校園網(wǎng)防私接系統(tǒng)項目解決方案

1、XXX大學(xué)校園網(wǎng)防私接系統(tǒng)項目解決方案1. 項目概況32. 現(xiàn)狀及建設(shè)目標介紹33. 推薦方案43.1 設(shè)計原則43.2 推薦方案拓撲圖53.3 拓撲的部署說明54. 防私接技術(shù)原理介紹64.1 應(yīng)用特征檢測技術(shù)64.2 Flash Cookie 檢測法74.3 離散時間算法75. 防私接功能介紹95.1 靈活的防私接配置105.1.1 統(tǒng)計方式105.1.2 凍結(jié)方式105.2 信任列表115.3 數(shù)據(jù)查詢與分析125.3.1 共享接入數(shù)據(jù)查詢125.3.2 共享接入數(shù)據(jù)分析136. 方案優(yōu)勢、價值、案例146.1 技術(shù)優(yōu)勢146.2 方案價值146.3 成功案例：廣州電信“翼起來”項目錯誤

2、!未定義書簽。12 / 15項目概況隨著互聯(lián)網(wǎng)業(yè)務(wù)快速發(fā)展，校園用戶已經(jīng)成為各電信運營商關(guān)注的重要用戶 群體之一，校園用戶的分布相對集中，更便于開展針對性的網(wǎng)絡(luò)建設(shè)和市場拓展。 校園用戶規(guī)模大、普及率高，具有明顯的規(guī)模效益。基于以上原因，校園市場成 為各電信運營商市場發(fā)展的必爭之地，完善校園網(wǎng)的建設(shè)和優(yōu)化成為重點。然而，學(xué)生中通過私接小型家用路由器共享上網(wǎng)的行為非常普遍，這種1 拖N的方式上網(wǎng)不僅給網(wǎng)絡(luò)管理帶來了較大的難度，同時也極大影響了電信運營 商的投資回報比。因此，電信運營商需要一套校園網(wǎng)防私接系統(tǒng)來解決這個問題，一方面可以 通過對校園網(wǎng)用戶的上網(wǎng)行為進行分析，同時分析用戶賬號下實際的拖

3、帶規(guī)模， 便于市場部門營銷轉(zhuǎn)化，挖掘潛在市場價值；另一方面，本系統(tǒng)可以直接阻斷私 接共享上網(wǎng)的賬號，并對使用者進行提醒，以此來直接改善私接共享上網(wǎng)的現(xiàn)狀。1 .現(xiàn)狀及建設(shè)目標介紹以下是現(xiàn)網(wǎng)拓撲圖:圖一：（請補充現(xiàn)網(wǎng)拓撲圖）系統(tǒng)部署以后的拓撲圖：圖二：（請補充建設(shè)完以后的拓撲圖）建設(shè)完成后XXXXXX （請補充“建設(shè)后”和建設(shè)前”的拓撲改變情況）2 .推薦方案3.1 設(shè)計原則結(jié)合aXX大學(xué)）的實際應(yīng)用和發(fā)展要求，在進行校園網(wǎng)防私接系統(tǒng)項目的 方案設(shè)計時，系統(tǒng)總體設(shè)計應(yīng)遵循如下原則：實用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模。安全性原則：校園網(wǎng)防私接系統(tǒng)項目方案服務(wù)于校園宿舍網(wǎng)

4、和運營商生產(chǎn)需 要，對安全級別要求較高。系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)層和應(yīng)用層的安全手段防止系統(tǒng)外 部成員的非法侵入以及操作人員的越級操作，保護網(wǎng)絡(luò)建設(shè)者的合法利益?？煽啃栽瓌t：系統(tǒng)設(shè)計能有效的避免單點故障，在設(shè)備的選擇和關(guān)鍵設(shè)備的 互聯(lián)時，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方 面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。成熟和先進性原則：系統(tǒng)結(jié)構(gòu)設(shè)計、系統(tǒng)配置、系統(tǒng)管理方式等方面采用國 際上先進同時乂是成熟、實用的技術(shù)。規(guī)范性原則：系統(tǒng)設(shè)計所采用的技術(shù)和設(shè)備應(yīng)符合國際標準、國家標準和業(yè) 界標準，為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。開放性和標準化原則：在設(shè)計時，要求提供開放性好

5、、標準化程度高的技術(shù) 方案；設(shè)備的各種接口滿足開放和標準化原則。可擴充和擴展化原則：所有系統(tǒng)設(shè)備不但滿足當前需要，并在擴充模塊后滿 足可預(yù)見將來需求，如帶寬和設(shè)備的擴展，應(yīng)用的擴展和辦公地點的擴展等。保 證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護現(xiàn)有的投資。可管理性原則：整個系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護，操作簡單，易學(xué)， 易用，便于進行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的 監(jiān)視和控制，并可以進行遠程管理和故障診斷。3.2 推薦方案拓撲圖以下是推薦拓撲圖:上網(wǎng)行為管理AC私接無線路出器圖三：推薦拓撲圖3.3 拓撲的部署說明（1）以兩臺防火墻作出互聯(lián)網(wǎng)出口，負責(zé)互聯(lián)網(wǎng)出口防

6、護。防火墻劃分三個區(qū) 域，在默認local區(qū)域中的接口劃分入trust、untrust dmz區(qū)。辦公網(wǎng) 和生產(chǎn)網(wǎng)的服務(wù)器部署在dmz區(qū)，外網(wǎng)接口放在untrust區(qū)，內(nèi)網(wǎng)接口放 在trust區(qū)，以達到區(qū)域間邏輯隔離。內(nèi)網(wǎng)用戶訪問辦公網(wǎng)和生產(chǎn)網(wǎng)服務(wù)器，需要在防火墻上配置指向?qū)?yīng)服務(wù) 器的靜態(tài)路由。防火墻之間采用VRRP協(xié)議做熱備。（2）兩臺上網(wǎng)行為管理設(shè)備，網(wǎng)橋透明模式，主備方式部署，增加網(wǎng)絡(luò)的可靠 性，兩臺行為管理之間網(wǎng)線作為心跳和配置同步的教體。（3）最下面是兩臺核心交換機，交換機開啟。spf動態(tài)路由協(xié)議，上行鏈路配 置靜態(tài)路由，指向防火墻。核心交換機之間采用VRRP協(xié)議做熱備。（4）將所

7、有網(wǎng)關(guān)起在核心交換上，不同的業(yè)務(wù)類型或者不同組織結(jié)構(gòu)劃分在不 同的vlan當中。建議匯聚設(shè)備和接入設(shè)備只走二層，方便管理。3.防私接技術(shù)原理介紹4.1 應(yīng)用特征檢測技術(shù)共享上網(wǎng)的原理本質(zhì)上是多個終端通過一個賬號一個ip出去上網(wǎng)的過程。 通過這種方式，將內(nèi)部網(wǎng)絡(luò)隱藏在一個公共的ip背后，使得北向設(shè)備無法發(fā)現(xiàn) 這個小型的局域網(wǎng)，造成各種網(wǎng)絡(luò)管理風(fēng)險。通過對應(yīng)用行為的深入研究，發(fā)現(xiàn)部分應(yīng)用在與外部服務(wù)器通信時會出現(xiàn)一 串特征碼，該特征碼具備能夠唯一確定一臺pc的特性。用戶名上網(wǎng)工p應(yīng)用名稱特征值userOIPOAAAfeatureluserXIPXXXXxxxx0 18上網(wǎng)賬號：userOJWANn

8、iP：IPO:W，LAN口 IP： IP3主機IP： IP2i特征；frature2主機IP ： IP1升一n=特征：feature 1手三號場尾J圖四：應(yīng)用特征檢測原理圖如上圖，當主機IP1使用“AAA”應(yīng)用時，該應(yīng)用在網(wǎng)絡(luò)通信或自動更新過 程中，將會攜帶上述能夠唯一確定一臺終端的特征碼。在北向的上網(wǎng)行為管理設(shè) 備會記錄在userO用戶，IP0下AAA應(yīng)用的特征為featured當IP2主機使用該應(yīng)用時，其攜帶的特征為feature2,此時，上網(wǎng)行為管理 設(shè)備上記錄的是上次主機IP1攜帶的特征featurel.而feature 1不等于 feature2o當兩者都不為零，且不相等時，即可認為

9、賬號為user。、IP為IPO 的終端下，隱藏了 2臺以上的主機，因此可以判斷user。為使用共享的用戶。上網(wǎng)行為管理設(shè)備內(nèi)置防代理軟件規(guī)則庫，用于識別最新最熱門應(yīng)用的唯一 性特征，比如QQ、360安全衛(wèi)士、搜狗拼音、迅雷、英雄聯(lián)盟、穿越火線、快播、 PPS、PPTV、風(fēng)行、迅雷看看、暴風(fēng)影音、愛奇藝影音、搜狐影音等。4.2 Flash Cookie 檢測法Flash Cookie類似于網(wǎng)頁的HTTP Cookie,他是在用戶使用瀏覽器訪問Flash 網(wǎng)頁時記錄相關(guān)內(nèi)容信息的一個存儲區(qū)域，由于Flash技術(shù)的普及，幾乎所有的 網(wǎng)站和瀏覽器都支持Flash技術(shù)。Flash Cookie有如下特點

10、：1、Flash Cookie沒有默認的過期時間；2、Flash Cookie不會被瀏覽器輕易清除；3、即使使用不同瀏覽器，在同一臺PC上，F(xiàn)lash Cookie也是共享的； 基于以上特性，在用戶上網(wǎng)過程中，通過網(wǎng)頁重定向技術(shù)給每臺PC賦予唯一的 Flash Cookie值。與應(yīng)用特征檢測技術(shù)類似的原理，當互聯(lián)網(wǎng)出口的上網(wǎng)行為 管理設(shè)備檢測到同一個user帶有不為零，且不相等的兩個Flash Cookie值時.， 即可認為在user賬號下，隱藏了 2臺以上的主機，因此可以判斷user為使用共 享的用戶。4.3 離散時間算法通過實驗數(shù)據(jù)表明，辦公網(wǎng)中基本不存在兩個系統(tǒng)時間完全一致的PC,即 P

11、C與PC之間的系統(tǒng)時間是有一定時間差的（秒級甚至是分鐘級）。而離散時間 算法就是建立在這個實驗數(shù)據(jù)的基礎(chǔ)之上。在大量采樣之后，通過離散的方式 統(tǒng)計每個被檢測的PC系統(tǒng)時間和上網(wǎng)行為管理的系統(tǒng)時間的差值，達到檢測PC 終端的個數(shù)的目的。AC代理.圖五：代理場景示意圖如圖五所示，PCA和PCB都部署在NAT設(shè)備之后，出口部署了 AC代理檢測設(shè) 備。每隔一段時間內(nèi)PCA和PCB都會將時間差上報給AC代理檢測設(shè)備，AC代理 檢測設(shè)備會維護該獲取到的時間差。PCAH-Jll 間不堪類圖六：聚類示意圖某一個時間段內(nèi)，PCA上報的時間差為10、10、11、12、9,PCB 上報的時間為-20、-20、-20

12、、-21 -22、-23,可以發(fā)現(xiàn)，每個客戶端PC上報的時間差都落在一個很小的誤差范圍內(nèi)。所 以代理檢測設(shè)備在收到這些時間差之后，根據(jù)聚類算法，把最相近的時間差聚集 在一起，而把彼此距離較遠的時間差認為是不同的分類，即對應(yīng)不同的終端用戶。根據(jù)上面的例子，可以看出：10、10、11、12、9對應(yīng)一個終端，-20、-20、-20、-21、-22、-23對應(yīng)一個終端?？梢灶A(yù)見，經(jīng)過一段時間之后將獲取到圖六類似的聚類示意圖，PCA的時間 差被聚類在一定的半徑范圍內(nèi)，PCB的時間差被聚類在另一個半徑范圍內(nèi)。當發(fā)現(xiàn)某個賬號使用某個IP時，離散時間算法顯示其下面有多個聚類，則 可以確認該賬號是共享上網(wǎng)用戶。

13、4.防私接功能介上網(wǎng)行為管理具備強大的防私接模塊，同時，隨著移動互聯(lián)網(wǎng)的發(fā)展，移動 智能終端越來越普及，將網(wǎng)絡(luò)共享給移動終端的現(xiàn)象也同樣突出，這也給校園網(wǎng) 絡(luò)的管理帶來了諸多的問題。上網(wǎng)行為管理，不僅可以管控PC共享行為，同時 還可以管控PC+移動終端的共享上網(wǎng)行為。. R用共享接人檢則統(tǒng)計所有終相5型S3送噴叼a址用戶名的第俎繆*勃故時動作20020066.139200.200.00.139定頓目儂5移 imr 被記錄200 20066 27huangvei_devW6PC 2移動貂*4未知*3 iOS三里I930&小米4記錄20。200 必 27huangvei.dev朝,3PC 1移出做

14、嬉2未知用小木4記錄20020066.139200.200.66 139E媚w8PC 6:衿動綺*2未知笑冊iPhoneid*1098.117工67.163_&/APffl/2PC 1 .移動經(jīng)慎1未處兌至記錄200 20066 171zhujunw2PC2記錄200 200 66 139200 200 66 139，定頓自組,7PC6譽型鑰J1未知笑怨叱呆200 200 66 15ZSt朝,3PC 2:i Android記錄20020066.27huawrei.dev砌7PC 2.移動經(jīng)譙5未知支出4, ZJN8010記錄,就李植布列為 但丹利為If歷史日志ILswaw圖七：防私接效果圖5.

15、1靈活的防私接配置圖八：防私接配置圖上網(wǎng)行為管理的防私接模塊功能強大，配置靈活。5.1 -1統(tǒng)計方式1、僅統(tǒng)計電腦終端，忽略移動終端的特征，滿足只關(guān)注pc共享的需求。2、統(tǒng)計所有終端，同時記錄PC和移動終端的特征，滿足對PC和移動終端 都有計數(shù)要求的場景。5.1.2凍結(jié)方式1、可以選擇終端限制數(shù)量，如圖八：終端數(shù)量達到2臺及以上，即凍結(jié)xx 分鐘。2、在上述數(shù)量限制基礎(chǔ)上，加上例外排除場景。如圖八：例外允許電腦終 端數(shù)1臺，移動終端數(shù)1臺。上述配置結(jié)果如下： 1臺PC + 1臺移動終端；不凍結(jié) 2臺PC；凍結(jié) 2臺移動終端；凍結(jié) 3臺及以上數(shù)量任意組合方式；凍結(jié)3、凍結(jié)對象可選，可以選擇凍結(jié)用

16、戶名，也可以選擇凍結(jié)IP,滿足不同場 景下的凍結(jié)需求。5.2 信任列表啟用共亙提丸檢駕統(tǒng)計所白安滯炎生 比2逸臣共亨出花少法 信的喊II友北越妁件用3二u港呼生典里戶鳥信任的“我上西B：；X哪宗有為最指好圖九：防私接信任列表配置圖在客戶的組織結(jié)構(gòu)當中，某些特殊部門或用戶不需要開啟防私接策略，比如: 測試部門、單位領(lǐng)導(dǎo)等。對于這類部門或用戶，防私接模塊提供了信任列表，可 直接在組織結(jié)構(gòu)列表中選中部門或用戶。同時，對于一些特殊的固定IP設(shè)備， 如某些共用主機等，同樣可以以IP的形式添加到信任列表中。只要添加進入信 任列表當中，防私接模塊將對選中的部門、用戶或IP不進行防私接檢測，保護 這部分用戶的

17、上網(wǎng)行為不受防私接模塊的影響。5.3 數(shù)據(jù)查詢與分析5.3.1 共享接入數(shù)據(jù)查詢201)7-18 000000 0所uA a t9 E0 a16 / 15165s 5B?2016-07-1 e00 a 2016-07-18 23559| 加融也51走電 at示b，厚3was知 2HIP5t5*a訪網(wǎng)，1洞mt3740192.108.1(X1981 15610.1961S6C75CO7Q2.m250330Cea0f6fic0fiza.m2301./1921GaiO.19B/1虻儂3198/10110121104/10103.1.16473抬? ii*2,2201G-07-lB0106X)i 2d

18、 6-07-18 057-512C16-07.1BO45：552010-07-1800353533 Q414215607500702.m2)05M6a/66c06xS_m2303/3012 飲/101103.1.16422*2016-07-1015:312016-07.1 B0 00:54a a50 v許細僮qA 7 X156075W7慎eZJO油M9,依電 /曲P：1Q10123加.程義03露云先父生5）際IO/ g1”!為共享上帝f 力.其的危急 detected gyTenMial mobile rockel Uc SH :漏IP冰弱信空:方可控制：，記錄21拒送英空學(xué)漁裁至少|(zhì) 0|個

19、28顯示是項：所白日志v時間排手.6倒序。正字圖十一：共享接入查詢條件AC數(shù)據(jù)中心提供共享接入日志查詢功能，多種過濾條件，能夠幫助客戶快速準確的定位想要查找的內(nèi)容。5.3.2 共享接入數(shù)據(jù)分析E3筑計制 i號E根茨 立貿(mào)M2016-7-15 (000) 武：團22共空接入趨勢廣析 豆36統(tǒng)什哈：15k 微十三網(wǎng).2016-07-12 OC;W ?J 2O16-07 W 2359共享勿。.至少2個弱4030圖十二：共享接入趨勢分析共享接入趨勢與陶存人分析 及m干入急A統(tǒng)計選項統(tǒng)計依據(jù);用戶名源IP日期時間統(tǒng)計日購：2016-07-12 00：00 到 2016-07-18 23：59B3過濾選項

20、嬴區(qū)域月戶/沮：斫有斯有9共享終位數(shù)：至少2圖十三：共享接入數(shù)據(jù)分析統(tǒng)計條件選型數(shù)據(jù)中心提供防私接的趨勢分析報表，管理員可以選擇基于用戶名或源IP 兩個維度來統(tǒng)計，同時，管理員可以任意組合過濾條件，幫助其準確查詢在不同 需求下的數(shù)據(jù)內(nèi)容。具體過濾條件包括：用戶名/組、終端類型、位置、具體IP、 IP段、IP掩碼、共享終端數(shù)等。5.方案優(yōu)勢、價值、案例6.1 技術(shù)優(yōu)勢防私接方案，一直以技術(shù)創(chuàng)新，為客戶解決共享場景下帶來的問題。方案技 術(shù)歷經(jīng)多代發(fā)展，從最開始的IP協(xié)議特征檢測法；到后來的HTTP Cookie檢測 法、HTTP協(xié)議特征檢測法；到現(xiàn)在的應(yīng)用特征檢測法、時間離散算法、Flash Cookie檢測法，以及正在預(yù)研的多種檢測方法。盡管技術(shù)的革新總是會帶來巨 大挑戰(zhàn)，但每次都能通過技術(shù)創(chuàng)新，成功的戰(zhàn)勝了各種挑戰(zhàn)，未來還將不斷改進 算法，