网络监控软件功能 (局域网网络监控软件原理,部署,策略,方案探讨)

关键词：网络监控软件部署 监听模式 网关模式 抓包技术 核心层驱动

计算机网络的普及应用已渗透到社会各个层面，给社会带来便利的同时也随之带来的安全和管理问题。互联网络是一把双刃剑；就如一个企业而言有些员工利用工作时间看新闻、玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲、浏览非法站点、甚至在公司网上边拿老板工资边找工作等等。不仅仅消耗公司资源，更是因为影响公司效率、泄露公司机密、甚至丢失客户资源令人痛心。而利用局域网网络监控软件这非常有效的管理辅助手段并和企业的内部管理机制结合达到更加事半功倍的效果，已经成为共识。

一、为什么要使用局域网网络监控软件？

每个局域网都是管理单位的财产；很多单位很舍得对网络以及电脑设备的投入，但却不舍得对应用软件特别是安全软件投入是不恰当的，购买一个电脑认为很值得却不愿意去购买软件很好地发挥网络资源的效率以及管理好网络资源的话，那么即使组建了再性能出色的网络环境以及购买了现代化的办公设备，但却成了沉迷员工、浪费单位人力和财力的结果;甚至是纵容员工上班时间做单位之外的事情就成了问题；反而降低了工作效率，甚至导致更大损失；因此网络监控非常必要；

目前很多单位请了网管还建设了网站；但是把设备是管好了，可设备带来的方便却降低了工作效率（都用网络干别的事情去了），网络带来的客户因为员工缺乏管理而可能直接成为了竞争对手的客户了；因此仅购买设备是不够的，仅仅建设网站也是不够的，只管理设备也还是不够的，还需要购买软件让系统较大限度发挥效率，应该把员工使用网络的内容监视和并把网络行为管理起来；特别是外贸企业、技术含量较高的企业（如软件、工程类、设计部门）、政府关键部门等等对员工的上网监督管理的意义尤为重要。

二、局域网网络监控软件主要目标：

网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密，实现对网络电脑及网络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事、并能够记录网络往来的内容（比如外贸企业的定单过程），对电脑的各种端口和设备实施全面管理和控制，对用机、上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制；

（1）防止并追查重要资料、机密文件等外泄；较有效的方法就是透明加密软件或或发复制软件；

（2）监督、审查、限制、规范网络使用行为（比如是否上班时间游戏、干私活、找工作等）

（3）限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为；（比如上班下电影）

（4）备份重要网络资源文件（比如业务邮件、设计图纸、研究报告）；

（5）监视各种IM（比如常用的QQ/MSN）聊天记录内容和行为过程；（是否泄密或浪费时间闲聊）

（6）流量限制以及网站访问统计，用于分析员工使用网络情况；（工作效率分析）

当然还有更多的情况，比如公司开发的项目或投标书却出现在竞争对手手里等等，所有这些单位的重要财产需要保护；把这些管理起来才是硬道理；

三、局域网抓包技术原理：

1、UNIX系统提供了标准的API支持

（1）Packet socket

（2）BPF（主要的流行手段）

A、BSD抓包法

.BPF是一个核心态的组件，也是一个过滤器

.Network Tap接收所有的数据包

.Kernel Buffer，保存过滤器送过来的数据包

.User buffer，用户态上的数据包缓冲区

B、Libpcap(一个抓包工具库)支持BPF

.Libpcap是用户态的一个抓包工具

.Libpcap几乎是系统无关的

C、BPF是一种比较理想的抓包方案

.在核心态，所以效率比较高，

.但是，只有少数OS支持(主要是一些BSD操作系统)

2、Windows平台上通过驱动程序来获取数据包；

   首先要补充一句：所有的软件功能其实都在基于引擎驱动而完成的，上层的界面应用不过就是引擎驱动的延伸，所以引擎驱动效率就是软件所有的较关键的部分；一只鸭子的DNA是不可能做出一只老虎的；性能功能之比较就是引擎驱动之比较；

（1）驱动程序模式

模式一、在核心层驱动模式（或中间层驱动方式，比如卡巴斯基7），和WINDOWS操作系统核心结合紧密,效率非常高性能较好；因为网络火墙都在网络上层运行（也就是说如在核心驱动那火墙是无法管理软件的，效率当然就非常高了），因此核心层驱动将不受网络火墙干扰；

模式二、在网络协议层驱动模式，虽然自己写的驱动容易控制管理但性能根本无法与核心层驱动比较；并受防火墙限制和干扰；

（2）WinPcap驱动标准接口（国外免费抓包驱动接口；目前国产网络监控软件90%采用）

WINPCAP是目前国际标准的免费协议层抓包接口程序，支持100M通讯，采用的原理是监听模式；但缺点是明显的，可控制性很差导致很多功能都无法实现，免费的东西自然安全也是很大问题；只能监听模式导致流量限制、BT限制、UDP阻断方面等等天生的弱点；另外由于WINPCAP版本互相不兼容可能导致无法监控，无法识别千兆网卡或无法读到网卡列表，只能同时监控单网卡等等一堆问题；较大的问题是还需要老掉牙齿的10M共享HUB，或把交换机变为老式HUB的端口镜像；所以只要有基本的网络常识的人，都不会选择该模式了；

四、网络监控软件的解决方案分类比较：

（一）按照运行原理区分为：旁听模式、旁路模式、网关模式、网桥模式4种；

1、监听模式

旁听模式也就是通过抓取总线MAC层数据侦方式而获得监听数据，简单说两个人在打电话一样边上一个人在监听；利用网络通讯协议原理而实现控制的方法，因此监听模式较大的弱点是原理性的，需要老式HUB或把交换机变为老式HUB的端口镜像；需要如下方法之一来解决安装问题：

(1)通过共享式HUB（集线器）

这个模式是一个比较通用的方法，但由于HUB基本都是10M的，因此在网络性能上将很大限制，也意味丢包的危险；目前HUB几乎到了淘汰的命运；也不适合大型网络环境，因此是很大局限；网络带宽损失都会超过60%;再千M网络的环境却用10M的共享HUB，真的疯了；

(2)通过镜像交换机

由于共享的HUB都是10M的，于是为了解决这个问题，一些交换机带了镜像端口，所谓镜像就是把交换机再变回原始的共享HUB，以获得MAC层包；可网管的镜像交换机首先是比较贵并需要专业的配置，而目绝大多数企业并没有带镜像交换机，另外如果规模比较小的话（比如30个电脑一下），那么增加购买镜像交换机意味成本的提高，另外有些便宜的交换机虽然带镜像功能，但在镜像后由于双向（监视和控制）数据流处理不完善而导致交换机瞬间阻塞现象；而很多的镜像交换机也是单向的（只能监视抓包不能控制）；但相比老式的HUB模式来说，使用镜像交换机实现监听还是要理想一些；不过即使如此，网络带宽损失也将超过40%;

(3)通过代理服务器

所以代理服务器，就是在这个电脑通过CCPROXY、ISA等代理上网，其他电脑通过这个代理服务器分享上网；一般都是双网卡模式；一个网卡连接外网，另外一个网卡连接内网，监控软件捆绑网卡；但现在大部分的网络已经不再使用这个模式，直接通过路由的NAT上网共享模式；而像ISA这样的网络，每个电脑都要去设置就足够麻烦了；而WINPCAP驱动下对ISA是无法监控的；

比如采用CCPROXY

假设设置上网浏览为8080，邮件为8025等等，这样的代理模式；下面的电脑需要一个一个设置应用代理端口，因此已经很少人使用了；路由器便宜又设置简单，还不浪费多少电、维护又简单还不会中病毒，所以使用PROXY模式的话实在是很奇怪了；

2、ARP旁路模式

ARP模式将可以实现在交换机下的数据监听，方法简单有效，但主要是三个弱点，一是不适合规模大的网络（建议少于50台电脑的环境）；二是有可能和网络内其他的ARP攻击欺骗软件互相冲突干扰而导致网络瘫痪；三是有可能会被ARP火墙禁止掉;如果能克服以上的问题那么是非常简单而有效的方式了；

3、网关模式

由于所有出口数据流都必须经过该网关，因此控制方面可以说是较强大而无的方式，因此克服了目前所有的采用WINPCAP模式或网络层驱动模式下的所有弱点；克服了所有监听模式下阻断UDP的致命弱点；是网络监控理想的模式；主要的代价就是维护和安装比较麻烦;缺点是无法跨越VLAN和VPN;

4、网桥模式(目前较好的性能较强的技术方式)

随着技术的进步,WINDOWS本身提供了透明桥技术模式,在此技术基础上，就可以开发出网桥模式的监控软件,克服了网关模式的所有的问题;

[1]针对适合超大用户量；

[2]相对网关模式安装简单；不需要修改路由、网关、交换机、以及被监视电脑的任何设置；

[3]全透明转发，支持VPN、无线、多VLAN、多网段等所有的网络应用和情况；看成网线就可以透明模式不会影响速度；

总结：因此我们看到，其实所有的监听模式的解决方法都是不太可靠的，而目前所有使用WINPCAP驱动的网络监控软件以及使用网络层驱动的软件都是监听模式，所以需要HUB或镜像；如果要求你使用HUB或镜像肯定是老式监听模式软件，不管软件厂家吹了多少牛欺骗了多少无辜的人；因此真正商业运行的话强烈建议网桥或网关模式；特别是网络规模大、环境复杂的网络都是不适合使用任何方法实现的“监听模式”去监控制局域网的；那些从事“网络监控软件”开发的所有厂家都心知肚明；

（二）按照管理目标区分为：内网监控和外网监控两种

1、内网监控的主要目标是管理网内电脑的所有资源和使用过程；比如网内的电脑硬件资源（有什么设备，是否允许使用）、软件资源（安装了什么软件，是否允许使用）、数据资源（有什么重要资料文件、数据、是否被合法使用）、行为操作（对工作的评估、使用电脑的合法性、干了一些什么事情）等等；简单说就是即使不上网也需要监控：比如屏幕监控、禁止BT等应用程序、对窗口消息的监视控制，限制USB硬件等等；对付P2P类下载也是较有效和针对有效的方式；

2、外网监控的主要目标是监视网内电脑上网内容和管理上网行为；比如网络监控、邮件监控、上网监控、网页监控、FTP监控、MSN聊天内容监控、游戏监控、流量监视和限制、QQ/MSN/UC/YAHOO/KUGOO/ICQ/AOL/贸易通/TAOBAO旺旺/阿里旺旺/DOSHOW/TM/MSN SHELL等聊天记录监视、自定义监控、TCP/DUP全系列双向端口监视和控制等等；不过由于聊天工具很多是动态加密的，所以聊天记录部分会有可能放在内网监控里去解密；

因此无论是硬件还是软件方式解决方法，应该包含内网监控和外网监控产品，而硬件方法是不可能做内网监控的；这就是为什么网络监控的解决方法都是通过了软件来实现；而硬件做的基本就是网管部分功能而已；软件方式可以通过合理的投资代价获得不断升级拓展更新对资源和行为管理；硬件在瞬间通讯性能上相比软件来说是比较优势（比如流量限制效率），但在拓展性、升级更新、投资成本、管理维护上等却成了较大的麻烦；同时数据的存储几乎不可能所以内网监控功能全部失去了，这样就限制了很多功能，只能用来做一些上网控制而内网控制就不能实现了；另外所谓的硬件解决方法，其实就是安装好软件的一个电脑而已；

五、局域网网络监控软件用例

2、用例:安企神系统（http://www.wgj7.com/）安装部署简单方法：

1、打开安企神的正式版安装光盘，双击光盘里面的安企神系统主程序：Netsene

2、不需要做任何特殊设置，一直点击“下一步”直到安装完成，部署完成。

3、开始――>程序――>安企神，较早次启动安企神系统，你需要点击下一步建立网段。要注意，在网卡设置那里，要选择本机的内网网卡，然后点下一步，网段创建完成。

4、选中刚才创建的网段，然后点“开始监控”，就进入了安企神系统的控制界面。

5、在“网络控制台”点击“启动网络控制服务”。

6、在左侧“控制策略设置”那里，新建策略，设置各种控制规则，然后点“指派策略”设置，按照界面提示，将策略指派给欲控制的电脑。

7、在左侧“网络主机扫描”那里，点“全部控制”，然后点“应用控制设置”。所设置的策略就可以生效了。

8、通过安企神系统你可以控制局域网所有电脑的BT下载，qq、msn、skype等聊天行为，限制主机带宽流量和网页浏览以及进行IP和mac地址绑定，以及防止冲击波等局域网病毒，防止arp病毒等等

完成。

总结：我们现在可以得到一个结论，不同的产品差别其实就在引擎驱动的差别；但大部分使用者不会这么专业去了解原理性的技术细节；那么较好的方式就是实际真实的环境测试去比较；让厂家打开所有的功能和全部用户去实际环境测试一段时间，好的软件是不怕测试的，测试才是硬道理，就怕人家说正式版有这个功能，结果购买了还是没有这个功能那就只能怪自己了，测试才是硬道理；

六、结束语

本文提供局域网监控软件大致的实现技术介绍，给予关注局域网网络监控的人士部署时候策略参考；企业管理人应认识到网络监控的重要性以及自己可能正被监控的时代来临；另外光靠监控是不过的，因为毕竟有可能数据已经流失出去，所以网络监控的同时应对关键的部分数据做透明加密反复制，这样用的时候没有感觉因为全透明的，而一旦离开电脑就全加密的数据了；关于透明加密反复制软件就需要另外的文章来写了；希望本文对读者有所帮助启发；