从AC13.0.80版本开始,共享接入管理和移动终端管理使用全新的终端识别机制,与终端识别功能合并,共享接入管理、移动终端管理识别结果将与终端识别完全一致。如果未启用终端识别功能,默认运行老终端识别,以确保能有基本的识别能力支持其他业务正常运行,但这时的识别结果误判的概率相对较高。所以,通常情况下,推荐开启全网终端识别功能,如需要对违规终端进行冻结操作,则必须启用终端识别功能(若AC设备CPU利用率超过70%则不建议开启此功能)。
步骤1.在导航菜单页面中[全网监控/全网终端监控/终端发现设置]启用全网终端识别功能,填入需要进行终端识别的IP网段;使用DHCP分配IP且不能获取到终端真实MAC地址的情况建议开启“自动删除长期未发现或无流量的终端”;点击<提交>完成配置。
共享接入管理用户检查内网代理他人上网的行为,可以设置单IP和单用户的最大上网的终端数。当检测到共享上网行为超过设置最大终端数时,可以冻结此IP或用户。
步骤1.在导航菜单页面[终端行为安全/终端防私接/共享接入管理],进入共享接入管理的配置页面,勾选“启用共享接入检测”。
步骤2.在共享接入管理页面,点击“配置选项”,统计方式选择统计所有终端;检测条件配置“终端数量达到2台及以上时”或 “存在校园网破解版路由时”判定为共享终端。勾选“满足检测条件则冻结”,配置冻结时长30分钟,冻结选项选择冻结IP地址。
统计方式:选择“统计所有终端”,统计PC与PC、PC与移动终端,移动终端与移动终端之间的共享;选择“仅统计电脑终端”,可以识别PC与PC之间的共享,即移动终端数不计入共享检测条件。(这里的PC指的是Windows PC和Mac PC,不包含Linux PC和国产化PC;Linux PC和国产化PC不作为共享终端计数)
检测配置:
检测条件可设置检测到终端数量达到一定的数值后判断为共享终端;同时也支持检测校园网破解版路由器(黑路由),校园网破解版路由器不受终端检测数量的限制,只要检测到校园网破解版路由器即认为是共享终端。校园网破解版路由器的定义,如果数据包经过该路由器后,该路由器存在对七层数据包的篡改行为,用以恶意规避对内网终端数量的检测,此类路由器称为校园网破解版路由器。
满足检测条件则冻结(不勾选即“只检测”)。可配置例外情况,如允许单IP下允许PC数量和移动终端数量。冻结选项可选择“冻结IP地址”或“冻结用户名”,“冻结IP地址”常用于企业用户,即使是公共账号也仅冻结私接的个人,当检测到共享接入后,拒绝来自该IP的所有上网数据;“冻结用户名”常用于高校或运营商,防止用户重新拨号逃避冻结,当检测到共享接入后,拒绝该用户名的所有上网数据。如某用户使用账号同时在多台PC、移动终端登录,其中在一台PC开启无线热点,提供给其他同事或访客接入。如果是“冻结IP地址”情况,只冻结开启无线热点的PC;如果是“冻结用户名”,那么该用户登录的所有设备都会被冻结。
步骤3.在共享接入管理页面,选择“信任列表”,在“信任用户”选项卡中点击“请选择信任的用户(组)”,并新增用户(组),加入到信任列表的用户(组)不会进行防共享检测。(可选)
步骤4.在“信任的IP地址”选项卡点击“新增”,填入IP地址范围,加入到信任列表的IP地址范围不会进行防共享检测。(可选)
QUIC是一种新型的传输协议,相比于传统的TCP/IP协议,具有更快速、更可靠的连接建立和数据传输能力。许多网站和应用程序已经开始采用QUIC协议来提高服务质量和用户体验。如果拒绝QUIC应用流量,那么相关的应用程序会尝试使用HTTPS协议重新建立连接(终端识别功能模块可从HTTPS协议获取更多终端指纹信息)。
所以,为了提升终端识别速度,加快共享检测,AC路由模式或网桥模式可以拒绝QUIC应用。这也是旁路部署模式防共享和非旁路部署防共享的效果差异,即非旁路模式可以通过拒绝QUIC来提升识别速度,而旁路则无法通过阻断QUIC来提升识别速度。
步骤1.在导航菜单[行为管理/访问权限策略]新增访问控制权限策略,在策略设置选项卡选择应用控制。
步骤2.点击<添加>按钮新增“QUIC”协议,动作选择“拒绝”,点击<确定>。
步骤3.[适用对象]选择学生地址网段,点击<提交>完成配置。
建议使用Chrome浏览器访问!
