大地DNS&URL云控管系统

      中神通大地DNS&URL&VPN云控管系统是一套互联互通安全服务软件,可将硬件、虚拟化平台打造为IPv4/IPv6双栈云路由器/云原生安全接入网关,将IaaS升级为SaaS,用于流畅上网、VPN远程接入、P2P/Mesh VPN组网、内网公网穿透、SSO用户认证计费、上网审计控管、安全存储备份、加密传输分享、资源发布同步、绿色上网等。

中神通大地DNS&URL云控管系统     

 中神通大地云控网络应用拓扑图

    最新中神通·大地DNS&URL云控管系统下载信息 
    http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174

    中神通大地DNS&URL&VPN云管控系统-思维导图
    http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1266

      中神通大地DNS&URL&VPN云管控系统通过了阿里、华为、腾讯、AWS、金山云、百度、青云等多家公有云巨头以及银河麒麟、统信UOS、深度Deepin等多家国产OS巨头的严格审核,具体使用请见:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1540

 

目的宗旨

      互联互通,保护隐私,让用户的网络带宽价值增倍

产品特点

  • “云管端”三栖,软硬件兼施

       可以部署在公有云、Windows终端(WSL)、Linux桌面、X86硬件/虚拟机中,适应各种网络环境

  • 快速灵活

       一键安装、一页开局,“批量用户设置”功能大大缩短用户设置时间

       OS级应用,可在常见的计算平台上安装使用,为绝大多数客户端提供服务

  • 全面易用

       几十种服务器、客户端网络应用,IPV4、IPV6网络,多种加密传输协议;

       全功能WEB管理界面降低使用者的技术门槛,右键多开窗口方便并行处理;

       批量用户设置、策略推送等功能可降低部署成本,减少人为疏忽差错,消除软件配置的安全漏洞

  • 安全稳定

       零信任傻瓜式主机防火墙(公有云安全组可全通免配置)、用户认证、防暴力破解、日志审计、免费SSL证书;

       定期检查进程健康;C语言编译的程序(无反编译源码泄露的风险、非解释型语言运行快);无SQL服务(内存占用小、无SQL注入的安全隐患);HTTPS加密WEB界面(免遭中间人窃听);管理员及用户账号非ssh系统账号(最小特权、降低风险);

       通过了绿盟、Nessus等扫描器的安全评估;中性化服务器特征,防止被SODAN、FOFA等网络扫描标记,避免被零日攻击

  • 自主可控可扩展

       管理员可在SHELL里检查、替换进程及文件;程序与html文件分开,可替换几十种风格的WebAdmin主框架;API接口方便第三方自动化操作;可以在同一个OS里增加第三方软件,可封装成Docker、OS镜像等

产品类型

        中神通大地DNS&URL&VPN云控管系统跨界超融合的产品类型表现在IDC/ISP/IPV6、网络安全、网络存储、虚拟化云安全等领域。传统/云VPN、WEB服务器及内网穿透都是单向接入,大地云控的接入(access)是客户端及服务器双向的,IPV4及IPV6双栈,综合运用可以起到四通八达的效果,运用之妙,存乎一心,VPN客户端拨号连接后可以享受三种网络资源,同时提供三种对外服务,详见“功能介绍 三、虚拟局域网/SS/TJ/SSH服务器”,客户端应用场景详见“功能介绍 五、虚拟局域网/SS/SSR/SSH/IPV6客户端”,IPv6功能详见中神通大地云控IPV6功能说明

中神通大地DNS&URL云控管系统-产品类型

      可以把大地云控看成是Linux下的Server Manager,类似与Windows Server Manager(如下图所示) + 各个服务的控制台,另外配合最新Windows Subsystem for Linux(WSL2)可以将Windows打造成专业的Linux服务器。

Windows Server Manager

        具体到VPN系统,中神通大地云控类似微软整套的Always On VPN/Direct Access VPN及Microsoft Endpoint Manager/Microsoft  Intune系统 ,但不需要PowerShell命令行工具及XML文件,全部图形化管理。

中神通大地DNS&URL&VPN云控管系统双栈双向接入表:

IPV4/IPV6  网络层 应用层
自身客户端功能
  • VPN客户端获取新的IPV4/IPV6 IP及网络(可为局域网服务)
  • 绕过VPN服务器的P2P VPN & Mesh VPN
  • DNS客户端(非标准端口)
  • 公共服务的DDNS客户端
  • IPV6隧道客户端
  • IPV6 GG hosts更新
  • GRE隧道
  • 反向代理、在线代理作为WEB客户端
  • SS/TJ/SSR/SSH作为Socks或端口代理客户端
  • 真实域名SSL证书请求更新
自身服务器功能
  • VPN服务器/GRE隧道+端口映射+Split Tunneling
  • DNS/DDNS服务器
  • 大规模DNS域名库
  • Iptables主机防火墙
  • 用户认证+防暴力破解+TOTP动态密码
  • WEB代理、Socks代理
  • WebDAV存储服务
  • WEB在线代理
  • WEB服务器/反向代理
  • SSH/SFTP服务器
服务器的客户端平台
  • Windows、Linux、MacOS、安卓、iOS、HTML
  • PC、笔记本、平板电脑、手机、路由器、物联网设备、电纸书、智能盒子、游戏机

 

适用对象

      中神通大地DNS&URL&VPN云控管系统适用于个人、单位及ISP,不仅可以安装在内网、边界的物理机、虚拟机、NAS里,还可以安装在国内外的云主机、VPS、容器Docker里,可以安装在应用系统所在的OS中,虚拟化环境中可以随OS一起迁徙,同时保障访问控制安全策略不变。适合Windows、MACOS、Linux、安卓、iOS、TV盒子、游戏机等系统的客户端使用,用户可自主修改密码。

      例如:阿里云、腾讯云、华为云、百度云、天翼云、联通沃云、金山云、浪潮云、微软Azure、亚马逊AWS、Google Cloud、Oracle Cloud等,不管安装在什么地方,都可以对整个互联网开放服务,是真正的云原生软件。用户还可以以本软件系统为基础开发具有安全远程接入管理功能的OA/MIS/销售管理等应用系统,或者集成用户注册运营面板,实现用户自服务功能。

中神通大地云控管系统企业用途

 

互联互通/网络安全的应用
症状:企事业单位挂在互联网上的企业级应用系统,例如邮箱、OA、ERP、进销存、业务系统、远程桌面、网络存储、网站后台等,被黑客扫描攻击、登陆数据被暴力撞库破解、缺乏独立的日志审计、没有数据加密传输导致泄密。

对策:1)安装中神通大地DNS&URL&VPN云控管系统到应用系统的服务器或网络中,应用系统只对VPN虚拟内网开放,再利用本系统VPN的用户认证、静态虚拟IP分配以及数据保密传输功能,就能实现完整的零信任安全防护功能;2)还可以利用本系统的DNS服务功能,指定应用系统的域名为服务器的虚拟内网IP,方便用户使用;3)使用内核级速度快的WireGuard VPN代替以前老旧慢速的VPN系统,还可打造去中心化的P2P/Mesh VPN网络;4)启用DNS、SSH、WEB代理服务器,查询统计恶意用户行为,将不良IP放入IP黑名单中,通过大数据挖掘+蜜罐Honeypot的主动防御保护主机安全。

ISP/IDC的应用
症状:QQ、微信上工作网址被无辜拦截,投诉过程漫长或需要另外花钱才能解决;单位申请的域名网站都需要花时间进行实名备案,否则无法使用;没有IPV6网络,影响上网及网站访问效果;发布在微信、头条、淘宝中的文章无法挂在单位官网上让搜索引擎收录。

对策:1)安装中神通大地DNS&URL&VPN云控管系统到服务器或云主机VPS中,为域名自动申请SSL证书,5分钟内开通HTTPS网站;2)运行VPN、Tunnel客户端获得IPV6 IP并为之分配域名,传统IPV4用户通过WEB代理等方式接入IPV6网络,可浏览国内外IPv6网站等;3)将微信、头条、淘宝中的文章通过HTML重定向、反向代理、在线代理等方式,用合适的域名URL的形式再发布。

隐私保护/隐私计算的应用:

症状:在单位、酒店、机场、餐饮等提供公共宽带或WIFI的场合,存在网络窃听、DNS劫持、WEB劫持、钓鱼WIFI的安全隐患,无法保证网络安全及个人信息不被泄露;商业机构提供的各种网络服务需要手机号、邮箱、密码、身份证号、真实姓名、信用卡、网银账号等才能注册,还会留存日志,存在商家主动出售或被黑泄露的风险进而危及其它网络服务账号;解锁某些网站、APP对地域、源IP的封锁。

对策:1)在公有云中安装中神通大地DNS&URL&VPN云控管系统,启用在线代理、HTTPS代理、GRE隧道、VPN、SS、TJ、SSH、SFTP等数据保密传输服务,再加上用户认证服务,就能实现完整的个人隐私保护功能;2)还可以利用大地云控系统的日志审计功能,检查手机、平板、PC后台的网络请求,防止被安装后门木马。

说明:任何通过真实域名访问的,需要用户注册、在线支付的服务都不可靠,并且最后一个出口属于自己才是最安全的服务。去中心化的自建服务才能真正保护用户隐私。

内网穿透的应用:
症状:应用系统因为OS不兼容、数据涉密或数据库庞大,无法迁移至云端;应用系统在内网,没有网关的管理权限,或没有专用的内网穿透客户端软件,无法做端口映射让外部访问;不愿暴露个人隐私,不想上传身份证,无法使用DDNS服务;分布在各地内网里的网络设备需要集中管理,手机、平板内的文件系统需要通过WEB Share给第三方做上传下载管理。

对策:1)在云端部署中神通大地DNS&URL&VPN云控管系统,启用VPN、SSH服务,设置VPN端口映射规则及SSH端口代理范围;创建用户,启用用户门户;2)用户登录WEB用户门户,修改密码,自定义端口映射规则,再VPN拨号连接,系统自动将客户端VPN虚拟IP的端口映射到云端公网IP上;也可以通过SSH客户端软件设置反向代理端口映射,将客户端内网IP端口映射到云端公网IP上;3)无论是否处于NAT局域网中,任意客户端可组成绕过VPN服务器的P2P VPN和Mesh VPN,增强性能、可扩展性及隐私性。

上网管理的应用
症状:家庭里的中小学生上网不可控,学生以学习的名义沉迷游戏、动漫等和学习无关的内容。电子教室、企事业单位的上网行为管理需求与此类似。

对策:1)将上网设备或路由器DHCP服务的DNS服务器设置为中神通DNS&URL&VPN云控管系统所在的IP;2)上网设备尽量使用普通用户账户——防止修改DNS服务器设置;3)大地云控DNS库启用游戏、视频等分类,这样无需安装软件,即使无人看管或新设备也可以有效控制;4)监管者还可以在云端浏览查询统计上网DNS历史日志,发现PC、手机中病毒广告扣费等灰色后台流量,浏览无DNS污染的网站,或是自定义域名以阻拦某些不在DNS库中的网站。

安全存储的应用
症状:手机照片、数据文件等,缺乏长期稳定安全方便自主可控可审计的存储共享方式。

对策:1)开启VPN+网络存储的远程超融合功能,让用户挂载VPN虚拟网关IP的NFS及CIFS资源,在网络邻居中操作文件;2)开启中神通大地云控系统的WebDAV服务,使用安全加密的https URL挂载远程目录到文件管理器,在本地串流播放、搜索、创建、编辑、删除远程文件,无需上传下载自动同步,不同地区、不同用户的Windows、Linux、MacOS、安卓、iOS系统的电脑/虚拟机、手机、平板、智能盒子同时挂载同一个目录,方便彼此之间共享文件;3)开启SSH/SFTP服务,为每个人分配账号和磁盘空间,使用第三方软件挂载远程目录到文件管理器,其它和WebDAV服务相同;4)自定义分享文件URL的域名。

流量统计的应用
症状:合法的认证用户滥用网络资源导致整个系统失效;传统软件、客户端OS网络资源需要对外服务实现资源变现。

对策:1)开启中神通大地云控系统的用户认证、用户门户、流量统计与控制功能,每种服务的每个用户设置不同的有效期和流量配额,系统定时进行流量统计及控制,超过流量配额的用户在控制期间内不能再使用,在下一个控制期间开始时又自动恢复使用;2)将用户名密码做成卡密,在发卡平台出售; 3)用户在发卡平台购买,网上支付,平台自动发货,用户得到用户名密码和用户门户登陆地址;4)用户首次登录强制修改密码,之后可以查看、连接服务资源,VPN用户还可以设置端口映射规则,对外开放VPN客户端OS网络资源。

 【平台环境】

基础Linux发行版本包括CentOS、RedHat、Fedora、AWS Linux、Oracle Linux、Aliyun Linux、Ubuntu、Debian、OpenEuler、OpenAnolis、Kali、Rocky、麒麟/统信UOS/Deepin、SUSE、Win10 Ubuntu Linux(WSL/WSL2)等。

与中神通大地DNS&URL&VPN云控管系统兼容的虚拟化平台、云服务器、VPS、Docker、NAS及基础OS供应商有且不限于以下所示:

中神通大地云控管系统合作伙伴

【可代替的云存储网盘】

      公有云集成的 大地DNS&URL&VPN云控管系统可代替的云存储网盘有且不限于Dropbox、Google Drive、微软OneDrive、百度网盘、七牛云、苹果iCloud、坚果云、腾讯微云、115网盘等,如下图所示:

可代替的云存储网盘

【功能介绍】

      中神通大地DNS&URL云控管系统主要包括DNS&DDNS服务器以及DNS代理服务器、WEB服务器及WEB代理服务器、虚拟局域网/SS/TJ/SSH服务器、用户认证以及虚拟局域网/SS/SSR/SSH/IPV6接入客户端、Stunnel/TLSProxy/KMS/BT客户端/NFS/CIFS网络服务等六大功能模块,系统支持1~300网卡IP,支持IPV4 & IPV6网络,全部功能都配有参数输入、状态查询、日志留存、源IP控制、目的IP控制、时间控制、流量控制、在线帮助、视频演示等WEB管理界面,可以在所有网卡IP上同时运行,并可以实现指定出口服务器IP的功能。

中神通大地DNS&URL云控管系统功能组成

一、DNS代理服务器

      DNS代理服务器即DNS服务器+DNS防火墙/DNS Firewall,包括大规模DNS分类域名库、自定义域名规则、DNS域名查询转发缓存、NS自主域名管理、DDNS服务、SSL证书申请安装、DNS over TLS(DOT)加密DNS服务以及GG IPV6 hosts文件,以下依次介绍。

1)大规模DNS分类域名库

     大规模DNS分类域名库分为有害无用、上传下载、兼职离职和娱乐休闲四大类,每大类又有各自的子分类,详见下图所示。

 大规模DNS分类域名库

 具体域名分类为:

(一)有害无用

1 广告统计网站        

 2 病毒恶意网站       

 3 少儿不宜网站       

(二)上传下载 

 4 代理虚拟局域网网站        

 5 聊天通讯网站      

 6 论坛博客网站       

 7 邮箱网盘网站       

 8 资源下载网站       

(三)兼职离职 

 9 购物交易支付网站   

 10 股票彩票理财网站 

 11 兼职网赚创业网站 

 12 求职招聘猎头网站 

 13 考试留学移民网站 

(四) 娱乐休闲

 14 房产家居网站     

 15 视频电影网站     

 16 音乐手机网站     

 17 文学小说网站     

 18 游戏网游网站     

 19 体育运动网站     

 20 社交交友网站     

 21 兴趣爱好网站     

 22 时尚娱乐网站     

 23 旅游汽车网站     

选中的域名库中的所有域名将被解析成一个本机IP,为此本机内置有WEB服务器,最终显示的是404错误页面(可定制),当然也可以解析成任意其它IP——127.0.0.1等。

除了A记录域名解析之外,还可以通过TXT记录查询某个域名的具体子分类,用于第三方的日志分析、统计。

中小企业、家长即使是使用几十元的SOHO路由器,配合本域名库服务也可以达到上网行为管理的目的。

2)自定义域名规则

     可将某个域名的NS记录指向本系统,之后就可以在本系统中自主管理该域名,零延时立即生效,方便脚本等自动化操作,实现DNS服务器的功能。以下功能是DNS代理服务器功能。

自定义域名功能有两种用途:

一是补充功能,可将域名库中没有的域名解析成设定的IP。

例1:可以将“广告统计”、“少儿不宜”等子类中没有包含的网站主机名解析成本机IP,以阻止色情广告的显示。

例2:可以将单位内部托管的公网服务器的域名解析成其所在的内网IP,方便单位员工从内网访问。

例3:对启用https协议的网站或游戏客户端内置的服务器域名解析成本机IP,阻止员工上网浏览、游戏。

例4:将域名的NS记录指向本单位的外网网关IP,自己负责域名解析;在内网设置两套或以上的本系统,在外网(多WAN)网关处根据源IP将DNS查询流量53/UDP重定向到内网不同的系统上,因此不同的客户端可以得到不同的解析结果,由此构成智能负载均衡DNS系统。

二是纠正功能,将域名库中某个已有的域名解析成正确的IP。

例1: “广告统计”子类中包含有域名yiqifa.com,即yiqifa.com以及所有以yiqifa.com为二级域名的域名都被过滤(自定义域名也是如此),但是很多购物辅助网站的跳转URL的主机名是p.yiqifa.com,为此可以将p.yiqifa.com解析成正确IP,以方便浏览。

例2:对于ISP、GFW等污染了的域名同样可以在此予以纠正,将其解析成正确的IP,以方便浏览。

3)DNS域名查询转发缓存功能

     如果用户请求的域名不在本机自定义域名策略或预置域名库中,那么系统将向设定好的第三方域名服务器(例如:114.114.114.114或其它提供DNS过滤的DNS服务器)转发请求,并返回解析后的IP,查询结果会被系统缓存起来,下次再有相同的查询时会直接返回结果,从而提高了查询效率,节省了查询时间。

     Windows、Linux、安卓、iOS等客户端都无法设置、使用非标准端口的DNS服务器,只能通过使用非标准端口的DNS服务器的DNS代理服务器中转查询,才能避免DNS污染;使用VPN服务器虚拟网关IP作为DNS服务器,避免VPN客户端的DNS泄露。

客户端DNS域名解析流程示意图请见下图。

 客户端DNS域名解析流程示意图

4)NS自主域名管理

(1)域名解析功能

     A、AAAA、TXT记录,提供API方便大批量自动化操作。

(2)DDNS功能

     无需购买真实域名,无需实名认证,只需要将DNS服务器设置为本系统即可查询;

     可更新A、AAAA记录及TXT记录;

     多种客户端更新IP的方式:nsupdate客户端,VPN、SSH客户端以及URL

     URL方式兼容DynDNS、3322服务器,可代替收费的服务器;

     自动生成nsupdate客户端更新批处理文件。

5) SSL证书申请

    免费申请Let's Encrypt SSL证书,定期按时延续SSL证书有效期(需要正式许可证)。用于WEB服务,可以免备案建站;用于VPN/WebDAV/HTTPS代理服务,可以免下载自签名CA证书,同时防御MITM攻击;用于DNS over TLS(DOT)加密DNS服务。

6)GG IPV6 hosts

     包含GG在内的上千种IPV6域名,还可以自定义IPV6域名,配合WEB在线代理或WEB代理可上异地IPV6网站。

     注意:系统每天会自动更新数据。请合法使用。

7)DNS日志留存

    留存A、AAAA、IP等正常DNS查询记录,以及ANY等非正常记录,类似Passive DNS,可以查询、统计、压缩打包下载DNS日志,可用于网络审计、蜜罐、发现网络蠕虫botnet、态势感知、大数据挖掘等领域。

8)防DNS泄露

    为VPN连接提供内置的DNS转发解析+大规模域名库过滤+自定义域名过滤,让DNS解析走VPN隧道,避免DNS泄露。VPN服务器可以只下发DNS服务器IP为VPN路由,各OS都有内置的VPN拨号客户端,无需安装第三方APP软件,适用于4G/5G移动数据流量及WIFI网络环境,由此构成DNS over VPN(DOV)解决方案,比DNS over TLS(DOT)、DNS over HTTPS(DOH)更容易普及。

二、WEB服务器及WEB代理服务器

1)WEB服务器

      WEB服务器提供http和https、IPV4和IPV6、标准端口和非标准端口WEB服务,还有多种内置WEB应用:

  • WEB在线代理
  • WebDAV服务
  • SSH/SFTP服务器用户上传的文件
  • 源IP显示API(辅助DDNS)
  • 主机信息探针
  • 网络测速
  • DDNS在线更新
  • SFTP WEB客户端
  • 管理员指定的URL
  • VPN服务器登陆用户的虚拟IP
  • PAC文件
  • 主页

      管理员指定的URL有HTML跳转、302重定向、反向代理、带Cookie跨网在线代理、在线代理等多种形式,可设置成短链接/短URL,可启用用户认证,可隐藏原始URL、用户名密码等信息,有固定映射或开口映射。配合VPN/SSH/IPV6客户端可以实现将内网、移动端等已有的WEB服务发布到互联网上;可以将在微博、微信、搜狐、头条、淘宝等第三方(半封闭)平台发表的文章统一用自己域名的URL发布,方便搜索引擎优化SEO;配合用户认证,可实现多个资源的SSO单点登陆功能;配合自动申请SSL证书的域名,可以为任意网站提供https(代理)服务。

      WebDAV服务将主机变成云存储同步网盘,是运行在https协议下的“网络邻居”,它不受ISP对139、445端口的封锁,不受SMB蠕虫病毒的袭扰,加密传输不需要V.P.N,有用户认证、流量统计控制和日志,没有广告,没有内容审计,不会被和谐,容量、带宽自定义不受限,还可在内网、虚拟机当作NAS使用;Windows、Linux、MacOS、安卓、iOS等多种OS下挂载远程目录到文件管理器,PotPlayer、VLC、静读等多个APP内置WebDAV功能,可以查找、创建、编辑、删除远程文件,不需要下载、上传,自动同步内容,可作为游戏等程序的存盘目录,方便共享,可以在浏览器等应用中保存文件到挂载的WebDAV目录中,自动成为网页发布。

      SSH用户拥有本地限量磁盘空间,可以通过SFTP上传、下载文件(比传统的FTP方式安全),可以通过不同OS下的工具软件实现异地异构文件同步,可在内网使用;可以以盘符的形式安装到Windows及Linux文件系统中,方便文件操作。

 2)WEB代理服务器

      WEB代理过滤即安全WEB网关(SWG),既可以过滤内网出外网的流量,也可以作为反向代理,部署到服务器前,过滤客户端到WEB服务器的流量,还可以部署在远端,实现更换源IP的功能,用于网商刷单、游戏挂机等项目。WEB代理过滤能事前过滤客户端请求信息,100%确保没有非法数据包通过,还能过滤服务器反馈的信息,包括被压缩、分包的内容,这些都是旁路WEB审计过滤做不到的。WEB代理服务器还有完善的细分策略,包括对IP、域名、URL、端口、文件类型、文件大小、Agent等做控制。可以启用用户认证、流量统计控制及防暴力破解功能,防止资源被滥用,即使客户端IP一样,也能通过用户名加以区分,并有日志记录。

      WEB代理包括HTTP代理和HTTPS代理两种,HTTPS代理使用真实域名SSL证书或外网IP的自签名证书,HTTPS代理可实现全程加密传输,作用和VPN、SS、SSH服务类似,HTTP代理可以解密HTTPS URL,为了排除对HTTP代理明文协议的干扰,可以使用VPN+VIP HTTP代理+解密HTTPS的解决方案。

     为防止部分用户修改hosts文件躲避DNS代理服务器的检查,必要时可以启用WEB代理功能,WEB代理服务器将优先查询本机DNS代理服务器的自定义域名和域名库,让域名解析强制在远程进行。同时,本WEB代理服务器提供CONNECT方法,可用于https网站浏览以及软件客户端的代理服务,针对异地网站,还启用了http强制转化为https的浏览方式,用户不必事先安装浏览器转换插件或设置浏览器参数就可以用任意浏览器上网浏览。

     提供PAC在线服务,方便IE、Firefox浏览器及移动设备使用,可以更好的使用多个WEB代理服务器。

三、虚拟局域网/SS/TJ/SSH服务器

      VPN虚拟局域网常用于保护使用互联网连接的单位内部的应用系统,包括财务、进销存、邮箱、OA、ERP等应用系统,以及连接各种客户端和网络。虚拟局域网服务器包括IKEv2/IPSEC 、CISCO AnyConnect(OCSERV )、PPTP、L2TP、OpenVPN(SSLVPN)、WireGuard(最新最快)、SoftEther、SSTP、SS、TJ、SSH等服务器,大部分都配有用户管理、状态查询与管理、SNAT、DNAT、策略推送(客户端0配置)等功能,全部都有日志留存与查询、时间控制、源IP限制及流量统计控制功能,可以适配几乎全部虚拟局域网/SS/SSH客户端。提供免费的真实域名CA证书申请安装续期服务,客户端不必下载安装自签名CA证书。VPN客户端具备开机自动连接,断线重拨功能,客户端之间可以相互访问。还可以下发本机虚拟网关IP的DNS服务器,从而在VPN/SS/TJ/SSH服务器用户连通后,防止DNS泄露,并控制其DNS域名解析。

      IKEv2/IPSEC、OCSERV、PPTP、L2TP、OpenVPN、WireGuard、SSH等服务器可选2FA/MFA TOTP动态密码认证。

      WireGuard VPN还可以组织P2P VPN和Mesh VPN,联网设备直接互联,绕过VPN服务器,减轻VPN服务器的负担,不受VPN服务器接入带宽的限制,降低VPN服务器的单点故障,免受VPN服务器的监听审计,大幅减小延时、提高性能。

      VPN客户端登录后有三种可用资源:

1)使用虚拟网关IP内置的DNS、WEB、WebDAV、KMS、NFS、CIFS以及HTTP/HTTPS代理等服务,无需SNAT,不干扰客户端OS路由,还能精细化管理;

2)VPN客户端之间互联互通;无论是否处于NAT局域网中,任意客户端可组成绕过VPN服务器的P2P VPN和Mesh VPN

3)SNAT上外网

       VPN客户端登录后可提供三种对外服务:

1)源IP的DDNS域名

      系统为VPN/SSH用户自动分配DDNS域名,用户在此基础上提供对外服务。

2)虚拟IP的端口映射

      外网到VPN客户端虚拟IP的端口映射,实现内网穿透。

3)虚拟IP的URL映射

      外网地址到VPN客户端所在机器的WEB服务器的http以及https的URL映射,方便内网用户发布WEB信息或传输文件。

      如果VPN客户端处于局域网内,局域网PC可以通过其WEB代理服务器,甚至以路由的方式访问其后的VPN网络——而不需要VPN拨号,类似于网到网VPN,只是需要另外设置路由,可以由PC自己设置,也可以由局域网网关设置。由此可以将点到站(Point to Site/P2S)VPN转化成站到站(Site to Site/S2S)VPN,方便VPN部署,我们称之为VPN前置机或VPN中转机。

     系统为SSH用户提供至少10M的磁盘空间,用户可以将其作为网盘、虚拟主机空间使用,可以将其映射到windows的一个盘符做文件操作,可以在PC、平板、手机上使用各种同步工具进行文件同步。

      系统为VPN/SSH用户提供WEB用户门户和SSH Console等自服务平台,用户还可以在WEB用户门户中修改密码,查看登录状态、可用资源及流量统计,设置外网到VPN客户端虚拟IP的端口映射规则,实现内网穿透。

     中神通大地云控VPN服务器相比传统VPN硬件网关有很大的差异化优势,具体详见下表:

  传统VPN硬件网关 中神通大地云控VPN服务器 说明
VPN协议 协议单一,主要是IPSEC VPN、OpenVPN(SSLVPN),不支持IPV6,缺少VPN隧道流量的审计与控制;缺少真实域名CA证书免费申请安装续期功能,客户端部署使用不方便,存在MITM攻击的风险,没有TOTP动态密码认证功能,安全性不高 多种VPN类型,IKEV2/IPSEC、OCSERV、PPTP、L2TP、OpenVPN/SSLVPN、WireGuard、SoftEther、SSTP等以及SS、TJ、SSH,支持IPV6网络;具备真实域名CA证书免费申请安装续期功能,客户端部署使用方便,可以防MITM攻击;有自签名CA证书功能;具有TOTP动态密码认证功能;具备时间控制、目的控制、流量控制功能;无论是否处于NAT局域网中,任意客户端可组成绕过VPN服务器的P2P VPN和Mesh VPN 协议多可以连通更多的网络及客户端;无真实域名CA证书时,每个客户端都要下载安装自签名CA证书;用户认证更安全方便
部署架构 部署位置单一且周期长,只能部署在单位或电信机房,应用服务器需靠近VPN网关,要牵电信专线,存在电源或硬件故障,无法升级硬件配置(CPU、内存、网卡),无法抵御DDOS等攻击;一旦VPN网关被黑、被非法控制,同一交换机上的应用服务器、局域网PC直接暴露在黑客眼前,十分危险 VPN及应用服务器均可以部署在任意位置(硬件、虚拟化平台,IDC、边界、局域网),最快5分钟可用,当VPN服务器部署在公有云上时,应用服务器可以作为VPN客户端部署在局域网,节省机房、专线、迁移费用,可以动态调整VPN服务器的CPU、内存、网卡、接入带宽,依靠公有云平台抵御DDOS等攻击,即使VPN服务器被黑也无法直接入侵应用服务器、局域网,可靠性、安全性高;例外的路由(Split Tunneling)+代理服务器=基于域名的例外路由;具备大规模用户一键开局及策略推送(客户端0配置)功能,降低部署难度 公有云有VPN网关,但不是OS级别,云市场也有,不过是简化版硬件虚拟机,OS不开放,无法整合应用;都存在VPN协议单一,扩展性差,性价比不高的弊端
拨号VPN 对拨号VPN支持不够,分支机构需要硬件设备,VPN客户端软件收费,缺乏OS内置的VPN客户端;VPN路由设置不灵活;没有内置代理服务,VPN客户端上网不方便且不可控;没有内置DNS服务器,存在DNS泄露的风险 专业拨号VPN服务器,分支机构不需要硬件设备、公网IP,可用OS内置、免费VPN客户端;VPN虚拟网络SNAT,绑定用户名和虚拟IP;可以不改变客户端路由,可用内置的、虚拟网关IP的DNS/WEB代理(精细控制及日志审计)、WEB应用,不影响客户端本地互联网、局域网上网;局域网用户可以通过VPN客户端上VPN网络(P2S),达到网到网VPN的效果(S2S) 网到网VPN无法精确到个人,需要配对使用硬件设备,开销大;传统VPN无法审计控制VPN隧道内的流量,容易造成越权访问;改变VPN客户端路由,会造成上网混乱
VPN客户端 每个用户都要按照VPN客户端软件,每个客户端都要手工配置;拨号VPN系统只能VPN客户端访问VPN网关后的应用服务器或网络,不能反向访问;客户端之间不能相互访问;OS不能同时运行多个VPN客户端;交互式网页登陆,无法实现开机自动连接VPN,断线重拨等功能;不适用于无盘系统 VPN客户端可以通过策略推送功能获取认证信息,做到客户端0配置,降低部署成本;VPN客户端连接后,可以为局域网用户提供VPN路由,无需为每一位用户安装VPN客户端软件;VPN客户端连接后,公网端口映射/URL映射到其虚拟IP的WEB等服务器,实现内网穿透并使其成内容提供商;为其公网IP分配DDNS域名;VPN客户端互联互通,甚至是绕过VPN服务器的P2P VPN和Mesh VPN;OS可同时运行多个VPN客户端,连接不同网络(多云);VPN客户端开机自动连接,断线重拨;适用于无盘系统,不同PC不同配置 手机、平板等移动终端VPN拨号后,其资源可以被外界访问,不需要上传文件,不需要备案;适用于自动登录VPN的网络环境

 

      中神通大地云控的VPN客户端+端口映射与传统的DDNS、内网穿透相比,有以下的特点和优势:

1)一次VPN拨号后,可同时具备DDNS(自己的公网)和内网穿透、URL映射(公共服务器)三种功能/服务,或只要部分功能/服务

2) 不暴露真实IP,即使使用CDN也可能暴露真实IP

3) 不需要公网IP,即使是公网IP,ISP也会封端口

4) 不需要路由器、网关的管理权限,不需要网关DNAT端口映射

5) 不暴露其它端口,只开放需要开放的端口,用户还可以通过PC防火墙精确控制来源用户或来源IP

6) 不受DNS过滤、DNS污染的影响,没有域名解析的延迟

7) 可以使用任意固定域名做公网IP解析,IPV4、IPV6均可

8) 无需暴露个人隐私,无需上传身份证才能开通服务;无需购买专门的硬件设备,纯软件实现

9) 不需要安装专门的客户端软件,防止病毒木马入侵,多平台0客户端直接使用OS自带的VPN拨号连接,连接就有,断开就无,和平常使用一样

10)专用VPN客户端可以做到断线重拨,Windows启动后用户登录前自动拨号,适用于无人值守

11) 内核级端口映射,非应用层代理,稳定高效;使用标准VPN协议,不受应用层特征过滤措施的影响

12) 清空端口映射规则或断开VPN连接即可中断对外服务,不影响内网用户访问

13) 可以禁用客户端通过VPN上网,防止入侵后下载木马或作为跳板入侵其它网络;即使启用上网,也是通过VPN虚拟服务器的HTTP/HTTPS代理器,做精细化上网管理

14) 充分利用公有云防入侵、防DDoS、防CC攻击、动态带宽、动态CPU内存资源的优势

15) 将多个分布的WEB服务器资源统一发布到一个公网WEB服务器域名之下,各部门自主管理自己的WEB服务器

16) 公网WEB服务器使用大地云控系统自动申请、维护的真实域名SSL证书

17) 客户端的WEB服务器可以再套CDN,解决流量带宽性能的问题

18) 可以让用户通过WEB用户门户自定义端口映射+源IP白名单规则,实时生效,无需重拨VPN;有流量统计控制功能

19) 可以只让管理员设置端口映射+源IP白名单规则,防止用户滥用资源导致端口冲突

20) 用户使用其账号密码,通过WEB在线更新或VPN拨号后,系统为其公网IP分配DDNS域名,断开VPN拨号后,系统撤销DDNS域名

21) 可以使用IPV4、IPV6两种网络协议,可以将IPV6服务发布到IPV4网络,反之亦然

22) 可以将WEB等任意服务资源映射到多个地域的公有云上,相当于主动的、用户自主可控的智能CDN

23)支持双因子及TOTP动态密码认证

24)即使客户端在NAT局域网中,也可组成绕过VPN服务器的P2P VPN和Mesh VPN,增强性能、可扩展性及隐私性

      需要做端口映射的内部应用可以是WEB服务器、3389远程桌面、本地Socks代理、SFTP服务器、BT客户端等,客户端可以是使用Windows、安卓、iOS、MacOS、Linux操作系统的手机、平板、PC、服务器、路由器、NAS等网络设备、虚拟机、云服务器等,不需要安装客户端软件。

      中神通大地云控的GRE隧道+端口映射实现公网穿透:

     GRE隧道是OS内核通过GRE协议(Generic Routing Encapsulation,通用路由封装,Protocol 47)建立的虚拟路由隧道,无需第三方服务提供商也没有服务进程,只需要有公网IP的两台主机或路由器等网络设备即可互联互通。当传统的VPN被阻拦或QoS限流时,可以使用GRE隧道建立虚拟路由达到使用VPN一样的效果。GRE隧道应用举例:

     I)可以直接使用远端的WEB服务器或结合本地WEB服务器的反向代理功能,将远程WEB应用映射为本机WEB服务的一个分支URL,这样可以利用本机的外网IP、域名、SSL证书、域名备案、WAF、抗DDoS攻击等资源,同时保护远端主机的IP地址等信息;

     II)可以使用WEB服务器的在线代理或WEB代理服务器功能,以对端主机的外网IP进行浏览;

     III)可以使用DNS代理服务器,在远程主机的网络中进行域名解析,避免DNS污染、DNS劫持

 

 四、 用户认证

       中神通大地云控系统有WEB、VPN、SSH三种用户,有有效期和流量配额的控制,用户数量也有许可证的限制,用户可以通过登陆SSH SHELL的方式自主修改密码,另外还有一个单独的SS用户。具备AAAAA零信任特性,即用户管理(Administration)、用户自服务门户(User Portal)、认证(Authentication)、授权(Authorization)、计费(Accounting/Billing)和日志(Audit/Log),提供用户增删改CGI接口,用于自动化批处理和与第三方运营模板集成。

       管理员有设置第三方URL跳转、反代、在线代理+用户认证的功能,但这样的用户不能用于WEB、VPN、SSH用户资源的认证。

       对于WEB、WEB代理、SSH用户,可以启用“防暴力破解” 功能,防止恶意用户猜测用户名密码。

       对于IKEv2/IPSEC、OCSERV、PPTP、L2TP、OpenVPN、WireGuard、SSH等7种用户,可以启用2FA/MFA的“TOTP动态密码认证”功能,防止丢失、窃听、暴力破解用户名密码。

       VPN用户可以绑定虚拟IP,客户端VPN拨号连接之后,再在VPN隧道内,对虚拟IP做DNS等日志审计及访问控制。

       日志记录中有用户登录账号、源IP及登录、退出的时间、访问的资源,方便日后审计。

       具体用户类型及对应的网络资源详见下表:

 用户类型 网络资源
WEB用户 WebDAV存储(网络邻居)及上传文件形成的URL直链(可绑定自己的域名并安装维护SSL证书,免备案建站,还可上CDN)、DDNS域名及IP更新服务、WEB在线代理、WEB代理服务器、大规模DNS域名库(过滤成人、广告等)、GG IPV6 hosts
VPN用户 VPN拨号后的资源(虚拟网络SNAT访问外网、VPN客户端的端口服务映射到公网、VPN客户端的WEB资源映射为公网URL、虚拟服务器自身的服务、VPN客户端之间的互联)以及与WEB用户类似的资源
SSH用户 Socks代理服务器、正向端口代理、反向端口代理(内网穿透,将客户端的WEB、WEB代理等服务映射成公网服务)、SFTP存储及上传文件形成的URL直链(可绑定自己的域名并安装维护SSL证书,免备案建站,还可上CDN ) 、 DDNS域名及IP更新服务
SS/TJ用户 SS服务器(本地Socks代理,可访问外网及服务器自身的服务) 、大规模DNS域名库(过滤成人、广告等)、GG IPV6 hosts
无需认证的用户 大规模DNS域名库(过滤成人、广告等)、管理员生成的URL(HTML跳转、302跳转、反向代理、在线代理)

 

五、 SSL证书服务、外网IP定位及时间控制

1、SSL证书服务

1)种类

      自签名CA证书及基于Letsencrypt的真实域名SSL证书

2)用途

      DNS over TLS(DOT)服务器、HTTPS WEB服务器、WebDAV、HTTPS代理服务器、HTTP代理服务器-解密HTTPS、IKEV2、OCSERV、SSTP VPN、TJ、Stunnel服务器

3)自签名CA证书

      服务器地址是IP或虚拟的域名,用户事先通过WEB用户门户或管理员分发获得并CA证书,加上用户认证,相当于双因子认证,适用于单位Intranet应用

4)真实SSL证书

      服务器地址是真实的域名,管理员一键申请真实域名证书,系统自动续期证书有效期;用户直接用域名登录,不需要安装CA证书,适用于Internet应用

      类似这样的第三方免费服务的客户端还有Duck DDNS客户端、TunnelBroker IPv6客户端、Speedtest.net测速客户端等。

2、外网IP定位

1)分类

      公网IP、OS外网IP、外网地址字符串、SSL证书中的外网地址以及IPV6 IP

2)用途

      用于设置DNS服务器IP;确定客户端配置文件、PAC文件中的服务器地址;确定各服务的服务器地址

3)初始化

      第一次启动OS时,获得公网IP信息,并设置外网地址字符串、及SSL证书中的外网地址为公网IP,修改HTTPS WEB服务器、WebDAV、HTTPS代理服务器、IKEV2、OCSERV、SSTP VPN的SSL证书配置并重启服务;设置OpenVPN服务器的例外路由;根据国内外地域不同,设置DNS服务器IP

4)资源列表

      根据外网IP地址的不同用途及本机当前运行的服务,生成“开发服务列表”文件,全面总结当前对外的服务资源;可以在用户门户中查看适用于当前用户的服务资源

 3、时间控制

1)功能

      时间控制包括时间定义和时间控制两部分,主要功能模块都有“时间控制”选项,可实现应用的按时启用、停用的功能,一个时间定义包含多个不重叠的时间段,每个时间段可以是1周中的任意一天中的任意一个时间段。

2)用途

      应用举例:上班时间有人值守监控,设置上班时间段为功能启用时间,可以防止功能被滥用或被攻击

3)适用对象

      DNS、WEBPROXY、WEBSERVER、IKEV2、OCSERV、PPTP、L2TP、OpenVPN、WireGuard、SoftEther、SS、VPN客户端、应用服务(Stunnel、TLSProxy、KMS、BT、NFS、CIFS)

4)全方位控制

      时间控制与源IP控制、目的IP控制、流量控制一起为整个系统的安全精准运行打下了坚实的基础


六、 虚拟局域网/SS/SSR/SSH/IPV6客户端

      虚拟局域网/SS/SSR/SSH/IPV6客户端既可以为本机及本机的Docker容器提供虚拟局域网/SS/SSR/SSH/IPV6连通服务(方便本机在线更新wordpress插件、git clone https://github.com/user/prj等),更可以为其他用户提供中转服务,其他用户可以通过虚拟局域网客户端所在系统的虚拟局域网/WEB代理/Socks代理,间接地连接虚拟局域网客户端所连接的虚拟局域网服务器之后的网络,虚拟局域网服务器及其相连的网络也可以连接虚拟局域网客户端所在的系统及其相连的系统,这样的连接方式类似WIFI热点/中继、SD-WAN的功能;无论是否处于NAT局域网中,任意客户端可组成绕过VPN服务器的P2P VPN和Mesh VPN,可以实现异构网络、异地网络的互联互通,是传统硬件VPN网关的有力补充。以下是几个典型的应用场景。

1)应用场景一

    用户有多种移动终端,而且OS的版本也不同,可能需要同时连接多个虚拟局域网/IPV6服务器及网络,逐一安装虚拟局域网客户端并做设置会十分繁琐,升级维护也不方便,而且容易造成用户名口令泄密,为此可以设立一台前置/中转服务器,在其上启用相应的虚拟局域网客户端以及带用户认证功能的WEB代理服务器,最终用户只需要通过单一的用户认证连接上WEB代理服务器,就可以同时连接多个虚拟局域网服务器及网络。除了WEB代理服务器,局域网PC可以直接以路由的方式通过这台VPN客户端访问其后的VPN网络——而不需要VPN拨号,只是需要另外设置路由,可以由PC自己设置,也可以由局域网网关设置。由此可以将点到站(Point to Site/P2S)VPN转化成站到站/网到网(Site to Site/S2S)VPN,方便VPN部署,我们称之为VPN前置机或VPN中转机。

2)应用场景二

    本地因网络阻隔、出口IP随机、QoS限制或没有配对的VPN客户端不方便直接连接异地的网络,而国内其他地点可以无限制地连接异地的网络,为此可以在国内其他地点(VPS)上部署本系统启用VPN/SSH客户端,连接异地的VPN/SSH服务器(正向代理穿透)或者启用异地的VPN/SSH客户端,连接国内VPS的VPN/SSH服务器(反向代理穿透),本地用户就可以通过国内VPS上的HTTP/Socks代理服务或VPN/SS/TJ/SSH服务连接异地的网络。

3)应用场景三

    写字楼里,单位网络处在NAT内网里,而且无法在NAT路由器上做端口映射,外界无法直接连接单位边界路由器或服务器,为此可以在国内其他地点(VPS)上部署本系统并启用VPN服务器,让移动客户端和单位服务器作为VPN客户端同时连接到这台VPN服务器上,并让VPN客户端之间互相连通(客户端代理穿透),这样就可以实现移动客户端和单位服务器之间的连接;或者在单位(VPN)服务器上启用VPN/SSH客户端,连接国内VPS的VPN/SSH服务器(服务器代理穿透),移动客户端就可以通过国内VPS上的HTTP/Socks代理服务或VPN/SS/TJ/SSH服务连接单位(VPN)服务器。传统的硬件VPN路由器没有VPN/SSH客户端功能,无法解决上述问题。

4)应用场景四

    本地无法直接使用8.8.8.8作为DNS服务器,无法查询IPV6域名,为此可以在国内VPS上部署本系统,并将8.8.8.8作为虚拟局域网客户端的虚拟局域网路由以及该机的DNS服务器,同时启用DNS代理服务,本地用户就可以将该国内VPS的IP作为DNS服务器,最终使用8.8.8.8进行DNS查询,由于经过的是虚拟局域网隧道,因此也没有大型节点处的DNS劫持或DNS污染。

5)应用场景五

    用户现使用SOHO型路由器,在其上安装插件或者定制化的OS连接远程虚拟局域网/SS/TJ/SSH服务器,使得内部局域网所有设备都能通过路由器连接远程网络,但受到硬件性能、可用性及部署位置的影响,存在性能不高、带宽不够、维护麻烦、没有访问控制、没有日志留存、不能全方位(局域网、移动网络及互联网)接入、宕机后影响整个网络等问题,为此可以将虚拟局域网/SS客户端以及WEB/DNS/虚拟局域网服务器功能移出路由器,在更好的x86硬件或云主机上安装本系统,接入更大的带宽,用户再通过HTTP/Socks代理服务(具备广告等20多种域名库过滤、自定义域名过滤、URL过滤以及日志审计留存等功能)或虚拟局域网/SS/TJ/SSH服务连接到该系统上,从而完全克服上述这些问题。另外,SOHO型路由器自身没有大容量存储空间,无法作为网络存储服务器,而VPS可以挂载大容量存储器,适合作为网络存储服务器。

 6)应用场景六

    用户有多个X86或VPS主机需要相互连接,为此可以选择一台带宽大性能好的服务器,开启VPN服务,并绑定用户名和虚拟IP,其它主机开启VPN客户端,经过用户认证连接到这台服务器,并根据需要打开或关闭客户端防火墙,这样各主机之间就可以在一个加密的虚拟网络里相互通信,共享文件和网络服务。

7)应用场景七

    用户有多个X86或VPS主机没有原生的IPV6 IP,可以通过OpenVPN/IPV6隧道客户端获得IPV6 IP,使得本机甚至在局域网内(内网穿透)也能够为IPV6网络提供各种内置服务,为满足苹果iOS APP IPV6-only等测试提供帮助,还可以运行本机其它VPN/SS/SSH/BT等客户端连接IPV6服务器,例如北邮人、六维等IPV6 PT。

 

 

参考资料:

中神通大地云控、VPN、SD-WAN、SASE比较:http://trustcomputing.com.cn/bbs/viewthread.php?tid=1763

云市场VPN商品比较:http://trustcomputing.com.cn/bbs/viewthread.php?tid=1825

Darkside勒索病毒的网络防御措施:http://trustcomputing.com.cn/cn/index.php/support/techdocs/121-anti-darkside

零信任VPN系统: http://trustcomputing.com.cn/bbs/viewthread.php?tid=1592

运用Mesh VPN自建去中心化网络基础设施服务: http://trustcomputing.com.cn/bbs/viewthread.php?tid=1820

运用中神通大地云控组建Mesh VPN网络: http://trustcomputing.com.cn/bbs/viewthread.php?tid=1821

运用WireGuard构建下一代内核级VPN: http://trustcomputing.com.cn/bbs/viewthread.php?tid=1741

安装和管理大地云控系统的视频演示:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1175

用户使用大地云控的视频演示、客户端软件及使用说明:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1176

中神通大地云控思维导图:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1266

中神通大地云控IPV6说明:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1406

如何让Windows网络邻居安全的在云上复活?: http://trustcomputing.com.cn/bbs/viewthread.php?tid=1668

中神通大地云控WEB服务器自定义URL功能介绍:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1478

大地云控与传统DDNS、内网穿透相比的特点和优势:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1543

大地云控基于GRE隧道+端口映射的公网穿透: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1611

中神通大地云控的流量统计、控制、计费、运营功能介绍:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1581

中神通大地云控-TOTP动态密码认证设置及使用过程: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1562

中神通大地云控-VPN端口映射设置及使用过程: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1561

安卓系统在4G移动数据流量及WIFI时设置(DOT加密)DNS服务器: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1631

在Docker容器中安装使用中神通大地云控系统: http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1606

在公有云云市场中使用大地云控OS镜像的注意事项:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1540