史萊姆論壇 - 淺談網路監控軟體的佈署

　　關於安全和提高管理效率方面的考慮，網管員們紛紛用起了各種各樣的網路監控軟體。

可是試用過後，效果往往不能令人滿意，有一些網管軟體功能強大，但軟體佈署條件過於苛刻，最終不得不放棄。如果你也為佈署網路監控軟體苦惱過，相信本文會給你一些有益的啟示。

　　■ 網路監控軟體的分類

　　網路監控軟體數目雖多，不過根據其對客戶端機的控制方式，可粗略分為兩大類：

　　 1．連接控制類

　　其主要實現的功能是：根據預先設定的控制原則，在IP位址或MAC位址（網路卡物理位址）級別上控制某台機器與區域網路絡或外網的連接。例如，通過此類軟體可以設定網路卡MAC位址為00-01-01-00-97-A0的被監控機器只能在每天下午4:00∼5:30這個時段，用192.168.1.88這個IP位址連線到網路。

任一條件不滿足，安裝監控軟體的機器將會採取特定的措施（常用ARP欺騙的技術）斷掉被控機的網路連接，從而達到網路監控的目的。

　　此類軟體的佈署比較簡單，無論是集線器或交換機連接的網路，只要在本網內選任一台電腦安裝，即可實現監控功能。

　　代表軟體：

　　網路執法官 V 2.67（下載位址：http://www.netsofter.com/download.htm）

　　網路剪刀手 V 1.51（下載位址：http://www.skycn.com/soft/7018.html）

　　 2．內容控制類

　　其主要實現的功能是：一，限制不同機器不同的網路訪問權限（這有點像某些代理軟體擁有的功能，如WinRoute）；二，記錄機器網路通訊的具體內容，如可以記錄A機器所有外發郵件的內容（郵件正文、郵件附件）等。

　　此類軟體的佈署較為複雜，針對不同的網路結構，佈署方式不盡相同，不過此類軟體所能實現的功能卻是我們網管員夢寐以求的。由於需要對網內機器的網路通訊具體內容進行分類控制，所以此類軟體的工作方式一般為：

　　（1）抓取網路內所有被控機器的通訊資料包

　　（2）分析資料包的具體內容

　　（3）套用控制原則，記錄通訊內容

　　而這三步之中，能夠抓取被控機器的通訊資料包是軟體功能能夠實現的前提條件，這就與我們的佈署有很大關係。佈署不當，軟體無法獲取被控機器的資料包，其功能也就無法實現。
　代表軟體：

　　網路崗第四代（下載位址：http://www.softxp.net/main.htm）

　　Web防護盾 V 1.03（下載位址：http://www.skycn.com/soft/11506.html）

　　■內容控制類網管軟體佈署方法

　　由於連接控制類網管軟體的佈署十分簡單，我們無需多加討論。下面，我們就一起來看看內容控制類網管軟體的佈署。

　　在佈署之前，我們需要簡單瞭解一下集線器與交換機的工作方式。

　　對於使用集線器連接的網路而言，如果A機器需要與其他機器進行網路通信，A發出的資料包會被同時複製到集線器的所有其他連接阜上。

換而言之，用集線器連接的網路，網內任何一台機器都能夠「聽到」其他機器的通信，當然也能夠將這些通信包抓取下來。這正是內容控制類網管軟體功能實現的前提。所以，在集線器網路中，任何一台電腦上均可佈署此類網管軟體，而且功能都能正常實現。

但是，關於集線器的網路現在已不多見，只出現在一些早期建成的區域網路中。

　　交換機與集線器最大的不同是通信資料包不再複製到其他所有連接阜，而是「精確」地發往目標機器所在的那個連接阜，所以，其他機器就無法「聽到」這種目的性較強的通信，當然也就無法實現資料包的抓取了。

要想在關於交換機的網路中佈署此類網管軟體，必須在網路的「關口」處設崗。

所謂「關口」getway，即指所有機器的通信都會流經的連接阜。具體情況如下：

　　1. 如果是通過代理伺服器上網，只要在代理伺服器上佈署即可實現監控。

　　2. 如果區域網路的網關是電腦，可在此網關電腦上佈署。

　　3. 如果網路的網關不是電腦，而是路由器的話，則較為複雜。

軟體開發商一般會建議在交換機和路由器之間加裝一個集線器，將網管機接在集線器上，從而實現監控。

　　4. 交換機連接阜映射。

此方法只適合於部分可網管交換機，可通過對交換機的配置，將所有連接阜的資料通信映射到某一連接阜，並在與此連接阜相連的電腦上安裝網管軟體進行監控。

--------------------------------------------------------------------------------