防共享上网解决方案.DOCVIP

AC防共享上网 解决方案 深信服科技有限公司 需求背景 在解决发现移动终端的问题后，部分客户需要对此类接入的行为进行阻止，所以在企业的网络管理、在运营商代建的高校网络中出现了防共享上网的需求，即防代理、防一拖N的需求。 目前运营商以及企业需要面对共享上网主要带来的2个问题： 1、 在企业中，不少用户共享自己访问互联网的权限给其他用户，绕开了企业对用户设定的上网权限控制，使得原本没有上网权限的用户可以上网了，或者使得原本上网权限较低的用户拥有了较高的权限，给网络管理带来了诸多麻烦。 2、 在运营商承建和运维的高校网络中，遇到很多学生使用路由器或者其他软件方式，共享互联网的访问给其他同学或朋友，直接造成运营商的收益收到影响。 部署方案 防共享AC设备适合部署在网关位置、防火墙与交换机中间的网桥位置，都可起到很好的防共享上网的效果。在交换机一侧的旁路模式下，仅支持发现共享上网的行为，不能做到有效的阻断。 技术方案 发现共享上网的用户 当用户通过路由器、代理软件共享上网时，AC将通过先进的检测技术发现共享上网的IP、用户名、接入的终端数，并在防共享上网的状态界面显示出来。 核心技术：基于应用特征的方法 + 基于flash cookie的方法 基于应用特征的方法 AC设备内置防代理软件规则库，对最新热门软件唯一特征库进行识别，比如QQ、360安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、PPS、PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等 PC终端安装这些热门软件后，在使用该软件或者该软件进行更新时，我们的AC设备在网络出口处都能检测到来自于该IP的应用特征。 若发现有同一个用户账号下有2个或超过2个的IP接入，则判断为共享上网的行为，并自动检测到有2个或超过2个终端在接入。 基于flash cookie的方法 同Http Cookie一样，Flash Cookie也就是记录用户在访问Flash网页的时候保留的信息，鉴于Flash技术的普遍性，几乎所有的网站都采用，所以具有同Http Cookie一样的作用。但是相比起Http Cookie，Flash Cookie更加强大： 1、容量更大，Flash Cookie可以容纳最多100千字节的数据，而一个标准的HTTP Cookie只有4千字节； 2、FlashCookie没有默认的过期时间； 3、FlashCookie将被存储在不同的地点，这使得它们很难被找到。 用IE浏览器（任意浏览器均可）进入百度MP3搜索，在不登录百度帐号的情况下打开百度音乐盒，随便试听几首歌曲，这时可以看到在百度音乐盒的试听历史中会出现之前试听的歌曲。 接下来我们使用IE自带的删除功能来清除Cookie（也可以使用各种软件的清理Cookie功能），清理完之后再重新打开百度音乐盒，我们发现之前试听的歌曲信息居然还在，情况还不只如此，用任意一个浏览器打开百度音乐盒，都可以发现之前的试听历史，这就是Flash Cookie在起作用。 Flash Cookie也就是记录用户在访问Flash网页的时候保留的信息，鉴于Flash技术的普遍性，几乎所有的网站都采用，所以具有同Http Cookie一样的作用，只要当用户打开浏览器去上网，那么就能被AC记录到fash cookie的特征值。 由于flash cookie不容易被清除，而且具有针对每个用户具有唯一，并且支持跨浏览器，所以被用于做防共享检测，极大的减少了共享上网的漏判率和误判率，使得我们AC防共享方案成为了行业内技术领先、获得众多客户认可的解决方案。 技术优势： 漏判率低 以上两种方法是经过实际项目测试、研发改进后，我们选择的效果最好的两种，任意一种方法检测到，AC都将判断该用户账号/IP存在共享上网的行为。 因此无论用户上网是在浏览网页，还是在打开应用，AC都能检测到。 误判率低 防代理应用特征规则针对每个用户具有唯一性，而flash cookie具有的唯一性、不易被清除性、支持跨浏览器的技术，都大大降低了误判的可能。 做策略冻结共享上网的用户 在发现该IP存在共享上网行为时，在上网权限策略中选择代理控制，开启防共享上网检测，设置单IP允许的最大终端数。 这里的最大终端数默认最小为1，最大为5，超过5个的终端无法接入上网。 此时，通过路由器或者其他代理软件上网的PC将无法打开新的网页或者应用，并会收到浏览器推送的提示页面： 设置冻结时间 针对已经被冻结的用户/IP，可设置冻结的时间1-720分钟。在过了冻结设置的时间后，该用户/IP可正常上网。该策略主要是从防共享在企业或高校中推广的便利性而设置，提醒该用户有共享上网的行为，在停止该行为之前，无法连续的正常上网。 示例：2台PC通过路由器共享上网被拒绝 两台PC通过一个路由器代理上网，PC