AC上网行为管理之终端识别和管理

一、防共享需求背景

在企业的网络管理、在运营商代建的高校网络中出现了防共享上网的需求，即防代理、防一拖N的需求 。

（1）防止未授权的用户，登陆上网，获取权限，对数据造成损失，给网络管理带来许多麻烦

（2）对运行商收益造成影响

二、防共享识别和控制技术

1、需求背景

终端共享场景（一）：

多台终端（两台或者两台以上，终端类型不 限）通过同一个前端路由器NAT共享上网

终端共享场景（二）：

一台终端安装代理工具，其他终端通过代理，来实现共享上网

终端共享场景（三）：

一台PC外接360wifi，其他终端通过共享上网

2、配置方案

【终端接入管理】-【共享接入管理】启用共享接入检测进行配置：

（1）配置选项，可以配置统计所有终端（识别PC与PC，PC与移动端，移动终端与移动终端之间），或者仅统计电脑终端（可识别PC与PC之间的共享）。冻结选项可以选择多少台就识别成共享，共享后冻结多长时间等；

（2）允许共享行为的用户，可以添加受信任列表，上网将不会受影响。

3、不支持识别以下三种场景

（1）手机插电电脑充电

（2）PC里安装虚拟机

（3）电脑上安装移动终端模拟器

传统防共享技术：ID轨迹检测、时钟偏移检测、MAC地址检测、TTL检测、流量/连接数统计

深信服DPI检测技术、深信服字体检测技术、深信服辅助检测技术

深信服辅助检测技术：URL检测、微信特征ID检测、应用规则检测

三、移动终端管理需求背景

私接Wi-Fi给内网带来巨大隐患

新兴廉价Wi-Fi工具降低私接Wi-Fi难度和成本

蹭网卡的流行使违规违纪行为难以发现和追溯

四、移动终端识别和控制技术

1、移动终端识别原理：URL检测、应用规则检测、UA检测

配置方案

【终端接入管理】-【移动终端管理】可以管控移动终端：

（1）发现移动终端邮件告警通知

（2）发现移动终端冻结该移动终端上网

（3）对受信任的用户添加受信任列表，允许使用移动终端上网。