零信任VPN系统

零信任VPN系统

一、我是谁

1.1 用户名密码认证

  • 防暴力破解
  • 用户登录退出时记录日志

1.2 CA证书认证

1.2.1 真实域名CA证书

  • 系统自动申请维护延期CA证书

1.2.2 自签名CA证书

  • 输入用户名密码才能下载
  • 可以安装在浏览器里,也可以安装在USBKEY里

1.3 TOTP动态密码认证

  • 手机安装客户端APP
  • 在用户门户里扫码激活
  • 无需记密码,不怕泄露密码,无法主动分享密码

1.4 WEB用户门户

1.4.1 修改密码

  • 首次登录强制修改密码
  • 激活TOTP客户端

1.4.2 查看当前状态

  • 查看群组通告
  • 查看VPN登录状态,虚拟IP
  • 查看有效期,流量统计

1.4.3 查看服务资源

  • VPN登录后能使用的服务器

1.4.4 设置DNAT规则

  • VPN登录后,外网能访问的客户端资源

1.4.5 查看VPN日志

1.5 VPN客户端

  • 多种VPN类型,防止ISP封杀
  • 多种OS平台客户端,连接各种设备
  • 不需要安装第三方客户端或插件,Windows、安卓、iOS内置VPN
  • 0交互无人值守客户端,随Windows启动自动拨号,断线自动重连

二、从哪里来

2.1 来源IP地址ACL

  • 设置用户只能从某些源IP上登录

2.2 用户名MAC地址绑定

  • 设置用户只能在某一设备上登录

2.3 用户名虚拟IP绑定

  • 方便隧道内ACL控制源IP
  • 方便日志审计,可以通过源IP找到对应的用户

2.4 时间段控制

  • 设置用户只能从某些时间段登录

2.5 同一用户名不同地点同时登录

  • 一般同时只能一个用户登录

三、到哪里去

3.1 服务器身份验证

  • 验证服务器CA证书的CN与服务器实际地址的一致性,防止冒充服务器进行MITM攻击

3.2 下发路由表

  • 可以设置为只读,用户无法修改下发的VPN路由表
  • 可以只下发必要的服务器IP,不改变客户端默认路由,不影响客户端正常的上网

3.3 下发DNS服务器

可以是内置虚拟网关的DNS服务器

  • 大规模域名库
  • 自定义域名解析

3.4 强制用户使用内置虚拟网关的WEB代理服务器

  • 过滤目的IP、域名、URL、后缀名等
  • 不改变客户端默认路由,不影响客户端正常的上网

3.5 虚拟IP SNAT

  • VPN客户端访问VPN服务器外网IP所能连通的网络

3.6 客户端资源访问

3.6.1 虚拟网络之间互联互通

  • 通过互联网组成虚拟私有网络

3.6.2 虚拟IP DNAT

  • VPN服务器外网网络访问VPN客户端所在OS的资源
  • 内核级内网穿透

3.6.3 外网URL映射

  • 将外网IP、域名开头的URL映射到VPN客户端WEB服务器
  • 挂靠备案域名

3.6.4 DDNS动态域名服务

  • 以用户名开头的子域名,解析为VPN客户端公网IP

3.7 流量统计及控制

  • 实现可用xx月,每月XXGb流量的用户使用策略

3.8 VPN隧道内ACL

  • 只允许VPN用户访问某些目的IP、端口

3.9 VPN隧道内网络审计

  • 记录VPN用户访问的内容,DNS、WEB、WEBPOST、Email、QQ等

3.10 VPN隧道内WAF

  • 保护VPN网络内的WEB服务器,防止SQL注入等攻击

3.11 VPN隧道内IDS/IPS

  • 保护VPN网络内的应用服务器,防止远程攻击

3.12 VPN服务器

多种VPN服务器部署方式,方便发布应用服务器

3.12.1 网络边界、局域网、云端等

3.12.2 硬件、虚拟机等

3.12.3 通过VPN隧道内DNAT,把VPN客户端变成应用服务器

3.12.4 局域网内部使用VPN

  • 作为上网认证工具,防止破解WIFI、私接上网PC
  • 实现流量统计与控制
  • 防止局域网窃听

零信任VPN系统 思维导图

参考:

中神通UTMWALL-ROM网关OS

大地DNS&URL云控管系统