《2022年2022年交换机防代理技术白皮书》由会员分享,可在线阅读,更多相关《2022年2022年交换机防代理技术白皮书(10页珍藏版)》请在金锄头文库上搜索。
1、以太网交换机防代理技术白皮书武汉烽火网络有限责任公司文档版本: V1.0 时间: 2006-02-08 撰写:交换机项目组相关人员,技术支持部审核:技术支持部发布:武汉烽火网络有限责任公司市场部读者对象: 烽火网络客户, 烽火网络市场及客服所有人员名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 10 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播2 修订记录修订序号修订日期修订内容描述修订者版本声明:1本文仅作市场宣传参考,不作合
2、同签定、技术配置的依据。由于编者技术水平有限,欢迎批评和指导。2版权所有,保留一切权力非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。3有任何疑问请垂询市场部技术支持部。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 10 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播3 目 录一、概述 . 5二 、防代理( Proxy)技术简介 . 51. 抓 Proxy 软件 . 52. 通过认证系
3、统抓 Proxy. 63. 通过网络设备控制数据访问防范Proxy. 64. 通过智能交换机的强制流分类功能实现对Proxy 的防 . 7三 、如何根据用户实际情况采用不同的防代理措施. 7四、烽火网络交换机防代理方案介绍. 9五、结束语 . 10 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 10 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播4 摘要本文介绍武汉烽火网络有限公司F-Engine 系列以太网交换机的防代理功能。
4、Proxy技术给网络运营商和各类ISP们带来了很大的损失。烽火网络推出了以太网交换机防代理技术,来力求满足运营商的功能需求以及保障运营商的利益。本文对防代理(Proxy)技术做了详细的描述,同时对烽火网络以太网交换机的防代理技术做了详细介绍。关键词Proxy NAT 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 10 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播5 一、概述目前在宽带网网络建设中,利用客户端所在机器上安装代理服
5、务器软件实现多人共用一个账号上网的现象非常普遍,如 Wingate 、Sygate 、 Windows 提供的网络共享功能或是使用SOHO路由器实现网络共享。在实际生活中,网络运营商构建网络来对家庭用户提供网络接入服务、并对每个家庭用户收取服务费用,目前使用最多的计费方式是针对时长进行计费(比如包月制)。但是由于代理技术的存在,目前这种现象也非常普遍:即一个家庭用户申请开通宽带业务、使用代理技术让其它家庭用户的PC也可以正常访问网络。这就损害了网络运营商的利益:即运营商只收入了一个家庭用户的费用而对多个家庭用户提供了网络接入服务。所以在这种场合下就需要对代理进行防范。Proxy 技术给网络访问
6、带来了很多意想不到得方便,大大增加了组网的灵活性,而且通过 Proxy 可以实现对网络访问的应用层的控制,直接可以控制用户访问的内容信息,增加了对网络访问的控制能力。但另一方面,Proxy 技术也让校园、宽带小区、企业园区网的网管员们头痛不已, 他们发现有些网络用户用了Proxy 以后,网络中的资源访问权限变得不可控,给网络资源带来了安全隐患,给通过网络运营的各类ISP 们带来了很大的损失。烽火网络推出了以太网交换机防代理技术,来力求满足运营商的功能需求以及保障运营商的利益。二 、防代理( Proxy )技术简介1. 抓 Proxy 软件近年来,网上应防范Proxy 的需求出现了一些防范Pro
7、xy 的软件,比如Proxy Hunter等,其防范Proxy 的原理主要是扫描提供代理服务的端口,比如8080、1888、8888 等等。这种方法的优势在于易于实现,部署容易, 缺点是无法彻底解决代理防范问题,因为每一种服务都有相应的代理,而且服务端和客户端可以协同对端口号进行更改,用端口扫描的办法就很难发现,尤其是双网卡的代理服务,这种方式很难发现。另外,由于这种方式需要扫描1024 到 65535 之间的所有端口, 因此扫描的工作量很大,对 CPU的消耗也很大。 因此对设备要求比较高,并且会增加网络上的流量。而且目前网络代名师资料总结 - - -精品资料欢迎下载 - - - - - -
8、- - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 10 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播6 理技术越来越先进,很容易漏报。2. 通过认证系统抓Proxy 目前主流的认证系统基本上都是基于C/S 结构的,比如PPPoE和 802.1X 等等。有些厂商就借助于装在客户端的认证终端软件或者服务器端内置了一些防代理功能来防止最终用户使用 Proxy 。这种方式的原理如下:1、 运行后探测计算机是否具备双网卡,如果有双网卡就强行下线2、 运行后探测计算机是否启动了所限制的代理服务,如果启动了则
9、强制下线。3、 在服务器端集成一个抓代理软件,如果发现用户使用,则通过认证系统强制这个用户下线,这种方式原理和抓代理软件原理相同。这种方式的优势在于比较容易的防止认证用户使用代理服务,但缺点在于需要维护客户端,加了代理限制功能的客户端软件变得更加复杂,而且随着限制代理种类的增多,需要增加新的功能模块,所以可运营性、可维护性都比较差。并且客户端软件和系统的拨号服务、1394 等互联服务容易产生冲突,另外,由于加了防代理功能,对系统的稳定性、硬件兼容性都会产生一定的影响,可用性也大大降低。因此对于基本上都是运营商在采用的PPPoE认证,就没有厂商盲目的更改客户端去防Proxy ,而采用了比较粗犷的
10、做法,限制带宽、限制流量, 通过对带宽和流量的限制保证整个网络访问的可控。之所以这样做, 正是因为一个软件保证广泛的兼容性和稳定性(综合为可用性)实际上是很困难的,而且会影响用户操作系统的稳定性,这是运营商和用户都不愿意看到的。3. 通过网络设备控制数据访问防范Proxy 通过网络设备控制数据访问来防范Proxy 有以下几种方式:1、 通过流量计费的方式,来控制用户上网的数据流量。2、 还有些厂商把扫描Proxy 功能集成到网络设备(路由器、交换机)中,来实现对Proxy的防范。 从技术上讲可以实现,但会给网络设备带来很多潜在的不安全因素。主要原因是交换机处理业务数据是通过ASIC 芯片来处理
11、的, 而网管、查表等少量的非业务性工作是由CPU来完成的, 所以交换机上的CPU的处理能力一般情况下都很有限,如果集成了扫描代理的功能,就需要和其他服务器建立会话,会大大增加CPU的负担而导致系统很不稳定,并且容易名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 10 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播7 受到病毒等恶意程序的攻击。3、 在网络出口的路由器上限制TCP/UDP进程数量,也就是限制可以同时进行的访问WEB页
12、面的连接数或FTP 连接数等的数量,但是目前没有可能实现在ASIC 芯片上。只能在NP或通用 CPU上实现。4. 通过智能交换机的强制流分类功能实现对Proxy 的防通过智能交换机的强制流分类功能实现对Proxy 的防范,从前面的分析中可以了解到用户使用了Proxy 后给网络带来的变化是网络数据访问的方向发生了变化,而强制流分类功能正是通过限制特定服务的数据按规定的“路线” 传输而不是先访问代理服务器从而从根本上实现了对Proxy 的防范。 这种防范的原理如下:用户数据在一进入交换机以后就被交换机按照预先的配置针对不同的应用作强制的应用流分类并且转发到指定的端口,而不管这个应用访问的目的IP
13、地址是什么,这样就确定了每个用户的每种关键应用的数据在整个网络中的转发路线。 正是因为Proxy 技术改变了数据流访问的方向,通过这种方式就可以避免非法代理的存在。三 、如何根据用户实际情况采用不同的防代理措施代理服务器在实现方式上主要有2 种方式:1NAT代理方式。下面是通过NAT进行代理的网络示意图:运营商网络具有 NAT 功能的路由器或者PC 以太网交换机不具备合法IP 地址的 PC 机经过该设备后所有数据都将具有合法IP 地址名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7
14、 页,共 10 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播8 在上图中,下面的3 台 pc 机都不具备运营商提供的合法IP 地址,但是因为路由器与运营商网络连接端口具有合法的IP 地址,因此来自下面3 台 PC的数据的源IP 都将被转换为合法的IP 地址后发送给运营商提供的网络,对于运营商的网络设备来说,是不知道这些数据是来自多台PC 、而只会认为是来自一台具备合法IP 地址的 PC ,从而会将这些数据进行正常的转发;当来自互联网的数据到达运营商网络时,运营商网络将正确的把数据发送给路由器,当该路由器接收到这样的数据时,会根据 NAT的转发表项来将
15、数据转发给下面连接的具体的特定PC ,从而这些不具备合法 IP 地址的 PC机可以正常的使用互联网资源。一般来说,路由器都支持NAT技术,因此路由器可以作为代理服务器使用;另外,windows 操作系统提供的internet连接共享功能也是通过NAT实现的,因此安装了 windows 操作系统的PC机如果具备多个网卡,也可以作为代理服务器使用。2应用程序代理方式上图中,下面的3 台 PC机不具备合法的IP 地址, PC-A具有合法的IP 地址、并且安装了代理软件。 当下面的3 台 PC需要访问互联网时,它们将该请求发送给PC-A 而不是将请求发送给最终目的站点, 然后由 PC-A 向目的站点发
16、送请求, 当 PC-A 收到来自互联网的应答后,PC-A 再将接收到的数据发送给下面的PC机。这种方式与NAT方式的区别在于:NAT只是将数据报的源IP 地址进行替换,实际上还是不具备合法IP 地址的 PC与目的站点进行通信;而应用程序代理软件的方式则是不具备合互联网运营商网络安装了代理软件的PC-A 以太网交换机名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 10 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播9 法 IP 地址
17、的 PC只与代理服务器通信,由代理服务器与目的站点进行通信,并将结果返回给不具备合法IP 地址的 PC 。使用代理软件进行代理的缺点:因为使用代理软件是针对应用层的协议进行开发的,所以需要针对不同的应用程序开发代理软件,所以限制就比较多。比如,如果只支持http代理,那么不具备合法IP 地址的 PC就只能通过代理服务器进行web浏览,不能使用 ftp进行下载,也不能玩一些网络游戏。因此,目前使用最多的代理方式还是NAT代理方式。四、烽火网络交换机防代理方案介绍1 NAT代理的预防通过针对 NAT技术进行深入分析之后,烽火网络公司在2 层交换机上开发出了具有辨别数据是否经过NAT处理的接口插卡,
18、使用这种插卡后,凡是即将从这个插卡接口发出的数据如果是经过NAT处理的、 那么这种数据将会被丢弃掉;因此,如果在烽火网络公司的 2 层交换机上使用防NAT代理卡, 并把卡上的接口作为上联接口,即可以过滤掉NAT处理过的数据。使用防代理卡后的网络应用拓扑:用户内部网络拓扑互联网运营商接入网络具有 NAT 功能的路由器或者PC 以太网交换机不具备合法IP 地址的 PC 机S2000S2000M交换机,上联接口为防代理卡的接口名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 10
19、 页 - - - - - - - - - 以太网交换机防代理技术白皮书内部资料 ,请勿传播10 在上图中,在S2000M 交换机上插入防代理接口卡,并以防代理卡上的接口作为S2000M交换机的上联接口;如果有数据是经过NAT处理的,那么当这个数据将从上联接口发送出去前就将被防代理卡丢弃掉,这样的数据不能越过S2000M进入运营商的网络、从而不能访问互联网。2 对应用程序代理的预防这种方式下代理服务器为其所服务的非法PC发出的代理数据其实与代理服务器本身主动与外界的通信是没有区别的,因此不能在网络中增加特定过滤设备的方式进行数据过滤。烽火网络的做法是在交换机上实现防代理软件服务器程序,在接入用户
20、的PC机上安装防代理软件客户端程序的方式实现。安装在用户PC 机上的防代理客户端程序用于监控用户的PC是否运行了代理软件,如果运行了代理软件则不允许该PC机向外发送数据;同时,该防代理软件客户端程序还具有与交换机上的防代理程序互通的功能,用于让交换机确保用户的PC上运行了防代理客户端程序,如果用户的PC没有运行防代理客户端程序,那么交换机不接受这台PC 机发送过来的数据,从而可以实现强制用户一定要运行防代理程序的目的。五、结束语烽火网络一直定位于为网络运营商提供各种网络设备,并且不断的开发新功能来力求满足运营商的功能需求以及保障运营商的利益,使用烽火网络的防代理解决方案将会有力的反击各种非法网络代理。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 10 页 - - - - - - - - -
