如何对学校宿舍等场景的无线网络共享进行管控
无线网络共享上网的背景介绍:
教育信息化普及加快了校园网络的建设。校园网已经成为校园生活的重要组成部分,学校宿舍是尤为突出的无线网络应用场景。目前,学校宿舍的无线网络建设普遍做法是交由第三方出资建设,采用包月计时的方式提供给学生上网服务。
但由于一些特殊的原因,学校宿舍无线网络共享共享是学生上网普遍存在的方式,无线网络的共享会给第三方和学校管理带来以下的影响。
1、用户流失,多人用一网现象导致大量用户流失;
2、占用资源,改变了网络的“用户-流量”-计费的模式,造成网络的负担加重,不利于充分利用资源为正式用户提供服务;
3、费用降低,数据显示高校网络付费用户和非法接入用户比例从1:2到1:8不等;
4、管理困难,上网行为审核困难,管理不方便。
无线网络共享上网的分类
共享上网从技术实现角度分为使用硬件进行无线网络共享上网和使用软件进行无线网络共享上网;使用硬设备件进行无线网络共享上网通常用共享上网路由器或者PC;使用软件进行无线网络共享上网就是安装共享上网软件实现局域网的享Internet,当然也包含各种在线代理。
无线网络共享上网目的:
一、在能上网的PC上安装代理软件或者使用路由器,使不能上网的用户能够上网;
二、该用户上网的权限有限,部分网页已经过滤或者部分应用已经封堵,利用有这个访问权限的用户的PC上网,绕过出口行为管理设备的管控。
无线网络共享上网后果:使用无线网络共享上网后易导致无线终端中毒,并且造成病毒在内网中传播;无线很可能存在卡顿等影响工作效率和上网数据泄密的风险。
无线网络共享上网原理
硬件共享:通过NAT技术实现
NAT是Network Address Translation的缩写,采用网络地址转换技术,局域网内部的"非法互联网IP地址"通过NAT 可以转化成"合法互联网IP地址",实现对外界网络如Internet的合法访问。采用NAT功能的硬件内部嵌入一套共享软件,路由器由此具备拨号功能,提供内局域网内有线用户提供上网服务;开启无线功能,则给无线设备提供上网服务。
常见设备:TP-LINK、D-LINK、腾达、360WiFi等
软件共享:通过NAT技术和PROXY技术实现
PROXY代理服务器世界与客户机网络应用程序和Internet服务器之间的一台服务器。例如:客户机浏览器向代理服务器发出请求,代理服务器向web服务器取回浏览器所需要信息再传给客户浏览器。
常见软件:CCProxy、共享卫士、共享精灵等。
解决方案
如何保证无线网络不被共享上网
1.上网身份保障:信锐技术支持用户的集中化和统一的管理,信锐技术支持微信认证上网,短信认证上网,portal认证上网、802.1x认证上网等多达12种认证方式,对数字校园中的用户提供统一的电子身份,支持统一的用户认证方式;用户一次登录后,在有效期间内直接访问任何已授权的应用系统而无须再次登录。
2.网络体验稳定性保障:信锐技术支持智能射频,负载均衡;应用层加速,2L/3L无线漫游,保障学生上网的流畅性同时采用双机冗余部署提高无线网络的稳定性,使共享上网不存在使用的机会。
无线网络共享上网管控方法:
1、利用无线反制
信锐技术智能识别终端类型,MAC地址绑定,避免多个终端用同一个ID上网;利用非法接入点反制,通过WIPS对私接接入点进行检测和反制。
2、利用防共享检测技术
采用深信服AC上网行为管理设备进行防共享、防代理检测。
例如:
1) 用户A安装代理软件CCProxy配置用户B的IP地址。用户A访问网页,控制器记录用户的访问信息;
2) 用户B访问网页,此时AC能够检测到用户B使用的是代理的行为,并且用户B会收到以下两种可能的告警提示(AC设备的告警预览页面中可以设置提醒内容):
a、提醒用户B现在有代理的这种行为,这次访问不封锁,下次访问时再封锁;
b、第一次使用代理时,就直接封锁用户,发出以下告警。
3)用户B使用代理上网行为被AC检测并封锁,整个过程不安装插件,AC日志中产生详细日志。