校园网防私接系统项目解决方案

1、XXX大学校园网防私接系统项目解决方案1. 项目概况32. 现状及建设目标介绍33. 推荐方案43.1 设计原则43.2 推荐方案拓扑图53.3 拓扑的部署说明54. 防私接技术原理介绍64.1 应用特征检测技术64.2 Flash Cookie 检测法74.3 离散时间算法75. 防私接功能介绍95.1 灵活的防私接配置105.1.1 统计方式105.1.2 冻结方式105.2 信任列表115.3 数据查询与分析125.3.1 共享接入数据查询125.3.2 共享接入数据分析136. 方案优势、价值、案例146.1 技术优势146.2 方案价值146.3 成功案例：广州电信“翼起来”项目错误

2、!未定义书签。12 / 15项目概况随着互联网业务快速发展，校园用户已经成为各电信运营商关注的重要用户 群体之一，校园用户的分布相对集中，更便于开展针对性的网络建设和市场拓展。 校园用户规模大、普及率高，具有明显的规模效益。基于以上原因，校园市场成 为各电信运营商市场发展的必争之地，完善校园网的建设和优化成为重点。然而，学生中通过私接小型家用路由器共享上网的行为非常普遍，这种1 拖N的方式上网不仅给网络管理带来了较大的难度，同时也极大影响了电信运营 商的投资回报比。因此，电信运营商需要一套校园网防私接系统来解决这个问题，一方面可以 通过对校园网用户的上网行为进行分析，同时分析用户账号下实际的拖

3、带规模， 便于市场部门营销转化，挖掘潜在市场价值；另一方面，本系统可以直接阻断私 接共享上网的账号，并对使用者进行提醒，以此来直接改善私接共享上网的现状。1 .现状及建设目标介绍以下是现网拓扑图:图一：（请补充现网拓扑图）系统部署以后的拓扑图：图二：（请补充建设完以后的拓扑图）建设完成后XXXXXX （请补充“建设后”和建设前”的拓扑改变情况）2 .推荐方案3.1 设计原则结合aXX大学）的实际应用和发展要求，在进行校园网防私接系统项目的 方案设计时，系统总体设计应遵循如下原则：实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。安全性原则：校园网防私接系统项目方案服务于校园宿舍网

4、和运营商生产需 要，对安全级别要求较高。系统应能提供网络层和应用层的安全手段防止系统外 部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。可靠性原则：系统设计能有效的避免单点故障，在设备的选择和关键设备的 互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方 面要保证网络能在最短时间内修复。成熟和先进性原则：系统结构设计、系统配置、系统管理方式等方面采用国 际上先进同时乂是成熟、实用的技术。规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业 界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好

5、、标准化程度高的技术 方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满 足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保 证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学， 易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的 监视和控制，并可以进行远程管理和故障诊断。3.2 推荐方案拓扑图以下是推荐拓扑图:上网行为管理AC私接无线路出器图三：推荐拓扑图3.3 拓扑的部署说明（1）以两台防火墙作出互联网出口，负责互联网出口防

6、护。防火墙划分三个区 域，在默认local区域中的接口划分入trust、untrust dmz区。办公网 和生产网的服务器部署在dmz区，外网接口放在untrust区，内网接口放 在trust区，以达到区域间逻辑隔离。内网用户访问办公网和生产网服务器，需要在防火墙上配置指向对应服务 器的静态路由。防火墙之间采用VRRP协议做热备。（2）两台上网行为管理设备，网桥透明模式，主备方式部署，增加网络的可靠 性，两台行为管理之间网线作为心跳和配置同步的教体。（3）最下面是两台核心交换机，交换机开启。spf动态路由协议，上行链路配 置静态路由，指向防火墙。核心交换机之间采用VRRP协议做热备。（4）将所

7、有网关起在核心交换上，不同的业务类型或者不同组织结构划分在不 同的vlan当中。建议汇聚设备和接入设备只走二层，方便管理。3.防私接技术原理介绍4.1 应用特征检测技术共享上网的原理本质上是多个终端通过一个账号一个ip出去上网的过程。 通过这种方式，将内部网络隐藏在一个公共的ip背后，使得北向设备无法发现 这个小型的局域网，造成各种网络管理风险。通过对应用行为的深入研究，发现部分应用在与外部服务器通信时会出现一 串特征码，该特征码具备能够唯一确定一台pc的特性。用户名上网工p应用名称特征值userOIPOAAAfeatureluserXIPXXXXxxxx0 18上网账号：userOJWANn

8、iP：IPO:W，LAN口 IP： IP3主机IP： IP2i特征；frature2主机IP ： IP1升一n=特征：feature 1手三号场尾J图四：应用特征检测原理图如上图，当主机IP1使用“AAA”应用时，该应用在网络通信或自动更新过 程中，将会携带上述能够唯一确定一台终端的特征码。在北向的上网行为管理设 备会记录在userO用户，IP0下AAA应用的特征为featured当IP2主机使用该应用时，其携带的特征为feature2,此时，上网行为管理 设备上记录的是上次主机IP1携带的特征featurel.而feature 1不等于 feature2o当两者都不为零，且不相等时，即可认为

9、账号为user。、IP为IPO 的终端下，隐藏了 2台以上的主机，因此可以判断user。为使用共享的用户。上网行为管理设备内置防代理软件规则库，用于识别最新最热门应用的唯一 性特征，比如QQ、360安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、 PPS、PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等。4.2 Flash Cookie 检测法Flash Cookie类似于网页的HTTP Cookie,他是在用户使用浏览器访问Flash 网页时记录相关内容信息的一个存储区域，由于Flash技术的普及，几乎所有的 网站和浏览器都支持Flash技术。Flash Cookie有如下特点

10、：1、Flash Cookie没有默认的过期时间；2、Flash Cookie不会被浏览器轻易清除；3、即使使用不同浏览器，在同一台PC上，Flash Cookie也是共享的； 基于以上特性，在用户上网过程中，通过网页重定向技术给每台PC赋予唯一的 Flash Cookie值。与应用特征检测技术类似的原理，当互联网出口的上网行为 管理设备检测到同一个user带有不为零，且不相等的两个Flash Cookie值时.， 即可认为在user账号下，隐藏了 2台以上的主机，因此可以判断user为使用共 享的用户。4.3 离散时间算法通过实验数据表明，办公网中基本不存在两个系统时间完全一致的PC,即 P

11、C与PC之间的系统时间是有一定时间差的（秒级甚至是分钟级）。而离散时间 算法就是建立在这个实验数据的基础之上。在大量采样之后，通过离散的方式 统计每个被检测的PC系统时间和上网行为管理的系统时间的差值，达到检测PC 终端的个数的目的。AC代理.图五：代理场景示意图如图五所示，PCA和PCB都部署在NAT设备之后，出口部署了 AC代理检测设 备。每隔一段时间内PCA和PCB都会将时间差上报给AC代理检测设备，AC代理 检测设备会维护该获取到的时间差。PCAH-Jll 间不堪类图六：聚类示意图某一个时间段内，PCA上报的时间差为10、10、11、12、9,PCB 上报的时间为-20、-20、-20

12、、-21 -22、-23,可以发现，每个客户端PC上报的时间差都落在一个很小的误差范围内。所 以代理检测设备在收到这些时间差之后，根据聚类算法，把最相近的时间差聚集 在一起，而把彼此距离较远的时间差认为是不同的分类，即对应不同的终端用户。根据上面的例子，可以看出：10、10、11、12、9对应一个终端，-20、-20、-20、-21、-22、-23对应一个终端。可以预见，经过一段时间之后将获取到图六类似的聚类示意图，PCA的时间 差被聚类在一定的半径范围内，PCB的时间差被聚类在另一个半径范围内。当发现某个账号使用某个IP时，离散时间算法显示其下面有多个聚类，则 可以确认该账号是共享上网用户。

13、4.防私接功能介上网行为管理具备强大的防私接模块，同时，随着移动互联网的发展，移动 智能终端越来越普及，将网络共享给移动终端的现象也同样突出，这也给校园网 络的管理带来了诸多的问题。上网行为管理，不仅可以管控PC共享行为，同时 还可以管控PC+移动终端的共享上网行为。. R用共享接人检则统计所有终相5型S3送喷叼a址用户名的第俎缪*勃故时动作20020066.139200.200.00.139定顿目侬5移 imr 被记录200 20066 27huangvei_devW6PC 2移动貂*4未知*3 iOS三里I930&小米4记录20。200 必 27huangvei.dev朝,3PC 1移出做

14、嬉2未知用小木4记录20020066.139200.200.66 139E媚w8PC 6:衿动绮*2未知笑册iPhoneid*1098.117工67.163_&/APffl/2PC 1 .移动经慎1未处兑至记录200 20066 171zhujunw2PC2记录200 200 66 139200 200 66 139，定顿自组,7PC6誉型钥J1未知笑怨叱呆200 200 66 15ZSt朝,3PC 2:i Android记录20020066.27huawrei.dev砌7PC 2.移动经谯5未知支出4, ZJN8010记录,就李植布列为 但丹利为If历史日志ILswaw图七：防私接效果图5.

15、1灵活的防私接配置图八：防私接配置图上网行为管理的防私接模块功能强大，配置灵活。5.1 -1统计方式1、仅统计电脑终端，忽略移动终端的特征，满足只关注pc共享的需求。2、统计所有终端，同时记录PC和移动终端的特征，满足对PC和移动终端 都有计数要求的场景。5.1.2冻结方式1、可以选择终端限制数量，如图八：终端数量达到2台及以上，即冻结xx 分钟。2、在上述数量限制基础上，加上例外排除场景。如图八：例外允许电脑终 端数1台，移动终端数1台。上述配置结果如下： 1台PC + 1台移动终端；不冻结 2台PC；冻结 2台移动终端；冻结 3台及以上数量任意组合方式；冻结3、冻结对象可选，可以选择冻结用

16、户名，也可以选择冻结IP,满足不同场 景下的冻结需求。5.2 信任列表启用共亘提丸检驾统计所白安滞炎生 比2逸臣共亨出花少法 信的喊II友北越妁件用3二u港呼生典里户鸟信任的“我上西B：；X哪宗有为最指好图九：防私接信任列表配置图在客户的组织结构当中，某些特殊部门或用户不需要开启防私接策略，比如: 测试部门、单位领导等。对于这类部门或用户，防私接模块提供了信任列表，可 直接在组织结构列表中选中部门或用户。同时，对于一些特殊的固定IP设备， 如某些共用主机等，同样可以以IP的形式添加到信任列表中。只要添加进入信 任列表当中，防私接模块将对选中的部门、用户或IP不进行防私接检测，保护 这部分用户的

17、上网行为不受防私接模块的影响。5.3 数据查询与分析5.3.1 共享接入数据查询201)7-18 000000 0所uA a t9 E0 a16 / 15165s 5B?2016-07-1 e00 a 2016-07-18 23559| 加融也51走电 at示b，厚3was知 2HIP5t5*a访网，1洞mt3740192.108.1(X1981 15610.1961S6C75CO7Q2.m250330Cea0f6fic0fiza.m2301./1921GaiO.19B/1虻侬3198/10110121104/10103.1.16473抬? ii*2,2201G-07-lB0106X)i 2d

18、 6-07-18 057-512C16-07.1BO45：552010-07-1800353533 Q414215607500702.m2)05M6a/66c06xS_m2303/3012 饮/101103.1.16422*2016-07-1015:312016-07.1 B0 00:54a a50 v许细僮qA 7 X156075W7慎eZJO油M9,依电 /曲P：1Q10123加.程义03露云先父生5）际IO/ g1”!为共享上帝f 力.其的危急 detected gyTenMial mobile rockel Uc SH :漏IP冰弱信空:方可控制：，记录21拒送英空学渔裁至少| 0|个

19、28显示是项：所白日志v时间排手.6倒序。正字图十一：共享接入查询条件AC数据中心提供共享接入日志查询功能，多种过滤条件，能够帮助客户快速准确的定位想要查找的内容。5.3.2 共享接入数据分析E3筑计制 i号E根茨 立贸M2016-7-15 (000) 武：团22共空接入趋势广析 豆36统什哈：15k 微十三网.2016-07-12 OC;W ?J 2O16-07 W 2359共享勿。.至少2个弱4030图十二：共享接入趋势分析共享接入趋势与陶存人分析 及m干入急A统计选项统计依据;用户名源IP日期时间统计日购：2016-07-12 00：00 到 2016-07-18 23：59B3过滤选项

20、嬴区域月户/沮：斫有斯有9共享终位数：至少2图十三：共享接入数据分析统计条件选型数据中心提供防私接的趋势分析报表，管理员可以选择基于用户名或源IP 两个维度来统计，同时，管理员可以任意组合过滤条件，帮助其准确查询在不同 需求下的数据内容。具体过滤条件包括：用户名/组、终端类型、位置、具体IP、 IP段、IP掩码、共享终端数等。5.方案优势、价值、案例6.1 技术优势防私接方案，一直以技术创新，为客户解决共享场景下带来的问题。方案技 术历经多代发展，从最开始的IP协议特征检测法；到后来的HTTP Cookie检测 法、HTTP协议特征检测法；到现在的应用特征检测法、时间离散算法、Flash Cookie检测法，以及正在预研的多种检测方法。尽管技术的革新总是会带来巨 大挑战，但每次都能通过技术创新，成功的战胜了各种挑战，未来还将不断改进 算法，