大地DNS&URL云控管系统

      中神通大地DNS&URL&VPN云控管系统是一套互联互通安全服务器软件,可将硬件、虚拟机、公有/私有/行业云中的Linux系统变成云接入安全网关,将IaaS升级为SaaS,用于IPV4&IPV6流畅上网、VPN远程接入、SSO用户认证、上网审计控管、安全存储备份、加密传输分享、资源发布同步、绿色上网、SD-WAN、软件定义边界SDP等。

中神通大地DNS&URL云控管系统     

 

    最新中神通·大地DNS&URL云控管系统下载信息 
    http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174

    中神通大地DNS&URL&VPN云管控系统-思维导图
    http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1266

 

产品类型

        中神通大地DNS&URL&VPN云控管系统跨界超融合的产品类型表现在IDC/ISP/IPV6、网络安全、网络存储、虚拟化云安全等领域。传统/云VPN、WEB服务器及内网穿透都是单向接入,大地云控的接入(access)是客户端及服务器双向的,IPV4及IPV6双栈,综合运用可以起到四通八达的效果,客户端应用场景详见“四、虚拟局域网/SS/SSR/SSH客户端介绍”,IPv6功能详见中神通大地云控IPV6功能说明

中神通大地DNS&URL云控管系统-产品类型

适用对象

中神通大地DNS&URL&VPN云控管系统既可以在X86硬件上安装,成为一台硬件安全网关,也可以在虚拟机、VPS、云主机上安装,成为一台云接入安全网关,它还可以对VPN隧道里的流量做审计和控制。

中神通大地DNS&URL&VPN云控管系统适用于个人、单位及ISP,不仅可以安装在内网、边界的物理机、虚拟机、NAS里,还可以安装在国内外的云主机、VPS、容器Docker里,可以安装在应用系统所在的OS中,虚拟化环境中可以随OS一起迁徙,同时保障访问控制安全策略不变。适合Windows、MACOS、Linux、安卓、iOS、TV盒子、游戏机等系统的客户端使用,用户可自主修改密码。

例如:阿里云、腾讯云、华为云、百度云、天翼云、联通沃云、金山云、浪潮云、微软Azure、亚马逊AWS、Google Cloud等,不管安装在什么地方,都可以对整个互联网开放服务。用户还可以以本软件系统为基础开发具有安全远程接入管理功能的OA/MIS/销售管理等应用系统,或者集成用户注册运营面板,实现用户自服务功能。


ISP/IDC的应用
症状:单位申请的域名网站都需要花时间进行实名备案,否则无法使用;没有IPV6网络,影响上网及网站访问效果;发布在微信、头条、淘宝中的文章无法挂在单位官网上让搜索引擎收录。
对策:1)安装中神通大地DNS&URL&VPN云控管系统到服务器或云主机VPS中,为域名自动申请SSL证书,5分钟内开通HTTPS网站;2)运行VPN、Tunnel客户端获得IPV6 IP并为之分配域名,传统IPV4用户通过WEB代理等方式接入IPV6网络,可查询Google等;3)将微信、头条、淘宝中的文章通过HTML重定向、反向代理、在线代理等方式,用单位域名URL的形式发布。


网络安全的应用
症状:单位基于互联网的B/S、C/S架构的应用系统,例如邮箱、OA、CRM、对外公开的WEB服务器的管理后台、VPN WEB登陆界面等,被黑客扫描攻击、登陆数据被暴力撞库破解、缺乏独立的日志审计、没有数据加密传输导致泄密。
对策:1)安装中神通大地DNS&URL&VPN云控管系统到应用系统的服务器或网络中,应用系统只对VPN虚拟内网开放,再利用本系统VPN的用户认证、静态虚拟IP分配以及数据保密传输功能,就能实现完整的安全防护功能;2)还可以利用本系统的DNS服务功能,指定应用系统的域名为服务器的虚拟内网IP,方便用户使用。

中神通大地云控管系统企业用途


上网管理的应用
症状:家庭里的中小学生上网不可控,学生以学习的名义沉迷游戏、动漫等和学习无关的内容。电子教室、企事业单位的上网行为管理需求与此类似。
对策:1)将上网设备或路由器DHCP服务的DNS服务器设置为中神通DNS&URL&VPN云控管系统所在的IP;2)上网设备尽量使用普通用户账户——防止修改DNS服务器设置;3)大地云控DNS库启用游戏、视频等分类,这样无需安装软件,即使无人看管或新设备也可以有效控制;4)监管者还可以在云端浏览查询统计上网DNS历史日志,发现PC、手机中病毒广告扣费等灰色后台流量,浏览无DNS污染的网站,或是自定义域名以阻拦某些不在DNS库中的网站。


安全存储的应用
症状:手机照片、数据文件等,缺乏长期稳定安全方便自主可控可审计的存储共享方式。
对策:1)开启中神通大地云控系统的WebDAV服务,使用安全加密的https URL挂载远程目录到文件管理器,在本地串流播放、搜索、创建、编辑、删除远程文件,无需上传下载自动同步,不同地区、不同用户的Windows、Linux、MacOS、安卓、iOS系统的电脑/虚拟机、手机、平板、智能盒子同时挂载同一个目录,方便彼此之间共享文件;2)开启SSH/SFTP服务,为每个人分配账号和磁盘空间,使用第三方软件挂载远程目录到文件管理器,其它和WebDAV服务相同;3)自定义分享文件URL的域名。

 

 

中神通大地云控管系统个人家庭用途

【平台环境】

        与中神通大地DNS&URL&VPN云控管系统兼容的虚拟化平台、云服务器、VPS、Docker、NAS及基础OS供应商有且不限于以下所示:

中神通大地云控管系统合作伙伴

【可代替的云存储网盘】

      公有云集成的 大地DNS&URL&VPN云控管系统可代替的云存储网盘有且不限于Dropbox、Google Drive、微软OneDrive、百度网盘、七牛云、苹果iCloud、坚果云、腾讯微云、115网盘等,如下图所示:

可代替的云存储网盘

【功能介绍】

      中神通大地DNS&URL云控管系统主要包括DNS&DDNS服务器以及DNS代理服务器、WEB服务器及WEB代理服务器、虚拟局域网/SS/SSH服务器以及虚拟局域网/SS/SSR/SSH客户端四大功能模块,系统支持1~300网卡IP,支持IPV4 & IPV6网络接入,全部功能都配有状态查询、日志留存、流量统计、源IP防火墙和WEB界面管理,可以在所有网卡IP上同时运行,并可以实现指定出口服务器IP的功能。

中神通大地DNS&URL云控管系统功能组成

一、DNS&DDNS服务器及DNS代理服务器

DNS代理包括大规模DNS分类域名库、自定义域名规则、DNS域名查询转发缓存功能以及GIP域名库,以下依次介绍。

1)大规模DNS分类域名库

大规模DNS分类域名库分为有害无用、上传下载、兼职离职和娱乐休闲四大类,每大类又有各自的子分类,详见下图所示。

 大规模DNS分类域名库

 具体域名个数为:

(一)有害无用

1 广告统计网站        5015

 2 病毒恶意网站       25648

 3 少儿不宜网站       3558

(二)上传下载 

 4 代理虚拟局域网网站         1284

 5 聊天通讯网站       3132

 6 论坛博客网站       5781

 7 邮箱网盘网站       2027

 8 资源下载网站       1694

(三)兼职离职 

 9 购物交易支付网站   11210

 10 股票彩票理财网站 10089

 11 兼职网赚创业网站 6796

 12 求职招聘猎头网站 13731

 13 考试留学移民网站 7587

(四) 娱乐休闲

 14 房产家居网站     2144

 15视频电影网站     3958

 16音乐手机网站     4642

 17文学小说网站     7380

 18游戏网游网站     6549

 19体育运动网站     5426

 20社交交友网站     4190

 21兴趣爱好网站     4338

 22时尚娱乐网站     5343

 23旅游汽车网站     10137

选中的域名库中的所有域名将被解析成一个本机IP,为此本机内置有WEB服务器,最终显示的是404错误页面(可定制),当然也可以解析成任意其它IP——127.0.0.1等。

除了A记录域名解析之外,还可以通过TXT记录查询某个域名的具体子分类,用于第三方的日志分析、统计。

中小企业、家长即使是使用几十元的SOHO路由器,配合本域名库服务也可以达到上网行为管理的目的。

2)自定义域名规则

    可将某个域名的NS记录指向本系统,之后就可以在本系统中自主管理该域名,零延时立即生效,方便脚本等自动化操作,实现DNS服务器的功能。以下功能是DNS代理服务器功能。

自定义域名功能有两种用途:

一是补充功能,可将域名库中没有的域名解析成设定的IP。

例1:可以将“广告统计”、“少儿不宜”等子类中没有包含的网站主机名解析成本机IP,以阻止色情广告的显示。

例2:可以将单位内部托管的公网服务器的域名解析成其所在的内网IP,方便单位员工从内网访问。

例3:对启用https协议的网站或游戏客户端内置的服务器域名解析成本机IP,阻止员工上网浏览、游戏。

例4:将域名的NS记录指向本单位的外网网关IP,自己负责域名解析;在内网设置两套或以上的本系统,在外网(多WAN)网关处根据源IP将DNS查询流量53/UDP重定向到内网不同的系统上,因此不同的客户端可以得到不同的解析结果,由此构成智能负载均衡DNS系统。

二是纠正功能,将域名库中某个已有的域名解析成正确的IP。

例1: “广告统计”子类中包含有域名yiqifa.com,即yiqifa.com以及所有以yiqifa.com为二级域名的域名都被过滤(自定义域名也是如此),但是很多购物辅助网站的跳转URL的主机名是p.yiqifa.com,为此可以将p.yiqifa.com解析成正确IP,以方便浏览。

例2:对于ISP、GFW等污染了的域名同样可以在此予以纠正,将其解析成正确的IP,以方便浏览。

三是DDNS服务功能。

无需购买真实域名,只需将DNS服务器设置为本系统即可查询;

可更新A、AAAA记录及TXT记录;

多种客户端更新方式:nsupdate客户端,VPN、SSH客户端以及URL

URL方式兼容DynDNS、3322服务器,可代替收费的服务器;

自动生成nsupdate客户端更新批处理文件。

3)DNS域名查询转发缓存功能

如果用户请求的域名不在本机自定义域名策略或预置域名库中,那么系统将向设定好的第三方域名服务器(例如:114.114.114.114)转发请求,并返回解析后的IP,查询结果会被系统缓存起来,下次再有相同的查询时会直接返回结果,从而提高了查询效率,节省了查询时间。

客户端DNS域名解析流程示意图请见下图。

 客户端DNS域名解析流程示意图

4)Google IPV6 hosts

包含Google在内的上千种IPV6域名,还可以自定义IPV6域名,配合IPV6网络使用。

注意:系统每天会自动更新数据。请合法使用。

二、WEB服务器及WEB代理服务器

1)WEB服务器

      WEB服务器提供http和https、IPV4和IPV6、标准端口和非标准端口WEB服务,还有多种内置WEB应用:

  • WEB在线代理
  • WebDAV服务
  • SSH/SFTP服务器用户上传的文件
  • 源IP显示API(辅助DDNS)
  • SFTP WEB客户端
  • 管理员指定的URL
  • VPN服务器登陆用户的虚拟IP
  • PAC文件
  • 主页

      URL代理映射/短URL有HTML跳转、302重定向、反向代理、带Cookie跨网在线代理、在线代理等多种形式,可启用用户认证,可隐藏原始URL、用户名密码等信息,有固定映射或开口映射。配合VPN/SSH/IPV6客户端可以实现将内网、移动端等已有的WEB服务发布到互联网上;可以将在微博、微信、搜狐、头条、淘宝等第三方(半封闭)平台发表的文章统一用自己域名的URL发布,方便搜索引擎优化SEO;配合用户认证,可实现多个资源的单点登陆功能;配合自动申请SSL证书的域名,可以为任意网站提供https(代理)服务。

      WebDAV服务将VPS变成云存储同步网盘,是运行在https协议下的“网络邻居”,它不受ISP/G.FW对139、445端口的封锁,不受SMB蠕虫病毒的袭扰,加密传输不需要V.P.N,有用户认证和日志,没有广告,没有内容审计,不会被和谐,容量、带宽自定义不受限,还可在内网、虚拟机当作NAS使用;Windows、Linux、MacOS、安卓、iOS等多种OS下挂载远程目录到文件管理器,在本地串流播放(VLC等)、查找、创建、编辑、删除远程文件,不需要下载、上传,自动同步内容,可作为游戏等程序的存盘目录,方便共享,可以在浏览器等应用中保存文件到挂载的WebDAV目录中,自动成为网页发布。

      SSH用户拥有本地限量磁盘空间,可以通过SFTP上传、下载文件(比传统的FTP方式安全),可以通过不同OS下的工具软件实现异地异构文件同步,可在内网使用;可以以盘符的形式安装到Windows及Linux文件系统中,方便文件操作。

 2)WEB代理服务器

      WEB代理过滤既可以过滤内网出外网的流量,也可以作为反向代理,部署到服务器前,过滤客户端到WEB服务器的流量,还可以部署在远端,实现更换源IP的功能,用于网商刷单、游戏挂机等项目。WEB代理过滤能事前过滤客户端请求信息,100%确保没有非法数据包通过,还能过滤服务器反馈的信息,包括被压缩、分包的内容,这些都是旁路WEB审计过滤做不到的。WEB代理服务器还有完善的细分策略,包括对IP、域名、URL、端口、文件类型、文件大小、Agent等做控制。

为防止部分用户修改hosts文件躲避DNS代理服务器的检查,必要时可以启用WEB代理功能,WEB代理服务器将优先查询本机DNS代理服务器的自定义域名和域名库,让域名解析强制在本机上进行。同时,本WEB代理服务器提供CONNECT方法,可用于https网站浏览以及软件客户端的代理服务,针对异地网站,还启用了http强制转化为https的浏览方式,用户不必事先安装浏览器转换插件或设置浏览器参数就可以用任意浏览器上网浏览。

三、 虚拟局域网/SS/SSH服务器

      虚拟局域网服务器包括IKEv2/IPSEC 、CISCO AnyConnect(OCSERV )、PPTP、OpenV、SoftEther(包含SSTP、L2TP)、SS、SSH等服务器,大部分都配有用户管理、状态查询与管理功能,全部都有日志留存与查询、源IP限制及流量统计功能,可以适配几乎全部虚拟局域网/SS/SSH客户端。还可以设置DNS服务器,从而在虚拟局域网/SS/SSH服务器用户连通后,进一步控制其DNS域名解析。为虚拟局域网客户端提供其所在机器的WEB服务器接入服务,方便内网用户发布WEB信息或传输文件。系统为VPN/SSH用户自动分配DDNS域名以及外网地址http以及https的URL映射。系统为SSH用户提供至少10M的磁盘空间,用户可以将其作为网盘、虚拟主机空间使用,可以将其映射到windows的一个盘符做文件操作,可以在PC、平板、手机上使用各种同步工具进行文件同步。系统为VPN/SSH用户提供自主修改密码的渠道。

四、 虚拟局域网/SS/SSR/SSH客户端

      虚拟局域网/SS/SSR/SSH客户端既可以为本机提供虚拟局域网/SS/SSR/SSH/IPV6连通服务(方便、加快git clone https://github.com/user/prj等操作),更可以为其他用户提供中转服务,其他用户可以通过虚拟局域网客户端所在系统的虚拟局域网/WEB代理/Socks代理,间接地连接虚拟局域网客户端所连接的虚拟局域网服务器之后的网络,虚拟局域网服务器及其相连的网络也可以连接虚拟局域网客户端所在的系统及其相连的系统,这样的连接方式类似WIFI热点/中继、SD-WAN的功能,可以实现异构网络、异地网络的互联互通。以下是几个典型的应用场景。

1)应用场景一

    本地因网络阻隔、出口IP随机、QoS限制或没有配对的VPN客户端不方便直接连接异地的网络,而国内其他地点可以无限制地连接异地的网络,为此可以在国内其他地点(VPS)上部署本系统启用VPN/SSH客户端,连接异地的VPN/SSH服务器(正向代理穿透)或者启用异地的VPN/SSH客户端,连接国内VPS的VPN/SSH服务器(反向代理穿透),本地用户就可以通过国内VPS上的HTTP/Socks代理服务或VPN/SS/SSH服务连接异地的网络。

2)应用场景二

    写字楼里,单位网络处在NAT内网里,而且无法在NAT路由器上做端口映射,外界无法直接连接单位边界路由器或服务器,为此可以在国内其他地点(VPS)上部署本系统并启用VPN服务器,让移动客户端和单位服务器作为VPN客户端同时连接到这台VPN服务器上,并让VPN客户端之间互相连通(客户端代理穿透),这样就可以实现移动客户端和单位服务器之间的连接;或者在单位(VPN)服务器上启用VPN/SSH客户端,连接国内VPS的VPN/SSH服务器(服务器代理穿透),移动客户端就可以通过国内VPS上的HTTP/Socks代理服务或VPN/SS/SSH服务连接单位(VPN)服务器。传统的硬件VPN路由器没有VPN/SSH客户端功能,无法解决上述问题。

3)应用场景三

    本地无法直接使用8.8.8.8作为DNS服务器,为此可以在国内VPS上部署本系统,并将8.8.8.8作为虚拟局域网客户端的虚拟局域网路由以及该机的DNS服务器,同时启用DNS代理服务,本地用户就可以将该国内VPS的IP作为DNS服务器,最终使用8.8.8.8进行DNS查询,由于经过的是虚拟局域网隧道,因此也没有大型节点处的DNS劫持或DNS污染。

4)应用场景四

    用户有多种移动终端,而且OS的版本也不同,可能需要同时连接多个虚拟局域网/IPV6服务器及网络,逐一安装虚拟局域网客户端并做设置会十分繁琐,升级维护也不方便,而且容易造成用户名口令泄密,为此可以设立一台中转/堡垒服务器,在其上启用相应的虚拟局域网客户端以及带用户认证功能的WEB代理服务器,最终用户只需要通过单一的用户认证连接上WEB代理服务器,就可以同时连接多个虚拟局域网服务器及网络。

5)应用场景五

    用户现使用SOHO型路由器,在其上安装插件或者定制化的OS连接远程虚拟局域网/SS/SSH服务器,使得内部局域网所有设备都能通过路由器连接远程网络,但受到硬件性能、可用性及部署位置的影响,存在性能不高、带宽不够、维护麻烦、没有访问控制、没有日志留存、不能全方位(局域网、移动网络及互联网)接入、宕机后影响整个网络等问题,为此可以将虚拟局域网/SS客户端以及WEB/DNS/虚拟局域网服务器功能移出路由器,在更好的x86硬件或云主机上安装本系统,接入更大的带宽,用户再通过HTTP/Socks代理服务(具备广告等20多种域名库过滤、自定义域名过滤、URL过滤以及日志审计留存等功能)或虚拟局域网/SS/SSH服务连接到该系统上,从而完全克服上述这些问题。另外,SOHO型路由器自身没有大容量存储空间,无法作为网络存储服务器,而VPS可以挂载大容量存储器,适合作为网络存储服务器。

 6)应用场景六

    用户有多个X86或VPS主机需要相互连接,为此可以选择一台带宽大性能好的服务器,开启VPN服务,并绑定用户名和虚拟IP,其它主机开启VPN客户端,经过用户认证连接到这台服务器,并根据需要打开或关闭客户端防火墙,这样各主机之间就可以在一个加密的虚拟网络里相互通信,共享文件和网络服务。

 

参考资料:

1、如何判断是否被网关或ISP劫持了DNS或HTTP流量?

http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1133

2、中神通大地云控IPV6功能说明

http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1406

3、中神通大地云控WEB服务器自定义URL功能介绍

http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1478