校园网防私接系统项目解决方案

xxx大学校园网防私接系统项目
解决方案
目录
1.项目概况 (3)
2.现状及建设目标介绍 (3)
3.推荐方案 (4)
3.1设计原则 (4)
3.2推荐方案拓扑图 (5)
3.3拓扑的部署说明 (5)
4.防私接技术原理介绍 (6)
4.1应用特征检测技术 (6)
4.2Flash Cookie检测法 (7)
4.3离散时间算法 (7)
5.防私接功能介绍 (9)
5.1灵活的防私接配置 (10)
5.1.1统计方式 (10)
5.1.2冻结方式 (10)
5.2信任列表 (11)
5.3数据查询与分析 (12)
5.3.1共享接入数据查询 (12)
5.3.2共享接入数据分析 (13)
6.方案优势、价值、案例 (14)
6.1技术优势 (14)
6.2方案价值 (14)
6.3成功案例：广州电信“翼起来”项目 ..................................... 错误!未定义书签。

项目概况
随着互联网业务快速发展，校园用户已经成为各电信运营商关注的重要用户群体之一，校园用户的分布相对集中，更便于开展针对性的网络建设和市场拓展。

校园用户规模大、普及率高，具有明显的规模效益。

基于以上原因，校园市场成为各电信运营商市场发展的必争之地，完善校园网的建设和优化成为重点。

然而，学生中通过私接小型家用路由器共享上网的行为非常普遍，这种1拖N的方式上网不仅给网络管理带来了较大的难度，同时也极大影响了电信运营商的投资回报比。

因此，电信运营商需要一套校园网防私接系统来解决这个问题，一方面可以通过对校园网用户的上网行为进行分析，同时分析用户账号下实际的拖带规模，便于市场部门营销转化，挖掘潜在市场价值；另一方面，本系统可以直接阻断私接共享上网的账号，并对使用者进行提醒，以此来直接改善私接共享上网的现状。

1.现状及建设目标介绍
以下是现网拓扑图：
图一：（请补充现网拓扑图）
系统部署以后的拓扑图：
图二：（请补充建设完以后的拓扑图）
建设完成后xxxxxx（请补充“建设后”和“建设前”的拓扑改变情况）
2.推荐方案
3.1 设计原则
结合（xxx大学）的实际应用和发展要求，在进行校园网防私接系统项目的方案设计时，系统总体设计应遵循如下原则：
实用性原则:以现行需求为基础，充分考虑发展的需要来确定系统规模。

安全性原则：校园网防私接系统项目方案服务于校园宿舍网和运营商生产需要，对安全级别要求较高。

系统应能提供网络层和应用层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。

可靠性原则：系统设计能有效的避免单点故障，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。

成熟和先进性原则：系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。

规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。

开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。

可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。

保证建设完成后的系统在向新的技术升级时，能保护现有的投资。

可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。

3.2 推荐方案拓扑图
以下是推荐拓扑图：
图三：推荐拓扑图
3.3 拓扑的部署说明
（1）以两台防火墙作出互联网出口，负责互联网出口防护。

防火墙划分三个区域，在默认local区域中的接口划分入trust、untrust、dmz区。

办公网和生产网的服务器部署在dmz区，外网接口放在untrust区，内网接口放在trust区，以达到区域间逻辑隔离。

内网用户访问办公网和生产网服务器，需要在防火墙上配置指向对应服务器的静态路由。

防火墙之间采用VRRP协议做热备。

（2）两台上网行为管理设备，网桥透明模式，主备方式部署，增加网络的可靠性，两台行为管理之间网线作为心跳和配置同步的载体。

（3）最下面是两台核心交换机，交换机开启ospf动态路由协议，上行链路配置静态路由，指向防火墙。

核心交换机之间采用VRRP协议做热备。

（4）将所有网关起在核心交换上，不同的业务类型或者不同组织结构划分在不同的vlan当中。

建议汇聚设备和接入设备只走二层，方便管理。

3.防私接技术原理介绍
4.1 应用特征检测技术
共享上网的原理本质上是多个终端通过一个账号一个IP出去上网的过程。

通过这种方式，将内部网络隐藏在一个公共的IP背后，使得北向设备无法发现这个小型的局域网，造成各种网络管理风险。

通过对应用行为的深入研究，发现部分应用在与外部服务器通信时会出现一串特征码，该特征码具备能够唯一确定一台PC的特性。

图四：应用特征检测原理图
如上图，当主机IP1使用“AAA”应用时，该应用在网络通信或自动更新过程中，将会携带上述能够唯一确定一台终端的特征码。

在北向的上网行为管理设备会记录在user0用户，IP0下AAA应用的特征为feature1。

当IP2主机使用该应用时，其携带的特征为feature2，此时，上网行为管理
设备上记录的是上次主机IP1携带的特征feature1.而feature1 不等于feature2。

当两者都不为零，且不相等时，即可认为账号为user0、IP为IP0的终端下，隐藏了2台以上的主机，因此可以判断user0为使用共享的用户。

上网行为管理设备内置防代理软件规则库，用于识别最新最热门应用的唯一性特征，比如QQ、360安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、PPS、PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等。

4.2 Flash Cookie检测法
Flash Cookie类似于网页的HTTP Cookie，他是在用户使用浏览器访问Flash 网页时记录相关内容信息的一个存储区域，由于Flash技术的普及，几乎所有的网站和浏览器都支持Flash技术。

Flash Cookie有如下特点：
1、Flash Cookie没有默认的过期时间；
2、Flash Cookie不会被浏览器轻易清除；
3、即使使用不同浏览器，在同一台PC上，Flash Cookie也是共享的；
基于以上特性，在用户上网过程中，通过网页重定向技术给每台PC赋予唯一的Flash Cookie值。

与应用特征检测技术类似的原理，当互联网出口的上网行为管理设备检测到同一个user带有不为零，且不相等的两个Flash Cookie值时，即可认为在user账号下，隐藏了2台以上的主机，因此可以判断user为使用共享的用户。

4.3 离散时间算法
通过实验数据表明，办公网中基本不存在两个系统时间完全一致的PC，即PC与PC之间的系统时间是有一定时间差的（秒级甚至是分钟级）。

而离散时间算法就是建立在这个实验数据的基础之上。

在大量采样之后，通过离散的方式统计每个被检测的PC系统时间和上网行为管理的系统时间的差值，达到检测PC 终端的个数的目的。

图五：代理场景示意图
如图五所示，PCA和PCB都部署在NAT设备之后，出口部署了AC代理检测设备。

每隔一段时间内PCA和PCB都会将时间差上报给AC代理检测设备，AC代理检测设备会维护该获取到的时间差。

图六：聚类示意图
某一个时间段内，
PCA上报的时间差为10、10、11、12、9……，
PCB上报的时间为-20、-20、-20、-21、-22、-23……，
可以发现，每个客户端PC上报的时间差都落在一个很小的误差范围内。

所以代理检测设备在收到这些时间差之后，根据聚类算法，把最相近的时间差聚集在一起，而把彼此距离较远的时间差认为是不同的分类，即对应不同的终端用户。

根据上面的例子，可以看出：
10、10、11、12、9……对应一个终端，
-20、-20、-20、-21、-22、-23……对应一个终端。

可以预见，经过一段时间之后将获取到图六类似的聚类示意图，PCA的时间差被聚类在一定的半径范围内，PCB的时间差被聚类在另一个半径范围内。

当发现某个账号使用某个IP时，离散时间算法显示其下面有多个聚类，则可以确认该账号是共享上网用户。

4.防私接功能介绍
上网行为管理具备强大的防私接模块，同时，随着移动互联网的发展，移动智能终端越来越普及，将网络共享给移动终端的现象也同样突出，这也给校园网络的管理带来了诸多的问题。

上网行为管理，不仅可以管控PC共享行为，同时还可以管控PC+移动终端的共享上网行为。

图七：防私接效果图
5.1 灵活的防私接配置
图八：防私接配置图
上网行为管理的防私接模块功能强大，配置灵活。

5.1.1统计方式
1、仅统计电脑终端，忽略移动终端的特征，满足只关注PC共享的需求。

2、统计所有终端，同时记录PC和移动终端的特征，满足对PC和移动终端
都有计数要求的场景。

5.1.2冻结方式
1、可以选择终端限制数量，如图八：终端数量达到2台及以上，即冻结xx
分钟。

2、在上述数量限制基础上，加上例外排除场景。

如图八：例外允许电脑终
端数1台，移动终端数1台。

上述配置结果如下：
◆1台PC + 1台移动终端；不冻结
◆2台PC；冻结
◆2台移动终端；冻结
◆3台及以上数量任意组合方式；冻结
3、冻结对象可选，可以选择冻结用户名，也可以选择冻结IP，满足不同场
景下的冻结需求。

5.2 信任列表
图九：防私接信任列表配置图
在客户的组织结构当中，某些特殊部门或用户不需要开启防私接策略，比如：测试部门、单位领导等。

对于这类部门或用户，防私接模块提供了信任列表，可直接在组织结构列表中选中部门或用户。

同时，对于一些特殊的固定IP设备，如某些共用主机等，同样可以以IP的形式添加到信任列表中。

只要添加进入信任列表当中，防私接模块将对选中的部门、用户或IP不进行防私接检测，保护这部分用户的上网行为不受防私接模块的影响。

11/ 15
5.3 数据查询与分析
5.3.1共享接入数据查询
图十：共享接入查询日志
图十一：共享接入查询条件
AC数据中心提供共享接入日志查询功能，多种过滤条件，能够帮助客户快
速准确的定位想要查找的内容。

5.3.2共享接入数据分析
图十二：共享接入趋势分析
图十三：共享接入数据分析统计条件选型
数据中心提供防私接的趋势分析报表，管理员可以选择基于用户名或源IP 两个维度来统计，同时，管理员可以任意组合过滤条件，帮助其准确查询在不同需求下的数据内容。

具体过滤条件包括：用户名/组、终端类型、位置、具体IP、IP段、IP掩码、共享终端数等。

13/ 15
5.方案优势、价值、案例
6.1 技术优势
防私接方案，一直以技术创新，为客户解决共享场景下带来的问题。

方案技术历经多代发展，从最开始的IP协议特征检测法；到后来的HTTP Cookie检测法、 HTTP协议特征检测法；到现在的应用特征检测法、时间离散算法、Flash Cookie检测法，以及正在预研的多种检测方法。

尽管技术的革新总是会带来巨大挑战，但每次都能通过技术创新，成功的战胜了各种挑战，未来还将不断改进算法，推出更多新的方案。

当前的几种算法，已经得到大量应用，并得到了客户的普遍认可，其主要优势包括：
漏判率低：没有哪一种算法能够百分之百完美解决问题，每种算法都有其适合的场景和前置条件，防私接方案，通过多种方案配合联动来覆盖不同的用户场景，触发任意检测即可被判定共享行为，从而降低整体方案的漏判率，通过多场景下的实际测试，漏判率能够降低到5%以下。

误判率低：防私接方案在预研阶段，会经过多个场景的严格测试，在方案实施阶段，通过在实验室和多个客户实际场景测试，误判率在1%以下。

6.2 方案价值
防止经济价值流失，提高投入产出比
校园网大部分是由运营商代建或运营商与学校共建，项目前期投入巨大，且项目后期的带宽租金、运营维护等同样存在着长期的较大投入。

学生上网账号缴费成为该项目的主要产出。

而私接共享上网的行为，通过技术手段让一个上网账号共享给多人使用，无疑大大降低了上网账号缴费的数量，影响了项目的投入产出，给学校和运营商都造成巨大的损失。

本方案能够发现、告警甚至封堵这些上网账号，防止私接共享上网行为的产生，防止经济价值流失，提高投入产出比。

降低网络管理的复杂度，防止网络管理风险的发生
私接共享上网的原理说明这种NAT代理上网方式，将会创建一个小型的局
域网，且对网络管理系统透明。

这种现状将造成运维管理人员对网络整体用户数、流量等预估出现偏差，一旦出现网络事故，排查难度大，责任难以界定，给整体网络带来巨大的管理风险。

通过防私接方案，能够有效发现组织私接共享上网行为，让透明的小型局域网变得可视、可控，防止网络管理风险的发生。

15/ 15。