RG-ASME防代理產(chǎn)品及解決方案介紹-20141021

RG-ASME防代理產(chǎn)品及解決方案介紹銳捷網(wǎng)絡(luò)交換機(jī)產(chǎn)品線2014-10-21文檔密級(jí):公開(kāi)2021/5/9目錄Contents防代理的困境RG-ASME解決方案友商產(chǎn)品對(duì)比案例介紹2021/5/9客戶端防代理技術(shù)的困境2021/5/9學(xué)校/學(xué)生/運(yùn)營(yíng)商多方抱怨學(xué)校逃費(fèi)占比可達(dá)25，影響校園網(wǎng)收入（鄭州經(jīng)貿(mào)）實(shí)名審計(jì)有名無(wú)實(shí)學(xué)生終端共享受限、私設(shè)代理導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定，學(xué)生大量抱怨和投訴（河北科大）運(yùn)營(yíng)商ICT校園網(wǎng)PPPoE認(rèn)證居多，無(wú)法防代理，帶來(lái)大量運(yùn)營(yíng)損失（廣州工商）傳統(tǒng)方案已不可行，基于DPI的應(yīng)用層防代理成為必然趨勢(shì)2021/5/9目錄Contents防代理的困境RG-ASME解決方案產(chǎn)品及組建介紹部署模式特點(diǎn)友商產(chǎn)品對(duì)比案例介紹2021/5/9RG-ASME：接入共享管理引擎（AccessSharingManagementEngine）通過(guò)嗅探用戶數(shù)據(jù)流進(jìn)行行為特征分析，鎖定接入共享用戶及共享設(shè)備數(shù)量，實(shí)現(xiàn)防代理。產(chǎn)品介紹型號(hào)RG-ASME1000硬件規(guī)格形態(tài)5U，盒式設(shè)備業(yè)務(wù)口8個(gè)千兆光/電Combo口2個(gè)萬(wàn)兆口+2個(gè)復(fù)用萬(wàn)兆口管理口2個(gè)USB、1個(gè)千兆MGMT口、1個(gè)串口功能支持用戶規(guī)模最大6萬(wàn)并發(fā)用戶數(shù)（需license授權(quán)）支持的認(rèn)證方式802.1x客戶端認(rèn)證Web認(rèn)證（有線/無(wú)線）PPPoE認(rèn)證升級(jí)方式支持遠(yuǎn)程靜默升級(jí)有效檢測(cè)類(lèi)型破解軟件銳捷助手，mentohust代理方式360隨身wifi，獵豹wifi系列，小度隨身wificonnectfyNAT代理(RP-link)，wifi共享精靈等性能誤判率低于1%吞吐率(上行流量)＞5Gbps2021/5/9基礎(chǔ)方案、組件功能介紹（校園網(wǎng)純SAM認(rèn)證場(chǎng)景）802.1x認(rèn)證WEB認(rèn)證PPPoE認(rèn)證對(duì)非法用戶進(jìn)行策略處理告警用戶庫(kù)功能庫(kù)特征庫(kù)http頁(yè)面重定向踢線加黑認(rèn)證有線+無(wú)線終端ASME移動(dòng)終端上網(wǎng)管理數(shù)據(jù)統(tǒng)計(jì)呈現(xiàn)特征庫(kù)：用于檢測(cè)用戶是否存在代理，可在線更新用戶庫(kù)：從SAM或ASMM獲取賬號(hào)信息，并向SAM反饋非法用戶信息，提供賬號(hào)老化機(jī)制功能庫(kù)：提供故障自檢，允許拖帶移動(dòng)終端數(shù)量設(shè)置及http重定向等功能ASME核心功能注：使用web及PPPoE認(rèn)證時(shí)，告警信息通過(guò)重定向網(wǎng)頁(yè)推送；使用客戶端認(rèn)證時(shí)，告警通過(guò)客戶端展示。或企業(yè)版SAMASMMASMM：將SAM的賬號(hào)獲取、策略處理等模塊抽離為獨(dú)立插件。實(shí)現(xiàn)：1）提升ASME與SAM無(wú)關(guān)性，并實(shí)現(xiàn)按模板部署策略/白名單等復(fù)雜功能；2）避免ASME方案升級(jí)導(dǎo)致SAM需升級(jí)。可選組件2021/5/9基礎(chǔ)方案部署模式（校園網(wǎng)純SAM認(rèn)證場(chǎng)景）部署位置：ASME旁掛到核心或出口設(shè)備，將用戶出口流量鏡像至ASME必備組件：ASME+企業(yè)版SAM(3.95版本)工作流程：ASME從SAM獲取用戶動(dòng)態(tài)信息，同時(shí)對(duì)出口鏡像流量做嗅探分析，鎖定共享用戶。ASME將共享上網(wǎng)用戶信息傳回SAMSAM向管理員展示代理用戶信息、出具統(tǒng)計(jì)報(bào)告。并根據(jù)策略對(duì)共享用戶實(shí)施干預(yù)。企業(yè)版SAMASME核心交換機(jī)Internet無(wú)線接入有線接入PPPoE接入2021/5/9運(yùn)營(yíng)商版方案、組件介紹（BOSS+PPPoE認(rèn)證場(chǎng)景）802.1x認(rèn)證WEB認(rèn)證PPPoE認(rèn)證對(duì)非法用戶按策略處理網(wǎng)頁(yè)告警用戶庫(kù)功能庫(kù)特征庫(kù)http頁(yè)面重定向踢線加黑運(yùn)營(yíng)商SAM賬號(hào)翻譯有線+無(wú)線終端ASME移動(dòng)終端上網(wǎng)管理數(shù)據(jù)統(tǒng)計(jì)呈現(xiàn)運(yùn)營(yíng)商BOSS企業(yè)版SAM或ASMM特征庫(kù)：用于檢測(cè)用戶是否存在代理，可在線更新用戶庫(kù)：從SAM或ASMM獲取賬號(hào)信息，并向SAM反饋非法用戶信息，提供賬號(hào)老化機(jī)制功能庫(kù)：提供故障自檢，允許拖帶移動(dòng)終端數(shù)量設(shè)置及http重定向等功能企業(yè)版SAM：1.實(shí)現(xiàn)用戶認(rèn)證，將賬戶信息同步至ASME/ASMM；2.配置防代理策略；3、根據(jù)ASME結(jié)果調(diào)用接口執(zhí)行策略。ASME核心功能ASMM：將SAM的賬號(hào)獲取、策略處理等模塊抽離為獨(dú)立插件。實(shí)現(xiàn)：1）提升ASME與SAM無(wú)關(guān)性，并實(shí)現(xiàn)按模板部署策略/白名單等復(fù)雜功能；2）避免ASME方案升級(jí)導(dǎo)致SAM需升級(jí)?？蛇x組件配套組件運(yùn)營(yíng)商SAM：1.BOSS系統(tǒng)與企業(yè)版SAM間的橋梁，實(shí)現(xiàn)radius報(bào)文翻譯，將SAM賬戶上下線等信息同步給BOSS系統(tǒng)。PPPoE認(rèn)證2021/5/9部署位置：ASME(必須)旁掛到BRAS，鏡像上聯(lián)口TX方向流量必備組件：ASME*n套+企業(yè)版SAM*n套+運(yùn)營(yíng)商SAM*1工作流程：ASME從企業(yè)版SAM獲取用戶動(dòng)態(tài)信息，同時(shí)對(duì)出口鏡像流量做嗅探分析，鎖定共享用戶。ASME將共享上網(wǎng)用戶信息傳回企業(yè)版SAM。企業(yè)版SAM根據(jù)策略對(duì)共享用戶實(shí)施干預(yù)，并將賬戶狀態(tài)經(jīng)由運(yùn)營(yíng)商SAM，同步至運(yùn)營(yíng)商BOSS系統(tǒng)。運(yùn)營(yíng)商部署模式一（BOSS+PPPoE認(rèn)證場(chǎng)景）企業(yè)版SAMASME核心交換機(jī)運(yùn)營(yíng)商運(yùn)營(yíng)商SAMBOSS系統(tǒng)BRAS設(shè)備注：ASME在此場(chǎng)景中必須部署在BRAS設(shè)備下。因?yàn)锳SME只能分析PPPoE報(bào)文解封裝后的鏡像流量。2021/5/9部署位置：ASME(必須)旁掛到BRAS，鏡像上聯(lián)口TX方向流量必備組件：ASME*n套+企業(yè)版SAM*套+運(yùn)營(yíng)商SAM*1工作流程：1x認(rèn)證在企業(yè)版SAM上認(rèn)證；PPPoE認(rèn)證報(bào)文重定向至校園網(wǎng)SAM上發(fā)起，運(yùn)營(yíng)商SAM負(fù)責(zé)將認(rèn)證賬號(hào)轉(zhuǎn)換成運(yùn)供應(yīng)商可識(shí)別賬號(hào)并傳遞至BOSS系統(tǒng)ASME從校園網(wǎng)SAM獲取用戶動(dòng)態(tài)信息，同時(shí)對(duì)出口鏡像流量做嗅探分析，鎖定共享用戶。ASME將共享上網(wǎng)用戶信息傳回校園網(wǎng)SAM。校園網(wǎng)SAM根據(jù)策略對(duì)共享用戶實(shí)施干預(yù)，并將賬戶狀態(tài)經(jīng)由運(yùn)營(yíng)商SAM，同步至運(yùn)營(yíng)商BOSS系統(tǒng)。運(yùn)營(yíng)商部署模式二（BOSS+PPPoE認(rèn)證+802.1x認(rèn)證場(chǎng)景）企業(yè)版SAM1ASME核心交換機(jī)運(yùn)營(yíng)商運(yùn)營(yíng)商SAMBOSS系統(tǒng)BRAS設(shè)備企業(yè)版SAM2注：ASME在此場(chǎng)景中必須部署在BRAS設(shè)備下。因?yàn)锳SME只能分析PPPoE報(bào)文解封裝后的鏡像流量。2021/5/9運(yùn)營(yíng)商方案原理（校園網(wǎng)SAM認(rèn)證方案類(lèi)似）賬號(hào)認(rèn)證過(guò)程：pc進(jìn)行pppoe認(rèn)證，在校園網(wǎng)SAM上校驗(yàn)通過(guò)；校園網(wǎng)SAM將用戶認(rèn)證信息同步給運(yùn)營(yíng)商SAM，運(yùn)營(yíng)商SAM再同步給BOSS系統(tǒng)，由BOSS系統(tǒng)做最后校驗(yàn)，通過(guò)之后才算用戶認(rèn)證成功，多重保障，提升安全性賬號(hào)同步過(guò)程：校園網(wǎng)SAM將認(rèn)證成功的用戶及時(shí)同步給ASME，每隔10分鐘同步一次在線用戶；賬號(hào)檢測(cè)過(guò)程：ASME根據(jù)校園網(wǎng)SAM提供的賬號(hào)信息，檢測(cè)用戶的上網(wǎng)行為，匹配特征庫(kù)，一旦發(fā)現(xiàn)違例用戶，在5S內(nèi)同步給校園網(wǎng)SAM賬號(hào)處理過(guò)程：校園網(wǎng)SAM從ASME上獲得違例用戶，根據(jù)該用戶應(yīng)用的防代理模板對(duì)用戶進(jìn)行策略處理，加黑名單；該策略是將非法賬號(hào)加入到黑名單并將該賬號(hào)踢線，一段時(shí)間內(nèi)不允許賬號(hào)認(rèn)證，這個(gè)時(shí)間可以在校園網(wǎng)SAM上進(jìn)行設(shè)置，可以設(shè)置幾分鐘或者幾天，根據(jù)實(shí)際情況進(jìn)行設(shè)置賬號(hào)處理同步：校園網(wǎng)SAM將被加入黑名單的用戶同步給BOSS系統(tǒng)，通知BOSS進(jìn)行下線結(jié)束記賬處理方案原理詳細(xì)介紹關(guān)于防代理檢測(cè)機(jī)制：為防惡意破解，具體機(jī)制保密使用DPI技術(shù)，基于用戶流量的應(yīng)用層特征進(jìn)行檢測(cè)，識(shí)別接入共享行為能精確的計(jì)算拖帶的設(shè)備數(shù)量對(duì)于移動(dòng)終端，可以進(jìn)一步檢測(cè)出設(shè)備類(lèi)型（iPhone、安卓）2021/5/9方案特點(diǎn)1、徹底杜絕互聯(lián)網(wǎng)破解工具無(wú)客戶端，傳統(tǒng)破解方式無(wú)效純嗅探方案，無(wú)外出報(bào)文，防止漏洞可實(shí)時(shí)更新特征庫(kù)，快速封殺新工具2、業(yè)界最“聰明”識(shí)別算法，誤判率＜1%創(chuàng)新的多維度、應(yīng)用層交叉匹配檢測(cè)，像人一樣思考，解決多網(wǎng)卡、VPN等常見(jiàn)誤判已經(jīng)過(guò)10萬(wàn)用戶規(guī)模驗(yàn)證。特征庫(kù)持續(xù)更新，提升準(zhǔn)確率3、部署方便，適用廣泛旁路部署，即插即用，不改變用戶原有拓?fù)渲С钟芯€、無(wú)線、web、802.1x、PPPoE等各種認(rèn)證方案未來(lái)還將兼容其他廠商radius，杜絕廠商捆綁（通過(guò)兼容組件）4、關(guān)注用戶體驗(yàn)提供警告、重定向、下線、黑/白名單等多種策略，柔性控制實(shí)時(shí)展示代理用戶統(tǒng)計(jì)，效果直觀可見(jiàn)升級(jí)期間不斷流，不影響現(xiàn)有業(yè)務(wù)2021/5/9目錄Contents防代理的困境RG-ASME解決方案友商產(chǎn)品對(duì)比案例介紹2021/5/9同類(lèi)產(chǎn)品對(duì)比維度對(duì)比項(xiàng)ASME深信服行為審計(jì)使用者認(rèn)證方式802.1x支持支持web認(rèn)證支持支持pppoe認(rèn)證支持支持代理方式NAT代理場(chǎng)景支持支持隨身wifi代理場(chǎng)景支持支持軟件代理場(chǎng)景支持支持檢測(cè)機(jī)制多維度、應(yīng)用層交叉匹配檢測(cè)，并定期升級(jí)特征庫(kù)，避免破解僅檢測(cè)移動(dòng)終端代理，易被破解處理策略告警支持（客戶端+HTTP重定向）支持（HTTP重定向）上網(wǎng)阻斷支持支持（HTTP阻斷）踢線+黑名單支持支持運(yùn)維者升級(jí)管理在線自動(dòng)升級(jí)支持不支持，升級(jí)需要收費(fèi)設(shè)置自動(dòng)升級(jí)時(shí)間支持不支持信息管理代理明細(xì)支持支持代理排行榜、代理報(bào)表支持不支持策略管理白名單支持未知部署方式旁掛只支持串行性能吞吐率5Gbps未知容量最大6萬(wàn)并發(fā)用戶未知證據(jù)顯示支持未知誤判率

低于1%據(jù)客戶反饋較高，放棄使用（山東外國(guó)語(yǔ)職業(yè)學(xué)院）目前已知基于應(yīng)用層防代理方案的主要是深信服2021/5/9目錄Contents防代理的困境RG-ASME解決方案友商產(chǎn)品對(duì)比案例介紹2021/5/9★★★★★★★★★★★★遼寧聯(lián)通鄭州經(jīng)貿(mào)山東移動(dòng)西安理工寧波聯(lián)通河北科技大學(xué)河北邢臺(tái)學(xué)院貴州財(cái)經(jīng)貴州民族陽(yáng)江聯(lián)通佛三聯(lián)通泉州理工ASME全國(guó)火熱上線ASME上市前即已在全國(guó)9所高校/ICT運(yùn)營(yíng)商完成部署，使用結(jié)果證明，ASME方案識(shí)別準(zhǔn)確、效果明顯。2021/5/9案例1：鄭州經(jīng)貿(mào)學(xué)院背景：學(xué)校采用SAM認(rèn)證計(jì)費(fèi)系統(tǒng)，基于802.1x客戶端防代理。但發(fā)現(xiàn)客戶端被獵豹WIFI破解了，營(yíng)收大幅減少。馮主任購(gòu)買(mǎi)了一批無(wú)線AP，準(zhǔn)備部署無(wú)線網(wǎng)絡(luò)，卻發(fā)現(xiàn)無(wú)線網(wǎng)沒(méi)有防代理方案；效果：4月21號(hào)，部署ASME后，每天抓到代理用戶數(shù)500~600；5月4號(hào)，部署無(wú)線并啟用自動(dòng)踢線+黑名單策略，代理用戶不斷減少，每天抓到的代理用戶數(shù)＜10個(gè)；半個(gè)月后，增加開(kāi)戶數(shù)1000【按30元/月套餐價(jià)，一年增加收入30萬(wàn)】2021/5/9鄭州經(jīng)貿(mào)：代理用戶統(tǒng)計(jì)并機(jī)用戶數(shù)不斷減少，新增開(kāi)戶數(shù)1000，每年增收30萬(wàn)2021/5/9案例2：佛山聯(lián)通ICT項(xiàng)目背景：廣州工商職業(yè)技術(shù)學(xué)院是佛山一家使用聯(lián)通寬帶的學(xué)校（采用PPPoE認(rèn)證），由于聯(lián)通的寬帶賬號(hào)沒(méi)有限制賬號(hào)共享功能，導(dǎo)致很多宿舍出現(xiàn)