网康ICT校园防私接（完整版）.pdfVIP

方案说明 当前版本 1.0 撰写者 产品部-张檀威 Tanwei_zhang@ 使用者 全体销售、渠道 使用场景 拜访客户、传递价值、深入沟通 安全等级 公开 更新周期 不定期Q 群更新 保障投资回报 稳定持续收入 网康科技防私接解决方案 北京网康科技 2014 年 6 月 一、客户简介 XXX 二、项目背景 运营类场景 WLAN 业务和宽带业务是运营商高度重视的重点业务，高校是 WLAN 业 务和宽带的重点发展区域，重点覆盖教学楼、宿舍楼和图书馆。 起初，这种想法是好的，即可以为高校同学提供上网环境，又可以得到 稳定的业务利润。项目伊始，办理宽带业务学生数量和业务利润稳步上升。但 后期发现办理宽带业务的人数越来越少，反之，办理退订业务的人逐渐增多。 具体是什么原因，导致这样的事情发生？ 经过调查发现，原本办理宽带开通业务是以个人为单位的，现在变成以 寝室为单位，多人共享一条宽带业务实现上网。直接导致办理宽带业务的人数 骤然下降。这样的现象，对运营商造成了巨大的经济损失！如不解决学生私接 路由问题，将会严重影响此项目的收支关系，甚至造成项目的投资失败。 管理类场景 在传统网络中 ，上网方式是 DHCP 动态获取地址，每个用户分配上网账 号，使相关人员的上网行为做到事后可查。 但是，360 随身wifi 等便捷的 NAT 共享设备的出现 ，给网络管理带来两 个问题： 1. 大量的非法或者不具备上网权限的终端接入网络 ，尤其是手机和pad 等自带的移动终端。 2. 因为多个终端使用同一个IP 上网 ，隐藏了上网用户的真实身份 ，导致 审计记录无法对应到真实用户上。 为保证全网上网行为的可视，校方需要有效手段限制私接路由器的行为。 但是 NAT 技术决定了从网络层和传输层上很难做到精确识别私接路由器的行为， 更无法进行有针对性的管理。 三、网康科技防私接解决方案 3.1 网络拓扑图 拓扑说明： 为解决私接路由问题，以透明桥接方式在互联网出口部署网康 ICG 设备 ， 对于每一个帐号或者 IP 进行精准分析，检测出非法私接用户，并做出相应的管 理。 3.2 网康解决方案 网康防私接设备ICG 能够对接入网络的设备做观察、控制，能够检测到 一个用户后的终端数量，并可以对数量做策略控制，以达到掌控用户终端数量 的目的。 其主要实现下面具体的功能需求： 3.2.1 主机个数的识别 防私接最核心的功能就是能够识别出一个用户所使用的终端个数，不论这个用 户采用的是分时分段上网，还是采用 NAT 路由或是代理同时上网的情形。如下 图：防私接设备能显示被识别出存在私接情况的用户，即用户下面=两台终端 的用户。 3.2.2 对识别后的主机进行进一步的行为控制 在监控到用户使用的终端数后，可以对此进行控制，屏蔽该用户的上网流 量，解除屏蔽，永久屏蔽，管理员手工解除等用户控制的功能，并可对用户建 立黑白名单，从而进行个性化控制，如下图所示： 黑白名单设置 3.2.3 对私接情况进行进一步的统计和分析 私接状况查询能够对历史情况做统计，能够查询到用户在过去一段时间的 私接状态变化，以便用户进行历史的回溯。如下图： 过滤条件 允许与阻断用户的比例图 多用户共享链路终端分布图 3.3 私接设备实现原理 网康科技上网行为管理设备主要通过数据包分析应用特征来识别接入设 备。比如在同一个 IP 地址里同时发现 iphone 和三星/小米手机的应用流量，可 以判定为一个私接设备。这种方法不依赖客户端，没有兼容性问题。