《局域网网络监控原理与实现方法》由会员分享,可在线阅读,更多相关《局域网网络监控原理与实现方法(7页珍藏版)》请在金锄头文库上搜索。
1、局域网网络监控原理与实现方法局域网网络监控原理与实现方法2013/12/11关键词:局域网,网络监控,全攻略,监控软件,监控原理,网络监控软件,上网行为管理,内网管 理,透明文件加密,反复制,信息安全,流量监控,网桥模式,QQ 聊天记录监控,驱动,WINPCAP 缺 点第一章第一章 什么叫局域网监控什么叫局域网监控 1、什么叫局域网(简称为 LAN): 为了完整地给出 LAN 定义,必须使用两种方式:一种是功能性定义,另一种是技术性定义 (1)功能性定义:将 LAN 定义为一组台式计算机和其它设备,在物理地址上彼此相隔不远, 以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连
2、在一起的系 统。这种定义适用于办公环境下的 LAN、工厂和研究机构中使用的 LAN。 (2)技术性定义:它定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配 器(亦称为网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。 功能性和技术性定义之间的差别是很明显的,功能性定义强调的是外界行为和服务;技术性 定义强调的则是构成 LAN 所需的物质基础和构成的方法。 2、局域网监控网络监控的有效范围: 就是定义在以监控点为基点半径没有跨越路由范围的 LAN;通俗点说,就是以监控引擎电 脑为中心出发没有穿过路由范围的局域网范围;这是因为局域网监控是需要捕获 ISO 模型 中的第 2 层
3、数据包(MAC 层帧)以解析网络传输包协议以及确认监视对象为需求,而穿过 路由后就无法捕获了; 因此我们能简单地理解 INTERNET 用户之间是不能互相监视的,不然大家就互相看来看去 了;当然更通俗一些的解释,比如我们能做的只是监控自己本单位范围的电脑;第二章第二章 为什么需要网络监控为什么需要网络监控 计算机网络的普及应用已渗透到社会各个层面,给社会带来便利的同时也随之带来的安全 和管理问题。互联网络是一把双刃剑;就如一个企业而言有些员工利用工作时间看新闻、 玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲、浏览色情站点、甚至 在公司网上边拿老板工资边找工作等等。不仅仅消耗公司资
4、源,更是因为影响公司效率、 泄露公司机密、甚至丢失客户资源令人痛心。而利用局域网网络监控软件这非常有效的管 理辅助手段并和企业的内部管理机制结合达到更加事半功倍的效果,已经成为大家的共识。一、为什么要使用局域网网络监控软件? 很多单位很舍得对网络以及电脑设备的投入,但却不舍得对应用软件特别是安全软件投入 是不恰当的,如果组建了性能出色的网络环境以及购买了现代化的办公设备,但却成了沉 迷、浪费公司人力和财力;甚至是纵容员工上班时间做单位之外的事情就成了问题;反而降 低了工作效率,甚至导致更大损失;因此网络监控非常必要; 目前很多单位请了网络管理 人员还建设了网站;但是把设备是管好了,可设备带来的
5、方便却降低了工作效率(都用网 络干别的事情去了) ,网络带来的客户因为员工缺乏管理而可能直接成为了竞争对手的客户 了;因此仅购买设备是不够的,仅仅建设网站也是不够的,只管理设备也还是不够的,还 需要把员工使用网络的内容监视和并把网络行为管理起来;特别是外贸企业、技术含量较 高的企业(如软件、工程类) 、政府关键部门等等对员工的上网监督管理的意义尤为重要。二、局域网网络监控软件主要目标: 网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密,实现对网络电脑及网 络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网 络做不应该做的事、并能够记录网络往来的内容(比如外
6、贸企业的定单过程) ,对电脑的各 种端口和设备实施全面管理和控制,对用机、上网、收发邮件、网上聊天和电脑游戏进行 严格管理与控制; (1)防止并追查重要资料、机密文件等外泄; (2)监督、审查、限制、规范网络使用行为; (3)限制消耗资源的聊天、游戏、外发资料、BT 恶性下载和股票等行为; (4)备份重要网络资源文件(比如业务邮件) ; (5)监视各种 IM 比如常用的 QQ/MSN 聊天记录内容和行为过程; (6)流量限制以及网站访问统计,用于分析员工使用网络情况; 。 。 。 。 。 。小结:不同人、不同单位、不同时间会产生不同的需求,我们无法一概而论你的所有的需 求,只能说提供一些决策建
7、议参考,以及产品实际测试为条件下的决策比对;或许你并不 想监控别人但问题是员工不这么遵守你的那些制度或纪律,或员工反过来监控你的邮件或 上网;所以应充分理解中国人团队管理或群体管理的特点;美国人可能定个制度更有用一 些,而中国人更需要的是人性的管理加上必要的工具;第三章第三章 局域网监控都监控什么?局域网监控都监控什么? 局域网监控一般分为上网监控和内网监控,特别提醒:应针对自己实际的环境和需求真实 认真地测试,任何的好产品或好软件都不会怕你真实测试比较的;因此测试是最关键; 一、上网监控: 针对局域网内电脑上互联网,监视内容和上网行为过程并可控制访问过程等;一般应包含 以下功能: 通过局域网
8、内任何一台计算机监视、记录、控制其他计算机的上网行为;自动拦截、管理、 备份局域网内所有电脑收发 E-mail、Webmail 发送监视、浏览的网页、聊天行为、游戏行 为、流量监视和流量限制、MSN 聊天内容监控、FTP 命令监视、TELNET 命令监视、网络 行为审计、操作员审计、BT 下载禁止以及 FTP 上下传输内容的软件;用于全程监视和控 制管理网络内所有用户上外网过程。能够探测、拦截、收集、禁止和管理整个上网资源, 规范网络有效合法使用。防止单位重要资料机密文件等的泄密;监督审查网络使用行为; 备份重要网络资源文件;限制邮件、网站、聊天、游戏、股票、下载、流量以及自定义网 络应用等行
9、为,并可以做为软网关运行;不需要在被监视和管理电脑上安装任何软件,一 机运行整网管理;可以在普通交换机下任何一台安装;不需要任何特别的安装设备或环境 要求。不需要 HUB(集线器)也不需要镜像交换机;(以下是应具备的基本功能模块,提 供用户决策比较参考) 1、上网行为和内容监视: 包括:上网浏览监视、邮件收发监视、聊天行为监视、游戏行为监视、FTP 监视、流量监 视、自定义监视;WEBMAIL 监视等; (1)能实时记录局域网内所有用户浏览过的网页(包括网页标题、网页内容、所属网站、 网页大小等) ,并以网页快照形式供管理者查看; (2)能实时记录局域网内所有收发的邮件,同时检测并记录其所用的
10、 IP 地址、收发时间、 标题、收件人/发件人、附件、内容及邮件大小等信息;Webmail 发送监视;应支持常用的各种 WEBMAIL 发送监视(比如: 、、、、、、、sina.co m、、、263、、、、、 、 、21cn、 的 WEB 邮箱发送监视) ; (3)能实时监控局域网用户对各类聊天工具使用情况,检查出在线用户所使用的聊天工具、 上下线时间、MSN 聊天记录内容等信息并保存; (4)能实时记录网内所有用户通过 FTP 协议上传下载的文件(服务地址以及内容) ; (5)能监视所有网络游戏行为,并可以自己定义需要监视的网络游戏; (6)能监视用户即时流量、历史流量和流量排行;并提供丰富
11、报表和图示分析; (7)能通过增加控制规则的方法,自定义任何网络应用作为监视并控制; (8)能针对具体对象(比如一个电脑)或分组(比如部门)访问网站过程进行严格的访问 记录统计; 2、通用、全系列、整网络、自定义、端口级的上网行为控制 包括:网站浏览控制、邮件收发控制、聊天行为控制、游戏行为控制、自定义行为控制、 端口级控制;所有的控制都可针对 3 层对象(一个网络、一个分组、一个电脑) ;都可针对 指定的时段;都可针对指定的协议 TCP/UDP;可通用的自由定义;全系列端口级别管理; (1)可禁止浏览所有网站、只允许浏览指定网站(白名单) 、禁止浏览指定网站(黑名单)(2)可禁止收发邮件、只
12、允许收发指定邮局(白名单) 、禁止收发指定邮局(黑名单) (3)可禁止所有的聊天行为(比如 QQ/TM、MSN、ICQ、YAHOO、新浪 UC、POPO、E 话通/Doshow、KDT、AOL、贸易通等) ,并可以自行增加聊天行为控制列表; (4)可禁止所有的网络游戏(比如联众、中国游戏中心、QQ 游戏等) ;并可自行增加网 络游戏行为控制列表 (5)可禁止下载行为或限制下载流量,比如 BT 软件、KUGOO 等; (6)可通过模糊控制方法限制通过网站模式下载指定格式的文件(比如电影文件) ; (7)可采用网页限制模糊控制方法,禁止所有 WEBMAIL 收发; (8)可进行严格完美的 UDP/
13、TCP 整个网络段的全系列端口级别的控制,并支持黑名单和 白名单功能;阻断 UDP 应用将立即起效并无任何副作用; 3、上网内容过滤功能 包括:对不需要监视的对象、内容、行为进行过滤(忽略监视) ,可针对 3 种对象(整个网 络、分组、电脑) ; (1)全部监视/不监视、或只监视部分应用;根据不同管理需要,可设置为某些对象监视、 某些对象不监视(比如管理员和老板没有必要被监视) ,某些用户应用监视、某些应用不监 视;由于网页监视很多广告垃圾而且比较消耗硬盘空间等资源,因此根据需要可过滤掉一 些没有必要监视的网站(比如 SINA 的新闻) ; (2)网站过滤白名单和黑名单功能;可设置只监视具体的
14、一些网站,也可以忽略监视某些 网站; 4、IP 和 MAC 绑定 包括:禁止 MAC 地址修改、禁止所有 IP 地址修改、禁止部分 IP 地址修改;有效防止非 法用户访问网络资源;防止 ARP 攻击; (1)绑定 IP 地址后,被绑定的电脑将不允许修改 IP 地址,一旦修改将被禁止访问网络; (2)绑定 MAC 地址后,被绑定电脑将不允许修改 MAC 地址,也就禁止私下更换网卡或 搬外部电脑来上网; 5、用户管理 包括:分组增加删除、用户名修改、监视对象设置、手工增加和自动扫描、支持 NETBIOS 和 ARP 两种模式对所有 VLAN 网段扫描; (1)自动搜索局域网内的电脑,并自动解析出机
15、器名,默认以 MAC 地址区分用户;允许 手工扫描和增加; (2)允许建立分组并允许刷新分组,方便管理以及权限控制;所有分组将按照目前管理员 设置的分组而不会受被监视电脑变更修改而改变分组设置; (3)允许用户名修改,采用昵称方式方便识别和管理,分组权限移动后自然继承新分组权 限;默认情况下用户是以 MAC 网卡地址为区分;可以根据管理之需要设置被监视的对象 为哪些,也可以根据需要把相同权限的用户归在一个分组,更为方便的方式来设置管理权 限;修改昵称后,无论对方修改为什么名字、什么 IP 地址,都能明确识别; 6、流量监视与限制 包括:针对具体的对象,能够详细准确监视其发生的流量;并能够限制其
16、占据的流量带宽; 用于限制恶性下载合理分配网络资源; 7、BT 类下载禁止 包括:采用 ACL 规则可实现完美的 BT 下载禁止,针对 BT 动态端口特点采用智能策略识 别方法完美实现; 8、透明软网关模式 包含:监控机能够做为一个高性能的透明的软网关,给网内电脑共享上网;本身应提供了 一个性能优异的透明软网关,用户能够通过引擎实现共享网络的目的,并结合网络监控软件 本身强大的管理功能,实现限制、规范、监视和控制网络的目的; 9、平台、跨网段、多出口、多网卡、千兆、无线环境监控 包含:运行环境是 WINDIWS,但被监控电脑可以是 Unix 、Linux 等任何其他操作系统; 能够跨越无限多个 VLAN(IP 网段) ;支持多个不同的 INTERNET 出口和多个网卡;支持 千 M 环境和
