雨滴科技yudear.com

莱克斯校园防私接解决方案

一、概述

1.1 防代理、共享上网产生的背景 

中国电信拥有互联网接入带宽资源的巨大优势,这成为电信带动销售额增长和市场机会拓展的有利武器,尤其在高校中占有较大的市场份额,在电信收入中占据较大比例。

但是,在大力拓展校园业务的时候,电信遇到了学生使用路由器共享上网导致收入降低的问题。以黑龙江电信和哈尔滨石油学院的合作为例,电信发现办理上网账号的人数在初期小爆发之后越来越少,甚至出现退订的情况。经过调查发现,核心原因是学生以寝室为单位使用路由器,多人共享一条宽带上网。这种情况导致办理宽带业务的人数从2000人直降到1700人,给电信带来巨大的经济损失!

1.2 防代理、共享上网的一般要求

为了保证宽带资源的收益,电信需要有效的手段对学生使用私接路由器多人共享上网进行限制。

在过去,一般采取的手段是,一条链路只允许一个终端接入。然而,一个必须要解决的难题是,一个学生可能有PC、智能手机、PAD等多种上网终端。既要确保电信的收益,杜绝多人共享,又要保证学生的上网体验,允许个人多终端接入。

这就要求能够根据根据接入设备的数量和类型进行管理而不是简单的限制一条链路只能接入一个终端。

二、防私接系统解决方案设计

2.1 网络拓扑图

NetorayNSG上网行为管理设备以串接的方式部署在网络中,对通过的数据包进行应用特征分析,从而来识别接入设备数量,并作进一步的控制处理。

比如在同一个IP地址里同时发现手机和PC的应用流量,则可以判定为一个私接设备。这种方法不依赖客户端,没有兼容性问题。

2.2 解决方案 

NetorayNSG上网行为管理设备能够对接入到网络中设备进行数据流量的统计和控制。能够通过统计的方法计算出私接用户的终端数,并能控制允许接入网络的终端数。

其主要实现以下具体功能:

1.主机个数的识别

防私接最核心的功能,就是能够识别出一个用户所使用的终端个数,不论这个用户采用的是分时分段上网,还是采用NAT路由或是代理同时上网的情形。如下图所示,防私接设备能显示被识别出存在私接情况的用户。

2.对识别出的主机数根据策略作进一步的行为控制

开启防私接策略,针对私接终端数量超过5个的用户,做屏蔽处理,如下图所示。

待屏蔽时间完结,Netoray NSG上网行为管理设备的防私接模块会对用户重新进行检测。如再次检测出私接行为,继续屏蔽其上网权限。直至没有私接现象为止。

3.对私接情况进行记录并作进一步的统计和分析

私接状况查询能够对历史情况做统计,能够查询到用户在过去一段时间的私接状态变化,以便用户进行历史的回溯。如下图所示。

过滤条件

允许/阻断用户记录

允许/阻断用户的比例图

2.3 防私接系统实现原理

NetorayNSG上网行为管理设备主要通过分析数据包的应用特征,来识别接入设备。

1.IPID track方法

通过对数据报文中IP ID的分析,绘制出 IP IDtrack跟踪曲线图,而采用环型可间断区间叠加算法,只需要5分钟即可高效的计算出每个用户接入的Windows系统主机数目。如下图所示。

2.TCP option timestamp方法

通过对TCP option 时间戳进行分析,采用时间漂移差分方程,多次采样并聚类降噪求出目标主机的虚拟主频,并根据目标主机的虚拟主频,检测目标主机的TCP option timestamp 原始随机值初始值。通过比对这些值得出类UNIX系统的主机数目。

3.DPI 检测方法

通过LYX数年来对七层协议分析识别经验的积累,在应用层协议上做深度分析,辅助以上两种方法,进行主机操作系统类型、终端类型、上网接入类型(WIFI、以太网)等内容的分析与识别,提高检测准确率。

2.4 方案可靠性

由于设备串联在网络中,因此我们必须避免由于设备的故障和性能而影响业务。

Netoray NSG上网行为管理设备的bypass机制和高性能能够有效的保证方案的可靠性和网络的可用性。

通过BYPASS机制,确保设备在掉电的情况下,网络直接切换成一根网线,保证网络依然可用。

同时,Netoray NSG上网行为管理设备的BYPASS技术,不仅仅在掉电的情况下可用,在设备宕机、或设备系统负载过高的情况下,也可以实现BYPASS功能,确保网络的可用性。负载过高的参数,可根据客户的实际情况,灵活的调整。

并且,Netoray NSG上网行为管理设备的BYPASS功能,也可以由网络管理员主动发起,一旦感觉设备存在一些问题,为尽快排查问题所在,可直接设备管理界面的BYPASS键,直接由管理员决定是否启用BYPASS功能,使网络直通。

三、方案优点

3.1 快速检测 

Ø五分钟即可得到检测的初步结果。

Ø实时检测,无需将采集数据进行事后分析。

3.2 简单实用的管理功能 

Ø管理模块为BS模式,系统管理界面为WEB方式,管理员在互联网上,通过权限认证,打开浏览器即可管理;

Ø采集和分析均为实时完成,可以在任何地方通过互联网远程管理;

Ø对采集分析设备的远程控制可完成除网络初始设置外任何操作,并保留相关log记录,并可远程查看;

Ø可以将用户的用户名、IP地址、MAC地址、历次监测结果、检测开始时间和检测结束时间等有用信息储存;

Ø检测到的用户信息被保存在系统数据库中;

Ø用户数据可以根据使用者需要导出到其它数据库或是电子表格中;

3.3 良好的可扩展性和可靠性

Ø具备多种部署方案,在核心层、汇聚层、接入层均可部署;

Ø软件系统可随时平滑升级;

Ø可根据需要扩展主处理板,提升处理能力;

Ø设备平均连续无故障工作时间为3万小时。

四、公司介绍与技术支持

4.1 公司介绍

莱克斯科技(北京)有限公司 LYX Solutions Inc. 创建于2005年。作为专业的内容和应用安全设备提供商,莱克斯积累了多年内容和应用安全产品研发和市场运作经验。

公司的核心团队由来自IBM, JuniperHP,华为等著名企业的精英组成,具备先进的技术经验和丰富的企业管理经验。目前总部设立于北京,在北京人员有大约100人,研发占到了60%的比例,是一家技术型公司。

莱克斯的产品线按照部署模式主要分为两个大的系列,即串接的Netoray系列和旁路的ClearNet系列。

Netoray系列包括NSG上网行为管理,TOG流量管理以及SMB企业易网通。Netoray NSG上网行为管理是我们主推的产品. SMB企业易网通,是专门为成长型企业量身定制的上网行为管理设备,是多种应用功能集成于一身的高性价比产品,其中包括企业级路由,防火墙,实名制上网、流量控制、多WAN负载均衡、网页分类封堵、上网内容审计等功能。TOG,是专业的流量管理系统,用于对网络带宽进行合理分配,提高网络使用高效率。

旁路的ClearNet DBA专业的数据库审计产品,主要是针对数据库操作的审计,防护数据库安全。

除此之外,集中管理中心是管理多个Netoray ClearNet设备的一个既简单又安全可靠的管理平台,它同时还支持其他主流安全厂商的产品。

公司从2008年开始技术合作业务(给其他知名厂商做技术代工)。目前公司的Netoray NSG上网行为管理系统、Netoray TOG 流量管理系统,已经和业内知名网络安全、内网管理等30多家厂商(分销商)建立了技术合作。经过3年时间莱克斯已经打造出一支专业的OEM合作团队。

北京市高新技术企业,双软认证企业,获得2007国家创新基金资助,第二届“春晖杯”留学生创新大赛一等奖。

莱克斯愿与所有客户、合作伙伴一起,为推动中国网络安全健康发展,携手共创新篇章!

4.2 服务等级及响应时间

服务级别

具体描述

响应时间

全面加急服务

设备对系统运行产生关键影响,导致业务无法正常进行

7*24小时内接到服务请求后4小时到达现场

紧急

服务

设备对系统运行产生部分影响,导致个别网点业务不能正常进行

5*8小时内24小时到达现场

常规

服务

设备对系统不构成影响的技术服务请求

5*8小时内通过Internet给用户远程调试,或者通过电话技术支持(公共假期除外)

4.3 技术支持

服务热线:010-62970100

邮编:100085

莱克斯科技(北京)有限公司

北京市海淀区上地三街9号嘉华大厦A座1104室   

发表回复