| 项目
| 中神通大地云控
| 普通VPN
| SD-WAN
| SASE
|
| 用途
| 服务器接入、组建虚拟局域网、路由器/防火墙/安全网关
| 服务器接入、组建虚拟局域网
| 组建虚拟局域网并提供上外网服务,也可为服务器接入
| 服务器接入
|
| 与业务系统耦合度
| 弱耦合,只负责TCP/IP层端口级别的连通及安全;URL代理是较强耦合;可与应用系统共处一机(WSL、Linux)
| SSLVPN较强耦合,其它弱耦合;无法与应用系统共处一机
| 较强耦合;无法与应用系统共处一机
| 强耦合;无法与应用系统共处一机
|
| VPN/隧道协议
| 10种;
4种内核级VPN,包括IKEv2/IPSec VPN、WireGuard VPN、VXLAN、GRE;
6种用户态VPN,包括OCSERV、PPTP、L2TP、OpenVPN/SSLVPN、SoftEther/SSTP、Socks代理
| 1种内核级VPN,IPSec VPN;
2~4种用户态VPN,包括IPSec、PPTP、L2TP、SSLVPN
| 1种内核级VPN,IPSec VPN;
或者没有加密VPN,只是路由隧道协议
| 2~3种用户态VPN,包括SSLVPN、Socks代理
|
| VPN服务器
| 软件或硬件,可部署在任意云端、线下物理机或线下虚拟机,兼容第三方VPN客户端,CA、证书、用户名密码认证
| 硬件设备,只能作为线下物理机,不一定兼容第三方VPN客户端,CA、证书、用户名密码认证
| POP设备,不兼容第三方VPN客户端,证书、用户名密码认证;以SaaS形式提供的SD-WAN服务,服务器位置固定,数量有限,存在信息泄露的隐患
| 硬件设备,不兼容第三方VPN客户端
|
| VPN路由器
| 软件或硬件,可部署在云端、线下物理机或线下虚拟机,一处客户端可以同时连接多个不同厂家、不同协议的VPN服务器(多云),并可为局域网提供SNAT上VPN路由(免客户端软件安装);与同机的VPN服务器一起工作,构成VPN链、Multi-Hop及Mesh Network
| 另外一台VPN服务器设备
| CPE设备,只能连接本厂的POP服务器
|
|
| VPN客户端
| 可定制的VPN客户端软件,中文界面、适用于各种Windows系统,可以做到随Windows启动而自动拨号(包括全部Windows内置的VPN拨号客户端)、断线重播;
兼容第三方标准VPN协议软件APP客户端,五大OS平台 | 纯软件、只为终端自身VPN联网,不能为局域网提供VPN路由服务
| 私有协议的个人终端软件,只能连接本厂的POP服务器
| 定制的浏览器软件,只为终端自身VPN联网,不能为局域网提供VPN路由服务,只能连接本厂的服务器
|
| VXLAN
| 使用UDP连接多个二层网络,使之成为一个更大的二层网络
|
|
|
|
| GRE隧道
| 可以同时建立多个IPv4、IPv6 GRE隧道,用于多台设备的互联互通。
GRE隧道拉近两台主机的网络路由距离,在此基础上,利用两个虚拟隧道IP,分别在两台主机上做SNAT、DNAT、静态路由策略,可以让流量通过GRE隧道快捷到达对方连接的网络
|
|
|
|
| DHCP服务器
| 提供DHCP服务器和DHCP中继两种类型的服务,为网络客户端自动获取IP、DNS服务器、缺省路由等提供配置服务
|
|
|
|
| IP&MAC地址绑定
| 提供IP&MAC地址绑定服务,自动扫描局域网终端的IP&MAC地址并绑定,MAC地址不匹配的IP将不能通过网关上网;同时也为DHCP服务分配静态IP;同时提供ARP日志,可以查看MAC地址异常等事件
|
|
|
|
| 网络IP接入
| 提供CF WARP客户端,可获得CF公司的IPv4、IPv6网络出口IP,可同步使用WireGuard VPN客户端获得网络层接入;提供HE IPv6隧道接入服务,可获得HE公司的IPv6网络出入口IP;提供GRE隧道接入服务,可获得对方的IPv4、IPv6网络出入口IP
|
|
|
|
| TCP转换
| TCP转换为WS/SSL,进而利用CloudFlare CDN实现TCP应用接入,达到网络应用加速、防DDoS攻击、隐藏服务器信息、防屏蔽中转、过WEB代理过滤、IPv4/IPv6接入等目的
|
|
|
|
| SNAT、DNAT
| VPN服务器为VPN客户端提供SNAT上外网服务;VPN路由器/客户端为局域网用户提供SNAT上VPN路由的服务;VPN服务器提供DNAT端口映射功能,让外部访问VPN客户端所在的内部网络资源(内网穿透,类似CloudFlare Argo Tunnel)
| 只有服务器SNAT
| 只有SNAT
| 只有服务器SNAT
|
| 静态路由
| 可以对 IPv4、IPv6、VPN网络的不同目的地址设置相应的网关IP,用于优化网络路径、回程路由等目的
|
|
|
|
| 基于大规模分区IP地址集的智能无感分流路由
| 在多WAN、多VPN、SDWAN接入时,提供智能无感分流,用于客户端出网或服务器接入
|
|
|
|
| 基于大规模分区IP地址集的分区智能权威DNS解析服务
| 为来自电信、联通、移动、铁通、教育、外网的用户分别设置其所在区域的权威域名解析服务
|
|
|
|
| 基于大规模分区域名集的智能递归DNS解析服务
| 为各个域名集提供其所在区域的递归转发域名解析服务
|
|
|
|
| DNS拦截 | OK
|
| OK
|
|
| 策略下发(零接触配置ZTP/客户端0配置)
| OK
|
| OK
|
|
| 集中可视化监控管理 | 多场景IP可视化 |
| OK
|
|
| 客户端二维码、URL开局(客户端1键开通)
| OK
|
|
|
|
| 客户付费自助开通(发卡系统)
| OK
|
|
|
|
| WAN出口调度
| OK
|
| OK
|
|
| VLAN over VPN
| OK
|
| OK
|
|
| 内置用户管理及WEB用户自服务门户
| OK
| OK
|
| OK
|
| 用户认证及上网日志留存及审计
| OK
| OK
|
| OK
|
| 内置自签名根CA中心
| OK
| OK
| OK
|
|
| 内置自动申请维护真实域名SSL证书客户端
| OK
|
|
|
|
| 内置DNS/DDNS服务器及大规模域名库
| OK
|
|
|
|
| 内置WEB服务器/URL代理
| OK
|
|
|
|
| 内置WEB代理(SWG安全WEB网关,更精细的VPN隧道内的上网控制)
| OK
|
|
|
|
| 内置DNS、SSH、WEB代理服务及日志,将有恶意行为的不良IP加到IP黑名单中,实现大数据挖掘+蜜罐Honeypot功能
| OK
|
|
|
|
| 内置SS、Stunnel、TLSProxy、KMS等网络服务
| OK
|
|
|
|
| 内置NFS、CIFS网络存储服务器(远程超融合)
| OK
|
|
|
|
| 内置防火墙(零信任)
| OK
| OK
| OK
| OK
|
| 内置EDR安全防护
| 防病毒、HIDS入侵检测、HTTPS WAF、主机安全加固、蜜罐、弱点扫描、时间控制、高可用性监控
|
|
|
|
| 内置用户级时间控制、流量控制(完善付费功能)
| OK
|
|
|
|
| 支持IPv6
| IKEv2/IPSEC、OCSERV、OpenVPN、WireGuard、VXLAN、GRE等6种支持IPV6的VPN/隧道协议,其它服务均可使用IPv6栈 |
| OK
| OK
|
| 流量控制
| 针对WEB代理、VPN及NAT服务,每个用户按天、月、年等统计控制,可将VPN接入的应用转变为可计费、可运营的网络服务;针对每个来源IP不限协议进行总流量统计与控制,防止网络资源被滥用、防DdoS攻击、拖库等非法操作
|
|
|
|
| 用户认证
| 有用户名密码、SSL证书、RADIUS、TOTP动态口令等多种认证方式;
可代替、也可支持第三方RADIUS、LDAP、AD认证;10种服务器支持RADIUS认证(一号通,超级SSO),7种服务器支持TOTP认证;内置WEB用户门户,用于自主修改密码、初始化TOTP密码等
| 用户名密码、SSL证书等 | 用户名密码、SSL证书等 | 用户名密码、SSL证书等 |
| 软硬件分离 | 提供安装程序及软硬件一体的设备,用户也可以自己选择现有硬件或购买新硬件再安装软件 | 软硬件一体的设备,用户无法选择硬件 | 软硬件一体的设备,用户无法选择硬件 | 软硬件一体的设备,用户无法选择硬件 |
| 网络资源 | 可自由选择现有或新购各大公有云、IDC的VPS,后付费试用,满意后包年优惠 |
| 多用户复用服务商现有的VPS、带宽资源,用户无法选择其它网络资源 |
|
| 公有云云市场 | AWS、阿里云等各大公有云云市场都有正规的、经过安全检测的镜像商品 | 少数公有云云市场有正规的镜像商品,甚至没有 | 少数公有云云市场有正规的镜像商品,甚至没有 | 少数公有云云市场有正规的镜像商品,甚至没有 |
| 中心/网络控制器 |
|
| OK,厂商绑定、单点故障 |
|
| QoS控制
|
|
| OK
|
|
| 应用识别
|
|
| OK
|
|
