中神通公司交流论坛 - Powered by Discuz! Board

项目	中神通大地云控	普通VPN	SD-WAN	SASE
用途	服务器接入、组建虚拟局域网、路由器/防火墙/安全网关	服务器接入、组建虚拟局域网	组建虚拟局域网并提供上外网服务，也可为服务器接入	服务器接入
与业务系统耦合度	弱耦合，只负责TCP/IP层端口级别的连通及安全；URL代理是较强耦合；可与应用系统共处一机(WSL、Linux)	SSLVPN较强耦合，其它弱耦合；无法与应用系统共处一机	较强耦合；无法与应用系统共处一机	强耦合；无法与应用系统共处一机
VPN/隧道协议	10种； 4种内核级VPN，包括IKEv2/IPSec VPN、WireGuard VPN、VXLAN、GRE； 6种用户态VPN，包括OCSERV、PPTP、L2TP、OpenVPN/SSLVPN、SoftEther/SSTP、Socks代理	1种内核级VPN，IPSec VPN； 2~4种用户态VPN，包括IPSec、PPTP、L2TP、SSLVPN	1种内核级VPN，IPSec VPN；或者没有加密VPN，只是路由隧道协议	2~3种用户态VPN，包括SSLVPN、Socks代理
VPN服务器	软件或硬件，可部署在任意云端、线下物理机或线下虚拟机，兼容第三方VPN客户端，CA、证书、用户名密码认证	硬件设备，只能作为线下物理机，不一定兼容第三方VPN客户端，CA、证书、用户名密码认证	POP设备，不兼容第三方VPN客户端，证书、用户名密码认证；以SaaS形式提供的SD-WAN服务，服务器位置固定，数量有限，存在信息泄露的隐患	硬件设备，不兼容第三方VPN客户端
VPN路由器	软件或硬件，可部署在云端、线下物理机或线下虚拟机，一处客户端可以同时连接多个不同厂家、不同协议的VPN服务器（多云），并可为局域网提供SNAT上VPN路由（免客户端软件安装）；与同机的VPN服务器一起工作，构成VPN链、Multi-Hop及Mesh Network	另外一台VPN服务器设备	CPE设备，只能连接本厂的POP服务器
VPN客户端	可定制的VPN客户端软件，中文界面、适用于各种Windows系统，可以做到随Windows启动而自动拨号（包括全部Windows内置的VPN拨号客户端）、断线重播；兼容第三方标准VPN协议软件APP客户端，五大OS平台	纯软件、只为终端自身VPN联网，不能为局域网提供VPN路由服务	私有协议的个人终端软件，只能连接本厂的POP服务器	定制的浏览器软件，只为终端自身VPN联网，不能为局域网提供VPN路由服务，只能连接本厂的服务器
VXLAN	使用UDP连接多个二层网络，使之成为一个更大的二层网络
GRE隧道	可以同时建立多个IPv4、IPv6 GRE隧道，用于多台设备的互联互通。 GRE隧道拉近两台主机的网络路由距离，在此基础上，利用两个虚拟隧道IP，分别在两台主机上做SNAT、DNAT、静态路由策略，可以让流量通过GRE隧道快捷到达对方连接的网络
DHCP服务器	提供DHCP服务器和DHCP中继两种类型的服务，为网络客户端自动获取IP、DNS服务器、缺省路由等提供配置服务
IP&MAC地址绑定	提供IP&MAC地址绑定服务，自动扫描局域网终端的IP&MAC地址并绑定，MAC地址不匹配的IP将不能通过网关上网；同时也为DHCP服务分配静态IP；同时提供ARP日志，可以查看MAC地址异常等事件
网络IP接入	提供CF WARP客户端，可获得CF公司的IPv4、IPv6网络出口IP，可同步使用WireGuard VPN客户端获得网络层接入；提供HE IPv6隧道接入服务，可获得HE公司的IPv6网络出入口IP；提供GRE隧道接入服务，可获得对方的IPv4、IPv6网络出入口IP
TCP转换	TCP转换为WS/SSL，进而利用CloudFlare CDN实现TCP应用接入，达到网络应用加速、防DDoS攻击、隐藏服务器信息、防屏蔽中转、过WEB代理过滤、IPv4/IPv6接入等目的
SNAT、DNAT	VPN服务器为VPN客户端提供SNAT上外网服务；VPN路由器/客户端为局域网用户提供SNAT上VPN路由的服务；VPN服务器提供DNAT端口映射功能，让外部访问VPN客户端所在的内部网络资源（内网穿透，类似CloudFlare Argo Tunnel）	只有服务器SNAT	只有SNAT	只有服务器SNAT
静态路由	可以对 IPv4、IPv6、VPN网络的不同目的地址设置相应的网关IP，用于优化网络路径、回程路由等目的
基于大规模分区IP地址集的智能无感分流路由	在多WAN、多VPN、SDWAN接入时，提供智能无感分流，用于客户端出网或服务器接入
基于大规模分区IP地址集的分区智能权威DNS解析服务	为来自电信、联通、移动、铁通、教育、外网的用户分别设置其所在区域的权威域名解析服务
基于大规模分区域名集的智能递归DNS解析服务	为各个域名集提供其所在区域的递归转发域名解析服务
DNS拦截	OK		OK
策略下发（零接触配置ZTP/客户端0配置）	OK		OK
集中可视化监控管理	多场景IP可视化		OK
客户端二维码、URL开局（客户端1键开通）	OK
客户付费自助开通（发卡系统）	OK
WAN出口调度	OK		OK
VLAN over VPN	OK		OK
内置用户管理及WEB用户自服务门户	OK	OK		OK
用户认证及上网日志留存及审计	OK	OK		OK
内置自签名根CA中心	OK	OK	OK
内置自动申请维护真实域名SSL证书客户端	OK
内置DNS/DDNS服务器及大规模域名库	OK
内置WEB服务器/URL代理	OK
内置WEB代理(SWG安全WEB网关，更精细的VPN隧道内的上网控制)	OK
内置DNS、SSH、WEB代理服务及日志，将有恶意行为的不良IP加到IP黑名单中，实现大数据挖掘+蜜罐Honeypot功能	OK
内置SS、Stunnel、TLSProxy、KMS等网络服务	OK
内置NFS、CIFS网络存储服务器(远程超融合)	OK
内置防火墙(零信任)	OK	OK	OK	OK
内置EDR安全防护	防病毒、HIDS入侵检测、HTTPS WAF、主机安全加固、蜜罐、弱点扫描、时间控制、高可用性监控
内置用户级时间控制、流量控制(完善付费功能)	OK
支持IPv6	IKEv2/IPSEC、OCSERV、OpenVPN、WireGuard、VXLAN、GRE等6种支持IPV6的VPN/隧道协议，其它服务均可使用IPv6栈		OK	OK
流量控制	针对WEB代理、VPN及NAT服务，每个用户按天、月、年等统计控制，可将VPN接入的应用转变为可计费、可运营的网络服务；针对每个来源IP不限协议进行总流量统计与控制，防止网络资源被滥用、防DdoS攻击、拖库等非法操作
用户认证	有用户名密码、SSL证书、RADIUS、TOTP动态口令等多种认证方式；可代替、也可支持第三方RADIUS、LDAP、AD认证；10种服务器支持RADIUS认证（一号通，超级SSO），7种服务器支持TOTP认证；内置WEB用户门户，用于自主修改密码、初始化TOTP密码等	用户名密码、SSL证书等	用户名密码、SSL证书等	用户名密码、SSL证书等
软硬件分离	提供安装程序及软硬件一体的设备，用户也可以自己选择现有硬件或购买新硬件再安装软件	软硬件一体的设备，用户无法选择硬件	软硬件一体的设备，用户无法选择硬件	软硬件一体的设备，用户无法选择硬件
网络资源	可自由选择现有或新购各大公有云、IDC的VPS，后付费试用，满意后包年优惠		多用户复用服务商现有的VPS、带宽资源，用户无法选择其它网络资源
公有云云市场	AWS、阿里云等各大公有云云市场都有正规的、经过安全检测的镜像商品	少数公有云云市场有正规的镜像商品，甚至没有	少数公有云云市场有正规的镜像商品，甚至没有	少数公有云云市场有正规的镜像商品，甚至没有
中心/网络控制器			OK，厂商绑定、单点故障
QoS控制			OK
应用识别			OK