场景介绍
电信为学校提供了基础宽带接入设备、并制定了管理条例规定学生不得使用电信校园账号进行共享上网,但是只要有学校学生使用代理了或私装代理工具,高权限用户代理低权限用户上网,管理制度就形同虚设。
某些管理设备使用装控件、封堵进程的方式禁用代理,极不方便;使用AC的防共享功能可以提供无插件禁用终端使用内网代理的功能。
操作步骤
步骤1.在导航菜单页面中[全网监控/全网终端监控/终端发现设置]启用全网终端识别功能,填入需要进行终端识别的IP网段。
步骤2.在导航菜单页面中的[终端行为安全/终端防私接/共享接入管理],进入共享接入管理的配置页面,勾选启用共享接入检测。
步骤3.在共享接入管理页面,点击<配置选项>,统计方式选择统计所有终端。设置终端数量达到2台以上,勾选“存在校园网破解版路由器时”,冻结时间为30分钟。
统计方式:选择“统计所有终端”,可识别PC与PC、PC与移动终端,移动终端与移动终端之间的共享。
[冻结选项]:选择“冻结IP地址”,一个IP地址只允许一个用户上线。
步骤4.效果验证方式:
• PC1接入网络中,通过DHCP自动获取地址,采用测试账号通过AC平台认证后,能正常上网。
• PC1安装360电脑WIFI,启动360WIFI,开放热点。
• 手机连接PC开放出来的SSID,进行代理可以上网。
• 在PC1上使用浏览器访问网页,在手机的微信等App应用,2个终端上网一段时间后被检测为共享上网。
• 使用另一台PC2连接PC1开放热点,两台PC同时使用微信发文件,一段时间后被检测为共享上网。
:
1.允许例外情况:单IP电脑终端数为1,移动终端为1。指的是1个电脑和1个移动终端的共享上网行为是会被放通的。2个PC或2个移动终端的共享上网行为会被拦截。
2.如果是高校场景,可勾选“存在校园网破解版路由器时”,校园网破解版路由器又称“黑路由”,可对此这类型的设备进行检测和冻结,从而提升高校网络运营者发现共享行为的能力。校园网破解版路由器不受终端检测数量的限制,只要检测到校园网破解版路由器即认为是共享终端,立即执行冻结动作
步骤5.效果呈现。
测试手机连接PC开放的热点,手机通过PC代理上网。按上述《效果验证方式》操作,5分钟之内(测试最快1分钟左右)会出现访问网站被设备防共享上网拦截页面。并且共享接入管理页面识别到手机及终端类型。手机打开网页效果图如下。
步骤6.登录设备控制台页面,查看共享状态列表。
步骤7.在日志中心查看防共享接入日志。
步骤8.PC之间的共享上网测试,使用使用两台不同版本的windows PC(win7、win10),一台接入客户网络,然后开启热点,另外一台连接热点。两台PC同时使用微信发送文件,观察终端列表页面的终端型号列,直到出现两个不同的windows版本,且终端类型变成共享终端PC。
步骤9.登录设备控制台页面,查看共享状态列表。
步骤10.在日志中心查看防共享接入日志。
步骤11.此时PC打开网页重定向提示页面。
建议使用Chrome浏览器访问!
