辉克's Blog

创造机会的人是勇者;等待机会的人是愚者

网络监控软件安装模式对比

一、外网监控与内网监控
企业网络管理涉及到两个部分。一部分是监视上Internet的行为和内容,也就是大家所谓的上网监控或外网监控;另一部分是如果这个电脑不上Internet但又在内部局域网上(比如打印文件),一般被大家叫成内网监控或者本网监控。外网监控管理的是上网的内容监视和上网的行为监视(比如发了什么邮件,是否限制流量,是否允许QQ,或监视用户页面浏览);而内网监视管理的是本地网络的活动过程(比如有没有COPY东西到U盘、是否在玩单机 游戏、使用电脑做了什么等等)。
拥有内网管理功能的网络管理软件有:Phantom桌面管理、三只眼、网路岗以及LaneCat网猫。内网管理的实现需要客户端支持。这几种软件都有专门的客户端软件提供。没有内网管理功能的:百络网警、activewall、聚生网管。
外网监控软件模式基本可以分为两类:有客户端的和没有客户端的(内网安全都需要客户端,上面没有客户端的都不能实现内网安全管理)。
二、没有客户端的外网监控
没有客户端的外网监控软件大概分为四种安装模式:旁路、旁听(共享式HUB、端口镜像)、网关、网桥。
1、旁路模式:
基本采用ARP欺骗方式虚拟网关,让其他计算机将数据发送到监控计算机。只能适合于小型的网络,网络环境中不能有限制旁路模式;路由或防火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功,因为你一边在禁止旁路一边却正在旁路,所以自相矛盾;若网内同时有多个旁路将会导致混乱而中断网络。此类软件较多,主要有聚生网管、P2P终结者、网络执法官等。
2、旁听模式:
通过共享式HUB、端口镜像方式来获取网络上的数据实现监控,通过抓取总线MAC层数据帧方式而获得监听数据,并利用网络通讯协议原理发送带RST标记的IP包封堵TCP连接以破坏TCP连接实现控制的方法;不能封堵UDP通讯包,而QQ、BT等很多软件会使用UDP协议。而且还需要额外购置网络设备,因为共享式HUB中每个端口基本都是10M的,因此在网络性能上将有很大限制,也意味丢包的危险,目前HUB几乎到了淘汰的命运,也不适合大型网络环境,因此是很大局限。
镜像交换机比较贵并且需要专业的配置,而目绝大多数企业并没有带镜像交换机,另外如果规模比较小的话,那么购买镜像交换机意味成本的提高。另外有些便宜的交换机虽然带镜像功能,但在镜像后由于双向(监视和控制)数据流处理不完善而导致交换机瞬间阻塞现象。很多的镜像交换机也是单向的,但相比老式的HUB模式来说,使用镜像交换机实现监听还是要理想一些。此类软件有超级嗅探狗、LaneCat网猫等。
3、网关模式:
网关模式是把本机作为其他电脑的网关(设置被监视电脑的默认网关指向本机),常用的是NAT存储转发的方式,简单说有点像路由器工作的方式,因此控制力极强。但由于存储转发的方式,性能多少有点损失,不过效率已经比较好了,但维护和安装比较麻烦,无法跨越VLAN和VPN。假如网关死了,全网就瘫痪了。此类软件有 ISA、anyrouter软网关等。
4、网桥模式:
双网卡做成透明桥,而桥是工作在第2层的,所以可以简单理解为桥为一条网线,因此性能是最好的几乎没有损失;适合超大用户量;该模式的缺点是额外开支,需要购买一台拥有足够网络处理能力服务器,而且还要连接在交换机和路由器之间的网络上。支持网桥模式的软件比较少,主要有Anyview网络警、网路岗、activewall等。
总结
金无足赤,人无完人。这个世上也没有十全十美的网络监控软件。如果想要实现对内网和外网的监控,推荐使用LaneCat网猫,因为它是唯一一款分内网监控和外网监控的软件。以上分析仅供参考,毕竟适宜的才是最好的。

发表回复