小编零信任 2025-12-18 此文章访问量 5

深信服零信任的资源发布模式：隧道资源、WEB资源、WEB泛域名资源、桌面云资源

WEB 资源&隧道资源对比

https://support.sangfor.com.cn/productDocument/read?product_id=19&version_id=1030&category_id=287231

对比项	WEB 资源	隧道资源
资源发布速度	1. 通常发布第一条 WEB 资源需 30 分钟（还未考虑域名解析和证书申请的时间）；2. 如果在项目中还遇到 WEB 兼容性问题，可能一天以上（更有甚者因其资源的特殊性，会无法支持）；	1. 通常发布第一条资源就只需要2分钟;2. 如果是大网段发布的中小客户， 1 条资源就解决所有资源发布；注：等同于 SSLVPN 的 L3vpn 资源。
资源发布依赖	1. 需要注册、购买的合法公网域名和证书；2. 通常需使用 443、 80 的知名端口，域名和IP 地址都需要备案；3. 需要受信的 SSL 证书：如果涉及到多个应用，还需要类似于 *.atrust.company.com这样的通配符证书，成本较高；4. 需要变更域名 DNS 解析：经 atrust 发布后原有域名需重新指向代理网关。	1. 不需要合法公网域名2. 隧道端口用户无感知，所以无需备案。注：隧道默认 441 端口，但是建立隧道后用户可访问授权的各种内网资源，不需要用户知晓和输入 441 端口，无感知
对现网业务的影响度	WEB 资源涉及到原有域名的 A 记录解析变更，在测试和转正式使用期间，可能会影响原有业务的访问，验证窗口期不足。	隧道资源纯依赖客户端的访问，对现网业务基本无影响，无感知。
审计粒度	支持 URL 级别的资源访问审计	支持 URL 级别的资源访问审计
日常运维	在全局策略中可开启，实时检测 WEB 应用的网络情况，出现故障时可快速定位问题来源（暂不支持 IE 浏览器）	客户端附带的隧道资源诊断工具，可以诊断隧道资源的详细的连通性故障
安全能力	WEB 资源不涉及端，安全防护相对较弱	隧道安装端，安全防护更强
水印	支持	支持
单点登录	支持	支持
资源兼容性	存在兼容性问题	路由转发，不存在兼容性问题

客户端资源选路

由 DNS 解析引流，当存在多个代理网关区域时，因 DNS 解析原因无法选择更优的代理网关访问业务，同时解析异常时无法快速切换；注：特殊的使用智能 DNS 解析，成本更高

隧道资源通过客户端引流， atrust 客户端支持根据时延选择区域内最优的代理网关进行访问，同时支持代理网关异常时可快速切换，业务连续性更高

WEB 资源透明代理&智能改写对比

对比项	透明代理模式	智能改写模式
资源发布前置条件	需先完成业务规范化改造，即： IP 地址域名化、 http 请求改造为 https 等	对规范化改造无要求
实现原理	类似于负载均衡或者可理解为nginx 直接 proxy_pass，透明代理的本质是只做代理转发不改写，避免改写带来的问题，	通过智能分析 HOOK 技术，在浏览器前端和后端流量侧，对不规范内容进行智能改写，能解除部分兼容性问题。但不可避免因改写不全或改写自身的原因仍然会有兼容性问题，从而拉长不规范 WEB 系统的交付周期，增加后续业务的运维成本。（1）后端流量，由于流量经过了代理网关，对网页内容中的明文进行内容替换（如：从 http 改为 https，从IP 改为域名，从后端域名改为前端域名）；（2）通过代理网关注入 Javascript 脚本，对 ajax 请求、URL 跳转等多个涉及到 URL 地址的地方进行 hook，从而解决掉前端产生的绝对路径访问问题。
优劣对比	只要业务系统是规范的，资源发布可一次性做好，进而避免绝大部分的兼容性问题，无后续的维护成本	智能改写发布模式因自身业务系统不规范的原因，会存在各种各样且不可预知的兼容性问题，维护成本高的同时，也会提高排障难度，导致后期运维压力大。

1、本站资源长期持续更新。
2、本资源基本为原创，部分来源其他付费资源平台或互联网收集，如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境，请不要在生产环境中随意模仿，以免带来灾难性后果。

转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 深信服零信任的资源发布模式：隧道资源、WEB资源、WEB泛域名资源、桌面云资源

作者：小编

手机扫一扫，手机上查看此文章：

作者： 小编

相关推荐

一切源于价值！

未雨绸缪、居安思危！ 数据安全、有备无患！ 注意操作、数据无价！ 一切源于价值！

作者：小编

未雨绸缪、居安思危！

数据安全、有备无患！

注意操作、数据无价！

一切源于价值！