基于校园网安全和提高管理效率方面的考虑,网管员们纷纷用起了各种各样的网络监控软件。可是试用过后,效果往往不能令人满意,有一些网管软件功能强大,但软件部署条件过于苛刻,最终不得不放弃。如果你也为部署网络监控软件苦恼过,相信本文会给你一些有益的启示。
■ 网络监控软件的分类
网络监控软件数目虽多,不过根据其对客户机的控制方式,可粗略分为两大类:
1. 连接控制类
其主要实现的功能是:根据预先设定的控制策略,在IP地址或MAC地址(网卡物理地址)级别上控制某台机器与局域网络或外网的连接。例如,通过此类软件可以设定网卡MAC地址为00-01-01-00-97-A0的被监控机器只能在每天下午4:00~5:30这个时段,用192.168.1.88这个IP地址连接到网络。任一条件不满足,安装监控软件的机器将会采取特定的措施(常用ARP欺骗的技术)断掉被控机的网络连接,从而达到网络监控的目的。
此类软件的部署比较简单,无论是集线器或交换机连接的网络,只要在本网内选任一台计算机安装,即可实现监控功能。
代表软件:
网络执法官 V 2.67(下载地址
http://www.netsofter.com/download.htm)
网络剪刀手 V 1.51(下载地址http://www.skycn.com/soft/7018.html)
2. 内容控制类
其主要实现的功能是:一,限制不同机器不同的网络访问权限(这有点像某些代理软件拥有的功能,如WinRoute);二,记录机器网络通讯的具体内容,如可以记录A机器所有外发邮件的内容(邮件正文、邮件附件)等。
此类软件的部署较为复杂,针对不同的网络结构,部署方式不尽相同,不过此类软件所能实现的功能却是我们网管员梦寐以求的。由于需要对网内机器的网络通讯具体内容进行分类控制,所以此类软件的工作方式一般为:
(1)抓取网络内所有被控机器的通讯数据包
(2)分析数据包的具体内容
(3)应用控制策略,记录通讯内容
而这三步之中,能够抓取被控机器的通讯数据包是软件功能能够实现的前提条件,这就与我们的部署有很大关系。部署不当,软件无法获取被控机器的数据包,其功能也就无法实现。
代表软件:
网路岗第四代(下载地址http://www.softxp.net/main.htm)
Web防护盾 V 1.03(下载地址http://www.skycn.com/soft/11506.html)
■ 内容控制类网管软件部署方法
由于连接控制类网管软件的部署十分简单,我们无需多加讨论。下面,我们就一起来看看内容控制类网管软件的部署。
在部署之前,我们需要简单了解一下集线器与交换机的工作方式。
对于使用集线器连接的网络而言,如果A机器需要与其他机器进行网络通信,A发出的数据包会被同时复制到集线器的所有其他端口上。换而言之,用集线器连接的网络,网内任何一台机器都能够“听到”其他机器的通信,当然也能够将这些通信包抓取下来。这正是内容控制类网管软件功能实现的前提。所以,在集线器网络中,任何一台机器上均可部署此类网管软件,而且功能都能正常实现。但是,基于集线器的网络现在已不多见,只出现在一些早期建成的局域网中。
交换机与集线器最大的不同是通信数据包不再复制到其他所有端口,而是“精确”地发往目标机器所在的那个端口,所以,其他机器就无法“听到”这种目的性较强的通信,当然也就无法实现数据包的抓取了。要想在基于交换机的网络中部署此类网管软件,必须在网络的“关口”处设岗。所谓“关口”,即指所有机器的通信都会流经的端口。具体情况如下:
1. 如果是通过代理服务器上网,只要在代理服务器上部署即可实现监控。
2. 如果局域网的网关是计算机,可在此网关计算机上部署。
3. 如果网络的网关不是计算机,而是路由器的话,则较为复杂。软件开发商一般会建议在交换机和路由器之间加装一个集线器,将网管机接在集线器上,从而实现监控。
4. 交换机端口映射。此方法只适合于部分可网管交换机,可通过对交换机的配置,将所有端口的数据通信映射到某一端口,并在与此端口相连的机器上安装网管软件进行监控。
