深澜软件宽带防代理防私接解决方案介绍.pdfVIP

深澜软件‐宽带防代理、防私接解决方案 系统版本号 rc 11.7 1/ 5  宽带防代理、防私接解决方案 第一部分代理、共享上网的产生背景 目前，大多高校数宽带业务都是基于包月或者按照时间计费的形式开展的， 沿用了家庭用户 的计费方式，而且考虑到学生的支付能力比较低，定价也一般比家庭用户要低。事实上，高 校学生用户利用宽带计费技术的不足，往往以个人的名义申请宽带而几户共用，并且分摊费 用，给运营商造成了巨大的经济损失，在高校网络付费用户和非法接入用户的比例从1:2 到 1:10 不等。 第二部分代理、共享上网的常见形式 目前，从技术上来说，代理主要分为两种：NAT 和PROXY 。 NAT： 基于网络层的包重组技术，此项技术本来是为了解决IPV4 地址资源严重不足而产生 的。可以实现多个私有IP 共用一个公网IP 地址实现网络访问的目的。但在国内。这个技术 被大量的应用到代理和共享上网上。NAT 一般情况下是通过出口设备 （如路由器、服务器） 上的多个网络接口，其中一个接口设置为公网地址，另外的接口设置为内部地址。通过特定 的地址转换软件，通过修改数据包的源IP 和目的IP，端口等。从而实现共享上网的 目的， 常见的路由器一般都具备NAT功能，WINDOWS 下的Winroute、连接共享、sygate 等均是 此原理的实现。（包括各种路由器，如无线路由器、宽带路由器等） PROXY：即应用代理，和NAT 的主要区别在于NAT 实现的是整个三层协议的转换。对被私 接的客户端用户透明。而PROXY 则是基于应用层，只能实现特定的协议代理。目前主要有 两种代理形式:HTTP 代理和SOCKS 代理。HTTP 主要应用于HTTP 协议，而SOCKS代理则 可以支持多种协议。 2 / 5  第三部分深澜宽带防代理、共享上网解决方案 深澜宽带防代理防私接系统对于用户的接入，主要有两种方式：私有PPPOE客户端认证和私 有http客户端认证,其主要区别如下： 1. 深澜防代理防私接系统配合华为Me60bas使用，采用私有pppoe客户端进行防代理防私 接，其特点可支持高并发的用户数，非常适合大规模运营使用。 （客户端兼容 Windows2000/xp/vista/2003/windows 7 以及redhat linux等操作系统，同时支持web 直接下载分发和强制升级） 2. 深澜防代理防私接系统直接部署在网关位置，其功能类似个软bas，通过采用私有http 客户端与服务器进行联动，由于无需bas配合，其特点，部署简单，性价比高，适合企 业级应用。 3 / 5  深澜客户端防代理，共享上网原理，如下图所示： 正常的合法用户要上网，必须使用客户端认证登录。客户端运行后，是作为一个服务程序 来运行的。客户端程序对本机网卡上所有收发数据报文会进行监听。针对不同的代理形式， 客户端会做出不同的处理，以防止被代理的机器上网。主要有以下情况： 共享上网形式深澜客户端处理办法 l 使用双网卡做NAT 可禁止用户使用双网卡，包括虚拟网卡设备 l 单网卡做独臂NAT 路由被代理的数据包和本机正常的数据包有一个很明显的区别，就 是源地址或者目的地址均不是本机IP。 所以客户端对源地址或目的地址均不是本机IP 的数据包会进行阻隔。从而被代理的机 器无法上网。 l 使用路由器，一个人拨号后大家共用客户端会提取本机的真实IP并提交给认证服务 器，认证服务器会比较这个提取的IP 和认证报文所用的IP 是否一致，不一致则拒绝认证。 故这种情况主机根本无法拨上号。 l 使用CCPROXY 等HTTP，SOCKS 代理客户端会监听本机的端口，发觉请求的报文中 来自临近的局域