局域网网络监控和透明文件加密全攻略

局域网网络监控透明文件加密全攻略

关键词:局域网,网络监控,全攻略,监控软件,监控原理,网络监控软件,上网行为管理,内网管理,透明文件加密,反复制,信息安全,流量监控,网桥模式,QQ聊天记录监控,驱动,WINPCAP缺点

 

第一章 什么叫局域网监控

1、什么叫局域网(简称为LAN):

为了完整地给出LAN定义,必须使用两种方式:一种是功能性定义,另一种是技术性定义

1)功能性定义:将LAN定义为一组台式计算机和其它设备,在物理地址上彼此相隔不远,以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连在一起的系统。这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN

2)技术性定义:它定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。

功能性和技术性定义之间的差别是很明显的,功能性定义强调的是外界行为和服务;技术性定义强调的则是构成LAN所需的物质基础和构成的方法。

2、局域网监控网络监控的有效范围:

就是定义在以监控点为基点半径没有跨越路由范围的LAN;通俗点说,就是以监控引擎电脑为中心出发没有穿过路由范围的局域网范围;这是因为局域网监控是需要捕获ISO模型中的第2层数据包(MAC层帧)以解析网络传输包协议以及确认监视对象为需求,而穿过路由后就无法捕获了;

因此我们能简单地理解INTERNET用户之间是不能互相监视的,不然大家就互相看来看去了;当然更通俗一些的解释,比如我们能做的只是监控自己本单位范围的电脑;

 

第二章 为什么需要网络监控

  计算机网络的普及应用已渗透到社会各个层面,给社会带来便利的同时也随之带来的安全和管理问题。互联网络是一把双刃剑;就如一个企业而言有些员工利用工作时间看新闻、玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲、浏览色情站点、甚至在公司网上边拿老板工资边找工作等等。不仅仅消耗公司资源,更是因为影响公司效率、泄露公司机密、甚至丢失客户资源令人痛心。而利用局域网网络监控软件这非常有效的管理辅助手段并和企业的内部管理机制结合达到更加事半功倍的效果,已经成为大家的共识。

一、为什么要使用局域网网络监控软件

很多单位很舍得对网络以及电脑设备的投入,但却不舍得对应用软件特别是安全软件投入是不恰当的,如果组建了性能出色的网络环境以及购买了现代化的办公设备,但却成了沉迷、浪费公司人力和财力;甚至是纵容员工上班时间做单位之外的事情就成了问题;反而降低了工作效率,甚至导致更大损失;因此网络监控非常必要; 目前很多单位请了网络管理人员还建设了网站;但是把设备是管好了,可设备带来的方便却降低了工作效率(都用网络干别的事情去了),网络带来的客户因为员工缺乏管理而可能直接成为了竞争对手的客户了;因此仅购买设备是不够的,仅仅建设网站也是不够的,只管理设备也还是不够的,还需要把员工使用网络的内容监视和并把网络行为管理起来;特别是外贸企业、技术含量较高的企业(如软件、工程类)、政府关键部门等等对员工的上网监督管理的意义尤为重要。

二、局域网网络监控软件主要目标:

  网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密,实现对网络电脑及网络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事、并能够记录网络往来的内容(比如外贸企业的定单过程),对电脑的各种端口和设备实施全面管理和控制,对用机、上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制;

 1)防止并追查重要资料、机密文件等外泄;

 2)监督、审查、限制、规范网络使用行为;

 3)限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为;

 4)备份重要网络资源文件(比如业务邮件);

 5)监视各种IM比如常用的QQ/MSN聊天记录内容和行为过程;

 6)流量限制以及网站访问统计,用于分析员工使用网络情况;

  。。。。。。

 

  小结:不同人、不同单位、不同时间会产生不同的需求,我们无法一概而论你的所有的需求,只能说提供一些决策建议参考,以及产品实际测试为条件下的决策比对;或许你并不想监控别人但问题是员工不这么遵守你的那些制度或纪律,或员工反过来监控你的邮件或上网;所以应充分理解中国人团队管理或群体管理的特点;美国人可能定个制度更有用一些,而中国人更需要的是人性的管理加上必要的工具;

 

第三章 局域网监控都监控什么?

局域网监控一般分为上网监控内网监控,特别提醒:应针对自己实际的环境和需求真实认真地测试,任何的好产品或好软件都不会怕你真实测试比较的;因此测试是最关键;

一、上网监控

针对局域网内电脑上互联网,监视内容和上网行为过程并可控制访问过程等;一般应包含以下功能:

通过局域网内任何一台计算机监视、记录、控制其他计算机的上网行为;自动拦截、管理、备份局域网内所有电脑收发E-mailWebmail发送监视、浏览的网页、聊天行为、游戏行为、流量监视和流量限制、MSN聊天内容监控、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、BT下载禁止以及FTP上下传输内容的软件;用于全程监视和控制管理网络内所有用户上外网过程。能够探测、拦截、收集、禁止和管理整个上网资源,规范网络有效合法使用。防止单位重要资料机密文件等的泄密;监督审查网络使用行为;备份重要网络资源文件;限制邮件、网站、聊天、游戏、股票、下载、流量以及自定义网络应用等行为,并可以做为软网关运行;不需要在被监视和管理电脑上安装任何软件,一机运行整网管理;可以在普通交换机下任何一台安装;不需要任何特别的安装设备或环境要求。不需要HUB(集线器)也不需要镜像交换机;(以下是应具备的基本功能模块,提供用户决策比较参考)

1、上网行为和内容监视:

包括:上网浏览监视、邮件收发监视、聊天行为监视、游戏行为监视、FTP监视、流量监视、自定义监视;WEBMAIL监视等;

1)能实时记录局域网内所有用户浏览过的网页(包括网页标题、网页内容、所属网站、网页大小等),并以网页快照形式供管理者查看;

2)能实时记录局域网内所有收发的邮件,同时检测并记录其所用的IP地址、收发时间、标题、收件人/发件人、附件、内容及邮件大小等信息;Webmail发送监视;应支持常用的各种WEBMAIL发送监视(比如:yahoo.com.cnyahoo.cn163.com126.comqq.comfoxmail.comhotmail.comsina.comsohu.comtom.com263yeah.netchina.comvip.sina.com2008.sina.comlive.cn 188.com 21cnsogou.comWEB邮箱发送监视);

3)能实时监控局域网用户对各类聊天工具使用情况,检查出在线用户所使用的聊天工具、上下线时间、MSN聊天记录内容等信息并保存;

4)能实时记录网内所有用户通过FTP协议上传下载的文件(服务地址以及内容);

5)能监视所有网络游戏行为,并可以自己定义需要监视的网络游戏;

6)能监视用户即时流量、历史流量和流量排行;并提供丰富报表和图示分析;

7)能通过增加控制规则的方法,自定义任何网络应用作为监视并控制;

8)能针对具体对象(比如一个电脑)或分组(比如部门)访问网站过程进行严格的访问记录统计;

2、通用、全系列、整网络、自定义、端口级的上网行为控制

包括:网站浏览控制、邮件收发控制、聊天行为控制、游戏行为控制、自定义行为控制、端口级控制;所有的控制都可针对3层对象(一个网络、一个分组、一个电脑);都可针对指定的时段;都可针对指定的协议TCP/UDP;可通用的自由定义;全系列端口级别管理;

1)可禁止浏览所有网站、只允许浏览指定网站(白名单)、禁止浏览指定网站(黑名单)

2)可禁止收发邮件、只允许收发指定邮局(白名单)、禁止收发指定邮局(黑名单)

3)可禁止所有的聊天行为(比如QQ/TMMSNICQYAHOO、新浪UCPOPOE话通/DoshowKDTAOL、贸易通等),并可以自行增加聊天行为控制列表;

4)可禁止所有的网络游戏(比如联众、中国游戏中心、QQ游戏等);并可自行增加网络游戏行为控制列表

5)可禁止下载行为或限制下载流量,比如BT软件、KUGOO等;

6)可通过模糊控制方法限制通过网站模式下载指定格式的文件(比如电影文件);

7)可采用网页限制模糊控制方法,禁止所有WEBMAIL收发;

8)可进行严格完美的UDP/TCP整个网络段的全系列端口级别的控制,并支持黑名单和白名单功能;阻断UDP应用将立即起效并无任何副作用;

3、上网内容过滤功能

包括:对不需要监视的对象、内容、行为进行过滤(忽略监视),可针对3种对象(整个网络、分组、电脑);

1)全部监视/不监视、或只监视部分应用;根据不同管理需要,可设置为某些对象监视、某些对象不监视(比如管理员和老板没有必要被监视),某些用户应用监视、某些应用不监视;由于网页监视很多广告垃圾而且比较消耗硬盘空间等资源,因此根据需要可过滤掉一些没有必要监视的网站(比如SINA的新闻);

2)网站过滤白名单和黑名单功能;可设置只监视具体的一些网站,也可以忽略监视某些网站;

4IPMAC绑定

包括:禁止MAC地址修改、禁止所有IP地址修改、禁止部分IP地址修改;有效防止非法用户访问网络资源;防止ARP攻击;

1)绑定IP地址后,被绑定的电脑将不允许修改IP地址,一旦修改将被禁止访问网络;

2)绑定MAC地址后,被绑定电脑将不允许修改MAC地址,也就禁止私下更换网卡或搬外部电脑来上网;

5、用户管理

包括:分组增加删除、用户名修改、监视对象设置、手工增加和自动扫描、支持NETBIOSARP两种模式对所有VLAN网段扫描;

1)自动搜索局域网内的电脑,并自动解析出机器名,默认以MAC地址区分用户;允许手工扫描和增加;

2)允许建立分组并允许刷新分组,方便管理以及权限控制;所有分组将按照目前管理员设置的分组而不会受被监视电脑变更修改而改变分组设置;

3)允许用户名修改,采用昵称方式方便识别和管理,分组权限移动后自然继承新分组权限;默认情况下用户是以MAC网卡地址为区分;可以根据管理之需要设置被监视的对象为哪些,也可以根据需要把相同权限的用户归在一个分组,更为方便的方式来设置管理权限;修改昵称后,无论对方修改为什么名字、什么IP地址,都能明确识别;

6、流量监视与限制

包括:针对具体的对象,能够详细准确监视其发生的流量;并能够限制其占据的流量带宽;用于限制恶性下载合理分配网络资源;

7BT类下载禁止

包括:采用ACL规则可实现完美的BT下载禁止,针对BT动态端口特点采用智能策略识别方法完美实现;

8、透明软网关模式

包含:监控机能够做为一个高性能的透明的软网关,给网内电脑共享上网;本身应提供了一个性能优异的透明软网关,用户能够通过引擎实现共享网络的目的,并结合网络监控软件本身强大的管理功能,实现限制、规范、监视和控制网络的目的;

9、平台、跨网段、多出口、多网卡、千兆、无线环境监控

包含:运行环境是WINDIWS,但被监控电脑可以是Unix Linux等任何其他操作系统;能够跨越无限多个VLANIP网段);支持多个不同的INTERNET出口和多个网卡;支持千M环境和无线网络环境中实施监控;

10、上网数据备份和配置管理

包含:允许定义数据保存或删除过时的数据;数据、配置和日志的查看、打印、备份恢复功能;简单容易的数据备份方式和海量存储模式;支持监视内容和配置文件的的海量模式备份、恢复;支持增量自动备份;

11、网络行为审计功能

包含:FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、协议包分析;

12、其他功能应具备的功能

1)采用C/S管理模式,支持分级权限管理。支持服务器和客户端程序分开,支持多客户连接,允许对不同控制台赋予不同的监控权限。如果是有固定外部IP并端口影射,应可以远程管理和查看;

2)不需要在被监视和管理电脑上安装任何软件,一机运行,整网管理;同一个局域网只需任意一台电脑安装一套网络监控软件,就可以监视和管理整个网络;

3)可以在普通交换机下任何一台安装,不需要任何特别的安装设备或环境要求。不需要HUB(集线器)不需要镜像交换机;不再需要老板或网管特权就可以安装使用;

4)正式版安装以后,同一网段内其他机器上的试用版不能正常运行,用于保护正式用户的权利;

5)采用连接密码管理禁止非法用户连接,采用控制台密码管理禁止非法用户查看;支持在线升级软件功能;

6)引擎作为系统服务运行在后台(如IIS一样),不需要登陆和用户干预上电就可监控;引擎程序在操作系统核心层运行,这样能够穿越网络火墙的限制,并采用容错技术和系统进程,因此才能非常稳健和性能卓越;并提供自动在线升级功能;

 

  小结:以上功能上网行为监控软件的基本要求,随着技术的提高应增加更多的功能更好的性能,但这些应是起码要具备的了;无论是国家的技术标准还是单位的功能需求都应包含以上这些功能了;提供给你选择产品时比较参考;

 

二、内网监控

针对局域网内电脑本身的内容监视和行为管理,开机到关机的整个过程监视,和是否上INTERNET不存在必然的联系,一般包含以上功能:

用于监视计算机开机后的所有操作情况,能够全程管理和控制内网电脑的全部过程;支持强大的远程桌面屏幕监视和录象、打印监视、文件操作监视、USB等硬件监视和禁止、ARP火墙、消息发布、日志报警、禁止聊天工具文件传输、软件资源监视和禁止、文件自动备份功能、窗口和消息监视、MSN/MSN shell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO/贸易通/google talk/淘宝旺旺/TM/QQ聊天记录监控等功能;需要在被监视电脑安装工作站软件;主要功能有:

1、实时操作日志  

1)实时详细地记录所有工作站的操作日志。包括工作站上窗口标题的变换、程序的启动关闭、浏览的网址、收发的邮件标题、创建删除文件等。

2)窗口标题变化时实时截图屏幕,并实时上传到服务器。

2、屏幕快照、屏幕追踪、屏幕回放 

1)屏幕快照抓取员工计算机当前的工作屏幕;

2)屏幕追踪能定时连续不断地追踪员工计算机的工作屏幕;屏幕截取的最短时间间隔为1秒;并能保存后回放

3)窗口切换,同时系统定时截取屏幕数据,可供日后查询取证。采用先进数据压缩技术存储屏幕图像数据。

3、应用程序使用记录、使用限制、使用统计

1)详细记录各个应用程序的开启关闭的时间,运行时间,活动时间等信息;

2)提供应用程序白名单和黑名单功能,方便地限制员工可以运行哪些程序,不能运行哪些程序;

3)以图表的方式列出一定时间内员工使用应用程序的分析报告,精确地反应出员工工作态度。

4、窗口变化记录

1)详细记录员工计算机窗口变化情况,真实反应出工作情况,支持程序窗口标题限制;

2)窗口变化时,自动记录屏幕数据,可以在屏幕回放时,清楚地了解员工对计算机的使用情况。

5、文件及目录操作记录

1)详细记录文件创建、重命名、删除的情况;(2)详细记录文件夹(目录)创建、重命名、删除等情况。

6、打印机操作记录

1)记录员工的打印机使用情况,包括打印的文档名、页数、打印时间等。

7、硬件使用限制

1)限制使用USB设备、USB存储设备、、光驱、软驱、打印机等硬件。支持移动磁盘、光盘刻录文件操作的监视;支持USB数码相机监视以及USB只读限制等;

2)减少计算机受外界病毒的侵入, 防止企业机密信息外泄。

8、软硬件清单资产管理、变化记录

1)远程列出员工计算机的软件和硬件清单;

2)可以方便企业的计算机软件和硬件资产管理;

3)可以方便企业了解员工计算机内安装软件的情况。

9QQ/MSN等常用IM聊天记录监视

  能够详细记录被监视电脑的YAHOO/贸易通/新浪UC/ICQ/AOL/E话通/SKYPE/MSN SHELL/GOOLE TALK/淘宝旺旺/TM/QQ聊天记录;能够导出、备份、保存、打印、查询;

10、报警提示功能(移动磁盘拔插、工作站电脑修改IPMAC等);

11Arp防火墙功能(可以在控制台设置客户机绑定指定的ARP信息);

12、消息发送(可以从控制台给工作站发送消息);

13、操作员审计(记录控制台操作员操作)

14、禁止聊天工具传输文件

15、工作站文件自动备份功能(自动备份工作站指定格式的文件到服务器)

 

  小结:以上功能是一个内网监控软件都应起码包含的基本功能,可提供用户决策比较参考,再此提示一定要实际环境全功能测试比较,测试才是最关键的;

 

  总结:以上描述了完整的网络监控软件应包含上网监视和控制+内网监视和控制,并提供了基本的决策参考比较时应包含的基本的功能模块分类;以实际环境实际测试为准;一个完整的网络监控产品和方案应包含内网监控和外网监控两个部分;

 

第四章 局域网监控原理

一、局域网抓包技术:

1UNIX系统提供了标准的API支持

  1Packet socket

  2BPF(主要的流行手段)

  ABSD抓包法

. BPF是一个核心态的组件,也是一个过滤器

.  Network Tap接收所有的数据包

.  Kernel Buffer,保存过滤器送过来的数据包

.  User buffer,用户态上的数据包缓冲区

  BLibpcap(一个抓包工具库)支持BPF

.  Libpcap是用户态的一个抓包工具

.  Libpcap几乎是系统无关的

  CBPF是一种比较理想的抓包方案

. 在核心态,所以效率比较高,.但是,只有少数OS支持(主要是一些BSD操作系统)

2Windows平台上通过驱动程序来获取数据包

  1)驱动程序

  模式一、在核心层驱动,和WINDOWS操作系统核心结合紧密,效率非常高性能最好;因为网络火墙都在网络上层运行(也就是说在火墙核心层驱动上面运行),因此核心层驱动将不受网络火墙干扰;

  模式二、在网络层驱动, 虽然自己写的驱动容易控制管理但性能根本无法与核心层驱动比较;并受防火墙限制和干扰;

  2WinPcap驱动标准接口(目前国产网络监控软件90%采用)

  WINPCAP是目前免费的接口程序,支持100M通讯;但缺点也是同样明显的,可控制性很差导致很多功能都无法实现,只能监听模式无法网关模式导致流量限制、BT限制、UDP阻断方面等等天生的弱点;另外由于WINPCAP版本互相不兼容可能导致无法监控,无法识别千兆网卡或无法读到网卡列表;只能同时监控单网卡等;

 

二、免费接口WINPCAP的缺点:

  网络监控软件目前市场上不少看花了眼,但其实90%产品是由于没有足够开发能力无法独立开发引擎驱动,这些低端产品都是采用国外免费的WINPCAP作为驱动程序,只是开发上层一些界面应用而已因此大同小异,他们共同的特点是必须要采用老式的10M共享式HUB或把交换机又变为HUB的镜像;这是由WINPCAP根本原理性缺陷决定的;所以原理上决定只能采用旁听模式也必然性能低下、功能缺乏;

WINPCAP驱动是工作在协议高层所以必须接受火墙的管理因此首先效率很低、性能提高也就成了奢望;网络监控最核心的关键部分就是引擎驱动部分,所有的应用、功能、性能、安装方式等等都取决于此;

  WINPCAP的主要缺陷如下:

  1)免费开放的国外代码,因此安全性欠缺;原理上是采用旁听模式,所以无法阻断UDP应用,无法流量限制,并容易数据丢包;阻断规则有可能引起网络中断或无效;

  2)原理上决定不适合超过100个电脑的网络环境,如采用老式共享式HUB速度限制在10M带宽损失严重;如采用交换机镜像是共享100M方式,由于一些交换机本身的缺陷,采用镜像后会导致交换机阻塞现象的可能,因此网络带宽会大约损失40%

  3)由于是免费接口只提供总线抓包功能,所以不支持集群环境也不支持任何内网监控功能;

  4)由于是高层协议借口同时未提供适合监控的加密压缩数据库;所以不支持即时大规模数据存储,不适合大用户网络;不包含千M、无线网;如需支持多VLANVPN应采用镜像技术,需额外投资支持双向镜像技术的交换机并正确设置和维护;

  5)由于提供的接口都是通用的有限代码,缺乏良好的可控性,所以很多功能无法实现;

 

小结:因此,通过以上分析我们知道了目前抓包的基本方法,以及市场上大部分产品因为没有足够能力开发引擎而只能采用免费的有很大缺陷的WINPCAP驱动接口来实现的事实;也明白了核心层驱动的优势,正因为如此卡巴7开始就采用了该技术了,以提供更好的功能性能;

 

三、上网监控部分4种常见工作模式:

  网络监控或网络管理类软件其实都是围绕以下4种方式运行:

1、网关模式:原理是把本机作为其他电脑的网关(设置被监视电脑的默认网关指向本机),分别可以作为单网卡方式和双网卡甚至多网卡方式,原始的PROXY模式目前基本淘汰了一般不再有人采用,目前常用的是NAT存储转发的方式;简单说有点像个路由器工作的方式;因此控制力极强,但由于存储转发的方式,性能多少有点损失;不过效率已经比较好了;缺陷是假如网关死了,全网就瘫痪了;

2网桥模式原理是双网卡做成透明桥,而桥是工作在第2层的,所以可以简单理解为桥为一条网线,因此性能是最好的几乎没有损失;WINPCAP本身并不支持该模式;该模式可以说是最理想的了,即使桥坏了,只要简单做个跳线就可以了,因为桥是透明的可以看成网线,即使桥坏了就可以理解为网线坏了换一条而已;支持多VLAN、无线、千MM、以及VPN、多出口等等几乎所有的网络情况,原因很简单,因为透明桥嘛等于理解为那是网线而已;

3、旁路模式:原理是使用ARP技术建立虚拟网关,只能适合于小型的网络,并环境中不能有限制旁路模式;路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功,因为你一边在禁止旁路一边却正在旁路,所以自相矛盾;同时如网内同时多个旁路将会导致混乱而中断网络;但只要条件该方式是最简单的部署以及最方便的安装设置;

4、旁听模式:原理是旁路监听,就如两个人电话边上有一个并机在听,因此效率就非常低了, 该模式需要采用共享式HUB或交换机镜像;可是如采用老式的共享式HUB将影响网络出口性能;如采用镜像模式,一方面需要投资支持双向的镜像交换机设备,另一方面需要专业的人设置镜像交换机,但有些交换机在阻断过程会导致交换机阻塞或降低网络性能;而根本的问题是很功能就失去了;旁听模式原理性缺陷导致UDP阻断无法完美实现,也会严重损失网络带宽,同时无法实现比如流量限制等很多功能;一般来说,至少损失40%以上的网络性能;而WINPCAP就是采用该模式工作的,正因为如此无论是性能功能就根本上决定了天生的缺陷;

 

小结:以上我们谈到了局域网监控常见的抓包技术,以及核心层驱动的优势和潮流,以及WINPCAP的原理性根本缺陷;同时我们也说明了4个网络工作模式原理,而我们也明白了网桥模式是最理想的方式;每个网络环境可以权衡自己合适的工作模式,比如5用户就没有必要弄太复杂了,而500个电脑的网络当然就应选择网桥模式了;最适合自己的就是最好的,再次强调:真实测试才是硬道理;

 

第五章 引擎驱动是核心根源

  我们刚才用了大量的篇幅来阐述驱动的原理,以及不同工作模式的原理和优势,之所谓这么罗嗦是因为引擎驱动是核心根源,说最通俗的话就是一个拖拉机的引擎无论如何包装都是无法变成宝马,而一只鸡蛋怎么也不会孵化出一只凤凰;非常清晰简单的道理;

  一、免费国外引擎驱动接口WINPCAP缺点:

  网络监控软件目前市场上不少看花了眼,但其实90%同类软件由于没有足够开发能力无法独立开发引擎驱动,这些低端软件都是采用国外免费的WINPCAP作为驱动程序,只是开发上层一些界面应用而已因此大同小异,他们共同的特点是必须要采用老式的10共享式HUB或把交换机又变为HUB的镜像;这是由WINPCAP根本原理性缺陷决定的;所以原理上决定只能采用旁听模式也必然性能低下、功能缺乏;WINPCAP驱动是工作在协议高层所以必须接受火墙的管理因此首先效率很低、性能提高也就成了奢望;网络监控最核心的关键部分就是引擎驱动部分,所有的应用、功能、性能、安装方式等等都取决于此;

  WINPCAP的主要缺陷如下:

  1)免费开放的国外代码,因此安全性欠缺;原理上是采用旁听模式,所以无法阻断UDP应用,无法流量限制,并容易数据丢包;阻断规则有可能引起网络中断或无效;

  2)原理上决定不适合超过100个电脑的网络环境,如采用老式共享式HUB速度限制在10M带宽损失严重;如采用交换机镜像是共享100M方式,由于一些交换机本身的缺陷,采用镜像后会导致交换机阻塞现象的可能,因此网络带宽会大约损失40%

  3)由于是免费接口只提供总线抓包功能,所以不支持集群环境也不支持任何内网监控功能;

  4)由于是高层协议借口同时未提供适合监控的加密压缩数据库;所以不支持即时大规模数据存储,不适合大用户网络;不包含千M、无线网;如需支持多VLANVPN应采用镜像技术,需额外投资支持双向镜像技术的交换机并正确设置和维护;

  5)由于提供的接口都是通用的有限代码,缺乏良好的可控性,所以很多功能无法实现;

  二、核心层引擎驱动接口优势:

  1)目前没有免费的公开的该类接口驱动程序,基本都是各个厂家单独开发,比如卡巴斯基的,比如ANYVIEW(网络警)的,比如ACTIVEALL的等等;而这些公司因为有足够的开发能力,所以才能做出这样的引擎驱动接口;而这些接口程序没有一个是需要HUB或镜像交换机也不会要求你安装什么WINPCAP(你可以在你的控制面版的“添加/删除程序“中检查是否被强制安装了);

  2)由于是完全自主开发引擎驱动,并工作在非常低层,因此一般都会包含上网监控和内网监控所有功能结构体系的引擎驱动;驱动工作在ISO2层下NDIS底层,直接和网卡硬件交往,C++代码编译后嵌入到WINDOWS核心驱动;

  3)由于自主开发并工作在超底层(在协议层之下),所以不接受火墙管理,提供更高的效率、性能、更多的功能支持;如和其他同类软件安装到同一个电脑其他软件将无法数据(因为核心层驱动工作在在更低层先捕获了);

  4)而由于工作在更低层,因此就需要采用定制压缩数据库,确保存储海量数据和RAID存储、即时数据、并加密确保数据安全;这样就更安全更快速的响应方式了;

  5)由于工作在核心层,所以克服了高层工作方式的WINPCAP所有缺点,支持UDP阻断、流量控制、支持集群环境、支持超过一万台的超级网络环境;支持无线、VPN、多VLAN、多网段、千M网络、多出口环境等;不需要HUB和镜像交换机等额外硬件;

 

  小结:我们明白了引擎驱动才是最核心的技术,也是真正的技术主流;谁也不想刚购买就被淘汰或去使用淘汰的技术,谁也不想由于引擎驱动的根本原因而很多功能都无法用;而WINPCAP是免费的那还花了很多的钱去购买本来就免费的东西;我们也了解了核心层驱动的好处以及对将来更新更多功能的期待;

 

第六章 上网行为监控实战部署

  本例以ANYVIEW(网络警)网络监控软件为实例:本章为ANYVIEW标准版部分;

  部署环境:500用户、多VLANVPN;(采用网桥模式)

1、  安装引擎前准备

1)下载软件:http://www.amoisoft.com/download.htm

2)查看安装包里包含的基本说明

3)准备一张网卡,一条网线,一个干净系统的电脑(考虑到电脑比较多,弄了个2G内存双核电脑、XP

2、  部署网桥

1)安装好新增加的网卡,然后电脑启动

2)本地连接打开,同时选择两个网卡,点鼠标右键->桥接

3)多出来一个微型桥,设置这个桥如下:

   属性->输入固定本桥IP地址,默认网关设置外部DNS(一句话让本机能上网)

3、  连机测试

按照如下方式把桥连接到实际网络:

路由或火墙à网桥电脑à3层核心交换机à其他交换机或电脑

 

正常情况下,整个网络应继续能访问网络,如不能上网检查网线是否接对,网桥是否正确;注意哦,这个时候和网络监控软件都还无关哦(因为都还没有安装嘛),应该你原来的所有的一切都一样(上面和下面都不需要多余的改动的)

4、  安装软件

如以上已经正常了,那就开始安装软件啦,这个大家都会,首先安装ANYVIEW(网络警)4.exe,选择最大的磁盘分区,然后就开始一直下一步了,所有提示选择允许总是允许就OK了;

 建议不要安装到C盘,一是因为监控软件数据很多的C盘可能不够,另外是维护的考虑,回头对纯系统做GHOST,维护就简单了;

5、  设置软件

1)进入控制台界面,设置工作模式为网桥模式

2)进入设置,你会看到有两个127.0.0.1的网卡(一个是外网卡,一个是内网卡),因为你做了桥接了,所以就只能显示给你127.0.0.1这样的地址了,这里选择其中一个(不是这个就是另外那个了),如设置正确,你就可以看到多个在线用户的流量和实时日志了;那么你回头要做的事情就是找厂家打开全用户测试了;

6、  实际测试

如以上都完成,那么你就可以开始设置规则测试了,ANYVIEW视图部分的所有的功能都将可以用了,以下讲内网监控:INTRAVIEW部分的部署;

  7、其他说明:

假如你安装的是卡巴7以上这样的核心驱动杀病毒软件,你需要重新启动一下引擎电脑才会看到流量的;另外WIN2000是不带网桥功能的其他都可;还有就是你要先做网桥才可以安装软件;还有就是因为本例是多VLAN环境,所以需要把用户模式设置为IP模式而不是默认的MAC模式哦(因为多VLAN3层交换机一个子接口的MAC对应了一堆的不同的IP哦)

第七章 内网行为监控实战部署

  本例以ANYVIEW(网络警)网络监控软件为实例:本章为INTRAVIEW标准版部分

  如以上已经完成,那么剩余的就很简单了,具体步骤如下:

1、  准备工作

1)准备软件:方法1把安装包里的工作站.exe复制U盘,等下到每个电脑运行一下;方法2就是建立一个共享目录,等下每个电脑可以访问到这个目录就可以安装了;

2)本机如运行了火墙(XP本身火墙不需要额外设置),那么你要设置你引擎本机的火墙,规则如下:允许11901-11905端口通讯,允许引擎的ARSERVER.exe等;

 

道理很简单,因为等下工作站要和引擎服务器通讯,不然工作站无法把数据送上来;

2、  记下你引擎本机桥的IP地址

因为你等下安装工作站的时候,需要输入这个IP地址,告诉工作站应把数据送到哪个哪个引擎服务器地址,你现在也明白了为什么刚才要设置引擎固定的IP地址了;

3、  开始部署工作站

现在开始安装工作站了,到每个电脑运行一下工作站.exe,输入引擎的IP地址,所有的提示选择允许、总是允许、同样规则执行、不再提示、增加到信任模块,就可以了

4、  运行测试

现在回到你的引擎服务管理电脑,你在控制台就可以自动看到屏幕、聊天记录、硬件资产管理等INTRAVIEW内网监控的功能了;其他功能测试不再展开说明;

 

第八章 软件方式和硬件方式的比较

  网络监控包含了两部分,一个是上网监控,一个是内网监控;无论是哪个方式,都需要大量的数据存储,而很多数据是实时;比如上网监控到的邮件,内网监控到桌面屏幕;而硬件怎么保存?(除非本身那就是一个普通的电脑+软件,那就太郁闷了);网络监控和应用是有关系的,比如QQ更新了,那我不刷新规则硬件就成废铁了;类似这些问题想清楚了,那么你就知道为什么路由或火墙这样的硬件公司自己不会去生产所谓网络监控硬件了;

  1、功能:软件可实现的功能相对硬件更灵活,更具体,更容易操作。

 众所周知,软件是由模块组成,这样在软件的功能上就赋予了其很大的可扩展空间。您可以选择自己需要的功能模块并以此进行商务商洽,花最少的钱以达到你期望的效果。 而硬件呢,它的功能是固定的,它在功能的扩展方面有其自身的局限性,在新的需求不断增加时,就很可能要通过设备的更换才能满足企业持续管理的需求。

  2、购买成本:这个不用多说,硬件的购买成本正常都比软件要高。更有甚者,有的监控硬件设备还要配套的周边硬件支持,花费就高了。这一点,软件的优势比较明显,一套软件,最多再加一张网卡、两条网线,就可以实现有效的监控管理了。 而事实上那就是人家卖了一台很贵的电脑给你了;

  3.维护:硬件不管从前期产品试用,还是后期产品保养,维护起来相对专业且维护成本也较高。这个大家都有实际体验,就好像您电脑的主板坏了,您就必须送到当地电子城去或相应售后维修点维修,可能您好几天都无法办公,严重打乱了您的工作计划。同理监控硬件设备一旦出现较大或无法确认的问题,维护人员也束手无策或者就根本不敢擅自维护,就必须要送厂家维修或通知厂家人员上门维修,这样成本又高(不论是服务费用还是运输费用),最重要的是耽误时间、影响工作。 软件就不存在这个问题。它可以无条件的前期试用,在购买后可以不断的升级,功能、稳定性都是越来越强大,越来越完善。而且目前大多数软件都有免费升级年限,即使超过免费升级年限,升级费用和硬件的维护费用比较起来,也是很低的。

  4、技术难度:硬件需要专门的管理人员去维护,去使用,但是软件的操作都是非常人性化的,不管您是网络管理人员,还是公司高层管理人员,可以说只要您会使用电脑,您就会操作我们的软件,上手容易,方便老板直接管理查看;

  5、稳定性:硬件购买初期有可能比软件稳定(这个也是感觉而已,具体情况有待验证),但是一款正规、已禁受市场考验的软件其本身也是非常稳定的。而且随着时间推移,因机器本身的损耗、硬件个体的差异,硬件的稳定性可能会受影响,而对比软件,随着技术瓶颈的突破,更彰显出勃勃生机。

  6、消费者心理:或许贵公司花了钱买硬件产品,可以感觉是一个实实在在摸得着看得见的东西,相比软件不是有形实体,所以不论软件报价多少,都会觉得贵。但反而言之,软件购买的除了软件本身,更重要的是配套的服务。从另一层面来看,ERP、财务管理软件的价格远比监控软件要高,但仍是众多企业趋之若鹜。原因就是这类软件满足了企业日常经营管理的需求。所以单纯地从有形、无形来比较软硬件并不合适,最重要的谁能满足您企业的监控管理的需求,谁能让您支出最少却最大地发挥它的管理、协同效应,推动企业发展。

  7、产品测试:你如要获得硬件测试是比较难的,而软件测试是比较容易的;等你花了几万去购买一个人家本来只要3000元的电脑;购买后发现却很多功能不能用,或过段时间就成废铁的时候,呵呵,就非常郁闷了;

 

小结:以上只是提供参考,是否对你有用全看自己的需求;还是那句话:测试是硬道理;

 

第九章 透明文件加密需求、功能以及部署

 1、为什么需要透明文件加密

  每个单位都有很重要的数据文件;比如对企业来说财务报表、用户名单、进货渠道、设计图纸、投标文件等等;那么这些资料你允许别人随意拿走吗?

如果你不想被拿走,你可能部署了比如网络监控等方式,但远远不够的,因为人是活的,既然你不想别人拿走,人家要拿的时候就千方百计的方式了;防不胜防;比如,压缩后发个邮件出去,修改名字后你也看不懂这个是什么再QQ传输出去;

那么你就应加密,比如采用压缩加密方式,或把文件夹加密,可是你会很快发现不现实也无什么用;比如压缩加密好了,你总是要打开的,要是你天天都要用的,你就烦了每天都加密解密;再比如假如你这个是设计的图纸,你的员工设计的,他手里还有一份呢,他抄走呢?再比如,一个大型的设计可能很多人需要参加,那你加密别人就无法参与了,可你解密后别人立即抄走了;也就是说你打开他们就抄走了,你不打开别人就无法工作了;这个时候,你就需要透明文件加密了;

2、什么叫透明文件加密

  透明文件加密区别于常见的文件密码加密方式;对你想加密的机密文件进行保护时,系统在不改变用户原有工作流程和文件使用习惯的前提下,对需要保护的进程生成的所有文件(无论该文件原来是明文还是密文)进行强制加密保护。简单说:就是对你需要加密的文件自动加密又不改变原来的操作习惯,而能看的人又无法抄走(即使非法复制出去都是乱码的无法看的加密格式的文件);这样,你的员工可以像往常一样工作和参与,但却无法抄走(无论是网络方式、U盘方式、或改名转存方式等等);除非获得授权;

3、透明加密的基本功能
(1)强制、自动、透明加密电子文档,防止第一作者泄密; 设置文档阅读权限,防止越权读取;
(2)自动备份加密文档,防止恶意删除; 全程记录文件操作行为;
(3)有效控制传输途径:设备限制(USB存储设备、光驱/软件只读或禁用,打印机禁用);禁止截屏、拖拽;禁止内容复制; 三重密钥管理,安全可靠; 灵活离线策略,在方便员工短期外出、在家办公或长期出差的同时,仍防泄密;在线解密申请,授权高管解密后方可文件外发;

4透明文件加密软件的部署

  一般安装都很简单,在管理端安装一个引擎驱动,用于管理以及建立密钥等;被加密电脑安装工作站,然后就开始根据你管理端设置的规则自动加密了;剩余的只是对管理过程(比如授权、加密规则等)

 

小结:以上我们探讨了信息安全的重要性,透明加密的适用情况,透明加密的基本功能,以及简单的通常部署说明;详细的原理比较复杂无法简单说明,如有兴趣可参考更多的技术性文件了解;

第十章 尾记

我们完整地了解了局域网网络监控的需求、原理、模式、部署、实例;分解为上网监控和内网监控两个部分,涵盖了目前几乎所有的网络监控功能应用,强调并解释了为什么引擎驱动是最关键核心的技术;以及提出了一些给决策比较的参考;同时陈述了为什么需要网络监控软件和透明加密软件,无论是网络管理人员、企业管理人员、都应关心网络安全和信息安全,而远不是控制个流量或组建个网络这么简单;首先应让网络工作运行正常(组网)、然后管理起网络的行为过程(监控),在让业务系统为经营管理服务(应用),最后一定让你的数据安全(加密);

你可能感兴趣的:(局域网网络监控和透明文件加密全攻略)