网络监控软件的解决方案分类比较:
(一)按照运行原理区分为:监听模式和网关模式两种
1、 监听模式
通过抓取总线MAC层数据侦方式而获得监听数据,并利用网络通讯协议原理而实现控制的方法;因此监听模式最大的弱点原理性的,也就是说需要如下方法之一来解决安装问题:
(1)通过共享式HUB(集线器)
这个模式是一个比较通用的方法,但由于HUB基本都是10M的,因此在网络性能上将很大限制,也意味丢包的危险;目前HUB几乎到了淘汰的命运;也不适合大型网络环境,因此是很大局限;
(2)通过镜像交换机
可网管的镜像交换机首先是比较贵并需要专业的配置,而目绝大多数企业并没有带镜像交换机,另外如果规模比较小的话(比如30个电脑一下),那么增加购买镜像交换机意味成本的提高,另外有些便宜的交换机虽然带镜像功能,但在镜像后由于双向(监视和控制)数据流处理不完善而导致交换机瞬间阻塞现象;但相比HUB模式来说,使用镜像交换机实现监听无疑是理想的选择;
(3)通过代理/网关服务器
所以代理/网关服务器,就是在这个电脑通过WINDOWS连接共享设置、SYGATE、CCPROXY、ISA等,其他电脑通过这个代理/网关服务器分享上网;一般都是双网卡模式;一个网卡连接外网,另外一个网卡连接内网,监控软件捆绑内网卡;但现在大部分的网络已经不再使用这个模式,直接通过路由的NAT上网共享模式;而像ISA这样的网络,每个电脑都要去设置就足够麻烦了;而WINPCAP模式下对ISA是无法监控的;目前分为:
(a)服务代理模式:比如CCPROXY
比如设置上网浏览为8080,邮件为8025等等,这样的代理模式;下面的电脑需要一个一个设置应用代理端口,因此已经很少人使用了;
(b)透明网关模式:比如WINROUTER,
网内其他电脑设置默认网关就可;通过NAT地址转换;
(4)ARP欺骗模式
ARP欺骗模式将可以实现在普通交换机下的数据监听,方法简单有效,但主要是两个弱点,一是不适合规模大的网络(建议少于50台电脑的环境);二是会和网络内其他的ARP欺骗软件互相冲突干扰而导致网络瘫痪;
因此我们看到,其实所有的监听模式的解决方法都是不太可靠的,而目前所有使用WINPCAP驱动的网络监控软件以及使用网络层驱动的软件都是监听模式;如果要求你前面的3个安装方法之一的就肯定是监听模式软件;不管软件厂家吹了多少牛欺骗了多少无辜的人;因此真正商业运行的话强烈建议网关模式;特别是网络规模大、环境复杂的网络不适合
2、 网关模式
由于所有出口数据流都必须经过该网关,因此控制方面可以说是最强大完美而无任何副作用的方式,因此克服了目前所有的采用WINPCAP模式或网络层驱动模式下的所有弱点;克服了所有监听模式下阻断UDP的致命弱点;是网络监控最理想的模式;
(二)按照管理目标区分为:内网监控和外网监控两种
1、内网监控的主要目标是管理网内电脑的所有资源和使用过程;比如网内的电脑硬件资源(有什么设备,是否允许使用)、软件资源(安装了什么软件,是否允许使用)、数据资源(有什么重要资料文件、数据、是否被合法使用)、行为操作(对工作的评估、使用电脑的合法性、干了一些什么事情)等等;
2、外网监控的主要目标是监视网内电脑上网内容和管理上网行为;比如网络监控、邮件监控、上网监控、网页监控、FTP监控、MSN聊天内容监控、游戏监控、流量监视和限制、QQ/MSN/UC/YAHOO/KUGOO/ICQ/AOL/贸易通等聊天行为监控、自定义监控、TCP/DUP全系列双向端口监视和控制,BT完美禁止等等;
因此无论是硬件还是软件方式解决方法,应该包含内网监控和外网监控产品,通过合理的投资代价获得不断升级拓展更新对资源和行为管理;硬件在性能上相比软件来说是比较优势,但在拓展性、升级更新、投资成本上却成了最大的麻烦;
五、局域网网络监控软件用例
1、 几乎测试过目前国产所有网络监控软件,从实际测试结果看ANYVIEW(网络警)无疑是最成功的产品之一,关于该产品如果有兴趣的人可以到他们官方站http://www.51anyview.com/ 下载测试;
2、 之所以用这个产品作为用例原因如下:
(1) 引擎采用了核心层驱动,和操作系统结合紧密,而引擎驱动程序是在非常低层实现,因此不接受火墙干扰(因为火墙在网络层之上),也就是说只要WINDOWS是活着的,那么引擎驱动也就是等于活着的;实际测试效果来看,性能相当好;这是目前国内其他同类产品根本无法比拟的优点;
(2) 提供了旁路模式和网关两种模式选择,不需要共享式HUB或镜像交换机,可以在普通交换机环境下随意安装,被监视电脑上不需要安装任何软件;这在实际运行环境中将非常有效;这意味着运行的人并不需要网管或老板的特殊权利了;而更刻薄一点来说:“意味员工监视老板的时代开始”;
(3) 提供了两个方面的管理,非常全面:
上网行为监控产品:ANYVIEW(网络警)
内网行为监控产品:INTRAVVIEW完整版
(4) 提供了NAT模式的透明网关,也就是说本身就可以共享其他电脑的上网;
(5) 提供了BT和流量限制,大家知道的由于BT是动态的端口并UDP/TCP混杂的系统;那么通过端口封杀是根本无效的;从实际测试看目前还没有其他软件可以真正做到BT封杀;而监听类型的软件是不能做到流量限制的;
(6) 由于采用引擎核心层驱动的优势,因此阻断UDP类应用以及在这个引擎结构上实现更多的功能完全成为可能,因此有相当的拓展性;
3、 安装部署方法:
(1) 随意找个电脑,软件从他们官方下载,然后开始安装(默认下一步就完了)
(2) 如果是XP/2003会提示一个徽标数字验证(选择仍然继续);
(3) 登陆控制台,默认密码为空,选择:“选项—》服务器-》工作模式”:
默认是网关模式,如果你是要立即测试先选择“旁路模式”;输入网关IP地址,获得MAC地址;确定后就可以立即监视5个电脑了
|
发表于 2006-8-23 18:54:10
发表于 2006-8-31 10:13:36