rg-asme防代理产品及解决方案

RG-ASME防代理产品及处理方案介绍锐捷网络交换机产品线-10-21文档密级:公开第1页目录Contents防代理困境RG-ASME处理方案友商产品对比案例介绍第2页客户端防代理技术困境第3页学校/学生/运行商多方埋怨学校逃费占比可达25，影响校园网收入（郑州经贸）实名审计有名无实学生终端共享受限、私设代理造成网络不稳定，学生大量埋怨和投诉（河北科大）运行商ICT校园网PPPoE认证居多，无法防代理，带来大量运行损失（广州工商）传统方案已不可行，基于DPI应用层防代理成为必定趋势第4页目录Contents防代理困境RG-ASME处理方案产品及组建介绍布署模式特点友商产品对比案例介绍第5页RG-ASME：接入共享管理引擎（AccessSharingManagementEngine）经过嗅探用户数据流进行行为特征分析，锁定接入共享用户及共享设备数量，实现防代理。产品介绍型号RG-ASME1000硬件规格形态5U，盒式设备业务口8个千兆光/电Combo口2个万兆口+2个复用万兆口管理口2个USB、1个千兆MGMT口、1个串口功效支持用户规模最大6万并发用户数（需license授权）支持认证方式802.1x客户端认证Web认证（有线/无线）PPPoE认证升级方式支持远程静默升级有效检测类型破解软件锐捷助手，mentohust代理方式360随身wifi，猎豹wifi系列，小度随身wificonnectfyNAT代理(RP-link)，wifi共享精灵等性能误判率低于1%吞吐率(上行流量)＞5Gbps第6页基础方案、组件功效介绍（校园网纯SAM认证场景）802.1x认证WEB认证PPPoE认证对非法用户进行策略处理告警用户库功效库特征库http页面重定向踢线加黑认证有线+无线终端ASME移动终端上网管理数据统计展现特征库：用于检测用户是否存在代理，可在线更新用户库：从SAM或ASMM获取账号信息，并向SAM反馈非法用户信息，提供账号老化机制功效库：提供故障自检，允许拖带移动终端数量设置及http重定向等功效ASME关键功效注：使用web及PPPoE认证时，告警信息经过重定向网页推送；使用客户端认证时，告警经过客户端展示。或企业版SAMASMMASMM：将SAM账号获取、策略处理等模块抽离为独立插件。实现：1）提升ASME与SAM无关性，并实现按模板布署策略/白名单等复杂功效；2）防止ASME方案升级造成SAM需升级。可选组件第7页基础方案布署模式（校园网纯SAM认证场景）布署位置：ASME旁挂到关键或出口设备，将用户出口流量镜像至ASME必备组件：ASME+企业版SAM(3.95版本)工作流程：ASME从SAM获取用户动态信息，同时对出口镜像流量做嗅探分析，锁定共享用户。ASME将共享上网用户信息传回SAMSAM向管理员展示代理用户信息、出具统计汇报。并依据策略对共享用户实施干预。企业版SAMASME关键交换机Internet无线接入有线接入PPPoE接入第8页运行商版方案、组件介绍（BOSS+PPPoE认证场景）802.1x认证WEB认证PPPoE认证对非法用户按策略处理网页告警用户库功效库特征库http页面重定向踢线加黑运行商SAM账号翻译有线+无线终端ASME移动终端上网管理数据统计展现运行商BOSS企业版SAM或ASMM特征库：用于检测用户是否存在代理，可在线更新用户库：从SAM或ASMM获取账号信息，并向SAM反馈非法用户信息，提供账号老化机制功效库：提供故障自检，允许拖带移动终端数量设置及http重定向等功效企业版SAM：1.实现用户认证，将账户信息同时至ASME/ASMM；2.配置防代理策略；3、依据ASME结果调用接口执行策略。ASME关键功效ASMM：将SAM账号获取、策略处理等模块抽离为独立插件。实现：1）提升ASME与SAM无关性，并实现按模板布署策略/白名单等复杂功效；2）防止ASME方案升级造成SAM需升级。可选组件配套组件运行商SAM：1.BOSS系统与企业版SAM间桥梁，实现radius报文翻译，将SAM账户上下线等信息同时给BOSS系统。PPPoE认证第9页布署位置：ASME(必须)旁挂到BRAS，镜像上联口TX方向流量必备组件：ASME*n套+企业版SAM*n套+运行商SAM*1工作流程：ASME从企业版SAM获取用户动态信息，同时对出口镜像流量做嗅探分析，锁定共享用户。ASME将共享上网用户信息传回企业版SAM。企业版SAM依据策略对共享用户实施干预，并将账户状态经由运行商SAM，同时至运行商BOSS系统。运行商布署模式一（BOSS+PPPoE认证场景）企业版SAMASME关键交换机运行商运行商SAMBOSS系统BRAS设备注：ASME在此场景中必须布署在BRAS设备下。因为ASME只能分析PPPoE报文解封装后镜像流量。第10页布署位置：ASME(必须)旁挂到BRAS，镜像上联口TX方向流量必备组件：ASME*n套+企业版SAM*套+运行商SAM*1工作流程：1x认证在企业版SAM上认证；PPPoE认证报文重定向至校园网SAM上发起，运行商SAM负责将认证账号转换成运供给商可识别账号并传递至BOSS系统ASME从校园网SAM获取用户动态信息，同时对出口镜像流量做嗅探分析，锁定共享用户。ASME将共享上网用户信息传回校园网SAM。校园网SAM依据策略对共享用户实施干预，并将账户状态经由运行商SAM，同时至运行商BOSS系统。运行商布署模式二（BOSS+PPPoE认证+802.1x认证场景）企业版SAM1ASME关键交换机运行商运行商SAMBOSS系统BRAS设备企业版SAM2注：ASME在此场景中必须布署在BRAS设备下。因为ASME只能分析PPPoE报文解封装后镜像流量。第11页运行商方案原理（校园网SAM认证方案类似）账号认证过程：pc进行pppoe认证，在校园网SAM上校验经过；校园网SAM将用户认证信息同时给运行商SAM，运行商SAM再同时给BOSS系统，由BOSS系统做最终校验，经过之后才算用户认证成功，多重保障，提升安全性账号同时过程：校园网SAM将认证成功用户及时同时给ASME，每隔10分钟同时一次在线用户；账号检测过程：ASME依据校园网SAM提供账号信息，检测用户上网行为，匹配特征库，一旦发觉违例用户，在5S内同时给校园网SAM账号处理过程：校园网SAM从ASME上取得违例用户，依据该用户应用防代理模板对用户进行策略处理，加黑名单；该策略是将非法账号加入到黑名单并将该账号踢线，一段时间内不允许账号认证，这个时间能够在校园网SAM上进行设置，能够设置几分钟或者几天，依据实际情况进行设置账号处理同时：校园网SAM将被加入黑名单用户同时给BOSS系统，通知BOSS进行下线结束记账处理方案原理详细介绍关于防代理检测机制：为防恶意破解，详细机制保密使用DPI技术，基于用户流量应用层特征进行检测，识别接入共享行为能准确计算拖带设备数量对于移动终端，能够深入检测出设备类型（iPhone、安卓）第12页方案特点1、彻底杜绝互联网破解工具无客户端，传统破解方式无效纯嗅探方案，无外出报文，预防漏洞可实时更新特征库，快速封杀新工具2、业界最“聪明”识别算法，误判率＜1%创新多维度、应用层交叉匹配检测，像人一样思索，处理多网卡、VPN等常见误判已经过10万用户规模验证。特征库连续更新，提升准确率3、布署方便，适用广泛旁路布署，即插即用，不改变用户原有拓扑支持有线、无线、web、802.1x、PPPoE等各种认证方案未来还将兼容其它厂商radius，杜绝厂商捆绑（经过兼容组件）4、关注用户体验提供警告、重定向、下线、黑/白名单等各种策略，柔性控制实时展示代理用户统计，效果直观可见升级期间不停流，不影响现有业务第13页目录Contents防代理困境RG-ASME处理方案友商产品对比案例介绍第14页同类产品对比维度对比项ASME深信服行为审计使用者认证方式802.1x支持支持web认证支持支持pppoe认证支持支持代理方式NAT代理场景支持支持随身wifi代理场景支持支持软件代理场景支持支持检测机制多维度、应用层交叉匹配检测，并定时升级特征库，防止破解仅检测移动终端代理，易被破解处理策略告警支持（客户端+HTTP重定向）支持（HTTP重定向）上网阻断支持支持（HTTP阻断）踢线+黑名单支持支持运维者升级管理在线自动升级支持不支持，升级需要收费设置自动升级时间支持不支持信息管理代理明细支持支持代理排行榜、代理报表支持不支持策略管理白名单支持未知布署方式旁挂只支持串行性能吞吐率5Gbps未知容量最大6万并发用户未知证据显示支持未知误判率

低于1%据客户反馈较高，放弃使用（山东外国语职业学院）当前已知基于应用层防代理方案主要是深信服第15页目录Contents防代理困境RG-ASME处理方案友商产品对比案例介绍第16页★★★★★★★★★★★★辽宁联通郑州经贸山东移动西安理工宁波联通河北科技大学河北邢台学院贵州财经贵州民族阳江联通佛三联通泉州理工ASME全国炽热上线ASME上市前即已在全国9所高校/ICT运行商完成布署，使用结果证实，ASME方案识别准确、效果显著。第17页案例1：郑州经贸学院背景：学校采取SAM认证计费系统，基于802.1x客户端防代理。但发觉客户端被猎豹WIFI破解了，营收大幅降低。冯主任购置了一批无线AP，准备布署无线网络，却发觉无线网没有防代理方案；效果：4月21号，布署ASME后，天天抓到代理用户数500~600；5月4号，布署无线并启用自动踢线+黑名单策略，代理用户不停降低，天天抓到代理用户数＜10个；半个月后，增加开户数1000【按30元/月套餐价，一年增加收入30万】第18页郑州经贸：代理用户统计并机用户数不停降低，新增开户数1000，每年增收30万第19页案例2：佛山联通ICT项目背景：广州工商职业技术学院是佛山一家使用联通宽带学校（采取PPPoE认证），因为联通宽带账号没有限制账号