您所在位置:主题:企业局域网网络监控软件部署实践
unixlinux
[专家分:0] 发布于 2007-03-12 12:46:00
宽带网络目前已经相当普及,网络在企业里的地位越来越重要;单纯确保网络通讯的正常已经远远不够了;企业网络中流动的数据很多是机密的,比如财务报表、进货价格、成交定单、用户需求、人事资料、合同文件、设计资料等等;同时又很多员工在上班时间不自觉地非法使用网络的行为,比如整天大规模下载电影、在线看电视、网络游戏、闲谈聊天等等;因此中小企业里的网管人员或大企业里的CIO都面临网络的监控问题:对内容的监视保密以及对行为的控制管理;
本文用一个典型的实施案例来说明如何在企业里实施网络监控,并点评实际的运用拓展,帮助企业管理人员了解原理、部署、管理网络;
一、基本原理
1、工作模式
(1)旁路模式
大致的原理是:比如A(比如老张)和B(比如GOOGLE网站)两个电脑通讯,企业里另一个电脑C(比如网管)在监听,因此A和B的对话过程C就可以监视到;而如果C不愿意A和B通讯,于是就向网络总线上发一个阻断过程,这样把A和B的通讯禁止;这个前提是C可以拿到A和B通讯的MAC层数据包;
目前主要是两种方式实现旁路模式:
A:采用公开免费接口WINPCAP协议层驱动;
需通过HUB或交换机镜像获得MAC层总线数据流;采用该方法主要缺陷如下:
[1] HUB是10M的,一旦旁路网络将速度被严重限制;已经淘汰产品;
[2]如果采用镜像交换机,需要额外投资,同时低端镜像交换机在阻断UDP时候很可能经常性阻塞可能;
[3]由于WINPCAP本身设计的天生弱点,所以在流量限制方面无法实现、阻断UDP也将导致网络中断、无法支持千M网络和无线网络、性能也必然很低;
[4]无法实现NAT等更多的扩展功能,由于在协议层运行会被火墙禁止;
B:采用操作系统核心NDIS中间层驱动模式
该模式由于在NDIS层位置驱动,因此性能效率将非常高,更多功能也将成为可能;安装也非常简单;可以在普通交换机模式下任何一个电脑安装,不需要HUB不需要镜像交换机;能够克服WINPCAP所有的弱点,因此成为主流技术;但实现起来很大难度需要很强的开发实力;
(2)网关模式
由于旁路模式是在边上监听,因此在规模庞大的网络是不推荐的;网关模式将更强大有效,特别是在阻断BT等P2P应用、流量限制、UDP应用(比如QQ)将更加有效;这些应用都是实时性非常强,而且都是动态变换的,因此建议网关模式;
2、用户模式
主要有基于IP策略的和基于MAC策略的两种用户模式;简单说就是以IP地址划分用户还是以MAC地址划分用户;大部分默认都是MAC地址;在网关模式下是可以直接绑定IP和MAC的对应关系;因此用户可根据环境而选择用户模式,一般来说采用默认的基于MAC策略就可以了;
3、应用模式
企业里涉及到两部分的网络管理,一部分是监视上INTERNET的行为和内容,也就是大家说的上网监控或外网监控;另一部分就是如果这个电脑不上INTERNET但又在内部局域网上(比如打印个文件什么的),一般被大家叫成内网监控或本网监控;上网监控管理的是上网的内容监视和上网行为监视(比如发了什么邮件,是否限制流量,是否允许QQ,或监视用户页面浏览);而内网监视管理的是本地网络的活动过程(比如有没有COPY东西到U盘、是否在玩单机游戏、使用电脑做了什么等等);
二、案例部署
本例使用ANYVIEW(网络警)V4 专业版;官方功能说明[url]http://www.amoisoft.com[/url];
华军软件园下载:[url]http://www.newhua.com/soft/22636.htm[/url]
1、安装包描述
[img]http://www.amoisoft.com/1.jpg[/img]
2、安装过程
(1)首先安装:“ANYVIEW(网络警)4.exe”;
默认方式一直按下一步就可以了;如果你是XP/2003,会出现如“徽标数字验证”确认,请选择“仍然继续”,否则无法使用(现象是没有网卡并无法按启动):
[img]http://www.amoisoft.com/4.gif[/img]
(2)设置工作模式:
旁路模式是最简单方便的工作模式,但超过150个电脑环境用户推荐使用网关模式;
(A) 首先进入控制台--》选项—》工作模式--》旁路模式;
(B) 只要输入网关默认IP地址(注意不是本机地址,而一般应该是路由器IP地址),可以如下方式查看默认网关IP地址:开始—》运行—》CMD—》ipconfig然后回车;
[img]http://www.amoisoft.com/5.gif[/img]
以上例子Default Gateway:192.168.1.1就是默认网关IP地址,然后回到控制台:
[1]输入该默认网关IP地址,本例子为:192.168.1.1
[2]点“通过IP获得MAC地址”,确定;
[3]进入“用户”,选择你需要用来测试的5个用户,确定后,就可以开始监控了;
(3)INTRAVIEW内网监控部分
如果你需要桌面屏幕监视和录象、打印监视、文件监视、硬件监视和禁止、软件资源监视和禁止、窗口和消息监视、YAHOO通/贸易通/新浪UC/E话通/ICQ/AOL/SKYPE/专业加密版MSN/GOOGLE TALK/淘宝旺旺/TM/QQ聊天记录监控等功能;那么你需要继续安装“Intraview工作站.exe”这个文件到被监视机,否则你不用安装;
安装本文件的时候要求输入一个IP地址:请输入ANYVIEW(网络警)4.exe引擎程序所在的那个电脑的IP; 该程序可在控制台远程卸载;
三、管理实践
基本的操作可以看帮助文件或找他们官方支持,运行起来样子如下:
[img]http://www.amoisoft.com/6.jpg[/img]
以下说明几个简单的功能拓展,提供大家参考;
1、灵活运用网页限制功能;
使用网页限制禁止指定下载:控制台—》控制—》网页限制—》禁止浏览以下站点;
[img]http://www.amoisoft.com/2.jpg[/img]
以上含义是包含以上字符串的URL地址访问将被拒绝
mail -->禁止WEMAIL
torrent -->禁止BT种子下载
.rar -->禁止下载压缩文件
更多变通,设置方法其他类似
2、使用网页监视得到文件播放的隐含连接;
比如:一个电影站,你只能在线看,可是你无法下载,因为你不知道实际的视频文件连接的是什么,这个时候你用网页监视将会得到对应的URL,这样就可以下载了;FLASH下载同样道理;
3、使用“禁止所有上网行为”功能,限制非法电脑访问;
首先把DEFAULT分组里的所有用户拉到其他分组,让DEFAULT组为空,然后进入设置:
控制—》常规限制—》禁止所有上网行为;左边选择:DEFAULT分组,右边选择“禁止所有上网行为”,这样其他地方来的电脑搬到公司将自动被禁止掉访问网络的权利,以达到安全效果;
[img]http://www.amoisoft.com/3.jpg[/img]
4、使用INTRAVIEW监视QQ聊天记录和MSN SHELL(加密版)等15类聊天工具的聊天记录;
大家知道QQ是动态加密的,MSN SHELL也是加密的,但通过INTRAVIEW可以轻易解析这些聊天记录;在被监视电脑上安装INTRAVIEW工作站.exe,输入安装引擎程序电脑的IP;用户—》INTRAVIEW用户—》选择那些带菜色显示器标志的被监视电脑;控制台下点“聊天内容监控”;这些程序是防止删除、隐藏进程、隐藏文件、穿越火墙的,但可以在控制台里远程卸载;
四、尾述
企业网络管理一般主要集中在以下几个部分:
1、SNMP网络管理:包含连通性检验、丢包分析、流量分析、VLAN划分、组网模式等
2、网络监控管理:主要是内容监视和行为限制等;
3、网络安全管理:主要是火墙、防止病毒、数据备份等
4、业务系统管理:主要是建设和维护业务系统或企业管理系统,比如ERP系统;
5、设备系统管理:主要是建设、设置、维护网络设备;
因此,网络管理需要做的事情很多而不仅仅是可以让企业上网这么简单;现在由于企业越来越依赖网络系统,因此网络监控系统越来越被重视;像刚才的案例可以知道,因为任意一个电脑都可以安装测试,因此如果不注意,很可能员工反过来监视了管理层,这是值得特别注意的;对于员工来说,在企业里要注意合法合理使用电脑,对于企业管理者应该高度重视网络泄密问题以及员工管理手段的加强;
本文用一个典型的实施案例来说明如何在企业里实施网络监控,并点评实际的运用拓展,帮助企业管理人员了解原理、部署、管理网络;
一、基本原理
1、工作模式
(1)旁路模式
大致的原理是:比如A(比如老张)和B(比如GOOGLE网站)两个电脑通讯,企业里另一个电脑C(比如网管)在监听,因此A和B的对话过程C就可以监视到;而如果C不愿意A和B通讯,于是就向网络总线上发一个阻断过程,这样把A和B的通讯禁止;这个前提是C可以拿到A和B通讯的MAC层数据包;
目前主要是两种方式实现旁路模式:
A:采用公开免费接口WINPCAP协议层驱动;
需通过HUB或交换机镜像获得MAC层总线数据流;采用该方法主要缺陷如下:
[1] HUB是10M的,一旦旁路网络将速度被严重限制;已经淘汰产品;
[2]如果采用镜像交换机,需要额外投资,同时低端镜像交换机在阻断UDP时候很可能经常性阻塞可能;
[3]由于WINPCAP本身设计的天生弱点,所以在流量限制方面无法实现、阻断UDP也将导致网络中断、无法支持千M网络和无线网络、性能也必然很低;
[4]无法实现NAT等更多的扩展功能,由于在协议层运行会被火墙禁止;
B:采用操作系统核心NDIS中间层驱动模式
该模式由于在NDIS层位置驱动,因此性能效率将非常高,更多功能也将成为可能;安装也非常简单;可以在普通交换机模式下任何一个电脑安装,不需要HUB不需要镜像交换机;能够克服WINPCAP所有的弱点,因此成为主流技术;但实现起来很大难度需要很强的开发实力;
(2)网关模式
由于旁路模式是在边上监听,因此在规模庞大的网络是不推荐的;网关模式将更强大有效,特别是在阻断BT等P2P应用、流量限制、UDP应用(比如QQ)将更加有效;这些应用都是实时性非常强,而且都是动态变换的,因此建议网关模式;
2、用户模式
主要有基于IP策略的和基于MAC策略的两种用户模式;简单说就是以IP地址划分用户还是以MAC地址划分用户;大部分默认都是MAC地址;在网关模式下是可以直接绑定IP和MAC的对应关系;因此用户可根据环境而选择用户模式,一般来说采用默认的基于MAC策略就可以了;
3、应用模式
企业里涉及到两部分的网络管理,一部分是监视上INTERNET的行为和内容,也就是大家说的上网监控或外网监控;另一部分就是如果这个电脑不上INTERNET但又在内部局域网上(比如打印个文件什么的),一般被大家叫成内网监控或本网监控;上网监控管理的是上网的内容监视和上网行为监视(比如发了什么邮件,是否限制流量,是否允许QQ,或监视用户页面浏览);而内网监视管理的是本地网络的活动过程(比如有没有COPY东西到U盘、是否在玩单机游戏、使用电脑做了什么等等);
二、案例部署
本例使用ANYVIEW(网络警)V4 专业版;官方功能说明[url]http://www.amoisoft.com[/url];
华军软件园下载:[url]http://www.newhua.com/soft/22636.htm[/url]
1、安装包描述
[img]http://www.amoisoft.com/1.jpg[/img]
2、安装过程
(1)首先安装:“ANYVIEW(网络警)4.exe”;
默认方式一直按下一步就可以了;如果你是XP/2003,会出现如“徽标数字验证”确认,请选择“仍然继续”,否则无法使用(现象是没有网卡并无法按启动):
[img]http://www.amoisoft.com/4.gif[/img]
(2)设置工作模式:
旁路模式是最简单方便的工作模式,但超过150个电脑环境用户推荐使用网关模式;
(A) 首先进入控制台--》选项—》工作模式--》旁路模式;
(B) 只要输入网关默认IP地址(注意不是本机地址,而一般应该是路由器IP地址),可以如下方式查看默认网关IP地址:开始—》运行—》CMD—》ipconfig然后回车;
[img]http://www.amoisoft.com/5.gif[/img]
以上例子Default Gateway:192.168.1.1就是默认网关IP地址,然后回到控制台:
[1]输入该默认网关IP地址,本例子为:192.168.1.1
[2]点“通过IP获得MAC地址”,确定;
[3]进入“用户”,选择你需要用来测试的5个用户,确定后,就可以开始监控了;
(3)INTRAVIEW内网监控部分
如果你需要桌面屏幕监视和录象、打印监视、文件监视、硬件监视和禁止、软件资源监视和禁止、窗口和消息监视、YAHOO通/贸易通/新浪UC/E话通/ICQ/AOL/SKYPE/专业加密版MSN/GOOGLE TALK/淘宝旺旺/TM/QQ聊天记录监控等功能;那么你需要继续安装“Intraview工作站.exe”这个文件到被监视机,否则你不用安装;
安装本文件的时候要求输入一个IP地址:请输入ANYVIEW(网络警)4.exe引擎程序所在的那个电脑的IP; 该程序可在控制台远程卸载;
三、管理实践
基本的操作可以看帮助文件或找他们官方支持,运行起来样子如下:
[img]http://www.amoisoft.com/6.jpg[/img]
以下说明几个简单的功能拓展,提供大家参考;
1、灵活运用网页限制功能;
使用网页限制禁止指定下载:控制台—》控制—》网页限制—》禁止浏览以下站点;
[img]http://www.amoisoft.com/2.jpg[/img]
以上含义是包含以上字符串的URL地址访问将被拒绝
mail -->禁止WEMAIL
torrent -->禁止BT种子下载
.rar -->禁止下载压缩文件
更多变通,设置方法其他类似
2、使用网页监视得到文件播放的隐含连接;
比如:一个电影站,你只能在线看,可是你无法下载,因为你不知道实际的视频文件连接的是什么,这个时候你用网页监视将会得到对应的URL,这样就可以下载了;FLASH下载同样道理;
3、使用“禁止所有上网行为”功能,限制非法电脑访问;
首先把DEFAULT分组里的所有用户拉到其他分组,让DEFAULT组为空,然后进入设置:
控制—》常规限制—》禁止所有上网行为;左边选择:DEFAULT分组,右边选择“禁止所有上网行为”,这样其他地方来的电脑搬到公司将自动被禁止掉访问网络的权利,以达到安全效果;
[img]http://www.amoisoft.com/3.jpg[/img]
4、使用INTRAVIEW监视QQ聊天记录和MSN SHELL(加密版)等15类聊天工具的聊天记录;
大家知道QQ是动态加密的,MSN SHELL也是加密的,但通过INTRAVIEW可以轻易解析这些聊天记录;在被监视电脑上安装INTRAVIEW工作站.exe,输入安装引擎程序电脑的IP;用户—》INTRAVIEW用户—》选择那些带菜色显示器标志的被监视电脑;控制台下点“聊天内容监控”;这些程序是防止删除、隐藏进程、隐藏文件、穿越火墙的,但可以在控制台里远程卸载;
四、尾述
企业网络管理一般主要集中在以下几个部分:
1、SNMP网络管理:包含连通性检验、丢包分析、流量分析、VLAN划分、组网模式等
2、网络监控管理:主要是内容监视和行为限制等;
3、网络安全管理:主要是火墙、防止病毒、数据备份等
4、业务系统管理:主要是建设和维护业务系统或企业管理系统,比如ERP系统;
5、设备系统管理:主要是建设、设置、维护网络设备;
因此,网络管理需要做的事情很多而不仅仅是可以让企业上网这么简单;现在由于企业越来越依赖网络系统,因此网络监控系统越来越被重视;像刚才的案例可以知道,因为任意一个电脑都可以安装测试,因此如果不注意,很可能员工反过来监视了管理层,这是值得特别注意的;对于员工来说,在企业里要注意合法合理使用电脑,对于企业管理者应该高度重视网络泄密问题以及员工管理手段的加强;