您的位置:首頁 > 新聞 > 科技資訊 > 正文

局域網網絡監控軟件部署方案探討

日期:2008-01-17  來源:聚生科技
[字體: ]

計算機網絡的普及應用已滲透到社會各個層面,給社會帶來便利的同時也隨之帶來的安全和管理問題。互聯網絡是一把雙刃劍;就如一個企業而言有些員工利用工作時間看新聞、玩游戲、干私活、聊天、泄密公司資料、炒股票、下電影、聽歌曲、瀏覽色情站點、甚至在公司網上邊拿老板工資邊找工作等等。不僅僅消耗公司資源,更是因為影響公司效率、泄露公司機密、甚至丟失客戶資源令人痛心。而利用局域網網絡監控軟件這非常有效的管理輔助手段并和企業的內部管理機制結合達到更加事半功倍的效果,已經成為大家的共識。
 
一、為什么要使用局域網網絡監控軟件?

很多單位很舍得對網絡以及電腦設備的投入,但卻不舍得對應用軟件特別是安全軟件投入是不恰當的,如果組建了性能出色的網絡環境以及購買了現代化的辦公設備,但卻成了沉迷、浪費公司人力和財力;甚至是縱容員工上班時間做單位之外的事情就成了問題;反而降低了工作效率,甚至導致更大損失;因此網絡監控非常必要;

目前很多單位請了網絡管理人員還建設了網站;但是把設備是管好了,可設備帶來的方便卻降低了工作效率(都用網絡干別的事情去了),網絡帶來的客戶因為員工缺乏管理而可能直接成為了競爭對手的客戶了;因此僅購買設備是不夠的,僅僅建設網站也是不夠的,只管理設備也還是不夠的,還需要把員工使用網絡的內容監視和并把網絡行為管理起來;特別是外貿企業、技術含量較高的企業(如軟件、工程類)、政府關鍵部門等等對員工的上網監督管理的意義尤為重要。

二、局域網網絡監控軟件主要目標:

網絡監控系統總體目標是能有效防止員工通過網絡以各種方式泄密,實現對網絡電腦及網絡資源的統一管理和有效監控。未經授權不得以各種方式外發文件、不得上班時間利用網絡做不應該做的事、并能夠記錄網絡往來的內容(比如外貿企業的定單過程),對電腦的各種端口和設備實施全面管理和控制,對用機、上網、收發郵件、網上聊天和電腦游戲進行嚴格管理與控制;

(1)防止并追查重要資料、機密文件等外泄;
(2)監督、審查、限制、規范網絡使用行為;
(3)限制消耗資源的聊天、游戲、外發資料、BT惡性下載和股票等行為;
(4)備份重要網絡資源文件(比如業務郵件);
(5)監視QQ/MSN聊天記錄內容和行為過程;
(6)流量限制以及網站訪問統計,用于分析員工使用網絡情況;

三、網絡抓包技術:

1、UNIX系統提供了標準的API支持
(1)Packet socket
(2)BPF(主要的流行手段)
A、BSD抓包法
.BPF是一個核心態的組件,也是一個過濾器
.Network Tap接收所有的數據包
.Kernel Buffer,保存過濾器送過來的數據包
.User buffer,用戶態上的數據包緩沖區
B、Libpcap(一個抓包工具庫)支持BPF
.Libpcap是用戶態的一個抓包工具
.Libpcap幾乎是系統無關的
C、BPF是一種比較理想的抓包方案
.在核心態,所以效率比較高,
.但是,只有少數OS支持(主要是一些BSD操作系統)
2、Windows平臺上通過驅動程序來獲取數據包
(1)驅動程序
模式一、在核心層驅動,和WINDOWS操作系統核心結合緊密,效率非常高性能最好;因為網絡火墻都在網絡上層運行(也就是說在火墻核心層驅動上面運行),因此核心層驅動將不受網絡火墻干擾;
模式二、在網絡層驅動, 雖然自己寫的驅動容易控制管理但性能根本無法與核心層驅動比較;并受防火墻限制和干擾;
(2)WinPcap驅動標準接口(目前國產網絡監控軟件90%采用)
WINPCAP是目前國際標準的接口程序,穩定性良好支持100M通訊;但缺點也是同樣明顯的,可控制性很差導致很多功能都無法實現,只能監聽模式無法網關模式導致流量限制、BT限制、UDP阻斷方面等等天生的弱點;另外由于WINPCAP版本互相不兼容可能導致無法監控,無法識別千兆網卡或無法讀到網卡列表;只能同時監控單網卡等;
四、網絡監控軟件的解決方案分類比較:
(一)按照運行原理區分為:監聽模式和網關模式兩種
1、 監聽模式
通過抓取總線MAC層數據偵方式而獲得監聽數據,并利用網絡通訊協議原理而實現控制的方法;因此監聽模式最大的弱點原理性的,也就是說需要如下方法之一來解決安裝問題:
(1)通過共享式HUB(集線器)
這個模式是一個比較通用的方法,但由于HUB基本都是10M的,因此在網絡性能上將很大限制,也意味丟包的危險;目前HUB幾乎到了淘汰的命運;也不適合大型網絡環境,因此是很大局限;
(2)通過鏡像交換機
可網管的鏡像交換機首先是比較貴并需要專業的配置,而目絕大多數企業并沒有帶鏡像交換機,另外如果規模比較小的話(比如30個電腦一下),那么增加購買鏡像交換機意味成本的提高,另外有些便宜的交換機雖然帶鏡像功能,但在鏡像后由于雙向(監視和控制)數據流處理不完善而導致交換機瞬間阻塞現象;但相比HUB模式來說,使用鏡像交換機實現監聽無疑是理想的選擇;
(3)通過

發布人:  驗證碼:  
200漢字以內

中關村社區 版權所有 / 京ICP證05038935號

關于我們 | 廣告招商 | 聯系方法