1、XXX大學校園網防私接系統項目解決方案1. 項目概況32. 現狀及建設目標介紹33. 推薦方案43.1 設計原則43.2 推薦方案拓撲圖53.3 拓撲的部署說明54. 防私接技術原理介紹64.1 應用特征檢測技術64.2 Flash Cookie 檢測法74.3 離散時間算法75. 防私接功能介紹95.1 靈活的防私接配置105.1.1 統計方式105.1.2 凍結方式105.2 信任列表115.3 數據查詢與分析125.3.1 共享接入數據查詢125.3.2 共享接入數據分析136. 方案優勢、價值、案例146.1 技術優勢146.2 方案價值146.3 成功案例：廣州電信“翼起來”項目錯誤

2、!未定義書簽。12 / 15項目概況隨著互聯網業務快速發展，校園用戶已經成為各電信運營商關注的重要用戶 群體之一，校園用戶的分布相對集中，更便于開展針對性的網絡建設和市場拓展。 校園用戶規模大、普及率高，具有明顯的規模效益。基于以上原因，校園市場成 為各電信運營商市場發展的必爭之地，完善校園網的建設和優化成為重點。然而，學生中通過私接小型家用路由器共享上網的行為非常普遍，這種1 拖N的方式上網不僅給網絡管理帶來了較大的難度，同時也極大影響了電信運營 商的投資回報比。因此，電信運營商需要一套校園網防私接系統來解決這個問題，一方面可以 通過對校園網用戶的上網行為進行分析，同時分析用戶賬號下實際的拖

3、帶規模， 便于市場部門營銷轉化，挖掘潛在市場價值；另一方面，本系統可以直接阻斷私 接共享上網的賬號，并對使用者進行提醒，以此來直接改善私接共享上網的現狀。1 .現狀及建設目標介紹以下是現網拓撲圖:圖一：（請補充現網拓撲圖）系統部署以后的拓撲圖：圖二：（請補充建設完以后的拓撲圖）建設完成后XXXXXX （請補充“建設后”和建設前”的拓撲改變情況）2 .推薦方案3.1 設計原則結合aXX大學）的實際應用和發展要求，在進行校園網防私接系統項目的 方案設計時，系統總體設計應遵循如下原則：實用性原則：以現行需求為基礎，充分考慮發展的需要來確定系統規模。安全性原則：校園網防私接系統項目方案服務于校園宿舍網

4、和運營商生產需 要，對安全級別要求較高。系統應能提供網絡層和應用層的安全手段防止系統外 部成員的非法侵入以及操作人員的越級操作，保護網絡建設者的合法利益。可靠性原則：系統設計能有效的避免單點故障，在設備的選擇和關鍵設備的 互聯時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方 面要保證網絡能在最短時間內修復。成熟和先進性原則：系統結構設計、系統配置、系統管理方式等方面采用國 際上先進同時乂是成熟、實用的技術。規范性原則：系統設計所采用的技術和設備應符合國際標準、國家標準和業 界標準，為系統的擴展升級、與其他系統的互聯提供良好的基礎。開放性和標準化原則：在設計時，要求提供開放性好

5、、標準化程度高的技術 方案；設備的各種接口滿足開放和標準化原則。可擴充和擴展化原則：所有系統設備不但滿足當前需要，并在擴充模塊后滿 足可預見將來需求，如帶寬和設備的擴展，應用的擴展和辦公地點的擴展等。保 證建設完成后的系統在向新的技術升級時，能保護現有的投資。可管理性原則：整個系統的設備應易于管理，易于維護，操作簡單，易學， 易用，便于進行系統配置，在設備、安全性、數據流量、性能等方面得到很好的 監視和控制，并可以進行遠程管理和故障診斷。3.2 推薦方案拓撲圖以下是推薦拓撲圖:上網行為管理AC私接無線路出器圖三：推薦拓撲圖3.3 拓撲的部署說明（1）以兩臺防火墻作出互聯網出口，負責互聯網出口防

6、護。防火墻劃分三個區 域，在默認local區域中的接口劃分入trust、untrust dmz區。辦公網 和生產網的服務器部署在dmz區，外網接口放在untrust區，內網接口放 在trust區，以達到區域間邏輯隔離。內網用戶訪問辦公網和生產網服務器，需要在防火墻上配置指向對應服務 器的靜態路由。防火墻之間采用VRRP協議做熱備。（2）兩臺上網行為管理設備，網橋透明模式，主備方式部署，增加網絡的可靠 性，兩臺行為管理之間網線作為心跳和配置同步的教體。（3）最下面是兩臺核心交換機，交換機開啟。spf動態路由協議，上行鏈路配 置靜態路由，指向防火墻。核心交換機之間采用VRRP協議做熱備。（4）將所

7、有網關起在核心交換上，不同的業務類型或者不同組織結構劃分在不 同的vlan當中。建議匯聚設備和接入設備只走二層，方便管理。3.防私接技術原理介紹4.1 應用特征檢測技術共享上網的原理本質上是多個終端通過一個賬號一個ip出去上網的過程。 通過這種方式，將內部網絡隱藏在一個公共的ip背后，使得北向設備無法發現 這個小型的局域網，造成各種網絡管理風險。通過對應用行為的深入研究，發現部分應用在與外部服務器通信時會出現一 串特征碼，該特征碼具備能夠唯一確定一臺pc的特性。用戶名上網工p應用名稱特征值userOIPOAAAfeatureluserXIPXXXXxxxx0 18上網賬號：userOJWANn

8、iP：IPO:W，LAN口 IP： IP3主機IP： IP2i特征；frature2主機IP ： IP1升一n=特征：feature 1手三號場尾J圖四：應用特征檢測原理圖如上圖，當主機IP1使用“AAA”應用時，該應用在網絡通信或自動更新過 程中，將會攜帶上述能夠唯一確定一臺終端的特征碼。在北向的上網行為管理設 備會記錄在userO用戶，IP0下AAA應用的特征為featured當IP2主機使用該應用時，其攜帶的特征為feature2,此時，上網行為管理 設備上記錄的是上次主機IP1攜帶的特征featurel.而feature 1不等于 feature2o當兩者都不為零，且不相等時，即可認為

9、賬號為user。、IP為IPO 的終端下，隱藏了 2臺以上的主機，因此可以判斷user。為使用共享的用戶。上網行為管理設備內置防代理軟件規則庫，用于識別最新最熱門應用的唯一 性特征，比如QQ、360安全衛士、搜狗拼音、迅雷、英雄聯盟、穿越火線、快播、 PPS、PPTV、風行、迅雷看看、暴風影音、愛奇藝影音、搜狐影音等。4.2 Flash Cookie 檢測法Flash Cookie類似于網頁的HTTP Cookie,他是在用戶使用瀏覽器訪問Flash 網頁時記錄相關內容信息的一個存儲區域，由于Flash技術的普及，幾乎所有的 網站和瀏覽器都支持Flash技術。Flash Cookie有如下特點

10、：1、Flash Cookie沒有默認的過期時間；2、Flash Cookie不會被瀏覽器輕易清除；3、即使使用不同瀏覽器，在同一臺PC上，Flash Cookie也是共享的； 基于以上特性，在用戶上網過程中，通過網頁重定向技術給每臺PC賦予唯一的 Flash Cookie值。與應用特征檢測技術類似的原理，當互聯網出口的上網行為 管理設備檢測到同一個user帶有不為零，且不相等的兩個Flash Cookie值時.， 即可認為在user賬號下，隱藏了 2臺以上的主機，因此可以判斷user為使用共 享的用戶。4.3 離散時間算法通過實驗數據表明，辦公網中基本不存在兩個系統時間完全一致的PC,即 P

11、C與PC之間的系統時間是有一定時間差的（秒級甚至是分鐘級）。而離散時間 算法就是建立在這個實驗數據的基礎之上。在大量采樣之后，通過離散的方式 統計每個被檢測的PC系統時間和上網行為管理的系統時間的差值，達到檢測PC 終端的個數的目的。AC代理.圖五：代理場景示意圖如圖五所示，PCA和PCB都部署在NAT設備之后，出口部署了 AC代理檢測設 備。每隔一段時間內PCA和PCB都會將時間差上報給AC代理檢測設備，AC代理 檢測設備會維護該獲取到的時間差。PCAH-Jll 間不堪類圖六：聚類示意圖某一個時間段內，PCA上報的時間差為10、10、11、12、9,PCB 上報的時間為-20、-20、-20

12、、-21 -22、-23,可以發現，每個客戶端PC上報的時間差都落在一個很小的誤差范圍內。所 以代理檢測設備在收到這些時間差之后，根據聚類算法，把最相近的時間差聚集 在一起，而把彼此距離較遠的時間差認為是不同的分類，即對應不同的終端用戶。根據上面的例子，可以看出：10、10、11、12、9對應一個終端，-20、-20、-20、-21、-22、-23對應一個終端。可以預見，經過一段時間之后將獲取到圖六類似的聚類示意圖，PCA的時間 差被聚類在一定的半徑范圍內，PCB的時間差被聚類在另一個半徑范圍內。當發現某個賬號使用某個IP時，離散時間算法顯示其下面有多個聚類，則 可以確認該賬號是共享上網用戶。

13、4.防私接功能介上網行為管理具備強大的防私接模塊，同時，隨著移動互聯網的發展，移動 智能終端越來越普及，將網絡共享給移動終端的現象也同樣突出，這也給校園網 絡的管理帶來了諸多的問題。上網行為管理，不僅可以管控PC共享行為，同時 還可以管控PC+移動終端的共享上網行為。. R用共享接人檢則統計所有終相5型S3送噴叼a址用戶名的第俎繆*勃故時動作20020066.139200.200.00.139定頓目儂5移 imr 被記錄200 20066 27huangvei_devW6PC 2移動貂*4未知*3 iOS三里I930&小米4記錄20。200 必 27huangvei.dev朝,3PC 1移出做

14、嬉2未知用小木4記錄20020066.139200.200.66 139E媚w8PC 6:衿動綺*2未知笑冊iPhoneid*1098.117工67.163_&/APffl/2PC 1 .移動經慎1未處兌至記錄200 20066 171zhujunw2PC2記錄200 200 66 139200 200 66 139，定頓自組,7PC6譽型鑰J1未知笑怨叱呆200 200 66 15ZSt朝,3PC 2:i Android記錄20020066.27huawrei.dev砌7PC 2.移動經譙5未知支出4, ZJN8010記錄,就李植布列為 但丹利為If歷史日志ILswaw圖七：防私接效果圖5.

15、1靈活的防私接配置圖八：防私接配置圖上網行為管理的防私接模塊功能強大，配置靈活。5.1 -1統計方式1、僅統計電腦終端，忽略移動終端的特征，滿足只關注pc共享的需求。2、統計所有終端，同時記錄PC和移動終端的特征，滿足對PC和移動終端 都有計數要求的場景。5.1.2凍結方式1、可以選擇終端限制數量，如圖八：終端數量達到2臺及以上，即凍結xx 分鐘。2、在上述數量限制基礎上，加上例外排除場景。如圖八：例外允許電腦終 端數1臺，移動終端數1臺。上述配置結果如下： 1臺PC + 1臺移動終端；不凍結 2臺PC；凍結 2臺移動終端；凍結 3臺及以上數量任意組合方式；凍結3、凍結對象可選，可以選擇凍結用

16、戶名，也可以選擇凍結IP,滿足不同場 景下的凍結需求。5.2 信任列表啟用共亙提丸檢駕統計所白安滯炎生 比2逸臣共亨出花少法 信的喊II友北越妁件用3二u港呼生典里戶鳥信任的“我上西B：；X哪宗有為最指好圖九：防私接信任列表配置圖在客戶的組織結構當中，某些特殊部門或用戶不需要開啟防私接策略，比如: 測試部門、單位領導等。對于這類部門或用戶，防私接模塊提供了信任列表，可 直接在組織結構列表中選中部門或用戶。同時，對于一些特殊的固定IP設備， 如某些共用主機等，同樣可以以IP的形式添加到信任列表中。只要添加進入信 任列表當中，防私接模塊將對選中的部門、用戶或IP不進行防私接檢測，保護 這部分用戶的

17、上網行為不受防私接模塊的影響。5.3 數據查詢與分析5.3.1 共享接入數據查詢201)7-18 000000 0所uA a t9 E0 a16 / 15165s 5B?2016-07-1 e00 a 2016-07-18 23559| 加融也51走電 at示b，厚3was知 2HIP5t5*a訪網，1洞mt3740192.108.1(X1981 15610.1961S6C75CO7Q2.m250330Cea0f6fic0fiza.m2301./1921GaiO.19B/1虻儂3198/10110121104/10103.1.16473抬? ii*2,2201G-07-lB0106X)i 2d

18、 6-07-18 057-512C16-07.1BO45：552010-07-1800353533 Q414215607500702.m2)05M6a/66c06xS_m2303/3012 飲/101103.1.16422*2016-07-1015:312016-07.1 B0 00:54a a50 v許細僮qA 7 X156075W7慎eZJO油M9,依電 /曲P：1Q10123加.程義03露云先父生5）際IO/ g1”!為共享上帝f 力.其的危急 detected gyTenMial mobile rockel Uc SH :漏IP冰弱信空:方可控制：，記錄21拒送英空學漁裁至少| 0|個

19、28顯示是項：所白日志v時間排手.6倒序。正字圖十一：共享接入查詢條件AC數據中心提供共享接入日志查詢功能，多種過濾條件，能夠幫助客戶快速準確的定位想要查找的內容。5.3.2 共享接入數據分析E3筑計制 i號E根茨 立貿M2016-7-15 (000) 武：團22共空接入趨勢廣析 豆36統什哈：15k 微十三網.2016-07-12 OC;W ?J 2O16-07 W 2359共享勿。.至少2個弱4030圖十二：共享接入趨勢分析共享接入趨勢與陶存人分析 及m干入急A統計選項統計依據;用戶名源IP日期時間統計日購：2016-07-12 00：00 到 2016-07-18 23：59B3過濾選項

20、嬴區域月戶/沮：斫有斯有9共享終位數：至少2圖十三：共享接入數據分析統計條件選型數據中心提供防私接的趨勢分析報表，管理員可以選擇基于用戶名或源IP 兩個維度來統計，同時，管理員可以任意組合過濾條件，幫助其準確查詢在不同 需求下的數據內容。具體過濾條件包括：用戶名/組、終端類型、位置、具體IP、 IP段、IP掩碼、共享終端數等。5.方案優勢、價值、案例6.1 技術優勢防私接方案，一直以技術創新，為客戶解決共享場景下帶來的問題。方案技 術歷經多代發展，從最開始的IP協議特征檢測法；到后來的HTTP Cookie檢測 法、HTTP協議特征檢測法；到現在的應用特征檢測法、時間離散算法、Flash Cookie檢測法，以及正在預研的多種檢測方法。盡管技術的革新總是會帶來巨 大挑戰，但每次都能通過技術創新，成功的戰勝了各種挑戰，未來還將不斷改進 算法，