一、我是谁
1.1 用户名密码认证
- 防暴力破解
- 用户登录退出时记录日志
1.2 CA证书认证
1.2.1 真实域名CA证书
- 系统自动申请维护延期CA证书
1.2.2 自签名CA证书
- 输入用户名密码才能下载
- 可以安装在浏览器里,也可以安装在USBKEY里
1.3 TOTP动态密码认证
- 手机安装客户端APP
- 在用户门户里扫码激活
- 无需记密码,不怕泄露密码,无法主动分享密码
1.4 WEB用户门户
1.4.1 修改密码
- 首次登录强制修改密码
- 激活TOTP客户端
1.4.2 查看当前状态
- 查看群组通告
- 查看VPN登录状态,虚拟IP
- 查看有效期,流量统计
1.4.3 查看服务资源
- VPN登录后能使用的服务器
1.4.4 设置DNAT规则
- VPN登录后,外网能访问的客户端资源
1.4.5 查看VPN日志
1.5 VPN客户端
- 多种VPN类型,防止ISP封杀
- 多种OS平台客户端,连接各种设备
- 不需要安装第三方客户端或插件,Windows、安卓、iOS内置VPN
- 0交互无人值守客户端,随Windows启动自动拨号,断线自动重连
二、从哪里来
2.1 来源IP地址ACL
- 设置用户只能从某些源IP上登录
2.2 用户名MAC地址绑定
- 设置用户只能在某一设备上登录
2.3 用户名虚拟IP绑定
- 方便隧道内ACL控制源IP
- 方便日志审计,可以通过源IP找到对应的用户
2.4 时间段控制
- 设置用户只能从某些时间段登录
2.5 同一用户名不同地点同时登录
- 一般同时只能一个用户登录
三、到哪里去
3.1 服务器身份验证
- 验证服务器CA证书的CN与服务器实际地址的一致性,防止冒充服务器进行MITM攻击
3.2 下发路由表
- 可以设置为只读,用户无法修改下发的VPN路由表
- 可以只下发必要的服务器IP,不改变客户端默认路由,不影响客户端正常的上网
3.3 下发DNS服务器
可以是内置虚拟网关的DNS服务器
- 大规模域名库
- 自定义域名解析
3.4 强制用户使用内置虚拟网关的WEB代理服务器
- 过滤目的IP、域名、URL、后缀名等
- 不改变客户端默认路由,不影响客户端正常的上网
3.5 虚拟IP SNAT
- VPN客户端访问VPN服务器外网IP所能连通的网络
3.6 客户端资源访问
3.6.1 虚拟网络之间互联互通
- 通过互联网组成虚拟私有网络
3.6.2 虚拟IP DNAT
- VPN服务器外网网络访问VPN客户端所在OS的资源
- 内核级内网穿透
3.6.3 外网URL映射
- 将外网IP、域名开头的URL映射到VPN客户端WEB服务器
- 挂靠备案域名
3.6.4 DDNS动态域名服务
- 以用户名开头的子域名,解析为VPN客户端公网IP
3.7 流量统计及控制
- 实现可用xx月,每月XXGb流量的用户使用策略
3.8 VPN隧道内ACL
- 只允许VPN用户访问某些目的IP、端口
3.9 VPN隧道内网络审计
- 记录VPN用户访问的内容,DNS、WEB、WEBPOST、Email、QQ等
3.10 VPN隧道内WAF
- 保护VPN网络内的WEB服务器,防止SQL注入等攻击
3.11 VPN隧道内IDS/IPS
- 保护VPN网络内的应用服务器,防止远程攻击
3.12 VPN服务器
多种VPN服务器部署方式,方便发布应用服务器
3.12.1 网络边界、局域网、云端等
3.12.2 硬件、虚拟机等
3.12.3 通过VPN隧道内DNAT,把VPN客户端变成应用服务器
3.12.4 局域网内部使用VPN
- 作为上网认证工具,防止破解WIFI、私接上网PC
- 实现流量统计与控制
- 防止局域网窃听
参考: