計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用已滲透到社會(huì)各個(gè)層面,給社會(huì)帶來便利的同時(shí)也隨之帶來的安全和管理問題。互聯(lián)網(wǎng)絡(luò)是一把雙刃劍;就如一個(gè)企業(yè)而言有些員工利用工作時(shí)間看新聞、玩游戲、干私活、聊天、泄密公司資料、炒股票、下電影、聽歌曲、瀏覽色情站點(diǎn)、甚至在公司網(wǎng)上邊拿老板工資邊找工作等等。不僅僅消耗公司資源,更是因?yàn)橛绊懝拘省⑿孤豆緳C(jī)密、甚至丟失客戶資源令人痛心。而利用局域網(wǎng)網(wǎng)絡(luò)監(jiān)控軟件這非常有效的管理輔助手段并和企業(yè)的內(nèi)部管理機(jī)制結(jié)合達(dá)到更加事半功倍的效果,已經(jīng)成為大家的共識(shí)。
一、為什么要使用局域網(wǎng)網(wǎng)絡(luò)監(jiān)控軟件?
很多單位很舍得對(duì)網(wǎng)絡(luò)以及電腦設(shè)備的投入,但卻不舍得對(duì)應(yīng)用軟件特別是安全軟件投入是不恰當(dāng)?shù)模绻M建了性能出色的網(wǎng)絡(luò)環(huán)境以及購(gòu)買了現(xiàn)代化的辦公設(shè)備,但卻成了沉迷、浪費(fèi)公司人力和財(cái)力;甚至是縱容員工上班時(shí)間做單位之外的事情就成了問題;反而降低了工作效率,甚至導(dǎo)致更大損失;因此網(wǎng)絡(luò)監(jiān)控非常必要;
目前很多單位請(qǐng)了網(wǎng)絡(luò)管理人員還建設(shè)了網(wǎng)站;但是把設(shè)備是管好了,可設(shè)備帶來的方便卻降低了工作效率(都用網(wǎng)絡(luò)干別的事情去了),網(wǎng)絡(luò)帶來的客戶因?yàn)閱T工缺乏管理而可能直接成為了競(jìng)爭(zhēng)對(duì)手的客戶了;因此僅購(gòu)買設(shè)備是不夠的,僅僅建設(shè)網(wǎng)站也是不夠的,只管理設(shè)備也還是不夠的,還需要把員工使用網(wǎng)絡(luò)的內(nèi)容監(jiān)視和并把網(wǎng)絡(luò)行為管理起來;特別是外貿(mào)企業(yè)、技術(shù)含量較高的企業(yè)(如軟件、工程類)、政府關(guān)鍵部門等等對(duì)員工的上網(wǎng)監(jiān)督管理的意義尤為重要。
二、局域網(wǎng)網(wǎng)絡(luò)監(jiān)控軟件主要目標(biāo):
網(wǎng)絡(luò)監(jiān)控系統(tǒng)總體目標(biāo)是能有效防止員工通過網(wǎng)絡(luò)以各種方式泄密,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)電腦及網(wǎng)絡(luò)資源的統(tǒng)一管理和有效監(jiān)控。未經(jīng)授權(quán)不得以各種方式外發(fā)文件、不得上班時(shí)間利用網(wǎng)絡(luò)做不應(yīng)該做的事、并能夠記錄網(wǎng)絡(luò)往來的內(nèi)容(比如外貿(mào)企業(yè)的定單過程),對(duì)電腦的各種端口和設(shè)備實(shí)施全面管理和控制,對(duì)用機(jī)、上網(wǎng)、收發(fā)郵件、網(wǎng)上聊天和電腦游戲進(jìn)行嚴(yán)格管理與控制;
(1)防止并追查重要資料、機(jī)密文件等外泄;
(2)監(jiān)督、審查、限制、規(guī)范網(wǎng)絡(luò)使用行為;
(3)限制消耗資源的聊天、游戲、外發(fā)資料、BT惡性下載和股票等行為;
(4)備份重要網(wǎng)絡(luò)資源文件(比如業(yè)務(wù)郵件);
(5)監(jiān)視QQ/MSN聊天記錄內(nèi)容和行為過程;
(6)流量限制以及網(wǎng)站訪問統(tǒng)計(jì),用于分析員工使用網(wǎng)絡(luò)情況;
三、網(wǎng)絡(luò)抓包技術(shù):
1、UNIX系統(tǒng)提供了標(biāo)準(zhǔn)的API支持
(1)Packet socket
(2)BPF(主要的流行手段)
A、BSD抓包法
.BPF是一個(gè)核心態(tài)的組件,也是一個(gè)過濾器
.Network Tap接收所有的數(shù)據(jù)包
.Kernel Buffer,保存過濾器送過來的數(shù)據(jù)包
.User buffer,用戶態(tài)上的數(shù)據(jù)包緩沖區(qū)
B、Libpcap(一個(gè)抓包工具庫(kù))支持BPF
.Libpcap是用戶態(tài)的一個(gè)抓包工具
.Libpcap幾乎是系統(tǒng)無關(guān)的
C、BPF是一種比較理想的抓包方案
.在核心態(tài),所以效率比較高,
.但是,只有少數(shù)OS支持(主要是一些BSD操作系統(tǒng))
2、Windows平臺(tái)上通過驅(qū)動(dòng)程序來獲取數(shù)據(jù)包
(1)驅(qū)動(dòng)程序
模式一、在核心層驅(qū)動(dòng),和WINDOWS操作系統(tǒng)核心結(jié)合緊密,效率非常高性能最好;因?yàn)榫W(wǎng)絡(luò)火墻都在網(wǎng)絡(luò)上層運(yùn)行(也就是說在火墻核心層驅(qū)動(dòng)上面運(yùn)行),因此核心層驅(qū)動(dòng)將不受網(wǎng)絡(luò)火墻干擾;
模式二、在網(wǎng)絡(luò)層驅(qū)動(dòng), 雖然自己寫的驅(qū)動(dòng)容易控制管理但性能根本無法與核心層驅(qū)動(dòng)比較;并受防火墻限制和干擾;
(2)WinPcap驅(qū)動(dòng)標(biāo)準(zhǔn)接口(目前國(guó)產(chǎn)網(wǎng)絡(luò)監(jiān)控軟件90%采用)
WINPCAP是目前國(guó)際標(biāo)準(zhǔn)的接口程序,穩(wěn)定性良好支持100M通訊;但缺點(diǎn)也是同樣明顯的,可控制性很差導(dǎo)致很多功能都無法實(shí)現(xiàn),只能監(jiān)聽模式無法網(wǎng)關(guān)模式導(dǎo)致流量限制、BT限制、UDP阻斷方面等等天生的弱點(diǎn);另外由于WINPCAP版本互相不兼容可能導(dǎo)致無法監(jiān)控,無法識(shí)別千兆網(wǎng)卡或無法讀到網(wǎng)卡列表;只能同時(shí)監(jiān)控單網(wǎng)卡等;
四、網(wǎng)絡(luò)監(jiān)控軟件的解決方案分類比較:
(一)按照運(yùn)行原理區(qū)分為:監(jiān)聽模式和網(wǎng)關(guān)模式兩種
1、 監(jiān)聽模式
通過抓取總線MAC層數(shù)據(jù)偵方式而獲得監(jiān)聽數(shù)據(jù),并利用網(wǎng)絡(luò)通訊協(xié)議原理而實(shí)現(xiàn)控制的方法;因此監(jiān)聽模式最大的弱點(diǎn)原理性的,也就是說需要如下方法之一來解決安裝問題:
(1)通過共享式HUB(集線器)
這個(gè)模式是一個(gè)比較通用的方法,但由于HUB基本都是10M的,因此在網(wǎng)絡(luò)性能上將很大限制,也意味丟包的危險(xiǎn);目前HUB幾乎到了淘汰的命運(yùn);也不適合大型網(wǎng)絡(luò)環(huán)境,因此是很大局限;
(2)通過鏡像交換機(jī)
可網(wǎng)管的鏡像交換機(jī)首先是比較貴并需要專業(yè)的配置,而目絕大多數(shù)企業(yè)并沒有帶鏡像交換機(jī),另外如果規(guī)模比較小的話(比如30個(gè)電腦一下),那么增加購(gòu)買鏡像交換機(jī)意味成本的提高,另外有些便宜的交換機(jī)雖然帶鏡像功能,但在鏡像后由于雙向(監(jiān)視和控制)數(shù)據(jù)流處理不完善而導(dǎo)致交換機(jī)瞬間阻塞現(xiàn)象;但相比HUB模式來說,使用鏡像交換機(jī)實(shí)現(xiàn)監(jiān)聽無疑是理想的選擇;
(3)通過
共有條評(píng)論
