发新话题
打印

零信任VPN系统

零信任VPN系统


一、我是谁 

1.1 用户名密码认证
  • 防暴力破解
  • 硬件特征码验证
  • 用户登录退出时记录日志
1.2 CA证书认证 
1.2.1 真实域名CA证书
  • 系统自动申请维护延期CA证书
1.2.2 自签名CA证书
  • 输入用户名密码才能下载
  • 可以安装在浏览器里,也可以安装在USBKEY里
1.3 TOTP动态密码认证
  • 手机安装客户端APP
  • 在用户门户里扫码激活
  • 无需记密码,不怕泄露密码,无法主动分享密码
1.4 WEB用户门户 
1.4.1 修改密码
  • 首次登录强制修改密码
  • 激活TOTP客户端
1.4.2 查看当前状态
  • 查看群组通告
  • 查看VPN登录状态,虚拟IP
  • 查看有效期,流量统计
1.4.3 查看服务资源
  • VPN登录后能使用的服务器
1.4.4 设置DNAT规则
  • VPN登录后,外网能访问的客户端资源
1.4.5 查看VPN日志 
1.5 VPN客户端
  • 多种VPN类型,防止ISP封杀
  • 多种OS平台客户端,连接各种设备
  • 不需要安装第三方客户端或插件,Windows、安卓、iOS内置VPN
  • 0交互无人值守客户端,随Windows启动自动拨号,断线自动重连
  • 验证硬件特征码

二、从哪里来
 

2.1 来源IP地址ACL
  • 设置用户只能从某些源IP上登录
2.2 用户名MAC地址绑定
  • 设置用户只能在某一设备上登录
2.3 用户名虚拟IP绑定
  • 方便隧道内ACL控制源IP
  • 方便日志审计,可以通过源IP找到对应的用户
2.4 时间段控制
  • 设置用户只能从某些时间段登录
2.5 同一用户名不同地点同时登录
  • 一般同时只能一个用户登录

三、到哪里去
 

3.1 服务器身份验证
  • 验证服务器CA证书的CN与服务器实际地址的一致性,防止冒充服务器进行MITM攻击
3.2 下发路由表
  • 可以设置为只读,用户无法修改下发的VPN路由表
  • 可以只下发必要的服务器IP,不改变客户端默认路由,不影响客户端正常的上网
3.3 下发DNS服务器 可以是内置虚拟网关的DNS服务器
  • 大规模域名库
  • 自定义域名解析
3.4 强制用户使用内置虚拟网关的WEB代理服务器
  • 过滤目的IP、域名、URL、后缀名等
  • 不改变客户端默认路由,不影响客户端正常的上网
3.5 虚拟IP SNAT
  • VPN客户端访问VPN服务器外网IP所能连通的网络
3.6 客户端资源访问
3.6.1 虚拟网络之间互联互通
  • 通过互联网组成虚拟私有网络
3.6.2 虚拟IP DNAT
  • VPN服务器外网网络访问VPN客户端所在OS的资源
  • 内核级内网穿透
3.6.3 外网URL映射
  • 将外网IP、域名开头的URL映射到VPN客户端WEB服务器
  • 挂靠备案域名
3.6.4 DDNS动态域名服务
  • 以用户名开头的子域名,解析为VPN客户端公网IP
3.7 流量统计及控制
  • 实现可用xx月,每月XXGb流量的用户使用策略
3.8 VPN隧道内ACL
  • 只允许VPN用户访问某些目的IP、端口
3.9 VPN隧道内网络审计
  • 记录VPN用户访问的内容,DNS、WEB、WEBPOST、Email、QQ等
3.10 VPN隧道内WAF
  • 保护VPN网络内的WEB服务器,防止SQL注入等攻击
3.11 VPN隧道内IDS/IPS
  • 保护VPN网络内的应用服务器,防止远程攻击
3.12 VPN服务器 
       多种VPN服务器部署方式,方便发布应用服务器 
3.12.1 网络边界、局域网、云端等 
3.12.2 硬件、虚拟机等 
3.12.3 通过VPN隧道内DNAT,把VPN客户端变成应用服务器 
3.12.4 局域网内部使用VPN
  • 作为上网认证工具,防止破解WIFI、私接上网PC
  • 实现流量统计与控制
  • 防止局域网窃听

思维导图: 参考

中神通UTMWALL-ROM网关OS

大地DNS&URL云控管系统


原文:http://www.trustcomputing.com.cn/cn/index.php/support/techdocs/117-zerovpn
[ 本帖最后由 Zeus 于 2023-9-7 16:43 编辑 ]

TOP

发新话题