3.AC-防共享上網(wǎng)解決方案

AC防共享上網(wǎng)解決方案AC防共享上網(wǎng)解決方案深信服科技有限公司需求背景在解決發(fā)現(xiàn)移動(dòng)終端的問(wèn)題后，部分客戶需要對(duì)此類接入的行為進(jìn)行阻止，所以在企業(yè)的網(wǎng)絡(luò)管理、在運(yùn)營(yíng)商代建的高校網(wǎng)絡(luò)中出現(xiàn)了防共享上網(wǎng)的需求，即防代理、防一拖N的需求。目前運(yùn)營(yíng)商以及企業(yè)需要面對(duì)共享上網(wǎng)主要帶來(lái)的2個(gè)問(wèn)題：1、 在企業(yè)中，不少用戶共享自己訪問(wèn)互聯(lián)網(wǎng)的權(quán)限給其他用戶，繞開了企業(yè)對(duì)用戶設(shè)定的上網(wǎng)權(quán)限控制，使得原本沒有上網(wǎng)權(quán)限的用戶可以上網(wǎng)了，或者使得原本上網(wǎng)權(quán)限較低的用戶擁有了較高的權(quán)限，給網(wǎng)絡(luò)管理帶來(lái)了諸多麻煩。2、 在運(yùn)營(yíng)商承建和運(yùn)維的高校網(wǎng)絡(luò)中，遇到很多學(xué)生使用路由器或者其他軟件方式，共享互聯(lián)網(wǎng)的訪問(wèn)給其他同學(xué)或朋友，直接造成運(yùn)營(yíng)商的收益收到影響。部署方案防共享AC設(shè)備適合部署在網(wǎng)關(guān)位置、防火墻與交換機(jī)中間的網(wǎng)橋位置，都可起到很好的防共享上網(wǎng)的效果。在交換機(jī)一側(cè)的旁路模式下，僅支持發(fā)現(xiàn)共享上網(wǎng)的行為，不能做到有效的阻斷。技術(shù)方案發(fā)現(xiàn)共享上網(wǎng)的用戶當(dāng)用戶通過(guò)路由器、代理軟件共享上網(wǎng)時(shí)，AC將通過(guò)先進(jìn)的檢測(cè)技術(shù)發(fā)現(xiàn)共享上網(wǎng)的IP、用戶名、接入的終端數(shù)，并在防共享上網(wǎng)的狀態(tài)界面顯示出來(lái)。核心技術(shù)：基于應(yīng)用特征的方法+基于flashcookie的方法基于應(yīng)用特征的方法AC設(shè)備內(nèi)置防代理軟件規(guī)則庫(kù)，對(duì)最新熱門軟件唯一特征庫(kù)進(jìn)行識(shí)別，比如QQ、360安全衛(wèi)士、搜狗拼音、迅雷、英雄聯(lián)盟、穿越火線、快播、PPS、PPTV、風(fēng)行、迅雷看看、暴風(fēng)影音、愛奇藝影音、搜狐影音等PC終端安裝這些熱門軟件后，在使用該軟件或者該軟件進(jìn)行更新時(shí)，我們的AC設(shè)備在網(wǎng)絡(luò)出口處都能檢測(cè)到來(lái)自于該IP的應(yīng)用特征。若發(fā)現(xiàn)有同一個(gè)用戶賬號(hào)下有2個(gè)或超過(guò)2個(gè)的IP接入，則判斷為共享上網(wǎng)的行為，并自動(dòng)檢測(cè)到有2個(gè)或超過(guò)2個(gè)終端在接入。 基于flashcookie的方法同HttpCookie一樣，F(xiàn)lashCookie也就是記錄用戶在訪問(wèn)Flash網(wǎng)頁(yè)的時(shí)候保留的信息，鑒于Flash技術(shù)的普遍性，幾乎所有的網(wǎng)站都采用，所以具有同HttpCookie一樣的作用。但是相比起HttpCookie，F(xiàn)lashCookie更加強(qiáng)大：1、容量更大，F(xiàn)lashCookie可以容納最多100千字節(jié)的數(shù)據(jù)，而一個(gè)標(biāo)準(zhǔn)的HTTPCookie只有4千字節(jié)；2、FlashCookie沒有默認(rèn)的過(guò)期時(shí)間；3、FlashCookie將被存儲(chǔ)在不同的地點(diǎn)，這使得它們很難被找到。用IE瀏覽器（任意瀏覽器均可）進(jìn)入百度MP3搜索，在不登錄百度帳號(hào)的情況下打開百度音樂(lè)盒，隨便試聽?zhēng)资赘枨?，這時(shí)可以看到在百度音樂(lè)盒的試聽歷史中會(huì)出現(xiàn)之前試聽的歌曲。接下來(lái)我們使用IE自帶的刪除功能來(lái)清除Cookie（也可以使用各種軟件的清理Cookie功能），清理完之后再重新打開百度音樂(lè)盒，我們發(fā)現(xiàn)之前試聽的歌曲信息居然還在，情況還不只如此，用任意一個(gè)瀏覽器打開百度音樂(lè)盒，都可以發(fā)現(xiàn)之前的試聽歷史，這就是FlashCookie在起作用。FlashCookie也就是記錄用戶在訪問(wèn)Flash網(wǎng)頁(yè)的時(shí)候保留的信息，鑒于Flash技術(shù)的普遍性，幾乎所有的網(wǎng)站都采用，所以具有同HttpCookie一樣的作用，只要當(dāng)用戶打開瀏覽器去上網(wǎng)，那么就能被AC記錄到fashcookie的特征值。由于flashcookie不容易被清除，而且具有針對(duì)每個(gè)用戶具有唯一，并且支持跨瀏覽器，所以被用于做防共享檢測(cè)，極大的減少了共享上網(wǎng)的漏判率和誤判率，使得我們AC防共享方案成為了行業(yè)內(nèi)技術(shù)領(lǐng)先、獲得眾多客戶認(rèn)可的解決方案。技術(shù)優(yōu)勢(shì)：漏判率低以上兩種方法是經(jīng)過(guò)實(shí)際項(xiàng)目測(cè)試、研發(fā)改進(jìn)后，我們選擇的效果最好的兩種，任意一種方法檢測(cè)到，AC都將判斷該用戶賬號(hào)/IP存在共享上網(wǎng)的行為。因此無(wú)論用戶上網(wǎng)是在瀏覽網(wǎng)頁(yè)，還是在打開應(yīng)用，AC都能檢測(cè)到。誤判率低防代理應(yīng)用特征規(guī)則針對(duì)每個(gè)用戶具有唯一性，而flashcookie具有的唯一性、不易被清除性、支持跨瀏覽器的技術(shù)，都大大降低了誤判的可能。做策略凍結(jié)共享上網(wǎng)的用戶在發(fā)現(xiàn)該IP存在共享上網(wǎng)行為時(shí)，在上網(wǎng)權(quán)限策略中選擇代理控制，開啟防共享上網(wǎng)檢測(cè)，設(shè)置單IP允許的最大終端數(shù)。這里的最大終端數(shù)默認(rèn)最小為1，最大為5，超過(guò)5個(gè)的終端無(wú)法接入上網(wǎng)。此時(shí)，通過(guò)路由器或者其他代理軟件上網(wǎng)的PC將無(wú)法打開新的網(wǎng)頁(yè)或者應(yīng)用，并會(huì)收到瀏覽器推送的提示頁(yè)面：設(shè)置凍結(jié)時(shí)間針對(duì)已經(jīng)被凍結(jié)的用戶/IP，可設(shè)置凍結(jié)的時(shí)間1-720分鐘。在過(guò)了凍結(jié)設(shè)置的時(shí)間后，該用戶/IP可正常上網(wǎng)。該策略主要是從防共享在企業(yè)或高校中推廣的便利性而設(shè)置，提醒該用戶有共享上網(wǎng)的行為，在停止該行為之前，無(wú)法連續(xù)的正常上網(wǎng)。示例：2臺(tái)PC通過(guò)路由器共享上網(wǎng)被拒絕兩臺(tái)PC通過(guò)一個(gè)路由器代理上網(wǎng)，PCA上登陸A用戶的QQ，PCB上登陸B(tài)用戶的QQ，這時(shí)候AC發(fā)現(xiàn)該路由器的IP有共享上網(wǎng)的行為。PCA配置的IP為：3，PCB配置的IP為：4兩臺(tái)PC同時(shí)通過(guò)路由器上網(wǎng)，在AC上被發(fā)現(xiàn)IP為24的