1、AC 防共享上网解决方案深信服科技有限公司AC 防共享上网解决方案 2/ 10需求背景在解决发现移动终端的问题后,部分客户需要对此类接入的行为进行阻止,所以在企业的网络管理、在运营商代建的高校网络中出现了防共享上网的需求,即防代理、防一拖 N 的需求 。目前运营商以及企业需要面对共享上网主要带来的 2 个问题:1、 在企业中,不少用户共享自己访问互联网的权限给其他用户,绕开了企业对用户设定的上网权限控制,使得原本没有上网权限的用户可以上网了,或者使得原本上网权限较低的用户拥有了较高的权限,给网络管理带来了诸多麻烦。2、 在运营商承建和运维的高校网络中,遇到很多学生使用路由器或者其他软件方式,共
2、享互联网的访问给其他同学或朋友,直接造成运营商的收益收到影响。部署方案AC 防共享上网解决方案 3/ 10防共享 AC 设备适合部署在网关位置、防火墙与交换机中间的网桥位置,都可起到很好的防共享上网的效果。在交换机一侧的旁路模式下,仅支持发现共享上网的行为,不能做到有效的阻断。技术方案发现共享上网的用户当用户通过路由器、代理软件共享上网时,AC 将通过先进的检测技术发现共享上网的 IP、用户名、接入的终端数,并在防共享上网的状态界面显示出来。AC 防共享上网解决方案 4/ 10核心技术:基于应用特征的方法 + 基于 flash cookie 的方法a. 基于应用特征的方法AC 设备内置防代理软
3、件规则库,对最新热门软件唯一特征库进行识别,比如 QQ、360 安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、PPS、 PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等PC 终端安装这些热门软件后,在使用该软件或者该软件进行更新时,我们的 AC 设备在网络出口处都能检测到来自于该 IP 的应用特征。 若发现有同一个用户账号下有 2 个或超过 2 个的 IP 接入,则判断为共享上网的行为,并自动检测到有 2 个或超过 2 个终端在接入。b. 基于 flash cookie 的方法同 Http Cookie 一样,Flash Cookie 也就是记录用户在访问 Flash 网页的时
4、候保留的信息,鉴于 Flash 技术的普遍性,几乎所有的网站都采用,所以具有同 Http Cookie 一样的作用。但是相比起 Http Cookie,Flash Cookie 更加强大:AC 防共享上网解决方案 5/ 101、容量更大,Flash Cookie 可以容纳最多 100 千字节的数据,而一个标准的 HTTP Cookie 只有 4 千字节;2、FlashCookie 没有默认的过期时间;3、FlashCookie 将被存储在不同的地点,这使得它们很难被找到。用 IE 浏览器(任意浏览器均可)进入百度 MP3 搜索,在不登录百度帐号的情况下打开百度音乐盒,随便试听几首歌曲,这时可以
5、看到在百度音乐盒的试听历史中会出现之前试听的歌曲。接下来我们使用 IE 自带的删除功能来清除 Cookie(也可以使用各种软件的清理 Cookie 功能) ,清理完之后再重新打开百度音乐盒,我们发现之前试听的歌曲信息居然还在,情况还不只如此,用任意一个浏览器打开百度音乐盒,都可以发现之前的试听历史,这就是 Flash Cookie 在起作用。Flash Cookie 也就是记录用户在访问 Flash 网页的时候保留的信息,鉴于Flash 技术的普遍性,几乎所有的网站都采用,所以具有同 Http Cookie 一样的作用,只要当用户打开浏览器去上网,那么就能被 AC 记录到 fash cooki
6、e的特征值。由于 flash cookie 不容易被清除,而且具有针对每个用户具有唯一,并且支持跨浏览器,所以被用于做防共享检测,极大的减少了共享上网的漏判率和误判率,使得我们 AC 防共享方案成为了行业内技术领先、获得众多客户认可AC 防共享上网解决方案 6/ 10的解决方案。技术优势: 漏判率低以上两种方法是经过实际项目测试、研发改进后,我们选择的效果最好的两种,任意一种方法检测到,AC 都将判断该用户账号/IP 存在共享上网的行为。因此无论用户上网是在浏览网页,还是在打开应用,AC 都能检测到。 误判率低防代理应用特征规则针对每个用户具有唯一性,而 flash cookie 具有的唯一性
7、、不易被清除性、支持跨浏览器的技术,都大大降低了误判的可能。做策略冻结共享上网的用户在发现该 IP 存在共享上网行为时,在上网权限策略中选择代理控制,开启防共享上网检测,设置单 IP 允许的最大终端数。这里的最大终端数默认最小为 1,最大为 5,超过 5 个的终端无法接入上网。AC 防共享上网解决方案 7/ 10此时,通过路由器或者其他代理软件上网的 PC 将无法打开新的网页或者应用,并会收到浏览器推送的提示页面:设置冻结时间针对已经被冻结的用户/IP,可设置冻结的时间 1-720 分钟。在过了冻结设置的时间后,该用户/IP 可正常上网。该策略主要是从防共享在企业或高校中推广的便利性而设置,提
8、醒该用户有共享上网的行为,在停止该行为之前,无法连续的正常上网。AC 防共享上网解决方案 8/ 10示例:2 台 PC 通过路由器共享上网被拒绝两台 PC 通过一个路由器代理上网,PC A 上登陆 A 用户的 QQ, PC B 上登陆 B 用户的 QQ,这时候 AC 发现该路由器的 IP 有共享上网的行为。PC A 配置的 IP 为:3.6.9.33 , PC B 配置的 IP 为:3.6.9.34AC 防共享上网解决方案 9/ 10两台 PC 同时通过路由器上网,在 AC 上被发现 IP 为 100.100.48.124 的用户有共享上网的行为,下面接的终端数为 2在开启防共享上网检测功能,设置终端数为 1 时,这两台 PC 无法正常上网。AC 防共享上网解决方案 10/ 10而在防共享上网的状态显示中,该 IP 被显示冻结:由于设置的冻结时间为 10 分钟,在过十分钟后,该用户/IP 可正常上网。
