需求背景

　　在解决发现移动终端的问题后，部分客户需要对此类接入的行为进行阻止，所以在企业的网络管理、在运营商代建的高校网络中出现了防共享上网的需求，即防代理、防一拖N的需求。

　　目前运营商以及企业需要面对共享上网主要带来的2个问题：

　　1、 在企业中，不少用户共享自己访问互联网的权限给其他用户，绕开了企业对用户设定的上网权限控制，使得原本没有上网权限的用户可以上网了，或者使得原本上网权限较低的用户拥有了较高的权限，给网络管理带来了诸多麻烦。

　　2、 在运营商承建和运维的高校网络中，遇到很多学生使用路由器或者其他软件方式，共享互联网的访问给其他同学或朋友，直接造成运营商的收益收到影响。

　　部署方案

　　防共享AC设备适合部署在网关位置、防火墙与交换机中间的网桥位置，都可起到很好的防共享上网的效果。在交换机一侧的旁路模式下，仅支持发现共享上网的行为，不能做到有效的阻断。

　　技术方案

　　发现共享上网的用户

　　当用户通过路由器、代理软件共享上网时，AC将通过先进的检测技术发现共享上网的IP、用户名、接入的终端数，并在防共享上网的状态界面显示出来。

　　核心技术：基于应用特征的方法 + 基于flash cookie的方法

　　基于应用特征的方法

　　AC设备内置防代理软件规则库，对最新热门软件唯一特征库进行识别，比如QQ、360安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、PPS、PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等

　　PC终端安装这些热门软件后，在使用该软件或者该软件进行更新时，我们的AC设备在网络出口处都能检测到来自于该IP的应用特征。 若发现有同一个用户账号下有2个或超过2个的IP接入，则判断为共享上网的行为，并自动检测到有2个或超过2个终端在接入。

　　基于flash cookie的方法

　　同Http Cookie一样，Flash Cookie也就是记录用户在访问Flash网页的时候保留的信息，鉴于Flash技术的普遍性，几乎所有的网站都采用，所以具有同Http Cookie一样的作用。但是相比起Http Cookie，Flash Cookie更加强大：

　　1、容量更大，Flash Cookie可以容纳最多100千字节的数据，而一个标准的HTTP Cookie只有4千字节;

　　2、FlashCookie没有默认的过期时间;

　　3、FlashCookie将被存储在不同的地点，这使得它们很难被找到。

　　用IE浏览器(任意浏览器均可)进入百度MP3搜索，在不登录百度帐号的情况下打开百度音乐盒，随便试听几首歌曲，这时可以看到在百度音乐盒的试听历史中会出现之前试听的歌曲。

　　接下来我们使用IE自带的删除功能来清除Cookie(也可以使用各种软件的清理Cookie功能)，清理完之后再重新打开百度音乐盒，我们发现之前试听的歌曲信息居然还在，情况还不只如此，用任意一个浏览器打开百度音乐盒，都可以发现之前的试听历史，这就是Flash Cookie在起作用。

　　Flash Cookie也就是记录用户在访问Flash网页的时候保留的信息，鉴于Flash技术的普遍性，几乎所有的网站都采用，所以具有同Http Cookie一样的作用，只要当用户打开浏览器去上网，那么就能被AC记录到fash cookie的特征值。

　　由于flash cookie不容易被清除，而且具有针对每个用户具有唯一，并且支持跨浏览器，所以被用于做防共享检测，极大的减少了共享上网的漏判率和误判率，使得我们AC防共享方案成为了行业内技术领先、获得众多客户认可的解决方案。

　　技术优势：

　　漏判率低

　　以上两种方法是经过实际项目测试、研发改进后，我们选择的效果优秀的两种，任意一种方法检测到，AC都将判断该用户账号/IP存在共享上网的行为。

　　因此无论用户上网是在浏览网页，还是在打开应用，AC都能检测到。

　　误判率低

　　防代理应用特征规则针对每个用户具有唯一性，而flash cookie具有的唯一性、不易被清除性、支持跨浏览器的技术，都大大降低了误判的可能。

　　做策略冻结共享上网的用户

　　在发现该IP存在共享上网行为时，在上网权限策略中选择代理控制，开启防共享上网检测，设置单IP允许的最大终端数。

　　这里的最大终端数默认最小为1，最大为5，超过5个的终端无法接入上网。

　　此时，通过路由器或者其他代理软件上网的PC将无法打开新的网页或者应用，并会收到浏览器推送的提示页面：

　　设置冻结时间

　　针对已经被冻结的用户/IP，可设置冻结的时间1-720分钟。在过了冻结设置的时间后，该用户/IP可正常上网。该策略主要是从防共享在企业或高校中推广的便利性而设置，提醒该用户有共享上网的行为，在停止该行为之前，无法连续的正常上网。

　　示例：2台PC通过路由器共享上网被拒绝

　　两台PC通过一个路由器代理上网，PC A上登陆A用户的QQ， PC B上登陆B用户的QQ，这时候AC发现该路由器的IP有共享上网的行为。

　　PC A配置的IP为：3.6.9.33 ， PC B配置的IP为：3.6.9.34

　　两台PC同时通过路由器上网，在AC上被发现IP为100.100.48.124的用户有共享上网的行为，下面接的终端数为2

　　在开启防共享上网检测功能，设置终端数为1时，这两台PC无法正常上网。

　　而在防共享上网的状态显示中，该IP被显示冻结：

　　由于设置的冻结时间为10分钟，在过十分钟后，该用户/IP可正常上网。

　　铭冠科技专注网络安全近十年，更多信息，敬请联系我们!

　　[产品型号] ： 深信服AC防共享上网解决方案

　　[销售价格] ： 面议

　　[公司名称] ： 广州铭冠信息科技有限公司

　　[公司地址] ： 广州市天河区科韵北路119号棠韵大厦303

　　[联系电话] ： 020-85546375/85548284/13560355825

　　[联 系 人]： 叶先生 sales@gzmcrown.com