一 、为什么要防代理

　　代理技术的出现的确给网络访问带来了很多意想不到得方便，多个用户可共用一条线路实现低成本的上网应用，大大增加了组网的灵活性，降低了通信费用的开销。 

　　而且通过代理服务器可以实现对网络访问的应用层的控制，直接可以控制用户访问的内容信息，增加了对网络访问的控制能力。但另一方面，代理服务器技术也让运营商、各种园区网的网管员们头痛不已，由于网络用户乱用代理服务器，网络中的资源访问权限变得不可控，给网络资源带来了安全隐患，特别是私接、盗接给通过网络运营的各类ISP们带来了很大的损失。

　　目前常见的私建代理方式主要有3种

　　1、使用具备NAT功能的宽带路由器产品，此类产品通常内置PPPoE拨号、内置IP、MAC欺骗功能，使用方便，成本低廉，是目前使用最多的代理方式，家庭用户、商业用户、学校等用户都广泛采用；

　　2、PC机安装双网卡，利用windows 2000和windows XP操作系统内置的internet连接共享功能来实现NAT，也可以作为代理服务器使用，此方式搭建简单，只需用户设置好本机IP、网关IP、DNS地址即可，但需要作为代理服务器的PC机24小时长时间开机运行，主要在学校和商业用户中常见；

　　3、在双网卡上PC机上安装winproxy等专业代理软件可实现更为强大的代理功能，并具备对终端用户较强的控制和计时、监控功能。但是由于需要较强的专业知识，终端用户需要比较负责的配置，应用范围不广。

　　以上三种代理方式中，90％的用户采用了前两种方式，如何以较低的成本、便捷的实现防代理功能是运营商最关心的问题。

　　二 、几种防代理技术简介

　　1：抓代理软件

　　通过防代理软件来抓代理软件是一种有效的解决防法。网上应防范代理的需求出现了一些防范代理的软件，比如Proxy Hunter等，其防范代理的原理主要是扫描提供代理服务的端口，比如8080、1888、8888等等。

　　这种方法的优势在于易于实现，部署容易，缺点扫描的工作量很大，对设备要求比较高，特别是当端口号更改，用端口扫描的办法就很难发现，尤其是双网卡的代理服务，这种方式很难发现，很容易漏报。

　　2：通过认证系统抓代理

　　目前主流的认证系统主要有PPPoE和802.1X等等，有些厂商借助于装在客户端的认证终端软件内置了对代理服务器软件和双网卡的的扫描功能来防止最终用户使用代理。

　　这种方式的优势在于比较容易的防止认证用户使用代理服务，但缺点在于需要维护客户端，加了代理限制功能的客户端软件变得更加复杂，而且随着限制代理种类的增多，需要增加新的功能模块，所以可运营性、可维护性都比较差。并且客户端软件和系统的拨号服务、1394等互联服务容易产生冲突，另外，由于加了防代理功能，对系统的稳定性、硬件兼容性都会产生一定的影响，可用性也大大降低。

　　3：通过网络设备控制数据访问防范代理

　　通过网络设备控制数据访问来防范代理有以下几种方式：

　　1、 通过流量计费的方式，来控制用户上网的数据流量。

　　2、 把扫描代理功能集成到网络设备中，来实现对代理的防范。从技术上讲可以实现，大大增加CPU的负担而导致系统很不稳定，并且容易受到病毒等恶意程序的攻击但会给网络设备带来很多潜在的不安全因素。

　　3、 在网络出口的路由器上限制TCP/UDP进程数量并配合ACL、NAT等技术，来对访问WEB页面的连接数或FTP连接数等的数量进行限制。

　　三、采用交换机相关技术进行防代理

　　1、使用三层交换机采用强制流分类功能实现对代理的防范。

　　从前面的分析中可以了解到用户使用了代理后给网络带来的变化是网络数据访问的方向发生了变化，而强制流分类功能正是通过限制特定服务的数据按规定的“路线”传输而不是先访问代理服务器从而从根本上实现了对代理的防范。这种防范的原理如下：用户数据在一进入交换机以后就被交换机按照预先的配置针对不同的应用作强制的应用流分类并且转发到指定的端口，而不管这个应用访问的目的IP地址是什么，这样就确定了每个用户的每种关键应用的数据在整个网络中的转发路线。正是因为代理技术改变了数据流访问的方向，通过这种方式就可以避免非法代理的存在。

　　采用的强制流分类的方式。这种情况主要发生在商业/企业用户，所以在商业/企业用户中，完全可以通过这种方式完全杜绝代理的问题，而且可以通过确定数据流访问的方向提供网络的安全性保障。

　　启用强制流分类需要接入层和汇聚层提供高性能的三层交换机支持，但是在运营商网络建设中网络将区域扁平化，接入层和汇聚层的三层交换机的使用将越来越少，大容量二层设备的使用将增加，所以不太符合运营商网络发展的特点。

　　2、采用综合措施。在二层交换机上，可以采用速率限制、IP连接数量限制、交换机端口和MAC地址绑定、认证系统的用户名、IP址、交换机端口的绑定等方式协同控制。

　　接入层也可以采用不支持强制流分类的二层交换机，但此时必须在这个交换机上设置端口物理隔离，把信息全部强制送到可以做流分类的交换机上统一处理，在BRAS上利用多种安全策略将每个账号对应的速率限制、IP连接数量限制、交换机端口和MAC地址绑定、认证系统的用户名、IP址进行绑定，这样也可以实现对非法代理的防范。

　　此方式将对用户的控制全部交给BRAS来实现，需要BRAS具备很强的并发处理能力和强大的功能支持，而且需要运营商在后台进行大量的数据搜集和手工绑定配置，工作量巨大，维护效率较低。

　　3、采用硬件处理方式：在接入层交换机上联口安装“防路由代理”功能的光口上联卡。

　　最新的防代理技术发展趋势要求实现对网络拓扑的零改动、不改变用户的使用习惯、最小的投入来实现最有效的防代理功能。

　　烽火网络公司推出的第二代二层接入交换机系列产品全部具备防非法代理的功能，此功能的核心为一块具备“防路由代理”功能的光口上联卡。运营商或企业用户在使用烽火网络二层交换机提供用户接入服务时只需配置此光口上联卡，无需运营商作任何设置，无需BRAS设备的支持，就可有效的防止交换机下接的用户通过宽带路由器上网（主要是多个用户通过NAT上网的情况），并且该光口上联卡还可以防止用户在一台PC机上使用internet连接共享功能来连接多台计算机上网。

　　由于目前90％的用户多采用以上两种手段私建代理服务器上网，所以在不改变网络拓扑结构的情况下，只需以此光口上联模块取代光纤收发器就能有效的阻断大多数非法代理用户，确保运营商的合法利益。

　　产品链接：

　　烽火网络今年推出的第二代以太网交换机F-engine S2000MF系列，包括8个10/100M电口＋1个100M光口、16个10/100M电口+2个100M光口、24个10/100M电口＋2个100M光口三种类型。

　　该系列产品通过硬件插卡和多种软件技技术提供完善的防代理解决方案，可以在网络接入层中就能实现对代理问题的解决。在硬件方面，烽火网络在其交换机上增添了光接口插卡，使用这种插卡后，可以对下联网络中数据是否经过NAT处理进行识别，凡是即将从这个插卡接口发出的数据如果是经过NAT处理的、那么这种数据将会被丢弃掉，因此可以实现对通过路由设备上网，以及用户在一台PC机上使用internet连接共享功能来连接多台计算机上网的情况进行防范，在成本上具有相当大的优势。软件方面，烽火网络开发了相关防代理软件并植入交换机中，以支持对采用软件代理进行防范的能力，并且结合速率限制；IP连接数量限制；交换机端口和MAC地址绑定；认证系统的用户名、IP址、交换机端口的绑定等多种方式，可以积极配合运营商有力的反击各种非法网络代理。

　　作为智能网管型交换机，可以提供形象直观、功能强大的图形界面网管系统，支持集群网管，支持SNMP协议和HTTP协议以及提供灵活方便的带外网络管理。网络管理者可通过统一的网络管理平台（如HP OpenView）或Web方式对网络进行维护和管理。该系列产品支持RMON远程网络监控，使管理应用程序可在任一时间段内提取各种统计、分析数据。配合该公司的Easy-do网管软件，可提供多种方式下的快速软件升级；实现远程批量配置；远程线路故障诊断定位（精度1米）；链路定时开启和关闭；流量分析；本端口环回故障检测等功能。