人才人力成本高,安全狗、云锁等免费软件已经停止更新,公有云的主机安全、WAF、云托管等商业服务又太贵,普通用户用不起。
对策:1)安装中神通大地DNS&URL&VPN云控管系统到应用系统的服务器(Linux/WSL)中,启用EDR/XDR/EPP安全防护功能,包括防火墙、防病毒(文件系统实时防护)、HIDS入侵检测、即插即用安全WEB服务器、WAF防火墙、数据库防火墙、主机安全加固(自动升级系统,修补安全漏洞、安全审计、基线测试、rootkit检测、WEBSHELL检测、弱口令检测)、蜜罐、弱点扫描、时间控制、状态监控等功能,无论是DNS、WEB、VPN、数据库服务器还是其它自建应用服务器都能得到全面有效的安全防护。
互联互通/网络安全/等级保护的应用:
症状:企事业单位挂在互联网上的企业级应用系统,例如邮箱、OA、ERP、进销存、业务系统、远程桌面、网络存储、网站后台等,被黑客扫描攻击、登陆数据被暴力撞库破解、缺乏独立的日志审计、没有数据加密传输导致泄密。
对策:1)安装中神通大地EDR&DNS&URL&VPN云控管系统到应用系统的服务器或网络中,应用系统只对VPN虚拟内网开放,再利用本系统VPN的用户认证、静态虚拟IP分配、内部DNS解析以及数据保密传输功能,就能实现完整的零信任安全防护功能;2)使用IKEV2/IPSEC等VPN连接已有的S2S VPN网络及P2S VPN用户,或使用内核级速度快的WireGuard VPN代替以前老旧慢速的VPN系统,还可打造去中心化的P2P/Mesh VPN网络;3)启用DNS、SSH、WEB代理服务器,查询统计恶意用户行为,将不良IP放入IP黑名单中,通过大数据挖掘+蜜罐Honeypot的主动防御保护主机安全。
替代补充公有云、软路由的相关功能:
症状:1)公有云的VPC、NAT、IPv6、GRE、VPN、DNS、WAF、主机安全等服务的价格较为昂贵;客户的服务器不在云上,无法享受公有云的WAF等服务;公有云现有功能无法满足客户需求,例如VPN网关只有Site to Site IPSEC VPN,没有拨号VPN,只有VPN服务器,没有VPN客户端等。2)Openwrt、ROS、爱快等软路由偏重于SOHO环境,管理复杂,特别是防火墙策略,而且没有安全防护及多用户管理,无法脱离Shell使用,不是生产力工具;OS非主流、兼容性、扩展性、性能优化不佳,通过dd OS镜像的方式上云,太占用资源。
对策:1)安装中神通大地EDR&DNS&URL&VPN云控管系统到客户自己的(云/硬件)服务器中,自建VPC、NAT、IPv6、GRE、VPN、DNS、SSL、WAF、主机安全、网络存储、拨号用户等服务,节约成本,提高可控性,还可以保存为镜像,随服务器的迁移而迁移,不用重新配置;2)多云、混合云环境中,云上、线下、物理、虚拟服务器均安装大地云控系统,方便统一管理,降低管理成本。
ISP/IDC的应用:
症状:网站分布在不同地域,需要智能DNS解析才能让不同地域的客户访问最近的网站;单位申请的域名网站都需要花时间进行实名备案,否则无法使用;没有IPv6网络,影响上网及网站访问效果;发布在微信、头条、TB中的文章无法挂在单位官网上让搜索引擎收录。
对策:1)安装中神通大地EDR&DNS&URL&VPN云控管系统到服务器或云主机VPS中,启用DNS服务器的分区解析功能,实现不同来源IP解析为不同的结果;2)为域名自动申请SSL证书,5分钟内开通HTTPS网站;3)运行客户端获得IPv6 IP并为之分配域名,传统IPv4用户通过WEB代理等方式接入IPv6网络,可上国内外IPv6网站等;4)将微信、头条、TB中的文章通过HTML跳转、302重定向、反向代理、在线代理等方式,用合适的域名URL的形式再发布;5)保护API接口,防止被溯源、被滥用。
安全运维的应用:
症状:现有堡垒机实质是跳板机,只起中介作用,并不能完全控制操作者的实际操作。
对策:1)安装中神通大地EDR&DNS&URL&VPN云控管系统到客户自己的(云)服务器中,真正0代码将C/S运维转化为针对目标文件的B/S运维,无需进Console控制台、SSH远程终端或VNC、RDP远程桌面,将操作者与OS隔离开;2)可以用来克隆第二份现有的WEBAdmin应用,例如:将“SS服务器”改造为多端口、多用户服务,也可以是其它任意的应用程序。
隐私保护/隐私计算的应用:
症状:在单位、酒店、机场、餐饮等提供公共宽带或WIFI的场合,存在网络窃听、DNS劫持、WEB劫持、钓鱼WIFI的安全隐患,无法保证网络安全及个人信息不被泄露;商业机构提供的各种网络服务需要手机号、邮箱、密码、身份证号、真实姓名、信用卡、网银账号等才能注册,还会留存日志,存在商家主动出售或被黑泄露的风险进而危及其它网络服务账号;解锁某些网站、APP对地域、源IP的限制及记录,实现IP自由。
对策:1)在公有云中安装中神通大地EDR&DNS&URL&VPN云控管系统,启用在线代理、HTTPS代理、GRE隧道、VPN、SS、TJ、SSH、SFTP等数据保密传输服务,再加上用户认证服务,就能实现完整的个人隐私保护功能;2)还可以利用大地云控系统的日志审计功能,检查手机、平板、PC后台的网络请求,防止被安装后门木马。
说明:任何通过真实域名访问的,需要用户注册、在线支付的服务都不可靠,并且最后一个出口属于自己才是最安全的服务。去中心化的自建服务才能真正保护用户隐私。公众版不能跨国使用。
内网穿透的应用:
症状:应用系统因为OS不兼容、数据涉密或数据库庞大,无法迁移至云端;应用系统在内网,没有网关的管理权限,或没有专用的内网穿透客户端软件,无法做端口映射让外部访问;不愿暴露个人隐私,不想上传身份证,无法使用DDNS服务;分布在各地内网里的网络设备需要集中管理,手机、平板内的文件系统需要通过WEB Share给第三方做上传下载管理。
对策:1)在云端部署中神通大地EDR&DNS&URL&VPN云控管系统,启用VPN、SSH服务,设置VPN端口映射规则及SSH端口代理范围;创建用户,启用用户门户;2)用户登录WEB用户门户,修改密码,自定义端口映射规则,再VPN拨号连接,系统自动将客户端VPN虚拟IP的端口映射到云端公网IP上;也可以通过SSH客户端软件设置反向代理端口映射,将客户端内网IP端口映射到云端公网IP上;3)无论是否处于NAT局域网中,任意客户端可组成绕过VPN服务器的P2P VPN和Mesh VPN,增强性能、可扩展性及隐私性。
上网管理的应用:
症状:家庭里的中小学生上网不可控,学生以学习的名义沉迷游戏、动漫等和学习无关的内容。电子教室、企事业单位的上网行为管理需求与此类似。
对策:1)将上网设备或路由器DHCP服务的DNS服务器设置为中神通DNS&URL&VPN云控管系统所在的IP;2)上网设备尽量使用普通用户账户——防止修改DNS服务器设置;3)大地云控DNS库启用游戏、视频等分类,这样无需安装软件,即使无人看管或新设备也可以有效控制;4)监管者还可以在云端浏览查询统计上网DNS历史日志,发现PC、手机中病毒广告扣费等灰色后台流量,浏览无DNS污染的网站,或是自定义域名以阻拦某些不在DNS库中的网站。
安全存储的应用:
症状:手机照片、数据文件等,缺乏长期稳定安全方便自主可控可审计的存储共享方式。
对策:1)开启VPN+网络存储的远程超融合功能,让用户挂载VPN虚拟网关IP的NFS及CIFS资源,在网络邻居中操作文件;2)开启中神通大地云控系统的WebDAV服务,分配不同权限的用户账户,使用真实域名SSL证书、安全加密的https方式挂载远程目录到文件管理器,在本地串流播放、搜索、建改删远程文件,无需上传下载自动同步,不同地区、不同用户的Windows、Linux、MacOS、安卓、iOS系统的电脑/虚拟机、手机、平板、电纸书、智能盒子无需VPN同时挂载同一个目录,方便共享文件及自动备份;3)自定义分享文件链接的域名、URL及认证数据; 4)开启SSH/SFTP服务,为每个人分配账号和磁盘空间,使用第三方软件挂载远程目录到文件管理器;5)开启防病毒功能,实现安全无毒的共享环境。
流量统计的应用:
症状:合法的认证用户滥用网络资源导致整个系统失效;传统软件、客户端OS网络资源需要对外服务实现资源变现。
对策:1)开启中神通大地云控系统的用户认证、用户门户、流量统计与控制功能,每种服务的每个用户设置不同的有效期和流量配额,系统定时进行流量统计及控制,超过流量配额的用户在控制期间内不能再使用,在下一个控制期间开始时又自动恢复使用;2)将用户名密码做成卡密,在发卡平台出售; 3)用户在发卡平台购买,网上支付,平台自动发货,用户得到用户名密码和用户门户登陆地址;4)用户首次登录强制修改密码,之后可以查看、连接服务资源,VPN用户还可以设置端口映射规则,对外开放VPN客户端OS网络资源;5)开启针对每个来源IP的总流量控制,防止网络资源被滥用、DdoS攻击、拖库等非法操作。
【平台环境】
基础Linux发行版本包括CentOS、RedHat、Fedora、AWS Linux、Oracle Linux、Aliyun Linux、Ubuntu、Debian、OpenEuler、OpenAnolis、Kali、Rocky、麒麟/统信UOS/Deepin、SUSE、Win10 Ubuntu Linux(WSL/WSL2)等。
与中神通大地EDR&DNS&URL&VPN云控管系统兼容的虚拟化平台、云服务器、VPS、Docker、NAS及基础OS供应商有且不限于以下所示:
【功能介绍】
中神通大地DNS&URL云控管系统主要包括EDR/XDR/EPP安全防护全家桶、DNS&DDNS服务器以及DNS代理服务器、WEB服务器及WEB代理服务器、虚拟局域网/SS/TJ/V2/SSH服务器、虚拟局域网/SS/SSR/SSH/IPV6接入客户端、TCP转换/NAT地址转换、网络存储、用户认证、Stunnel/TLSProxy/KMS/BT客户端/NFS/CIFS/V2/Nginx网络服务、IPv6接入与转换等十大功能模块,系统支持1~300网卡IP,支持IPV4 & IPV6网络,全部功能都配有参数输入、状态查询、日志留存、源IP控制、目的IP控制、时间控制、流量控制、在线帮助、视频演示等WEB管理界面,可以在所有网卡IP上同时运行,并可以实现指定出口服务器IP的功能。
一、EDR/XDR/EPP安全防护
EDR(Endpoint Detection and Response)/XDR(Extended Detection and Response)/EPP(Endpoint Protection Platform)安全防护包括防火墙、防病毒、HIDS入侵检测、HTTPS WEB防火墙、数据库防火墙、主机安全加固、蜜罐、弱点扫描、时间控制等功能,单机使用即可,不需要第三方注册管理(非SaaS模式),也无需安装agent客户端软件(存在软件供应链安全风险),可代替安全狗、云锁、各大公有云WAF及主机安全等终端防护软件及服务,保护本机DNS、WEB、VPN、数据库以及其它任何自建应用服务,以下依次介绍:
1)防火墙
功能包括Iptables主机防火墙、SNAT及DNAT端口映射、Fail2ban防暴力破解、用户自服务门户、IPv6总体开关以及基于规则的防DDoS、CC攻击等功能。
傻瓜式填表设置来源IP黑白名单及服务端口,可以在标准安全策略模板文件的基础上做修改,达到适配实际安全需求的目的。
系统定期扫描DNS、WAF等日志,将可疑IP自动加入到黑名单来源IP列表中,彻底排除安全隐患,重启亦可快速生效。
对WebAdmin、WEB服务器、WEB代理服务器、SSH服务器等进行防暴力破解防护。
生成“开放服务列表”,一个页面显示系统配置、应用服务资产清点、全部功能及相关参数。
相当于ConfigServer Security and Firewall(csf)、Configserver ModSecurity Control(cmc)、Login Failure Daemon(lfd)。
2)防病毒
功能包括本地文件实时防护以及网络防病毒服务,如果启用服务器模式,则内存至少需要500M,服务器模式还可以为网络中其它主机提供防病毒检测服务,并定期更新防病毒数据库。启用本地文件实时防护功能后,用户读取文件时,会先检测病毒,如果发现有病毒,则文件不可读取,如果是从WEB服务器上访问文件,则返回用户403错误,防止用户下载有毒文件;如果是WebDAV、NFS、CIFS、SFTP文件,则用户不能查看、拷贝有毒文件;如果对整盘做监控,可以防止勒索病毒、挖矿病毒、后门木马蠕虫等恶意软件的运行。
3)HIDS入侵检测
功能包括本地文件异常检测、文件变化检测(不基于特征值,探测加密WEBSHELL、拖库、rootkit等异常文件,可用于防网页篡改、防数据泄露),系统日志监控,rootkit检测,软件漏洞检测等。
4)HTTPS WEB防火墙
是具有WAF功能的HTTPS反代服务器,可以为任意WEB服务器提供WAF防护,除了本机的WEB服务器,还可以为VPN、GRE客户端的WEB服务器(内网穿透)提供WAF防护。和即插即用安全WEB服务器(见下)一样,HTTPS WEB防火墙能防护的网络攻击包括但不限于:
- SQL Injection (SQLi):SQL注入
- Cross Site Scripting (XSS):跨站脚本攻击
- Local File Inclusion (LFI):利用本地文件包含漏洞进行攻击
- Remote File Inclusione(RFI):利用远程文件包含漏洞进行攻击
- Remote Code Execution (RCE):利用远程命令执行漏洞进行攻击
- HTTP Protocol Violations:违反HTTP协议的恶意访问
5)数据库防火墙
连接真实SQL数据库,并过滤非法指令,保障数据库安全。
6)主机安全加固
包括OS升级、系统审计、基线测试等主机防护功能,通过主动实施、事前防护,确保业务连续性。
通过设置自动OS升级,每小时检查一次官方提供的可升级软件包并自动升级(保留老版本),可以消除大部分已知安全漏洞,防患于未然。
系统审计可用于记录并追溯SSH远程登录等系统安全事件。
行为审计可用于记录并追溯终端登录用户输入的shell命令、mysql命令、postgresql命令等内容,配合SSH、数据库服务可以实现堡垒主机的功能。
基线测试包括检查WEBSHELL网马、rootkit木马、挖矿等后门程序以及弱口令、异常权限文件等不安全因素。
7)蜜罐Honeypot
开启DNS、SSH、WEB服务器、WEB代理、KMS、防暴力破解等真实服务(仿真度更高),并查看相关日志(包括/var/log下的日志),将有恶意企图的不良IP加到“防火墙”的IP黑名单中,实现蜜罐Honeypot功能。可以在WSL中安装本系统,保护同机的Exchange、IIS等Windows服务。
8)弱点扫描
主动扫描本机或网络中其它主机,先于黑客发现OS及WEB等开放服务存在的漏洞,以利及时修补。
9)时间控制
(1)功能
时间控制包括时间定义和时间控制两部分,主要功能模块都有“时间控制”选项,可实现应用的按时启用、停用的功能,一个时间定义包含多个不重叠的时间段,每个时间段可以是1周中的任意一天中的任意一个时间段。
(2)用途
应用举例:上班时间有人值守监控,设置上班时间段为功能启用时间,保证有人手、有时间处理突发的安全事件。
(3)适用对象
DNS、WEBPROXY、WEBSERVER、HTTPS WAF、IKEV2、OCSERV、PPTP、L2TP、OpenVPN、WireGuard、SoftEther、SS、VPN客户端、应用服务(Stunnel、TLSProxy、KMS、BT、NFS、CIFS、V2、Nginx)
(4)全方位控制
时间控制与源IP控制、目的IP控制、流量控制一起为整个系统的安全精准运行打下了坚实的基础。
10)状态监控
(1)系统自带的状态检查
每5分钟检测启动的服务进程状态,如果异常就重新启动;检测CPU、系统负载,如果超过阈值就记录到系统日志中。每2分钟检测关键服务日志,将其中的恶意IP自动加入到IP黑名单中,可自定义检测内容。NTP客户端、服务器,实现时钟同步,保证时间控制策略的准时,防止SSL证书认证错误。
(2)集成有状态监控服务器、客户端
可以集中查看多台主机的CPU、内存、负载、硬盘等性能参数,可以配置报警阈值。
(3)第三方集中管控
可以安装第三方主机监控agent程序,例如:syagent,网址是:https://app.syagent.com,通过第三方平台集中查看多台设备的系统状态及报警信息。
(4)流量控制
提供针对每个来源IP的流量控制(每天xxG),防止网络资源被滥用、DdoS攻击、拖库等非法操作。
(5)SNMP服务
可以启用本机SNMP服务,通过snmp协议远程查询本机网络流量等数据,还可以自定义shell文件,查询显示shell文件执行的结果。
(6)Netflow探针
可以启用本机Netflow探针服务,配合Netflow收集器,存储、分析netflow数据,发现DDos攻击、网络蠕虫、BT/PT等异常流量,也可以长时间记录网络数据元数据,用于事后审计。
(7)会话状态
实时显示IPv4、IPv6 TCP、UDP、ICMP及其它流量的会话统计及具体内容,快速了解系统网络流量的分布,方便采取进一步的措施,例如,将异常流量的IP添加到防火墙黑名单中等。配合最新、历史日志内容、日志统计,能快速全面地定位异常流量。
二、DNS服务器
DNS服务器包括DNS转发+递归查询、DNS防火墙/大规模域名库、权威DNS三种功能,首先,作为本地/远程DNS转发器,它将客户端的请求转发到DNS解析服务器处,并将结果缓存起来;其次,它是DNS防火墙/DNS Firewall,可以用来过滤客户端的请求,过滤措施包括内置的域名库和自定义域名规则;最后,它还可以作为权威智能DNS服务器,为整个互联网提供自主管理域名的解析服务,并提供DDNS客户端IP更新服务。
弥补了同类软件的缺陷,Bind、CoreDNS、PowerDNS——权威DNS智能解析没有GUI,Dnsmasq、 Unbound、Pi-hole——没有大规模域名库及更新服务。以下依次介绍。
1)大规模DNS分类域名库
大规模DNS分类域名库分为有害无用、上传下载、兼职离职和娱乐休闲四大类,每大类又有各自的子分类,详见下图所示。
具体域名分类为:
(一)有害无用
1 广告统计网站
2 病毒恶意网站
3 少儿不宜网站
(二)上传下载
4 代理虚拟局域网网站
5 聊天通讯网站
6 论坛博客网站
7 邮箱网盘网站
8 资源下载网站
(三)兼职离职
9 购物交易支付网站
10 股票彩票理财网站
11 兼职网赚创业网站
12 求职招聘猎头网站
13 考试留学移民网站
(四) 娱乐休闲
14 房产家居网站
15 视频电影网站
16 音乐手机网站
17 文学小说网站
18 游戏网游网站
19 体育运动网站
20 社交交友网站
21 兴趣爱好网站
22 时尚娱乐网站
23 旅游汽车网站
选中的域名库中的所有域名将被解析成一个本机IP,为此本机内置有WEB服务器,最终显示的是404错误页面(可定制),当然也可以解析成任意其它IP——127.0.0.2等。
除了A记录域名解析之外,还可以通过TXT记录查询某个域名的具体子分类,用于第三方的日志分析、统计。
中小企业、家长即使是使用几十元的SOHO路由器,配合本域名库服务也可以达到上网行为管理的目的。
2)自定义域名规则
可将某个域名的NS记录指向本系统,之后就可以在本系统中自主管理该域名,立即生效,无需等待,方便脚本等自动化操作,实现权威DNS服务器的功能。以下功能是DNS代理服务器功能。
自定义域名功能有两种用途:
(1)补充功能
可将域名库中没有的域名解析成设定的IP。
例1:可以将“广告统计”、“少儿不宜”等子类中没有包含的网站主机名解析成本机IP,以阻止色情广告的显示。
例2:可以将单位内部托管的公网服务器的域名解析成其所在的内网IP,方便单位员工从内网访问。
例3:对启用https协议的网站或游戏客户端内置的服务器域名解析成本机IP,防止员工上网看视频、游戏、购物、求职等,提高工作效率。
例4:过滤dnslog、C2C服务器、黑客病毒网站的DNS查询,保障服务器的安全。
例5:指纹浏览器验证代理设置时需要打开“google.com”网站,为此可以自定义google.com域名解析为127.0.0.1,即本系统WEB服务器,这样就可以使用国内代理。
例6:将域名的NS记录指向本单位的外网网关IP,自己负责域名解析;在内网设置两套或以上的本系统,在外网(多WAN)网关处根据源IP将DNS查询流量53/UDP重定向到内网不同的系统上,因此不同的客户端可以得到不同的解析结果,由此构成智能负载均衡DNS系统。
(2)纠正功能
将域名库中某个已有的域名解析成正确的IP。
例1: “广告统计”子类中包含有域名yiqifa.com,即yiqifa.com以及所有以yiqifa.com为二级域名的域名都被过滤(自定义域名也是如此),但是很多购物辅助网站的跳转URL的主机名是p.yiqifa.com,为此可以将p.yiqifa.com解析成正确IP,以方便浏览。
例2:对于ISP、FW等污染了的域名同样可以在此予以纠正,将其解析成正确的IP,以方便浏览。
3)DNS域名查询转发缓存功能
如果用户请求的域名不在本机自定义域名策略或预置域名库中,那么系统将向设定好的第三方域名服务器(例如:114.114.114.114或其它提供DNS过滤的DNS服务器)转发请求,并返回解析后的IP,查询结果会被系统缓存起来,下次再有相同的查询时会直接返回结果,从而提高了查询效率,节省了查询时间。
可使用非标准端口UDP/TCP DNS服务器以及DoT服务器作为转发服务器,同时,本DNS服务器也提供非标准端口UDP/TCP DNS服务以及DoT服务,为本地及网络提供解析,防止DNS劫持。Windows、Linux、安卓、iOS等客户端都无法设置、使用非标准端口的DNS服务器,只能通过使用非标准端口的DNS服务器的DNS代理服务器中转查询,才能避免DNS污染;使用VPN服务器虚拟网关IP作为DNS服务器,避免VPN客户端的DNS泄露。
还可以通过DNAT实现透明代理功能,客户端无需专门设置DNS服务器。
客户端DNS域名解析流程示意图请见下图。
4)NS自主域名管理
即自建权威DNS解析功能,类似各大公有云及Cloudflare、DNSPod、geoscaling.com、3322等提供的DNS、DDNS解析管理服务。
(1)域名解析
A、AAAA、TXT、CNAME、NS、MX、NSPTR、SRV、PTR、TXT、DNAME、SPF、CAA等常见记录,支持子域名泛解析,提供API方便大批量自动化操作,即时生效。另外还可以实现域名URL跳转功能,详见下面的“SSL证书申请+WEB关联”。
对于一个域名解析为多个IP的情景,提供IP状态监控,将失效的IP屏蔽,当该IP生效时又重新启用解析,达到自动化、故障转移、高可用性、容错负载均衡的目的。
(2)智能DNS解析
针对不同来源IP,设置不同的解析类型及解析内容(分区解析),并且有大规模IP数据库与之配合,是CDN、多地域网站的最佳拍档,方便不同地域的用户访问最近的服务器。
应用场景1:对外WEB服务器放在内网(DNAT、双线连接),外网用户、内网用户需要分别访问外网IP和内网IP才能正确的访问WEB服务器
应用场景2:同一域名的WEB服务器分布在多个物理地点,接入不同的ISP,需要针对不同的ISP用户解析为距离用户最近的IP地址(类似CDN);国外用户访问CloudFlare CDN,国内用户访问原始网站(CloudFlare国内访问不理想)
应用场景3:互联网接入商ISP针对主流视频网站做了本地视频缓存服务,还需要针对本网络用户将主流视频网站的IP地址解析为本地视频缓存服务器IP地址
应用场景4:对外服务只针对部分用户(部分公网或VPN虚拟局域网),或者需要屏蔽部分用户,他人即使知道了域名也无法访问该服务,实现私人定制功能
(3)DDNS动态解析
无需购买真实域名,无需实名认证,只需要将DNS服务器设置为本系统即可查询;
可更新A、AAAA记录及TXT记录,10秒刷新,立即生效,无需等待;
多种客户端更新IP的方式:nsupdate客户端,VPN、SSH客户端以及URL;
URL方式兼容DynDNS、3322服务器,可代替收费的服务器,可在SOHO路由器中使用;
自动生成nsupdate客户端更新批处理文件。
5) SSL证书申请+WEB关联
免费申请安装Let's Encrypt SSL证书,系统自动定期延续SSL证书有效期,并根据用户URL类型的不同,设置不同的WEB(http、https)服务的文档根目录:
- 用户URL类型是“302跳转”、“反向代理”,则相当于DNS解析中的URL跳转
- 用户URL类型是“映射到用户文件”等,文档根目录为各个用户自己的根目录,相当于虚拟主机
WEB用户通过WebDAV上传文件;SSH用户通过SFTP上传文件;VPN用户是其自己OS的WEB服务器文档根目录。
真实域名SSL证书还可用于:
- VPN/WebDAV/HTTPS代理服务,用户免下载安装自签名CA根证书,同时防御MITM攻击
- DNS over TLS(DOT)加密DNS服务
6)GG IPV6 hosts
包含GG在内的上千种IPV6域名,还可以自定义IPV6域名,配合WEB在线代理或WEB代理可上异地IPV6网站。
注意:系统每天会自动更新数据(已暂停)。
7)过滤特定类型的DNS查询
系统拒绝对ANY、PTR(IP地址反查域名)类型的查询,防止DNS放大攻击。可以配置拒绝对AAAA(IPv6域名解析)的查询,实现IPv4 only DNS,可以防止VPN连接时的IPv6地址泄露,IPv6网络速度慢,双栈App打不开,提高IPv4网络速度。
8)DNS日志留存
留存A、AAAA、IP等正常DNS查询记录,以及ANY等非正常记录,类似Passive DNS,可以查询、统计、压缩打包下载DNS日志,可用于网络审计、蜜罐、发现网络蠕虫botnet、态势感知、大数据挖掘等领域。
系统定期扫描DNS日志,将查询any、version以及同一IP、源端口查询多个不同的域名等可疑IP自动加入到黑名单来源IP列表中,彻底排除安全隐患,重启亦可快速生效。
9)防DNS泄露
为VPN连接提供内置的DNS转发解析+大规模域名库过滤+自定义域名过滤,让DNS解析走VPN隧道,避免DNS泄露。VPN服务器可以只下发DNS服务器IP为VPN路由,各OS都有内置的VPN拨号客户端,无需安装第三方APP软件,适用于4G/5G移动数据流量及WIFI网络环境,由此构成DNS over VPN(DOV)解决方案,比DNS over TLS(DOT)、DNS over HTTPS(DOH)更容易普及。
10)防DNS劫持
可以使用非53标准端口的DNS服务,以及DNS over TLS(DOT)服务作为本机DNS解析服务器,同时,也对外提供非53标准端口的UDP、TCP DNS服务,以及DNS over TLS(DOT)服务,防止DNS劫持。配合本机的WEB代理、Socks代理可以防止用户自定义hosts文件,逃避DNS过滤检查,强制按照本机的大规模域名库及自定义域名规则进行过滤。
三、WEB服务器及WEB代理服务器
1)WEB服务器
中神通大地云控系统内置WEB服务器,同时也包含防火墙、WAF、AV、HIDS、SSL、DNS、VPN等安全防护功能,使得中神通大地云控WEB服务器成为即插即用、自管自用的安全WEB服务器,针对WEB平台及安全防护建设可以做到一步到位。以下是功能简介:
- 默认安全的文件权限设置,文档根目录、子目录、文件均为只读,防止普通WEB用户创建、替换文件,防网页篡改、防数据泄露
- 提供用户名密码、RADIUS、SSL证书等用户认证方式,保护敏感数据
- 默认没有SQL服务器,防止SQL注入;或者通过数据库防火墙连接数据库
- 中性化服务特征,防止0day风险牵连;安全的SSL等服务器配置,通过了绿盟、Nessus等扫描器的安全评估
- 提供一键申请SSL证书+虚拟主机功能,并能自动续期
- 提供IPv4、IPv6双栈网络防火墙功能,包括黑白名单来源IP及防暴力破解功能,以及基于规则的防DDoS、CC攻击设置
- 集成NAT端口转发功能,实现保护服务器、内网穿透、负载均衡、网络加速、故障转移、虚拟服务器等网络功能
- 集成VPN服务功能,为OA、ERP、Email等Intranet应用提供多客户端平台的远程安全接入;为互联网网站后台管理设置固定的ACL策略、WAF白名单;可将主页模块分散反代到各下级单位管理
- 基于The OWASP ModSecurity Core Rule Set (CRS) 规则的内置WAF,类似收费的Nginx Plus或CloudFlare PRO
- 在反代/CDN模式下,日志记录、WAF处理真实客户端IP
- 提供内置WAF、外置HTTPS WAF,确保不被入侵;系统定期扫描WAF日志,将可疑IP自动加入到黑名单来源IP列表中,彻底排除安全隐患,重启亦可快速生效
- 实际环境中,可以把启用了WAF功能的WEB服务器当作蜜罐Honeypot来使用,阻拦各种攻击IP,从而达到保护本机、本网络其它服务器的作用
- 提供防病毒-文件系统实时防护,确保不被入侵、勒索、挂马、挖矿或沦为肉鸡
- 提供HIDS入侵检测+WEBSHELL扫描,确保不被入侵、勒索、挂马、挖矿或沦为肉鸡
- 提供主机安全加固功能,包括OS自动升级——自动修复系统安全漏洞、系统审计、基线测试、漏洞检测、WEBSHELL检测、rootkit检测、弱口令检测等功能
- 提供时间控制功能,贴合业务开展时间,确保业务可用性
- 提供集中监控、SNMP远程监控功能,确保业务可用性
WEB服务器提供http和https、IPV4和IPV6、标准端口和非标准端口WEB服务,还有多种内置WEB应用:
- WEB在线代理
- WebDAV服务
- SSH/SFTP服务器用户上传的文件
- 文件展示、下载、管理(上传、删除)
- 源IP显示API(辅助DDNS)
- 主机信息探针
- 网络测速
- DDNS在线更新
- SFTP WEB客户端
- 管理员指定的URL(WAAP)
- VPN服务器登陆用户的虚拟IP
- PAC文件
- 主页
管理员指定的URL有HTML跳转、302重定向、反向代理、带Cookie跨网在线代理、在线代理等多种形式,可设置成短链接/短URL,可启用用户认证,可隐藏原始URL、用户名密码等信息,有固定映射或开口映射。配合VPN/SSH/IPV6客户端可以实现将内网、移动端等已有的WEB服务发布到互联网上;可以将在微博、微信、搜狐、头条、淘宝等第三方(半封闭)平台发表的文章统一用自己域名的URL发布,方便搜索引擎优化SEO;配合用户认证,可实现多个资源的SSO单点登陆功能;配合自动申请SSL证书的域名,可以为任意网站提供https(代理)服务。
WebDAV服务将主机变成云存储同步网盘,是运行在https协议下的“网络邻居”,它不受ISP对139、445端口的封锁,不受SMB蠕虫病毒的袭扰,加密传输不需要VPN,有用户认证、流量统计控制和日志,没有广告,没有内容审计,不会被和谐,容量、带宽自定义不受限,还可在内网、虚拟机当作NAS使用;Windows、Linux、MacOS、安卓、iOS等多种OS下挂载远程目录到文件管理器,PotPlayer、VLC、静读等多个APP内置WebDAV功能,可以查找、创建、编辑、删除远程文件,不需要下载、上传,自动同步内容,可作为游戏等程序的存盘目录,方便共享,可以在浏览器等应用中保存文件到挂载的WebDAV目录中,自动成为网页发布。
SSH用户拥有本地限量磁盘空间,可以通过SFTP上传、下载文件(比传统的FTP方式安全),可以通过不同OS下的工具软件实现异地异构文件同步,可在内网使用;可以以盘符的形式安装到Windows及Linux文件系统中,方便文件操作。上传的文件作为WEB服务器的资源,可以通过域名或路径的方式发布,相当于虚拟主机。
2)WEB代理服务器
WEB代理过滤即安全WEB网关(SWG),既可以过滤内网出外网的流量,也可以作为反向代理,部署到服务器前,过滤客户端到WEB服务器的流量,还可以部署在远端,实现更换源IP的功能,用于网商刷单、游戏挂机等项目。WEB代理过滤能事前过滤客户端请求信息,100%确保没有非法数据包通过,还能过滤服务器反馈的信息,包括被压缩、分包的内容,这些都是旁路WEB审计过滤做不到的。WEB代理服务器还有完善的细分策略,包括对IP、域名、URL、端口、文件类型、文件大小、Agent等做控制。可以启用用户认证、流量统计控制及防暴力破解功能,防止资源被滥用,即使客户端IP一样,也能通过用户名加以区分,并有日志记录。还可以通过DNAT实现透明代理功能,浏览器客户端无需专门设置代理服务器。
WEB代理包括HTTP代理和HTTPS代理两种,HTTPS代理的证书既可以是本机外网IPv4、IPv6地址或虚拟域名自签名CA证书(双因子认证),也可以是由本机申请的真实域名SSL证书,HTTPS代理可实现全程加密传输,作用和VPN、SS、SSH服务类似,HTTP代理可以解密全参数HTTPS URL,为了排除对HTTP代理明文协议的干扰,可以使用VPN+VIP HTTP代理+解密HTTPS的解决方案。
为防止部分用户修改hosts文件躲避DNS代理服务器的检查,必要时可以启用WEB代理功能,WEB代理服务器将优先查询本机DNS代理服务器的自定义域名和域名库,让域名解析强制在远程进行。同时,本WEB代理服务器提供CONNECT方法,可用于https网站浏览以及软件客户端的代理服务,针对异地网站,还启用了http强制转化为https的浏览方式,用户不必事先安装浏览器转换插件或设置浏览器参数就可以用任意浏览器上网浏览。
提供PAC在线服务,方便IE、Firefox浏览器及移动设备使用,可以按策略使用多个WEB代理服务器,实现负载均衡、资源最大化的功能。
四、虚拟局域网/SS/TJ/V2/SSH服务器
VPN虚拟局域网常用于保护使用互联网连接的单位内部的应用系统,包括财务、进销存、邮箱、OA、ERP等应用系统,以及连接各种客户端和网络。中神通大地云控系统包含最全面的全栈VPN服务器,包括IKEv2/IPSEC 、CISCO AnyConnect(OCSERV )、PPTP、L2TP、OpenVPN(SSLVPN)、WireGuard(内核级VPN,兼容WARP服务)、SoftEther、SSTP、GRE、SS、TJ、V2、SSH等服务器,大部分都配有用户管理、状态查询与管理、SNAT、DNAT、策略推送(客户端0配置)等功能,全部都有日志留存与查询、时间控制、源IP限制及流量统计控制功能,可以适配几乎全部虚拟局域网/SS/SSH客户端。提供免费的真实域名CA证书申请安装续期服务,客户端不必下载安装自签名CA证书。VPN客户端(包括Windows内置的VPN拨号客户端)具备开机自动连接,断线重拨功能,客户端之间可以相互访问。还可以下发本机虚拟网关IP的DNS服务器,从而在VPN/SS/TJ/SSH服务器用户连通后,防止DNS泄露,并控制其DNS域名解析。
IKEv2/IPSEC VPN服务器为多用户的P2S VPN服务器,IKEv2/IPSEC S2S VPN客户端为多个并发的Site2Site VPN端,可以和Cisco ASA、CheckPoint、华为、深信服、TP-Link等硬件VPN设备,Openwrt、RouterOS、爱快等软路由,及各大公有云虚拟VPN网关互联互通,能超越局域网子网重叠、(云)VPN服务器在内网等限制,可以全面代替公有云VPN、NAT网关,组成多WAN VPC网络。
可以是多路异构并发的VPN服务,构成混合VPN链/VPN接力/VPN中继/VPN中转/VPN Hub/VPN前置机/VPN路由器(另一种方式是同机VPN服务器+VPN客户端),可以是通讯节点连接组成mesh VPN,也可以连通各自内网网络组成S2S VPN网络。
OCSERV、OpenVPN、WireGuard等VPN根据用户账号下发VPN 虚拟IP及VPN路由网络,客户端0配置,相当于SD-WAN。可以无VPN路由、客户端0配置+服务器下发VPN路由+每用户不同路由(SD-WAN)、4层路由/每应用不同路由。
OpenVPN/SSLVPN有定制化的Windows、Linux客户端软件,随机启动、断线重连、无人工交互,适用于电子教室、无人值守等环境;可以额外绑定、检查客户端的MAC地址等硬件特征码;可以是无加密协议或独有的加密协议。
IKEv2/IPSEC、OCSERV、PPTP、L2TP、OpenVPN、SoftEther、SSTP、SSH/SFTP等用户,可以启用RADIUS认证功能;远程集中管理用户认证数据,集成现有RADIUS/AD数据库,并可以带TOTP动态密码认证。
IKEv2/IPSEC、OCSERV、PPTP、L2TP、OpenVPN、WireGuard、SSH/SFTP等服务器可选本地2FA/MFA TOTP动态密码认证。
WireGuard VPN还可以组织P2P VPN和Mesh VPN,联网设备直接互联,绕过VPN服务器,减轻VPN服务器的负担,不受VPN服务器接入带宽的限制,降低VPN服务器的单点故障,免受VPN服务器的监听审计,大幅减小延时、提高性能。
VPN客户端登录后有三种可用资源:
1)使用虚拟网关IP内置的DNS、WEB、WebDAV、KMS、SNMP、NFS、CIFS以及HTTP/HTTPS代理等服务,无需SNAT,不干扰客户端OS路由,还能精细化管理;
2)VPN客户端之间互联互通;无论是否处于NAT局域网中,任意客户端可组成绕过VPN服务器的P2P VPN和Mesh VPN
3)SNAT上外网
VPN客户端登录后可提供三种对外服务:
1)源IP的DDNS域名
系统为VPN/SSH用户自动分配DDNS域名,用户在此基础上提供对外服务。
2)虚拟IP的端口映射
外网到VPN客户端虚拟IP的端口映射,实现内网穿透。
3)虚拟IP的URL映射
外网地址到VPN客户端所在机器的WEB服务器的http以及https的URL映射,方便内网用户发布WEB信息或传输文件。
如果VPN客户端处于局域网内,局域网PC可以通过其WEB代理服务器,甚至以路由的方式访问其后的VPN网络——而不需要VPN拨号,类似于网到网VPN,只是需要另外设置路由,可以由PC自己设置,也可以由局域网网关设置。由此可以将点到站(Point to Site/P2S)VPN转化成站到站(Site to Site/S2S)VPN,方便VPN部署,我们称之为VPN前置机或VPN中转机。
系统为SSH用户提供至少10M的磁盘空间,用户可以将其作为网盘、虚拟主机空间使用,可以将其映射到windows的一个盘符做文件操作,可以在PC、平板、手机上使用各种同步工具进行文件同步。
系统为VPN/SSH用户提供WEB用户门户和SSH Console等自服务平台,用户还可以在WEB用户门户中修改密码,查看登录状态、可用资源及流量统计,设置外网到VPN客户端虚拟IP的端口映射规则,实现内网穿透。
中神通大地云控VPN服务器相比传统VPN硬件网关有很大的差异化优势,具体详见下表:
传统VPN硬件网关 | 中神通大地云控VPN服务器 | 说明 | |
VPN协议 | 协议单一,主要是IPSEC VPN、OpenVPN(SSLVPN),不支持IPV6,缺少VPN隧道流量的审计与控制;缺少真实域名CA证书免费申请安装续期功能,客户端部署使用不方便,存在MITM攻击的风险,没有TOTP动态密码认证功能,安全性不高 | 多种S2S、P2S VPN类型,IKEV2/IPSEC、OCSERV、PPTP、L2TP、OpenVPN/SSLVPN、WireGuard、SoftEther、SSTP等以及SS、TJ、SSH,支持IPV6网络;具备真实域名CA证书免费申请安装续期功能,客户端部署使用方便,可以防MITM攻击;有自签名CA证书功能;具有TOTP动态密码认证功能;具备时间控制、目的控制、流量控制功能;无论是否处于NAT局域网中,任意客户端可组成绕过VPN服务器的P2P VPN和Mesh VPN | 协议多可以连通更多的网络及客户端;无真实域名CA证书时,每个客户端都要下载安装自签名CA证书;用户认证更安全方便 |
部署架构 | 部署位置单一且周期长,只能部署在单位或电信机房,应用服务器需靠近VPN网关,要牵电信专线,存在电源或硬件故障,无法升级硬件配置(CPU、内存、网卡),无法抵御DDOS等攻击;一旦VPN网关被黑、被非法控制,同一交换机上的应用服务器、局域网PC直接暴露在黑客眼前,十分危险 | VPN及应用服务器均可以部署在任意位置(硬件、虚拟化平台,IDC、边界、局域网),最快5分钟可用,当VPN服务器部署在公有云上时,应用服务器可以作为VPN客户端部署在局域网,节省机房、专线、迁移费用,可以动态调整VPN服务器的CPU、内存、网卡、接入带宽,依靠公有云平台抵御DDOS等攻击,即使VPN服务器被黑也无法直接入侵应用服务器、局域网,可靠性、安全性高;例外的路由(Split Tunneling)+代理服务器=基于域名的例外路由;具备大规模用户一键开局及策略推送(客户端0配置)功能,降低部署难度 | 公有云有VPN网关,但不是OS级别,云市场也有,不过是简化版硬件虚拟机,OS不开放,无法整合应用;都存在VPN协议单一,扩展性差,性价比不高的弊端 |
拨号VPN | 对拨号VPN支持不够,分支机构需要硬件设备,VPN客户端软件收费,缺乏OS内置的VPN客户端;VPN路由设置不灵活;没有内置代理服务,VPN客户端上网不方便且不可控;没有内置DNS服务器,存在DNS泄露的风险 | 专业拨号VPN服务器,分支机构不需要硬件设备、公网IP,可用OS内置、免费VPN客户端;VPN虚拟网络SNAT,绑定用户名和虚拟IP;可以不改变客户端路由,可用内置的、虚拟网关IP的DNS/WEB代理(精细控制及日志审计)、WEB应用,不影响客户端本地互联网、局域网上网;局域网用户可以通过VPN客户端上VPN网络(P2S),达到网到网VPN的效果(S2S) | 网到网VPN无法精确到个人,需要配对使用硬件设备,开销大;传统VPN无法审计控制VPN隧道内的流量,容易造成越权访问;改变VPN客户端路由,会造成上网混乱 |
VPN客户端 | 每个用户都要按照VPN客户端软件,每个客户端都要手工配置;拨号VPN系统只能VPN客户端访问VPN网关后的应用服务器或网络,不能反向访问;客户端之间不能相互访问;OS不能同时运行多个VPN客户端;交互式网页登陆,无法实现开机自动连接VPN,断线重拨等功能,不适用于无交互系统 | VPN客户端可以通过策略推送功能获取认证信息,做到客户端0配置,降低部署成本;VPN客户端连接后,可以为局域网用户提供VPN路由,无需为每一位用户安装VPN客户端软件;VPN客户端连接后,公网端口映射/URL映射到其虚拟IP的WEB等服务器,实现内网穿透并使其成内容提供商;为其公网IP分配DDNS域名;VPN客户端互联互通,甚至是绕过VPN服务器的P2P VPN和Mesh VPN;OS可同时运行多个VPN客户端,连接不同网络(多云);VPN客户端开机自动连接,断线重拨,适用于无交互系统;可以无VPN路由、客户端0配置+服务器下发VPN路由+每用户不同路由(SD-WAN)、4层路由/每应用不同路由 | 手机、平板等移动终端VPN拨号后,其资源可以被外界访问,不需要上传文件,不需要备案;适用于自动登录VPN的网络环境 |
中神通大地云控的VPN客户端+端口映射与传统的DDNS、内网穿透相比,有以下的特点和优势:
1)一次VPN拨号后,可同时具备DDNS(自己的公网)和内网穿透、URL映射(公共服务器)三种功能/服务,或只要部分功能/服务
2) 不暴露真实IP,即使使用CDN也可能暴露真实IP
3) 不需要公网IP,即使是公网IP,ISP也会封端口
4) 不需要路由器、网关的管理权限,不需要网关DNAT端口映射
5) 不暴露其它端口,只开放需要开放的端口,用户还可以通过PC防火墙精确控制来源用户或来源IP
6) 不受DNS过滤、DNS污染的影响,没有域名解析的延迟
7) 可以使用任意固定域名做公网IP解析,IPV4、IPV6均可
8) 无需暴露个人隐私,无需上传身份证才能开通服务;无需购买专门的硬件设备,纯软件实现
9) 不需要安装专门的客户端软件,防止病毒木马入侵,多平台0客户端直接使用OS自带的VPN拨号连接,连接就有,断开就无,和平常使用一样
10)专用VPN客户端可以做到断线重拨,Windows启动后用户登录前自动拨号,适用于无人值守
11) 内核级端口映射,非应用层代理,稳定高效;使用标准VPN协议,不受应用层特征过滤措施的影响
12) 清空端口映射规则或断开VPN连接即可中断对外服务,不影响内网用户访问
13) 可以禁用客户端通过VPN上网,防止入侵后下载木马或作为跳板入侵其它网络;即使启用上网,也是通过VPN虚拟服务器的HTTP/HTTPS代理器,做精细化上网管理
14) 充分利用公有云防入侵、防DDoS、防CC攻击、动态带宽、动态CPU内存资源的优势
15) 将多个分布的WEB服务器资源统一发布到一个公网WEB服务器域名之下,各部门自主管理自己的WEB服务器
16) 公网WEB服务器使用大地云控系统自动申请、维护的真实域名SSL证书
17) 客户端的WEB服务器可以再套CDN,解决流量带宽性能的问题
18) 可以让用户通过WEB用户门户自定义端口映射+源IP白名单规则,实时生效,无需重拨VPN;有流量统计控制功能
19) 可以只让管理员设置端口映射+源IP白名单规则,防止用户滥用资源导致端口冲突
20) 用户使用其账号密码,通过WEB在线更新或VPN拨号后,系统为其公网IP分配DDNS域名,断开VPN拨号后,系统撤销DDNS域名
21) 可以使用IPV4、IPV6两种网络协议,可以将IPV6服务发布到IPV4网络,反之亦然
22) 可以将WEB等任意服务资源映射到多个地域的公有云上,相当于主动的、用户自主可控的智能CDN
23)支持双因子及TOTP动态密码认证
24)即使客户端在NAT局域网中,也可组成绕过VPN服务器的P2P VPN和Mesh VPN,增强性能、可扩展性及隐私性
需要做端口映射的内部应用可以是WEB服务器、3389远程桌面、本地Socks代理、SFTP服务器、BT客户端等,客户端可以是使用Windows、安卓、iOS、MacOS、Linux操作系统的手机、平板、PC、服务器、路由器、NAS等网络设备、虚拟机、云服务器等,不需要安装客户端软件。
五、 虚拟局域网/SS/SSR/SSH/IPV6客户端
中神通大地云控系统包含最全面的全栈VPN客户端,VPN/SS/SSR/TJ/V2/SSH/IPV6/WARP客户端既可以为本机及本机的Docker容器提供连通服务(方便本机在线更新wordpress插件、git clone https://github.com/user/prj等),更可以为其他用户提供中转服务,其他用户可以通过虚拟局域网客户端所在系统的虚拟局域网/WEB代理/Socks代理,间接地连接虚拟局域网客户端所连接的虚拟局域网服务器之后的网络,构成混合VPN链/VPN接力/VPN中继/VPN中转/VPN Hub/VPN前置机/VPN路由器(同机VPN服务器+VPN客户端,另一种方式是同机异构VPN服务器1+VPN服务器2),虚拟局域网服务器及其相连的网络也可以连接虚拟局域网客户端所在的系统及其相连的系统,这样的连接方式类似WIFI热点/中继、SD-WAN的功能;无论是否处于NAT局域网中,任意客户端可组成绕过VPN服务器的P2P VPN和Mesh VPN,可以实现异构网络、异地网络的互联互通,是传统硬件VPN网关的有力补充。
IKEv2/IPSEC VPN服务器为多用户的P2S VPN服务器,IKEv2/IPSEC VPN客户端为多个并发的S2S VPN端,WireGuard VPN兼容WARP服务。
以下是几个典型的应用场景。
1)应用场景一
用户有多种移动终端,而且OS的版本也不同,可能需要同时连接多个虚拟局域网/IPV6服务器及网络,逐一安装虚拟局域网客户端并做设置会十分繁琐,升级维护也不方便,而且容易造成用户名口令泄密,为此可以设立一台前置/中转服务器,在其上启用相应的虚拟局域网客户端以及带用户认证功能的WEB代理服务器,最终用户只需要通过单一的用户认证连接上WEB代理服务器,就可以同时连接多个虚拟局域网服务器及网络。除了WEB代理服务器,局域网PC可以直接以路由的方式通过这台VPN客户端访问其后的VPN网络——而不需要VPN拨号,只是需要另外设置路由,可以由PC自己设置,也可以由局域网网关设置。由此可以将点到站(Point to Site/P2S)VPN转化成站到站/网到网(Site to Site/S2S)VPN,方便VPN部署,我们称之为VPN前置机或VPN中转机。
2)应用场景二
本地因网络阻隔、出口IP随机、QoS限制或没有配对的VPN客户端不方便直接连接异地的网络,而国内其他地点可以无限制地连接异地的网络,为此可以在国内其他地点(VPS)上部署本系统启用VPN/SSH客户端,连接异地的VPN/SSH服务器(正向代理穿透)或者启用异地的VPN/SSH客户端,连接国内VPS的VPN/SSH服务器(反向代理穿透),本地用户就可以通过国内VPS上的HTTP/Socks代理服务或VPN/SS/TJ/SSH服务连接异地的网络。
3)应用场景三
写字楼里,单位网络处在NAT内网里,而且无法在NAT路由器上做端口映射,外界无法直接连接单位边界路由器或服务器,为此可以在国内其他地点(VPS)上部署本系统并启用VPN服务器,让移动客户端和单位服务器作为VPN客户端同时连接到这台VPN服务器上,并让VPN客户端之间互相连通(客户端代理穿透),这样就可以实现移动客户端和单位服务器之间的连接;或者在单位(VPN)服务器上启用VPN/SSH客户端,连接国内VPS的VPN/SSH服务器(服务器代理穿透),移动客户端就可以通过国内VPS上的HTTP/Socks代理服务或VPN/SS/TJ/SSH服务连接单位(VPN)服务器。传统的硬件VPN路由器没有VPN/SSH客户端功能,无法解决上述问题。
4)应用场景四
本地无法直接使用8.8.8.8作为DNS服务器,无法查询IPV6域名,为此可以在国内VPS上部署本系统,并将8.8.8.8作为虚拟局域网客户端的虚拟局域网路由以及该机的DNS服务器,同时启用DNS代理服务,本地用户就可以将该国内VPS的IP作为DNS服务器,最终使用8.8.8.8进行DNS查询,由于经过的是虚拟局域网隧道,因此也没有大型节点处的DNS劫持或DNS污染。
5)应用场景五
用户现使用SOHO型路由器,在其上安装插件或者定制化的OS连接远程虚拟局域网/SS/TJ/SSH服务器,使得内部局域网所有设备都能通过路由器连接远程网络,但受到硬件性能、可用性及部署位置的影响,存在性能不高、带宽不够、维护麻烦、没有访问控制、没有日志留存、不能全方位(局域网、移动网络及互联网)接入、宕机后影响整个网络等问题,为此可以将虚拟局域网/SS客户端以及WEB/DNS/虚拟局域网服务器功能移出路由器,在更好的x86硬件或云主机上安装本系统,接入更大的带宽,用户再通过HTTP/Socks代理服务(具备广告等20多种域名库过滤、自定义域名过滤、URL过滤以及日志审计留存等功能)或虚拟局域网/SS/TJ/SSH服务连接到该系统上,从而完全克服上述这些问题。另外,SOHO型路由器自身没有大容量存储空间,无法作为网络存储服务器,而VPS可以挂载大容量存储器,适合作为网络存储服务器。
6)应用场景六
用户有多个X86或VPS主机需要相互连接,为此可以选择一台带宽大性能好的服务器,开启VPN服务,并绑定用户名和虚拟IP,其它主机开启VPN客户端,经过用户认证连接到这台服务器,并根据需要打开或关闭客户端防火墙,这样各主机之间就可以在一个加密的虚拟网络里相互通信,共享文件和网络服务。
7)应用场景七
用户有多个X86或VPS主机没有原生的IPV6 IP,可以通过CloudFlare WARP/OpenVPN/IPV6隧道客户端获得IPV6 IP,使得本机甚至在局域网内(内网穿透)也能够为IPV6网络提供各种内置服务,为满足苹果iOS APP IPV6-only等测试提供帮助,还可以运行本机其它VPN/SS/SSH/BT等客户端连接IPV6服务器,例如北邮人、六维等IPV6 PT。
7)应用场景八
CloudFlare WARP、WireGuard VPN、GRE隧道、路由、NAT:为纯IPv4主机添加IPv6 IP,为纯IPv6主机添加IPv4 IP。
六、 网络设置
1、WARP客户端
1)功能
本功能设置CloudFlare Warp客户端的代理模式,启用后在127.0.0.1处提供Socks5代理服务,提供免费WARP账户不需要事先注册,只要能上网,局域网虚拟机也能使用本功能。
本功能获得IPv4、IPv6 IP是CloudFlare公司提供的同一地域的网络出口IP(在大陆连接,获得另外的大陆IP),可用于ChatGPT等对源IP有限制的服务,不能用作网络入口连接本机服务;做个比较,“IPv6隧道”提供的IPv6地址,既是网络出口也是网络入口。
2)应用
启用后在本地127.0.0.1处监听设置的端口,可以为本机以及外部提供Socks5代理服务,本机通过proxychains或环境变量ALL_PROXY="socks5://127.0.0.1:xxx"使用此代理,外部网络通过“DNAT端口映射(IPv4)”及“V2服务”间接使用此代理。自动提取WARP信息,用于WireGuard VPN客户端,实现网络层连接。
在纯IPv4或IPv6主机上启用本功能,再利用“V2服务”间接获得缺失的IPv6、IPv4网络出口,类似VPN客户端,比NAT64性能好。
2、GRE隧道
1)功能
GRE隧道是OS内核通过GRE协议(protocol 47)建立的虚拟路由隧道,无需第三方服务提供商也没有服务进程,只需要有公网IP的两台主机或路由器等网络设备即可互联互通,有GRE和IPIP两种子类型。传统GRE隧道一般由路由器、防火墙、网关实现,大地云控的GRE隧道是在主机上实现的,相当于集成了一台路由器,主要是为了发布主机自身的服务,当然也可以用作网关连接两个内网,还可以同时建立多个IPv4、IPv6 GRE隧道,用于多台设备的互联互通,达到SDN的效果。
由于运行在内核级网络层,因此比运行在应用层用户态的Socks、WEB等代理服务开销小、性能好、更稳定。
2)用途
(1)主机将获得一个虚拟IP,双方通过虚拟IP通讯;如果是在两个网关上做GRE隧道,则两个网关连接的两个内网还可以通过虚拟IP做静态路由相互连通,相当于S2S VPN
(2)可以启用DNAT端口映射功能,将对端主机某一应用服务的端口映射到本机的某一端口上,可以保护对端主机的IP信息,防止被DDoS、扫描攻击,还可用于中转被网络隔离的主机
(3)GRE隧道拉近两台主机的网络路由距离,在此基础上,利用两个虚拟隧道IP,分别在两台主机上做SNAT、DNAT、静态路由策略,可以让流量通过GRE隧道快捷到达对方连接的网络
3、TCP转换
1)功能
本程序负责在客户端、服务器之间做SSL、WS到TCP协议的相互转换。例如,对于SSL协议,可以在HTTPS和HTTP、POP3S和POP3、SMTPS和SMTP等协议之间做转换;对于WS协议,可以利用Cloudflare等CDN云加速服务做任意TCP端口的中转,例如,SSH、RDP、VPN等CS应用,达到网络应用加速、防DDoS攻击、隐藏服务器信息、防屏蔽中转、过WEB代理过滤、IPv4/IPv6接入等作用,作用和cloudflare隧道类似,但更简便。
TCP转换示意图如下图所示。
2)用途
“服务器”功能适用于本机及与本机相连的局域网、虚拟局域网(VPN)、互联网内的TCP服务器程序,将TCP协议转换为SSL/WS协议;“客户端”功能适用于本机及与本机相连的局域网、虚拟局域网(VPN)、互联网内的TCP客户端程序,通过连接SSL/WS服务端口,间接连接其后的TCP服务端口。
3)相关功能
本系统DNS服务器的DNS over TLS(DOT)功能是将TCP 53端口转换为853 DOT端口,客户端访问853 DOT端口时,本功能将其转换/卸载为TCP 53端口。
可以将8.8.4.4的853 DOT端口转换为127.0.0.2的TCP 1053端口,经过本系统DNS服务器代理后,作为本机的域名解析服务器,可以防DNS污染。
本机任何TCP服务端口,都可以转换为WS端口,再由CloudFlare CDN做代理,让任何地区的客户端都能方便快捷的接入。
本系统自带的是Linux版本的TCP转WS/SSL程序,另外还有Windows版本,服务器、客户端均需运行本程序。
4、NAT地址转换
1)功能
NAT地址转换包括SNAT源地址转换、DNAT目的地址转换和REDIRECT三种类型,SNAT用于内网、VPN虚拟网络出外网时,将其来源IP地址转换为本机外网IP地址,DNAT用于外部网络访问本机OS IP地址时,将目的地址转换为内网IP(负载均衡)、VPN虚拟网络IP(内网穿透)或者127.0.0.1(用于DNS、WEB、SS等全局透明代理)。
针对IPv6网络,有NAT66功能,为虚拟IPv6地址提供公网IPv6地址,配合GRE隧道实现IPv6路由。还有NAT64功能,配合DNS64功能,实现IPv6网络访问IPv4网络及IPv4网络访问IPv6服务。
2)用途
在公有云等环境中,可以在普通云主机的基础上自建VPC网关,实现NAT、VPN等功能,只需要一个公网IP,其它云主机都是内网IP,由此构建多WAN VPC网络,可以降低成本(公有云官方的NAT、VPN、DNS、VPC网关一般比优惠价的云主机定价高)、扩展功能(公有云官方的NAT、VPN、DNS、VPC网关一般比大地云控功能少)、统一管理(集N种功能于一身,兼容多云、虚拟及硬件平台)。
在大中型S2S VPN网络中,为了避免VPN子网网段冲突,需要把VPN、NAT功能放在一台设备中,而公有云官方VPN、NAT网关通常是两台设备,无法满足这类需求,只能用大地云控自建一体化VPN、NAT、DNS、VPC网关,打造第二个WAN出口。
还可以将连接本机端口的流量转发到第三方服务器,即通用TCP、UDP代理/中继/中转/接力/跳板/堡垒机/故障转移/四层转发/四层服务器负载均衡/Multi-hop L4 Proxy/虚拟服务(蜜罐Honeypot)/端口转移(DNAT+SNAT),例如,如果客户端无法直接连接B服务器——IP上了黑名单或备案主机、NAT主机非标准端口又要配套Cloudflare CDN,但可以直接连接A服务器,那么可以在A服务器处做端口转移,当客户端连接A服务器时,自动转移连接到B服务器的服务。
5、静态路由
1)功能
可以对 IPv4、IPv6、VPN网络的不同目的地址设置相应的网关IP。
2)用途
有多个网络接入时,到达同一个目的地址有多种途径,可以设置最优/最近的网关IP减少网络延时、加大网络带宽。
当本机处于局域网三层交换机内时,可为局域网中三层交换机外面的网络提供回程路由。
七、 网络存储
中神通大地云控系统至少有五种网络存储服务,实时性强,非同步盘,容量、带宽自定义不受限,没有内容审计,没有广告,有用户认证等访问控制,可代替NAS,可配合本机VPN服务一起使用,构建远程超融合系统;可以将本机的各种日志文件放在WebDAV、NFS、CIFS、SFTP共享目录里,方便MSP等集中审计;可以启用本机防病毒功能,保障文件安全。以下做详细介绍:
1、WebDAV
属于WEB服务器的附加网络存储功能,用户可以通过浏览器或挂载为网盘后通过文件管理器进行上传、下载、编辑、增删文件的操作,存储在服务器的文件天然成为WEB服务器的网页内容,另外可以配置用户认证做访问控制。部分流媒体播放软件可以实时播放WebDAV网络资源,免去了下载存储的过程。WebDAV没有分用户的容量限制。
2、SSH、SFTP
通过专门的客户端软件可以将SSH、SFTP服务转化为本地网盘,方便管理远程Linux等OS的文件系统。SSH、SFTP有分用户的容量限制。
3、CIFS
CIFS服务提供网络存储、网盘服务,Linux、MacOS、Windows客户端(网络邻居)可以挂载远程CIFS资源,用于扩充本地存储空间,和GD、OD、百度网盘、阿里网盘等同步盘(先本地存储,再上传到网盘)不同,CIFS网盘是数据盘,实时性更强,可即时执行CIFS网盘内的程序,更接近于本地存储。CIFS没有分用户的容量限制。
由于ISP、IDC封杀139、445端口,导致无法直接连接CIFS资源(文件共享、网络打印机),需要先进行IKEv2等VPN拨号,再连接VPN虚拟网关IP的CIFS资源,使用本系统即可实现VPN+网络共享/网络邻居一站式服务,成为一体化远程超融合服务。
4、NFS
NFS服务提供基于来源IP控制的、没有用户认证但有反向DNS查询的网络存储、网盘服务,Linux、MacOS、Windows客户端可以挂载远程NFS资源,用于扩充本地存储空间,和GD、OD、百度网盘、阿里网盘等同步盘(先本地存储,再上传到网盘)不同,NFS网盘是数据盘,实时性更强,可即时执行NFS网盘内的程序,更接近于本地存储。NFS没有分用户的容量限制。OpenVZ系统及Ucloud CUBE等容器的内核可能不支持NFS。
网关、ISP、互联网一般封锁微软的SMB网络邻居(137~139、445端口),但可能不封锁NFS网络邻居(111、2049端口),如果不需要对文件保密,可以直接使用NFS共享文件,如果需要对文件保密,可以先VPN连接再连接NFS资源。
5、WEBRTC
WEBRTC可以实现P2P、去中心化、WEB3.0即时数据传输服务,局域网用户可直接使用,远程用户需要先通过VPN连接,之后就可以相互聊天或交换文件,具有方便、安全、保护隐私等特点。此服务为收费安装服务。
1)方便:
免安装软件:只需要浏览器,不需要修改注册表、服务、安全策略、个人防火墙等已有配置,不需要重启;自动兼容安卓、iOS、Windows、Linux等OS,可以包装为独立的APP;可以P2P通讯,聊天、传输文件,不需要远程桌面、远程控制;
使用时免用户认证:匿名,保护隐私;
免服务器存储传输数据:p2p、去中心化,传统还是需要VPN服务器的带宽,换成wireguard mesh vpn,可以真正做到去中心化,VPN客户端之间的传输也和VPN服务器带宽无关;
无日志,保护隐私;聊天只显示最后一条信息,自动阅后即焚(最后发送一条无关信息);
连接任意局域网:通过VPN连接任意两台异地局域网内的PC,两个不直接相连的PC,通过VPN服务器中转,做到网络层互联互通,避免ISP、SNAT及各自局域网、网关的干扰;甚至不需要互联网,只需要WIFI、局域网,手机上开一个热点也可以;
IPSEC的问题:只支持单播流量,组播和广播流量不会穿过数据SA
不需要设置VPN为缺省路由,可长期开启VPN,不会影响正常上网,随机启动、断线重连;
2)安全:
用户认证:有VPN的用户认证;可以共用一个VPN账号,可以长期开启VPN连接;
限制在VPN隧道内进行:VPN隧道加密保护、WEBRTC等服务器内置在VPN隧道里;流量无法被外部监听解密,不存在泄露的风险;
P2P传输,没有服务器,就没有OS、服务器、客户端软件等的安全漏洞,免升级维护;
中神通定制化:服务器功能集于一身,一个域名、IP,方便管理,减少外部依赖;更好的判断来源IP是否来自同一网络;WEB服务器具备真实域名的SSL证书,可直接访问,免去生成、下载、安装自签名根证书的繁琐;来源IP防火墙控制、时间控制
八、 用户认证
中神通大地云控系统有WEB、VPN、SSH三种用户,有用户名密码、公钥私钥、RADIUS、TOTP、SSL证书等多种认证方式,有有效期和流量配额的控制,用户数量也有许可证的限制,用户可以通过登陆SSH SHELL的方式自主修改密码,另外还有一个单独的SS用户。具备AAAAA零信任特性,即用户管理(Administration)、用户自服务门户(User Portal)、认证(Authentication)、授权(Authorization)、计费(Accounting/Billing)和日志(Audit/Log),提供用户增删改CGI接口,用于自动化批处理和与第三方发卡运营模板集成。
可以代替RADIUS、LDAP、AD等第三方认证服务器,节省内存、磁盘空间,加快用户认证过程,也可以接入现有的第三方RADIUS、LDAP、AD等认证服务器。
管理员有设置第三方URL跳转、反代、在线代理+用户认证的功能,但这样的用户不能用于WEB、VPN、SSH用户资源的认证。
对于WEB、WEB代理、SSH/SFTP用户,可以启用“防暴力破解” 功能,防止恶意用户猜测用户名密码。
对于WEB服务器、WEB代理服务器、IKEv2/IPSEC、OCSERV、PPTP、L2TP、OpenVPN、SoftEther、SSTP、SSH/SFTP等10种用户,可以启用“RADIUS认证”功能,一个账号同时可用10余种服务,即“一号通”功能,属于跨应用的超级SSO(单点登录);远程集中管理用户认证数据,集成现有RADIUS/AD数据库,并可以带TOTP动态密码认证。
对于IKEv2/IPSEC、OCSERV、PPTP、L2TP、OpenVPN、WireGuard、SSH/SFTP等7种用户,可以启用本地2FA/MFA的“TOTP动态密码认证”功能,防止丢失、窃听、暴力破解用户名密码。
VPN用户可以绑定虚拟IP,客户端VPN拨号连接之后,再在VPN隧道内,对虚拟IP做DNS等日志审计及访问控制。
日志记录中有用户登录账号、源IP及登录、退出的时间、访问的资源,方便日后审计。
具体用户类型及对应的网络资源详见下表:
用户类型 | 网络资源 |
WEB用户 | WebDAV存储(网络邻居)及上传文件形成的URL直链(可绑定自己的域名并安装维护SSL证书,免备案建站,还可上CDN)、DDNS域名及IP更新服务、WEB在线代理、WEB代理服务器、大规模DNS域名库(过滤成人、广告等)、GG IPV6 hosts |
VPN用户 | VPN拨号后的资源(虚拟网络SNAT访问外网、VPN客户端的端口服务映射到公网、VPN客户端的WEB资源映射为公网URL、虚拟服务器自身的服务、VPN客户端之间的互联)以及与WEB用户类似的资源 |
SSH用户 | Socks代理服务器、正向端口代理、反向端口代理(内网穿透,将客户端的WEB、WEB代理等服务映射成公网服务)、SFTP存储及上传文件形成的URL直链(可绑定自己的域名并安装维护SSL证书,免备案建站,还可上CDN ) 、 DDNS域名及IP更新服务 |
SS/TJ用户 | SS服务器(本地Socks代理,可访问外网及服务器自身的服务) 、大规模DNS域名库(过滤成人、广告等)、GG IPV6 hosts |
无需认证的用户 | 大规模DNS域名库(过滤成人、广告等)、管理员生成的URL(HTML跳转、302跳转、反向代理、在线代理) |
九、管理员原子化及通用文件堡垒机
1、管理员原子化
可以添加、修改、删除多个管理员认证数据,配合权限配置文件,实现最小特权、细粒化管理。从资源利用的角度看,相当于把一台VPS服务器(IaaS)化解为多个微功能服务(SaaS)+多个相应的服务器及用户面板,供多人同时使用(多开)、互不干扰,最大化利用服务器及网络资源,所有权和多个并行的使用权分离,方便出租变现、以网养网,实现和Docker容器类似的目的,但可用一套WEBAdmin做集中管理,而且底层资源没有任何限制,且不会出现v2board等面板那样的零日漏洞。
与不需要服务器的ServerLess术语相对应,可以称之为ServerMore——拥有服务器并自建各种服务。
权限配置文件包括管理员用户名、有效期、来源IP、功能数、用户数,没有配置就没有限制,管理员可在WEBAdmin“许可证”页面里查看对应的显示。共有近百种功能URL,同一功能分为查看、修改等不同的URL。
如果管理员有有效期限制,则其创建的用户的有效期最大不超过管理员自身的有效期,并且,删除该管理员后,其创建的用户当天失效。
2、通用文件堡垒机
可以由超级管理员自定义应用程序名称及执行命令,实现通用的本地文件堡垒机功能,具备以下特性:
1)WEBAdmin管理员用户认证后,实现应用程序配置文件的编辑、启用停用、状态监控等功能,直接针对目标文件实现最小特权化管理
2)符合堡垒机的4A特性,即验证 Authentication、账号管理 Account、授权控制 Authorization、安全审计 Audit;克服了堡垒机作为跳板机只起中介作用,并不能完全控制操作者实际操作的缺陷
3)真正0代码将C/S运维转化为针对目标文件的B/S运维
4)无需进Console控制台、SSH远程终端或VNC、RDP远程桌面,将操作者与OS隔离开,不必监控操作者的操作过程
5)管理员账号为WEBAdmin专属账号,非OS账号,还有来源IP、有效期、功能等限制
6)应用程序具备低权限、用户来源IP防火墙、时间控制、流量统计、日志审计等特性
7)可以用来克隆第二份现有的WEBAdmin应用,例如:将“SS服务器”改造为多端口、多用户服务,也可以是其它任意的应用程序,相当于定制化小程序
十、 SSL证书服务、外网IP定位、日志审计
1、SSL证书服务
1)种类
自签名CA证书及基于Letsencrypt的真实域名SSL证书
2)用途
DNS over TLS(DOT)服务器、HTTPS WEB服务器、WebDAV、HTTPS代理服务器、HTTP代理服务器-解密HTTPS、IKEV2、OCSERV、SSTP VPN、TJ、Stunnel服务器
3)自签名CA证书
服务器地址(CN)可以是IP地址、真实的域名或虚拟的域名(配合hosts文件或专用DNS服务器使用),用户事先通过WEB用户门户或管理员分发获得并CA证书,加上用户认证,相当于双因子认证,适用于单位Intranet应用
4)真实域名SSL证书
服务器地址是真实的域名,管理员一键申请真实域名证书,系统自动续期证书有效期;用户直接用域名登录,不需要安装CA证书,适用于Internet应用
类似这样的第三方免费服务的客户端还有Duck DDNS客户端、TunnelBroker IPv6客户端、Speedtest.net测速客户端等。
2、外网IP定位
1)分类
公网IP、OS外网IP、外网地址字符串、SSL证书中的外网地址以及IPV6 IP
2)用途
用于设置DNS服务器IP;确定客户端配置文件、PAC文件中的服务器地址;确定各服务的服务器地址
3)初始化
第一次启动OS时,获得公网IP信息,并设置外网地址字符串、及SSL证书中的外网地址为公网IP,修改HTTPS WEB服务器、WebDAV、HTTPS代理服务器、IKEV2、OCSERV、SSTP VPN的SSL证书配置并重启服务;设置OpenVPN服务器的例外路由;根据国内外地域不同,设置DNS服务器IP
第一次启动OS时,获得OS WAN IP信息,设置相关状态过滤iptables防火墙策略:禁止局域网连接本机WAN IPv4(默认启用),以及禁止外部ping WAN IP(默认停用。sysctl的禁ping设置会导致本机也无法ping外部IP,不好用),白名单IP列表等
4)资源列表
根据外网IP地址的不同用途及本机当前运行的服务,生成“开放服务列表”文件,全面总结当前对外的服务资源;可以在用户门户中查看适用于当前用户的服务资源,相当于当前配置资源总结及巡检报告
3、日志审计
18种日志,包括系统、管理员、DNS、WEB代理、IKEv2、OCSERV、PPTP、L2TP、OpenVPN、WireGuard、SoftEther、SS、SSH、防病毒、HIDS、WEBSHELL、WAF、审计日志,均可统计、查询、下载,另外还有内部、WEB等日志,可以在SHELL里查看。无需第三方存储服务,直接留存本机N天,方便追溯安全事件。配合DNS、WEB、SSH等服务构成真实的Honeypot蜜罐。
参考资料:
系统简介:http://www.trustcomputing.com.cn/help/zst_dadi_intro.pptx
技术白皮书:http://www.trustcomputing.com.cn/help/zst_dadi_whitepaper.docx
功能列表:http://www.trustcomputing.com.cn/help/zst_dadi_func.doc
管理员手册:http://www.trustcomputing.com.cn/help/zst_dadi_adm.doc
用户指南:http://www.trustcomputing.com.cn/help/zst_dadi_userguide.pdf
客户端设置:http://www.trustcomputing.com.cn/help/client_setup_list.docx
思维导图:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1266
文档资源:http://www.trustcomputing.com.cn/help/TrustComputing_DADI_Document_Resource_List.docx
免费收费功能对比表:http://trustcomputing.com.cn/bbs/viewthread.php?tid=1992
安装管理视频演示:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1175
用户使用视频演示:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1176
中神通大地云控WEB服务器自定义URL功能介绍:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1478
大地云控基于GRE隧道+端口映射的公网穿透: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1611
中神通大地云控的流量统计、控制、计费、运营功能介绍:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1581
中神通大地云控-TOTP动态密码认证设置及使用过程: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1562
中神通大地云控-VPN端口映射设置及使用过程: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1561
安卓系统在4G移动数据流量及WIFI时设置(DOT加密)DNS服务器: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1631
在Docker容器中安装使用中神通大地云控系统: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1606
在公有云云市场中使用大地云控OS镜像的注意事项:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1540